2010年8月31日 星期二

[觀點] 以PCI DSS檢測個資防護安全

最近,許多朋友和我聊到新版個人資料保護法(以下簡稱個資法)的議題,對於法條的內容要求都存有一些疑義,尤其是面對未來可能的罰責,以及針對個資保護實施的應有作為,皆感到茫然而不知所措。

雖然,目前僅通過個資法的母法,施行細則還在修訂之中,預計最快一年至一年半的時間才會公布,但若是等到實施之後才來因應,恐怕為時已晚,因此在新法尚未實施之前,組織的因應做法,建議可分成以下三階段來進行:
  1. 實施教育訓練:組織應邀請所有和個資有關的人員,例如人事、法務、行銷、客服、資訊等單位,進行個資保護教育訓練,實施的內容包括了個資法的法條內容逐一討論,了解個資蒐集、處理、利用應注意事項,以及個資保護的資安控制措施等,讓大家清楚明白法律的要求,才可準備相關的因應作為。
  2. 評估技術防護:組織應執行一次完整的資安體檢,尤其是個資所在的位置,例如實體環境的文件櫃、檔案室、辦公處所、機房等,還有資訊設備像是資料庫、應用系統、儲存媒體及網路設備等,針對個資的存取、傳輸、儲存、銷毀方式,逐一進行清查確認,這方面可參考以下的支付卡行業資料安全標準(PCI DSS)要求來進行。
  3. 導入管理系統:若組織已經導入資訊安全管理系統(ISMS),並且已取得ISO 27001的認證,那麼就可以將個資保護納入現行管理制度的範圍,並針對各項需識別的個人資料,增設個資資產清冊、或是進行個資風險評鑑與處理等。若是沒有導入ISMS的組織,則可以參考之前所提到的BS 10012標準,導入個人資訊管理系統(PIMS),藉由管理系統的文件化與PDCA的持續改善要求,來確保和個資有關的作業流程,均受到妥善的監控與保護。
PCI DSS的資料安全評估

PCI DSS是由American Express、DFS、JCB、MasterCard、Visa等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council所制定,要求所有提供信用卡服務的商店和相關業者,在儲存、處理與傳遞持卡人資料時,必須要有符合標準要求的安全控制措施。此一提供給全球產業共同遵守的資料安全標準,雖然是用來保護信用卡持卡人的資料,但其主要目的就是為了要保護個人敏感資訊,以確保交易的安全。因此,對於想要保護個資的企業,若是能夠參考PCI DSS中所明訂的12項要求作為個資保護的安全基礎,並且將這些要求融入和個資安全有關的評估之中,藉由自我檢視這12項要求,將可協助組織了解現有的資料保護安全現況。

要求1:安裝並維護良好的防火牆配置以保護個人資料
首先,組織必須要建立防火牆的安全配置,項目包括防火牆的規劃拓樸圖、防火牆規則的設定說明,以及DMZ區中的安全設定與網段區隔。基本上,除了必要的網路協定之外,其它不必要的網路服務與通訊埠皆不應對外開放,而且只要是儲存含有個人資料的系統,它和公用伺服器之間的任何連線,都要建立防火牆來加以區隔,同時也藉由實施IP偽裝的機制(NAT),來避免內部主機位址暴露在網際網路上,以限制任何儲存敏感資訊的系統可以被外部公開地存取。

要求2:管理密碼和其他安全參數不使用設備出廠的預設值
若是透過外包的設備供應商來安裝各式系統和網路元件,例如防火牆、路由器、無線網路基地台等,應該修改系統管理的預設值,並針對所有的管理連線進行加密,以避免駭客直接以系統預設帳號及密碼,繞過防線直接侵入到系統之中。另外,若是自行開發各項擴充的系統元件,應採取業界建議的安全開發配置標準。

要求3:必須妥善保護所儲存的個人資料
針對組織所儲存的個人資料,業者應該秉持保留最少數據的原則,並且制定一個資料處理與儲存程序來做好個人資料的控管。例如,若需要顯示當事人主要帳戶資料時,應採用前六或後四碼的隱蔽措施,如果需要將主要帳戶資料儲存的話,也需要採取加密方式來確保資料不會任意被讀取。在實施了加密之後,用來加密持卡人的金鑰就成為重要關鍵,所以還要制定金鑰的管理流程和程序,來確保金鑰不會遭到洩露和濫用。

要求4:對透過公共網路所傳送的個人資料進行加密
若是個人資料需要透過公共網路來傳送,務必要採用強度難以破解的加密演算法和安全協定,以避免資料在傳遞的過程中遭到破解與竄改。因此,提供服務的網站必須提供SSL/TLS或IPSec等安全傳輸協定,針對所傳輸的資料進行加密。

