曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        PCI DSS常見問題及解答
        發布時間:2019-11-22 17:02:32   閱讀次數:

        1-1911221G132546.png

        為什么PCI DSS很重要?

        PCI DSS代表支付卡行業數據安全標準。保護與付款相關的數據當然很重要,但是對范圍更廣的敏感個人信息(例如病歷,犯罪背景和就業信息)的類似擔憂也加劇了數據保護的問題,引發了眾多隱私法和數據泄露行為-披露義務。


        當然,必須遵守規定。不采取適當措施至少會損害您組織的聲譽,并使企業處于競爭劣勢。更糟糕的是,如果您遇到了數據泄露事件,那么您將受到罰款,并且疏忽大意的指控會越來越多。這些罰款可能由卡品牌本身和/或您的收單機構(代表您處理交易并負責保證您的PCI DSS符合支付卡品牌的組織)收取。您還將面臨交易費用增加和潛在的訴訟。


        避免所有這些麻煩,可以很容易地看出為什么遵守PCI DSS符合您組織的最大利益。還有另一個好處:您可以使用許多用于實現PCI DSS合規性的相同技術和過程來保護整個企業中的各種數據。


        如果我的組織要遵守PCI DSS,為什么還要維護通用數據安全標準?

        從交易處理到客戶關系管理和增值系統(例如忠誠度和客戶支持),帳戶數據可以輕松地進入各種業務系統。挑戰在于,必須保護所有這些環境以實現與PCI DSS的一致性。結果,該標準的廣度和深度遠遠超過了其他隱私和數據安全性規定。實際上,安全專家傾向于同意它也很好地代表了行業最佳實踐并與之保持一致。盡管該標準的某些方面對您的組織來說可能是新的,但它可能解決了真正的風險領域。


        該標準被設計成從單人組織到大型跨國公司的全球所有公司的一致應用。但是實際上,評估還必須考慮法律、法規和業務要求。


        PCI DSS的核心要求是什么?

        PCI DSS包含12個已發布的要求,這些要求又包含多個子要求。下表列出了12個PCI DSS合規性要求,分為六個組:

        要求
        建立和維護安全的網絡要求1:安裝并維護防火墻配置以保護持卡人數據。
        要求2:不要將供應商提供的默認值用于系統密碼和其他安全參數。
        保護持卡人數據要求3:保護存儲的持卡人數據。
        要求4:加密持卡人數據在開放的公共網絡中的傳輸。
        維護漏洞管理程序要求5:保護所有系統免受惡意軟件的侵害,并定期更新防病毒軟件或程序。
        要求6:開發和維護安全的系統和應用程序。
        實施強有力的訪問控制措施要求7:根據業務需要限制對持卡人數據的訪問。
        要求8:識別并驗證對系統組件的訪問。
        要求9:限制對持卡人數據的物理訪問。
        定期監視和測試網絡要求10:跟蹤和監視對網絡資源和持卡人數據的所有訪問。
        要求11:定期測試安全系統和流程。
        維護信息安全政策要求12:維護一項針對所有人員的信息安全性的政策。


        我可以使用PCI DSS原理來保護其他數據嗎?

        為了符合PCI DSS,您將花費大量的時間和金錢來建立安全的基礎架構和支持流程以滿足PCI DSS的安全要求。PCI DSS主要涉及持卡人數據的保護。貴公司處理的與付款無關的所有其他數據呢?其中一些可能會受益于類似的保護級別。


        通過考慮為滿足PCI DSS要求所做的一切,您可以利用這些安全原則來構建支持組織關鍵資產的其他解決方案。您可以執行以下任一操作:

        • 加密組織內部的所有網絡流量,以確保只有那些需要查看數據的人員才能這樣做。

        • 通過使用加密和/或令牌化,并確保只有那些有權解密該數據的人員才能訪問它,從而保護整個企業中所有靜止的數據。

        • 通過對數據記錄中選定的字段進行加密,可以在捕獲時(進入組織時)保護所有敏感數據。

        • 在將數據發送到您使用的任何云服務提供商之前,通過對數據進行加密和本地管理密鑰來完全控制安全性。

        • 實施分層的安全性方法,以使您的基礎結構不具有單個易受攻擊的點,這使攻擊者(組織內部或外部)更難獲得未經授權的數據訪問權限。

        如果您對組織內的所有數據和數據訪問采用注重安全性的方法,則滿足特定的PCI DSS要求要簡單得多。


        如何保護已存儲的支付持卡人數據(PCI DSS 要求3)?

