作者：Jordan Drysdale
发布时间：2016年3月16日

免责声明： 本文提及的技术和工具可能已过时，不适用于当前环境，但仍可作为学习参考，或用于更新和整合到现代工具与技术中。
（阅读Jordan本系列第一部分请点击此处）

去年底，PCI-DSS带着最新合规要求登场，其中充斥着繁琐的IT术语。企业主现在需要负责映射、理解并制定处理“信用卡数据流”的政策和流程。对大多数企业而言，专职IT人员和IT安全知识几乎不存在。那么，你可能会问——PCI合规和公共Wi-Fi不安全之间有何关联？在大多数中小型企业中，IT缺失或仅由一人负责，同时提供公共无线服务时，我们可以断定这些是相互关联的。直白地说：如果你的IT预算在几千美元到零之间，就不应该提供公共Wi-Fi。

理由一： 你的公司刷信用卡，某些公司处理你的付款，并期望你符合PCI标准。一旦在企业部署无线网络，就亮起了大红旗。当然，通过广泛的RADIUS配置、证书部署和几小时测试，可以正确实现，但猜猜看？如果你完全不懂我刚才在说什么，你的Wi-Fi很可能不安全。再次回顾IT预算：谁将这个闪亮的新无线设备连接到网络？他们是否将其连接到公司网络？“信用卡数据流”是否经过同一网络？如果没人知道，网络地图没有反映新安装、硬件升级或添加，并且你忘记了变更管理政策和流程文档，猜猜看？你不符合PCI标准。

澄清PCI合规的另一个关键项目：范围。理由二： 你应该完全避免无线网络：作为信用卡商户，你对任何追溯到网络盗窃的损失负责。如果一个组织缺乏网络管理的基本原则——如网络地图、负责任的网络使用政策、变更管理和网页过滤——你的组织将被迫接受信用卡公司雇用的审计员，其客户蒙受了损失。我保证，在几乎所有此类案例中，中小型企业都被认定负有责任。

你的组织可能不应提供公共Wi-Fi的另一个理由：责任。 如果企业提供了发生不法行为的媒介，企业就负有责任。回到预算：如果你的预算不包括网页过滤、白名单、数据丢失防护和主动管理，你就不应该提供公共无线网络。无论你是否理解这些，它们都是IT和网络安全的基础。现在，当你的公共Wi-Fi网络被某人使用，其行为导致伤害或损伤，而你没有实施内容（色情、暗网、更糟）限制，你负有责任。

如果在你的网络上发生不良事件，你提交了网络保险索赔，你应该预期会有审计员。你的网络保险提供商将派人审查你的政策和流程，并采访你的员工。如果你没有覆盖信用卡处理的政策，且员工未接受培训，你负有责任。如果你的信用卡网络与公司数据运行在同一网络上，你可能负有责任。这位审计员可能会要求查看你的信用卡数据地图。哦，对了，你是否要求客户“插芯片”或刷卡？如果他们截至本文撰写时未使用芯片和PIN，你负有责任。

为最小化范围内的系统，你应该要求将信用卡扫描仪安装在“老式”电话线上。那些基于电话线的信用卡机器应支持芯片和PIN。你的员工应定期提醒他们在IT系统和安全中的角色。查看SANS Institute的敏感数据处理样本政策和流程，并为自己的组织创建一些！审查你的IT供应商；询问社交圈中的人他们信任你地区的谁。在安装或部署新解决方案时，询问供应商完成后你的网络是什么样子——获取新的网络地图。最后，摆脱你的公共Wi-Fi，它可能让你的企业付出比“Your-Guest”Wi-Fi网络价值高得多的代价。

链接

• SANS: https://www.sans.org
• SANS Policies: https://www.sans.org/security-resources/policies
• How to Approach PCI: https://www.pcisecuritystandards.org/documents/Prioritized_Approach_for_PCI_DSS_v3-1.pdf