日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

支付卡數(shù)據(jù)安全措施中的不足是造成企業(yè)未能通過支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）評估的主要因素之一。通常一些被禁止的數(shù)據(jù)，如CVV2帳戶安全密碼或個(gè)人識別碼（PIN），仍然被保留了下來（PCI DSS嚴(yán)禁保留這些數(shù)據(jù)），或者在沒有充足的安全保障的情況下對原始帳戶號碼（PAN）進(jìn)行了存儲。和一些相對簡單的網(wǎng)絡(luò)安全措施相比，在安全數(shù)據(jù)存儲方面，PCI DSS給許多商家都提出了極具挑戰(zhàn)性的問題。

專注于為中小企業(yè)提供網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)萬州免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上千企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

不了解支付安全的人往往只會采取普遍適用的措施（如“使用加密技術(shù)”），卻完全不考慮全球分布式支付環(huán)境的極端復(fù)雜性。同時(shí)，安全評估機(jī)構(gòu)（QSA:Qualified Security Assessor）報(bào)道的多起案例表明，持卡人龐大的未加密數(shù)據(jù)被存儲在了商家的Web服務(wù)器上，全世界的人都能看到這些數(shù)據(jù)。

在本文中，通過簡化企業(yè)數(shù)據(jù)存儲措施和縮小PCI DSS評估范圍，我們提供了一些具有建設(shè)性的意見來幫助企業(yè)簡化評估程序。

首先，人們對PCI DSS普遍存在一種誤解，認(rèn)為它是為了保障支付數(shù)據(jù)安全制定的標(biāo)準(zhǔn)。而實(shí)際上，該標(biāo)準(zhǔn)的制定是為了降低支付卡交易過程中的風(fēng)險(xiǎn)。二者之間細(xì)微的差別在于，不用實(shí)施復(fù)雜的數(shù)據(jù)安全周期，或者購買昂貴工具（會產(chǎn)生大量的管理費(fèi)用），用戶就可以切實(shí)地降低交易風(fēng)險(xiǎn)。

因此，解決問題的辦法往往是刪除數(shù)據(jù)而并不是加密數(shù)據(jù)。Visa在目前由自己所倡導(dǎo)的方案中就力薦這個(gè)方法：刪除數(shù)據(jù)。在布蘭登?威廉斯（Branden Williams）和我合著的《PCI DSS規(guī)則遵從書》（The PCI DSS Compliance Book）一書中，數(shù)據(jù)安全性一章的開頭是這樣寫的：“在開始討論數(shù)據(jù)保護(hù)方法之前，我們需要提醒讀者的是‘只有死了的數(shù)據(jù)才是最安全的數(shù)據(jù)’，這句話除了比較幽默以外，也告誡用戶刪除數(shù)據(jù)或其它不再操作數(shù)據(jù)的方法才是使PCI DSS合規(guī)變得更容易的最好方法，這樣還可以降低交易風(fēng)險(xiǎn)、減少責(zé)任、減小罰款和違規(guī)損失的可能性。”

數(shù)據(jù)銷毀背后的道理很簡單：當(dāng)今的安全技術(shù)非常復(fù)雜，常常需要進(jìn)行維護(hù)（如，需要每日審查或安全監(jiān)控），況且采用的技術(shù)可能一點(diǎn)也不可靠（“基于簽名”的反病毒檢測技術(shù)，只能檢測到一小部分攻擊）。因此，花大力氣保護(hù)數(shù)據(jù)卻沒什么效果的方法與確保數(shù)據(jù)無法進(jìn)入工作環(huán)境的方法相比，著實(shí)是一個(gè)下策。顯然，這并不適用于保護(hù)公司的知識產(chǎn)權(quán)（IP）和其他保密信息，但卻適用于支付數(shù)據(jù)。畢竟，我們都同意一點(diǎn)，就是銀行更適于存儲大量的數(shù)據(jù)，因?yàn)槲覀冏约旱墓静]有存儲數(shù)百萬美元。同樣，在未來，公司不存儲卡數(shù)據(jù)也會成為一個(gè)明顯的趨勢。

但是，刪除數(shù)據(jù)僅僅是開始。使PCI DSS評估變得更加順利的另一個(gè)關(guān)鍵策略是縮小評估范圍。由于PCI評估的復(fù)雜性直接決定了評估的范圍（PCI決定了持卡人數(shù)據(jù)環(huán)境的大小，從而決定了在評估中必須包括的審計(jì)的系統(tǒng)數(shù)量），因此縮小評估范圍將對評估過程產(chǎn)生直接影響。這是為什么呢？讓QSA調(diào)查一下持卡人環(huán)境中的1萬個(gè)系統(tǒng)（如果一個(gè)企業(yè)的網(wǎng)絡(luò)是平面的，并且持卡人數(shù)據(jù)又沒有與余下部分的網(wǎng)絡(luò)分割開來）和只調(diào)查10個(gè)系統(tǒng)，產(chǎn)生的差別是很大的，能對評估成功的可能性造成巨大影響。