        PCI DSS的核心是需要保護您存儲的所有持卡人數據。該標準提供了合適的持卡人數據保護方法的示例,例如加密、令牌化、截斷、掩蓋和散列。通過使用這些保護方法中的一種或多種,您可以有效地使被盜數據不可用。


        保護存儲的數據不是“一刀切”的概念。您應該將PCI DSS 要求3視為最低安全級別,應該實施該最低級別的安全性,以使潛在攻擊者的攻擊變得盡可能艱難。


        了解數據存儲規則

        您需要知道所有存儲數據的位置(這是最大程度地減少數據占用空間的誘因)。要求3還提供了有關可以存儲和不能存儲哪些數據的指南。此要求中最好的建議之一是“如果不需要,則不要存儲?!?/p>


        使存儲的數據不可讀

        PCI DSS標準要求您在存儲的任何位置(包括便攜式存儲介質,備份設備甚至審計日志(通常被忽略))都使主帳號(PAN)難以讀取。PCI安全標準委員會故意使用不可讀的單詞,使該委員會可以避免強制使用任何特定技術,從而反過來證明了這些要求。盡管如此,要求3.4提供了幾種選擇:

        • 基于強加密的單向散列,其中必須對整個PAN進行散列

        • 截斷,存儲PAN的一部分(不超過前6位和后4位)

        • 令牌化,它存儲PAN的替代品或代理,而不是PAN本身

        • 由密鑰管理流程和安全程序支持的強大加密技術


        安全地管理密鑰

        無論打算使用哪種方法使存儲的數據不可讀,都需要保護關聯的加密密鑰。如果將強加密與弱密鑰管理過程結合在一起,則無用。該標準提供了有關密鑰管理的詳細指南,該指南與銀行和其他金融機構保護其密鑰的方式非常相似。附加要求要求您完整記錄在整個生命周期中實現和管理各種密鑰的方式。


        您在密鑰管理方面的成功取決于擁有良好的密鑰管理者:您信任的人,他們不會合謀攻擊您的系統。這些人必須正式承認他們了解并接受關鍵保管人的責任。


        此外,您還必須確保組織內所有受影響的各方都記錄,使用和了解用于保護存儲的持卡人數據的安全策略和操作過程。


        不要低估強大密鑰管理的重要性,也不要嘗試采用捷徑。您的合格安全評估人員將找到您的錯誤,攻擊者也可能會找到它們。SafeNet Luna HSM可以滿足您對密鑰安全的所有需求!


        在顯示前屏蔽PAN

        該標準針對PAN的顯示提供了一些非常具體的建議:僅向出于業務原因必須查看該數字的人員顯示全部數字(通常為16位)。在所有其他情況下,必須實現屏蔽以確保顯示的PAN的頭六位數和后四位數不超過。


        如何加密傳輸中的帳戶數據(PCI DSS 要求4)?

        當敏感數據通過開放式網絡(包括Internet,公共或其他不受信任的無線網絡以及蜂窩網絡)傳輸時,它們非常脆弱。PCI安全標準委員會對傳輸中的數據采取非常嚴格的要求,要求使用受信任的密鑰/證書,安全的傳輸協議和強加密。該委員會還為您分配審查安全協議的正在進行的任務,以確保它們符合安全通信行業的最佳實踐。


        阻止竊聽者

        許多潛在的攻擊者都是竊聽者,他們試圖利用已知的安全漏洞。PCI DSS包括有關與其他系統建立連接的特定要求和指南:

