国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　遵循PCI合規(guī)的大年夜大都安然專家必定已知道，PCI安然尺度委員會(huì)(SSC)已發(fā)布了付出卡行業(yè)數(shù)據(jù)安然尺度(PCI DSS)3.0版。

　　正如在過往所做的那樣，SSC發(fā)布了PCI DSS 2.0版到3.0版的變動(dòng)匯總。假定你是商家或評(píng)估者，從此刻到1月份，這兩份文件(這個(gè)概要和新版本本身)都應(yīng)當(dāng)列在你的瀏覽清單中，因?yàn)?月份新要求將會(huì)生效。

　　當(dāng)在2010年推出PCI DSS 2.0版時(shí)，該委員會(huì)估計(jì)，該尺度的不竭成熟化會(huì)削減對(duì)變動(dòng)的需要，換句話說，跟著尺度不竭演變，和新版本的推出，對(duì)新要求的需求應(yīng)當(dāng)會(huì)削減。是以，其實(shí)不希罕的是，PCI DSS 3.0版的變動(dòng)主如果申明和彌補(bǔ)信息，(大年夜部門)其實(shí)不是新要求。

　　這就是說，與從PCI DSS 1.2.1版到2.0版的過渡不合，3.0版只有一些變動(dòng)的(新)要求，這些變動(dòng)反應(yīng)了商家和報(bào)復(fù)打擊者的手藝?yán)镁幹频母淖?。具體來講，從PCI DSS 1.2.1版到PCI DSS 2.0版只有兩個(gè)變動(dòng)，從2.0版到3.0版則包含20個(gè)。當(dāng)然，我們不克不及深進(jìn)講授每個(gè)變動(dòng)，基于這些改變的范圍(在新要乞降彌補(bǔ)信息或申明之間)，我們?cè)噲D總結(jié)了最受商家存眷的五個(gè)方面。具體來講，對(duì)大年夜部門商家(還有評(píng)估人員)來講，下面是可能帶來最大年夜影響的五個(gè)變動(dòng)。

　　第一個(gè)方面：穿透測試

　　或許對(duì)現(xiàn)有要求的最較著的變動(dòng)是穿透測試要求(11.3)，包含驗(yàn)證用于隔離持卡人數(shù)據(jù)環(huán)境(CDE)和其他環(huán)境的編制的要求(11.3.4)。這一改變的合用范圍我們已在其他文章中會(huì)商過，這部門更新可能給商家?guī)淼奶魬?zhàn)在于這個(gè)要求：穿透測試勾當(dāng)(內(nèi)部和外部)此刻應(yīng)當(dāng)“以行業(yè)承認(rèn)的穿透測試法為根本”，例如專門提到的NIST SP 800-115(《信息安然測試與評(píng)估手藝指導(dǎo)》)。

　　好動(dòng)靜是，要求11.3到2015年6月30日才生效，商家們還有一段時(shí)候來適應(yīng)這個(gè)變動(dòng)。壞動(dòng)靜是，良多商家可能難以遵循這個(gè)要求，起碼在最初階段。為甚么這么具有挑戰(zhàn)性呢?主如果因?yàn)榇┩笢y試是一個(gè)專門的學(xué)科，良多商家(出格是較小型商家)沒有內(nèi)部人員可以或許有效履行穿透測試。商家凡是會(huì)操縱外部辦事供給商來知足穿透測試要求;良多這些辦事供給商(不點(diǎn)名)的產(chǎn)品并沒有基于任何規(guī)范的編制。當(dāng)然，也有辦事供給商操縱了側(cè)重過程的尺度，例如SP 800-115，此中具體說了然在測試階段需要遵循的具體法度，或操縱以履行動(dòng)重點(diǎn)的手藝尺度，例如Penetration Testing Execution Standard或(對(duì)利用)OWASP Testing Guide(供給手藝指導(dǎo));但總的來講，這其實(shí)不是規(guī)范的環(huán)境。

　　正因?yàn)槿缢?，商家必需要?jǐn)嚴(yán)選擇穿透測試辦事以確保他們選擇的供給商采取的法度遵循行業(yè)承認(rèn)的編制。作為首要工作，所有預(yù)備PCI DSS 3.0合規(guī)打算的商家都應(yīng)當(dāng)采取行業(yè)承認(rèn)的編制(你企業(yè)覺得合適的編制)作為穿透測試要求建議。