要求5:安裝防毒軟體並定期更新主程式和病毒碼
所有和個人資料有關的系統,都應該要安裝防毒軟體,並且經常更新病毒碼,在防毒軟體的選擇上,建議最好同時具備防木馬與間諜程式的偵測功能。另外,更要確保所有的防毒措施都能夠及時更新,並且產生可供日後稽核的事件日誌。

要求6:開發與維護安全的系統和應用程式
網站的主機系統和應用程式,應該在供應商發佈修補檔的一個月內進行安裝更新,管理者可以採用訂閱方式來接收最新發現的安全弱點。若是自行開發的應用程式,應採行業界的最佳實務如Security Development Life Cycle(SDLC),將資訊安全與整個軟體開發生命週期相結合,同時要基於安全的程式編碼原則,以確保所有應用程式不會存在已知的安全弱點,還能抵禦已知的惡意攻擊。如果系統和軟體的配置需要更新或修改的話,也要事先取得管理階層的授權,依照所制定的變更控制程序來進行。

要求7:只有具備業務需求的人才可存取個人資料
在存取控制措施方面,只能允許工作職務上有需要的人員,才能存取電腦上和個人有關資訊,也就是要依據僅知原則(need to know),避免不相干的人員接觸到個人資料,也就是說除非已獲得管理階層授權許可,否則應該拒絕所有的存取行為。

要求8:賦予擁有資訊存取權限的使用者唯一的識別帳號
針對擁有個資存取權限的使用者,必須給予一個唯一的ID,才能允許其存取和個人有關的資料,這樣做的目的在於一旦發生資安事件,才可進行追溯和釐清相關責任。對於採用遠端存取的員工或第三方合作廠商,則採取雙因素身份認證機制,也就是除了使用帳號和密碼來驗證之外,還需要使用如Token、憑證、或生物特徵(指紋)等方式來識別連線的使用者。PCI DSS要求,只要是系統中所需使用的密碼,無論是儲存或傳輸,進行加密是必要的安全措施。

要求9:限制對個人資料的實體存取
針對個人資料的實體存取行為,必須採用監視系統和門禁管理等適當的控制措施,而針對所有包含個資的紙類或電子媒體,都應存放在安全的地點,並採行實體安全保護,無論是內部或外部,含有個人的資料都應該限制發送,而且儲存個資的媒體在離開安全區域之前,也都需要經過管理階層的核准才能放行。一旦含有個資的媒體不再需要保留時,也要按照一定的安全程序進行徹底銷毀。另外, 為確保對所有訪客都能被有效管理,可採用訪客識別證或通行卡,在訪客來訪期間的日誌記錄,至少需要保存三個月以上,以確保訪客的活動能夠被稽核。

要求10:追蹤並監控存取各項網路資源和持卡人資料的過程
對於和個人資料有關的所有存取行為,必須建立一個識別程序,來記錄追蹤存取事件,所記錄的內容應包括使用者ID、事件類型、日期時間、成功或失敗、事件來源、受影響的資料、系統元件或資源的ID或名稱。對於這些事件,管理者應定期進行審查,並且妥善保護稽核軌跡以防止日誌遭到竄改,所有的稽核記錄應至少保持一年。

要求11:定期測試系統安全與程序
針對各項資安控制措施,每年應定期實施測試,以確保控制的有效性,每季也至少進行一次內部和外部的網路弱點掃瞄,尤其是在網路發生重大變更之後也要執行一次。而針對可疑的入侵事件,應建立警示和通報的機制,一旦發現網路或主機遭到入侵,或是關鍵系統或檔案受到非授權的更改,都要能夠及時通報相關的人員。

要求12:建立並維護資訊安全政策
組織應建立、發布、維護和宣導一項資訊安全政策,並確保所有員工和合作夥伴,都能明瞭相關的資訊安全責任。在人員管理方面,對於欲聘雇的員工應進行背景的查核,對新進員工則實施有關資訊安全的認知宣導,使所有員工都能了解保護個資的重要性,藉此將來自內部的資料外洩風險降至最低。如果不幸發生了資料外洩事件,組織應依照事先建立的事件回應計劃來處理,而針對所有合作的供應商,在合約中也應清楚註明各項安全要求。

以上,是PCI DSS對於資料保護的安全要求,組織可藉此來一一加以審查檢視,就可找出目前個資防護的不足之處,然後強化安全控制措施。(本文刊載於2010年7月號網管人雜誌)