        • 僅當您擁有適當的信任密鑰/證書時才繼續進行。您應該驗證這些密鑰和/或證書,并確保它們尚未過期。

        • 將系統配置為僅使用安全協議,并且不接受來自使用較弱協議或加密密鑰長度不足的系統的連接請求。

        • 為傳輸持卡人數據或連接到持卡人數據環境的無線網絡進行身份驗證和傳輸,實施強大的PCI DSS加密。


        保護最終用戶信息傳遞

        PCI DSS的大部分致力于保護PAN。要求4提出了一些有關在開放網絡上傳輸PAN的特定規則。因此,在傳輸持卡人數據時,您的組織通常使用的技術(例如最終用戶信息傳遞技術)可能需要調整,替換或停止使用。要求4的主要約束如下:

        • PAN絕不能通過電子郵件,即時消息和聊天應用等商業技術不受保護地發送。

        • 在使用這些最終用戶技術中的任何一種之前,必須確保通過強大的加密技術使PAN變得不可讀。

        • 如果第三方請求PAN,則該第三方必須提供保護PAN的工具或方法,或者您必須在傳輸之前使該號碼不可讀。(可使用Tokenization

        在網絡通信過程中加密持卡人數據時,必須定義適當的安全策略和操作過程。此外,您必須確保相關文檔保持最新狀態,并可供組織中的所有相關人員使用,并由其注意。


        如何限制對持卡人數據的訪問(PCI DSS 要求7)?

        PCI DSS的相當一部分涉及訪問控制機制,訪問控制機制必須足夠健壯和全面,以提供持卡人數據所需的保護。


        PSS DSS的要求7明確指出必須限制數據訪問。您必須確保關鍵數據只能由授權人員訪問,并且您具有適當的系統和流程來根據業務需求和工作職責來限制訪問。該要求還要求您在不再需要訪問權限時立即刪除訪問權限。


        嘗試將需要訪問數據的人數保持在絕對最低限度,并根據定義的角色和職責確定并記錄訪問需求。


        管理您的訪問策略

        該標準要求您仔細考慮組織中的誰有權訪問系統組件,以及這種訪問對持卡人數據環境的安全性的影響。如果您有多個辦公地點或數據中心,或者使用基于云的服務提供商托管某些數據,則此任務將變得更加復雜。


        您需要在相當精細的級別上管理訪問控制策略,仔細定義組織中的各種用戶角色(用戶、管理員等),并指定他們可以訪問系統的哪些部分和數據。


        實際上,您需要實施足夠的控制以創建實用,有效的訪問控制策略,因此要花費足夠的計劃時間來設計最佳的機制來滿足您的需求。


        分配“最低特權”訪問權限

        該標準是規定性的,因為它強制您向所有用戶帳戶授予“最低特權”訪問權限,并記錄和批準訪問請求。邏輯是,您只授予每個人對他或她執行其工作職能所需的系統或數據各個位的足夠訪問權限。例如,管理員可以為其他用戶定義訪問策略,以查看持卡人數據,但她本人將無法直接讀取數據。


        根據您的環境,您可能需要解決多種系統類型以及網絡,主機和應用程序級使用和管理的不同訪問級別。例如,當您需要為多種類型的用戶賦予對數據庫的不同訪問權限時,此任務可能會很復雜。


        最好在默認情況下禁用對數據的訪問,然后啟用所需的任何訪問。通過這種方法,可以更輕松地防止可能在最壞情況下導致數據泄露的授予訪問權限的錯誤。


        撤銷數據訪問

        當用戶在內部具有角色更改時,請記錄該更改,并適當地修改該用戶的特權。同樣,當用戶離開公司時,您需要記錄更改,然后根據組織的策略和過程禁用或刪除其用戶帳戶。


        建立一致的流程可以幫助確保強大的特權管理。此外,攬閣信息建議您定期對用戶帳戶運行查詢以驗證帳戶活動。例如,您可能每季度運行一次計劃腳本。


        如何驗證對系統組件的訪問權限(PCI DSS要求8)?