　　第二個(gè)方面：系統(tǒng)組件清單

　　當(dāng)然在媒體方面沒有良多會(huì)商，但從實(shí)際角度來看，另外一個(gè)可能帶來暗藏巨大年夜影響的新要求(2.4)是：“保留一份PCI DSS范圍內(nèi)系統(tǒng)組件的清單?！边@里的“系統(tǒng)組件”在該尺度的第10頁(PCI DSS要求的范圍)有具體介紹，但本質(zhì)上它是指持卡人數(shù)據(jù)環(huán)境內(nèi)的所有硬件(虛擬或物理主機(jī)及收集設(shè)備)，和軟件組件(自定義或商業(yè)產(chǎn)品、現(xiàn)成的利用，不管是內(nèi)部仍是外部)。

　　該要求的測試法度明白要求評(píng)估員“查抄系統(tǒng)清單，確認(rèn)已保留一份軟硬件組件列表，并包含各自的功能/用處描述”;也就是說，商家不但需要記實(shí)持卡人數(shù)據(jù)環(huán)境中所有組件，還需要描述這些組件的功能和用處。11.1.1要求(與此相干)此刻要求商家“保留一份授權(quán)的無線接進(jìn)點(diǎn)清單，包含營業(yè)來由記實(shí)”。

　　我們都知道，保持清單的更新其實(shí)不等閑。歷來，商家對(duì)保持清單(包含持卡人數(shù)據(jù)位置、可以拜候加密密鑰和持卡人數(shù)據(jù)的人員，和防火墻法則和描述)的要求一向難以知足。為甚么呢?因?yàn)檫@類清單常常改變，常常需要手開工作來準(zhǔn)確反應(yīng)環(huán)境實(shí)際組件環(huán)境。是以，在沒有主動(dòng)化的大年夜型或復(fù)雜的環(huán)境，保持硬件和軟件組件的靠得住清單幾近成為不成能完成的任務(wù)(任何曾試圖盡力保護(hù)過這類清單的人都能證實(shí)這一點(diǎn))，起碼是不等閑。

　　當(dāng)觸及虛擬化(因?yàn)橄到y(tǒng)組件也包含虛擬鏡像)或當(dāng)環(huán)境漫衍在多個(gè)地輿位置(大年夜大都漫衍式零售店都是如許)時(shí)，更是加重了這類復(fù)雜性。同時(shí)，當(dāng)專有的供給商供給的系統(tǒng)是由外部人員(例如利用供給商或系統(tǒng)集成商)保護(hù)時(shí)，也會(huì)進(jìn)步復(fù)雜性。對(duì)一個(gè)本身就難以知足的要求，這些身分無疑是落井下石。毫無疑問，商家們的IT和合規(guī)團(tuán)隊(duì)將需要花大年夜量時(shí)候來開辟和研究編制以成立和治理這類清單。

　　第三個(gè)方面：供給商關(guān)系

　　12.8.5和12.9要求此刻要求明白由各個(gè)辦事供給商和實(shí)體治理的PCI DSS的信息。例如，假定企業(yè)利用托管數(shù)據(jù)中間供給商，該數(shù)據(jù)中間的物理拜候限制可能由該供給商治理，而對(duì)這些位置拜候權(quán)的治理方面多是由客戶企業(yè)治理。在這類環(huán)境下，PCI DSS 3.0要求商家明白同意并以書面情勢確認(rèn)這類與供給商或辦事供給商的職責(zé)分派。

　　這類要求意味著，此刻商家不但需要保護(hù)供給商清單(這是3.0之前的要求)，和當(dāng)其辦事與其CDE交互時(shí)追蹤其合規(guī)狀況(也是3.0之前的要求)，并且要明白對(duì)PCI DSS要求，每個(gè)合用的供給商的響應(yīng)的責(zé)任分派，還必需與供給商簽訂書面和談。

　　保持和治理這些不合的要求在實(shí)踐中可能具有挑戰(zhàn)性。為甚么呢?首要有兩個(gè)啟事：起首，它觸及查抄所有CDE相干的供給商(抱負(fù)環(huán)境下，商家有這個(gè)清單，因?yàn)樗麄儜?yīng)當(dāng)在追蹤供給商的PCI合規(guī)狀況);第二，它觸及準(zhǔn)確闡發(fā)每個(gè)特定供給商的利用環(huán)境。在實(shí)踐中，商家必需明白知道供給商或辦事供給商在做甚么(以肯定其范圍)，節(jié)制職責(zé)應(yīng)當(dāng)若何劃分，和若何成立文檔來描述這些工作。接下來是有趣的部門：讓相干的辦事供給商(寄望，他們對(duì)待標(biāo)題問題標(biāo)編制可能與你不合)同意并簽訂書面和談。曾介入過供給商協(xié)商的人會(huì)奉告你，協(xié)商這些標(biāo)題問題(出格是在已與辦事供給商簽訂合同后)將是耗時(shí)的工作，并且可能會(huì)呈現(xiàn)爭議(這取決于供給商)。

