作者：Jordan Drysdale
警告： 本文提及的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习资源，并可能为现代工具和技术的更新或集成提供参考。

（查看Jordan本文的第一部分请点击此处。）PCI-DSS去年底带着最新合规要求进入视野，其中包含大量IT术语。企业主现在需要绘制、理解并制定处理"信用卡数据流"的政策和程序。对于大多数这类公司来说，专职IT人员和IT安全知识几乎不存在。那么——你现在应该问——PCI合规和公共Wi-Fi不安全之间有什么关系？在大多数中小型企业中，IT不存在或只有一人操作，同时你发现提供公共无线服务，我们可以打赌这一切都是相互连接的。直白地说：如果你的IT预算在几千到零的范围内，你不应该提供公共Wi-Fi。

原因一：你的公司刷信用卡，某些公司处理你的付款，并期望你符合PCI合规。一旦在企业部署无线网络，就会亮起一个大红旗。当然，通过广泛的RADIUS配置、证书部署和几个小时的测试，可以正确完成，但猜猜怎么着？如果你不知道我刚才在说什么，你的Wi-Fi可能不安全。让我们再次回顾IT预算；谁将这个闪亮的新无线设备连接到网络？他们是否将其连接到公司网络？“信用卡数据流"是否穿越同一网络？如果没有人有任何线索，网络地图没有反映这个新安装、硬件升级或添加，并且你忘记了变更管理政策和程序文档，猜猜怎么着？你不符合PCI合规。

让我们澄清另一个关键项目以正确实现PCI合规：范围。原因二你应该完全避免无线：作为信用卡商户，你对任何追溯到你的网络盗窃的损失负责。如果一个组织缺乏网络管理的基本原则——如网络地图、负责任的网络使用政策、变更管理和网络过滤——你的组织将被迫接受信用卡公司雇用的审计员，其客户损失了资金。我向你保证，在几乎所有这些情况下，中小型企业都被认定负有责任。

这是你的组织可能不应该提供公共Wi-Fi的另一个原因：责任。如果企业提供了发生不当行为的媒介，企业应负责。回到预算：如果你的预算不包括网络过滤、白名单、数据丢失预防和主动管理，你不应该提供公共无线。无论你是否理解这些，它们都是IT和网络安全的基础。现在，当你的公共Wi-Fi网络被某人使用，其行为导致伤害或损伤，并且你没有实施内容（色情、暗网、更糟）限制，你应负责。

如果在你的网络上发生了不好的事情，并且你提交了网络保险索赔，你应该预期会有审计员。你的网络保险提供商将派人审查你的政策和程序，并采访你的员工。如果你没有覆盖处理信用卡的政策，并且你的员工没有接受培训，你应负责。如果你的信用卡网络运行在与公司数据相同的网络上，你可能应负责。这位审计员可能会要求查看你的信用卡数据地图。哦，对了，你是否要求客户"插芯片"或刷卡？如果他们截至本文写作时没有使用芯片和PIN，你应负责。

为了最小化范围内的系统，你应该要求将信用卡扫描仪安装在"老式"电话线上。那些基于电话线的信用卡机器应支持芯片和PIN。你的员工应定期提醒他们在IT系统和安全中的角色。查看SANS Institute的样本政策和程序以处理敏感数据，并为自己的组织创建一些！审查你的IT供应商；询问你的社交圈中的人他们信任你地区的谁。在安装或部署新解决方案时，询问你的供应商完成后网络是什么样子——获取新的网络地图。最后，摆脱你的公共Wi-Fi，它可能会让你的业务付出比"Your-Guest"Wi-Fi网络价值高得多的代价。

链接
SANS: https://www.sans.org
SANS政策: https://www.sans.org/security-resources/policies
如何应对PCI: https://www.pcisecuritystandards.org/documents/Prioritized_Approach_for_PCI_DSS_v3-1.pdf