        強大的安全性對于保護系統和數據免遭未經授權的訪問至關重要。PCI DSS的要求8包含許多您需要在針對員工和第三方的訪問控制和密碼策略中解決的要素。


        確保個人責任

        重要的是要確保每個需要訪問系統的用戶(內部或外部)都具有唯一的標識符,以便以后對誰執行特定任務沒有爭議。(例如,有關處理不可否認性的詳細信息,請參閱PCI DSS要求8.1。)嚴格執行每個用戶的唯一標識符固有地會阻止使用基于組或共享的身份(請參閱PCI DSS要求8.1.5和8.5)。


        每當添加新用戶,修改現有憑據或刪除或禁用不再需要訪問的用戶帳戶時,您還需要確保完全負責。這種責任制包括立即撤消已終止用戶(例如剛離開公司的員工)的訪問權限(請參閱PCI DSS要求7.1.4和8.1.2)。


        使訪問管理變得靈活

        擁有合規的用戶訪問策略固然很好,但是該策略僅使您成為遵守PCI DSS的一部分。您需要使用詳細說明各種任務的訪問管理系統來支持用戶訪問策略,例如:

        • 限制第三方(例如需要遠程訪問服務或支持您的系統的供應商)的數據訪問。僅在當事方需要時才授予訪問權限,并監視他們對系統的使用。切勿提供不受限制的24/7訪問。

        • 鎖定在指定時間段內多次嘗試登錄失敗的用戶(以使自動密碼攻擊更加困難)。

        • 在指定的不活動時間后,使任何用戶無法使用該系統,并且需要重復登錄才能繼續(以最大程度地降低假冒風險)。

        • 對于嘗試非控制臺管理或遠程訪問持卡人數據環境系統組件的人員,實施多因素身份驗證方法(通常是令牌或智能卡)。這種增強的安全性方法提高了攻擊者的門檻。


        加強認證

        對于所有類型的訪問,該標準都需要一個強大的身份驗證系統。該標準還提供有關實施和管理此身份驗證系統的詳細信息。例如,對于密碼,PCI DSS要求8.2指導您執行以下操作:

        • 在所有系統組件上傳輸和存儲期間,使用強大的加密技術使所有身份驗證憑據(例如密碼或密碼短語)變得不可讀,從而在最容易受到內部攻擊的地方貶值數據。

        • 為密碼設置嚴格的條件。作為基本要求,所有密碼至少必須每90天更改一次。對于任何給定的密碼,您必須至少使用七個字母數字字符。必須禁止重復使用以前的密碼。

        • 為每個新用戶提供一個初始密碼,并要求她在首次訪問系統時更改該密碼。

        • 禁止組共享密碼。

        建立身份驗證策略后,請將其提供給所有用戶,以幫助他們理解和遵循要求。


        如何監視對持卡人數據的訪問(PCI DSS要求10)?

        如果您沒有關于如何以及何時訪問,更新或刪除數據的確切詳細信息,則將很難確定對系統的攻擊。另外,您將沒有足夠的信息來調查是否出了問題,尤其是在數據泄露之后。


        幸運的是,PCI DSS要求10要求保留,監視和保留全面的審核日志。


        維護審計追蹤

        該標準要求將某些活動(尤其是讀取,寫入或修改數據(請參閱PCI DSS要求10.2))記錄在所有系統組件的自動審核跟蹤中。這些組件包括面向外部的技術和安全系統,例如防火墻,入侵檢測和入侵防御系統以及身份驗證服務器。


        此外,該標準還描述了如何記錄特定的詳細信息,以便您了解所有數據訪問的對象,對象,位置,時間和方式。例如,應該記錄任何root用戶或管理員用戶訪問權限,尤其是在特權用戶嘗試訪問數據之前升級其特權時。


        PCI DSS要求10.4還要求將所有持卡人數據環境系統組件配置為接收準確的時間同步數據。如果您尚不具備此功能,則可能需要升級系統。


        要記錄的重要信息之一是任何失敗的訪問嘗試-很好的指示暴力攻擊或持續猜測密碼的情況,尤其是在訪問日志中包含許多條目的情況下。您還必須記錄添加和刪除操作,例如增加訪問權限,降低身份驗證約束,臨時禁用日志以及軟件替換(這可能是惡意軟件的標志)。


        防止未經授權的日志修改

        創建審核日志后,必須確保以不可更改的方式保護日志。您必須使用集中式PCI DSS日志記錄解決方案(請參閱PCI DSS要求10.5.3),并具有受限制的訪問權限和足夠的容量,以保留持卡人數據環境中所有系統組件的至少90天的日志數據,其余如果需要,可以全年恢復。


        進行定期安全審查

        除了確保生成,集中存儲并防止未經授權的訪問或修改所需的詳細信息之外,您還必須至少每天監控一次日志和安全事件,并要求在白天或晚上的任何時間查看警報(請參閱PCI) DSS要求10.6和12.10.3)。此要求可幫助您識別異常和可疑活動。


        攬閣信息建議您考慮實施集中式日志記錄解決方案,以解決將來的容量并包括報告工具。


        如何使存儲的PAN信息不可讀?