　　第四個(gè)方面：反歹意軟件

　　要求5.1.2此刻要求商家：“對(duì)凡是不受歹意軟件影響的系統(tǒng)，需要履行按期評(píng)估以肯定并評(píng)估不竭進(jìn)化的歹意軟件威脅”。這意味著，假定你利用的系統(tǒng)凡是不會(huì)遭到歹意軟件傳染(例如大年夜型機(jī)或Unix辦事器)，你需要擺設(shè)一個(gè)法度確保保持這類狀況，假定這些平臺(tái)呈現(xiàn)一些歹意軟件，你需要知道這個(gè)環(huán)境。要求5.3此刻要求必需從治理層獲得明白授權(quán)，才能禁用或更改殺毒機(jī)制的運(yùn)作，并且，這類授權(quán)是有時(shí)候限制的。

　　對(duì)不合的企業(yè)，這些要求可能會(huì)有必然的影響，出格是第二個(gè)要求。在PCI DSS 2.0中，該尺度僅要求擺設(shè)防病毒軟件，并且它是運(yùn)行的，還有更新或最新版本，且必需具有生成日記的能力。這些要求是可以知足的，不管誰安裝這個(gè)東西，它是若何被安裝(在合理范圍內(nèi)，只要它不影響上述要求)或若何被建設(shè)。但此刻工作不是如許了。此刻，商家必需避免用戶禁用或更改殺毒機(jī)制(這可能需要特定的建設(shè))，并需將殺毒系統(tǒng)建設(shè)為操縱這類能力。這可能同時(shí)需要更高程度的手藝打算(因?yàn)檫@可能會(huì)影響防病毒東西和OS建設(shè))和擺設(shè)策略來在全部CDE驗(yàn)證這類能力。毫無疑問，大年夜大都商家將會(huì)經(jīng)由過程更多文書工作來知足這一要求，但這類改變其實(shí)不會(huì)像上述要求那么難以應(yīng)對(duì)。

　　第五個(gè)方面：物理拜候和PoS機(jī)

　　9.3要求此刻要求商家節(jié)制現(xiàn)場人員對(duì)敏感區(qū)域的物理拜候，這類拜候必需獲得授權(quán)，且按照小我的工作本能機(jī)能，同時(shí)，當(dāng)拜候終止時(shí)，拜候權(quán)應(yīng)隨即被撤消。9.9要求此刻要求商家“呵護(hù)經(jīng)由過程直接接觸卡本身便可捕獲付出卡數(shù)據(jù)的設(shè)備，以避免設(shè)備被竄改和替代”。大年夜大都商家可能已在試圖知足9.9要求，但假定有商家仍然在零售點(diǎn)利用辦事器機(jī)柜來存放紙巾，此刻多是時(shí)辰遏制這類行動(dòng)了。

　　不外，知足9.9要求可能有點(diǎn)麻煩。為甚么呢?試想一下，從商家的角度來看，哪里最有可能合用：零售點(diǎn)、餐館、大夫辦公室、食物車、出租車和其他奇特的零售環(huán)節(jié)。這些零售商習(xí)慣于“按期查抄”發(fā)賣點(diǎn)終端設(shè)備(PoS)嗎?例如查抄序列號(hào)以確保設(shè)備沒有被改換。不太可能。想象一下，對(duì)跨多個(gè)地輿位置分離的零售點(diǎn)進(jìn)行這類查抄需要支出多少盡力。一樣地，用于該要求的測試法度出格明白驗(yàn)證政策/法度包含“保留一份設(shè)備列表”。有多少商家此刻有本身的PoS設(shè)備列表?當(dāng)然這必定是一個(gè)很好的做法，但實(shí)際是，很少有商家如許做。對(duì)站點(diǎn)治理員或零售場合治理者，這一切很多是全新的概念，可能需要相當(dāng)多的社會(huì)化、預(yù)備和人員培訓(xùn)來周全展開。

　　總結(jié)

　　正如你所知道的，對(duì)這些新的和更新的要求，有些商家需要做良多工作。請(qǐng)寄望，上述這些其實(shí)不是獨(dú)一的改變，當(dāng)然，具體利用環(huán)境和企業(yè)文化將會(huì)影響企業(yè)對(duì)這些要求的知足。但是，這些是對(duì)商家影響最大年夜的PCI DSS 3.0改變，起碼在過渡期內(nèi)是如許。在某些環(huán)境下，這些影響是很較著的(例如穿透測試)，可能對(duì)有些人來講，只有在著手履行這些要求(例如清點(diǎn)系統(tǒng)組件)時(shí)，才會(huì)心識(shí)到這些影響。不管若何，商家必需此刻開端打算以確保他們已預(yù)備好應(yīng)對(duì)這些改變。不然，在2014年或2015年的第一次PCI DSS 3.0評(píng)估可能不會(huì)是一次興奮的經(jīng)歷。