        以下是一些使存儲的信息(尤其是主帳號(PAN))不可讀的最受歡迎的方法。


        數據屏蔽

        數據屏蔽涉及在將數據提供給個人時維護數據的機密性。任何在餐廳或商店中使用支付卡然后檢查打印的收據的人都熟悉該過程。PAN的某些數字顯示為X而不是實際數字(請參見下圖)。根據PCI DSS要求3.3,PAN顯示應限制為執行作業功能所需的最小位數,并且不得超過前六位和后四位。

        屏蔽PAN以用于顯示目的

        1-1911221HS3S5.png

        資料來源:Thales eSecurity

        截斷

        截斷通過確保僅存儲完整PAN的一部分來使存儲的數據不可讀。與屏蔽一樣,最多只能存儲前六位和后四位。

        截斷PAN


        1-1911221I3043b.png

        資料來源:Thales eSecurity

        單向散列

        哈希函數是定義明確,可證明安全的加密過程,它將任意數據塊(在這種情況下為PAN)轉換為不同的唯一數據串。換句話說,每個PAN都會產生不同的結果。單向哈希過程是不可逆的(這就是為什么被稱為單向)的原因;它通常用于確保未修改數據,因為原始數據塊中的任何更改都將導致不同的哈希值。


        下圖說明了在PCI DSS上下文中哈希函數的使用。該技術提供了機密性(不可能從該PAN的哈希版本重新創建PAN),但是與截斷一樣,它使使用存儲的數據進行后續交易成為不可能。

        PAN的單向哈希

        1-1911221I352307.png

        資料來源:Thales eSecurity

        您不能在持卡人數據環境中保留同一張支付卡的截斷和散列版本,除非您實施其他控制以確保這兩個版本不能相互關聯以重建PAN。


        令牌化(Tokenization)

        令牌化是一個用代理數據替換原始PAN的過程-一個看起來像合法PAN但對攻擊者沒有價值的令牌。在大多數實現中,該過程是可逆的。令牌可以根據要求轉換回原始PAN。當后續交易需要訪問存儲的PAN時,將使用令牌化。


        您可以通過多種方式創建令牌。以下是兩種常見方法:

        • 直接從原始PAN值計算得出的令牌:在確定的過程中,此方法會為每個給定的PAN產生相同的令牌。

        • 隨機生成的令牌:每次徹底查找以前的PAN時,此方法每次都會產生不同的令牌,以便可以重新使用先前發出的令牌。

        在某些情況下,令牌化過程的確定性程度可能很重要。一切都取決于令牌的使用方式。在某些情況下,不僅希望在標記化過程中保留PAN的格式,而且還要保留PAN的某些數字(請參見下圖)。

        PAN的令牌化(保留最后四位數字)

        1-1911221I504193.png

        資料來源:Thales eSecurity

        加密

        在某些方面,加密的目標與令牌化的目標相似,因為PAN數據被對攻擊者沒有內在價值的數據代替。加密使用標準化的加密算法和密鑰從原始數據中導出加密的PAN。算法是眾所周知的,因此過程的安全性取決于密碼密鑰的強度和處理方式,這就是為什么硬件安全模塊被廣泛使用的原因。


        加密過程通常會更改數據格式。通常,當數據加密時,數據大小會增加。出于同樣的原因,令牌化嘗試保留原始PAN數據的格式(以最大程度地減少與數據聯系的現有系統中的更改),組織經常采用格式保留加密(FPE;請參見下圖)。

        PAN加密(使用FPE并保留后四位數字)。

        1-1911221I612U5.png

        資料來源:Thales eSecurity



        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精