因此，在評估前，可通過QSA進(jìn)行現(xiàn)場評估或SAQ自我評估，我力薦以下方法：

◆通過計(jì)算傳輸、存儲或處理持卡人數(shù)據(jù)的所有系統(tǒng)來估計(jì)PCI的評估范圍。在此提醒您，除了交易服務(wù)器和網(wǎng)關(guān)，通過了未加密卡數(shù)據(jù)流量的網(wǎng)絡(luò)設(shè)備也包含在評估范圍之內(nèi)。

◆可以試著預(yù)測一下，在未經(jīng)許可的情況下，持卡人數(shù)據(jù)會存儲在您公司的哪些地方。一般易被人們忽略的數(shù)據(jù)存儲地是開發(fā)商環(huán)境或?qū)儆谄渌麡I(yè)務(wù)部門（如營銷部門）的服務(wù)器。如果每一個(gè)開發(fā)商工作站由于使用真正的卡數(shù)據(jù)進(jìn)行系統(tǒng)測試（順便說一下，這種做法在PCI DSS中是被明令禁止的。）而成了“范圍”的一部分，那么范圍在逐漸發(fā)生變化的確非常危險(xiǎn)。

◆下一步，根據(jù)評估范圍和手頭有的資料，按敏感的數(shù)據(jù)量對系統(tǒng)進(jìn)行排名。

◆仔細(xì)研究排名后的列表，并試著弄明白你的企業(yè)流程如何改變才能避免數(shù)據(jù)存儲，或者在少存儲數(shù)據(jù)的情況下如何經(jīng)營企業(yè)。這是最關(guān)鍵的一步，任何可以被刪除（或者一開始就沒有存儲過）的數(shù)據(jù)都有助于縮小評估范圍，從而使評估過程更加容易。

◆然后，檢查一下不能刪除的數(shù)據(jù)，已決定是否能以一個(gè)較短的周期進(jìn)行存儲。這樣可以降低歷史數(shù)據(jù)遭到損害的風(fēng)險(xiǎn)。

◆考慮使用現(xiàn)代方法保護(hù)數(shù)據(jù)（如標(biāo)記化），把數(shù)據(jù)用一串無關(guān)緊要的符號來代替，這樣可以避免儲存數(shù)據(jù)。

◆最后，逐步檢查支付的過程，從而確定哪些部分可以外包給安全支付供應(yīng)商，這種關(guān)系有助于降低風(fēng)險(xiǎn)、縮小PCI的評估范圍。實(shí)際上，信息安全將永遠(yuǎn)不會成為大多數(shù)商家的核心競爭力。因此，與服務(wù)供應(yīng)商建立關(guān)系，比審計(jì)跨站點(diǎn)腳本攻擊或?yàn)榘踩畔⒑褪录芾恚⊿IEM）產(chǎn)品編寫的相關(guān)規(guī)則更加簡單。
　　
只有經(jīng)過上述步驟，你才可以考慮使用各種額外的技術(shù)保障措施，如強(qiáng)訪問控制和加密技術(shù)等，來保護(hù)剩下的數(shù)據(jù)。很可能需要將強(qiáng)訪問控制和數(shù)據(jù)加密技術(shù)結(jié)合起來保護(hù)您的環(huán)境。可選的加密技術(shù)有：磁盤加密、文件加密（為了保護(hù)存儲的flat-file數(shù)據(jù)）和數(shù)據(jù)庫加密（為了保護(hù)持卡人數(shù)據(jù)庫）。后者可以進(jìn)一步分為多種方法來加密數(shù)據(jù)庫中的記錄。

在信息技術(shù)領(lǐng)域有一句常見格言：“加密很容易，密鑰管理卻很難”。這就是PCI DSS在密匙管理方面制定了那么多條規(guī)則的原因。具體來說，要求3.5（“保護(hù)好用于加密持卡人數(shù)據(jù)的加密密鑰以防止信息泄露和濫用”）和要求3.6（“全面記錄和執(zhí)行所有用于加密持卡人數(shù)據(jù)的密鑰管理流程”）。這些要求又都具有多個(gè)子要求，如3.5.2（“以盡可能少的地點(diǎn)和形式安全存儲密鑰”）和3.6.6（“分割內(nèi)容和設(shè)立加密密鑰的雙重控制”）。

一定要避免常見的加密失誤，如我在有關(guān)技術(shù)文件中提及的《加密的五大誤區(qū)》，如把加密密鑰與加密數(shù)據(jù)存儲在同一個(gè)數(shù)據(jù)庫中，或者在程序代碼中嵌入硬編碼固定密碼。

結(jié)論

一想到簡化PCI評估流程、降低支付卡的交易風(fēng)險(xiǎn)，首先要著眼于通過數(shù)據(jù)刪除來縮小范圍，然后再采取保護(hù)措施。

具體來說就是，將更復(fù)雜的安全保障（如，數(shù)據(jù)加密）放到最后去處理。雖然有些人擔(dān)心外包會有什么風(fēng)險(xiǎn)，但對一些商家而言，將數(shù)據(jù)外包給安全支付供應(yīng)商，確保了商家和客戶的數(shù)據(jù)得到更好的保護(hù)。至少這可以對最近的“清除數(shù)據(jù)”方法（如標(biāo)記化）進(jìn)行審查。

新聞名稱：成功評估：PCIDSS標(biāo)準(zhǔn)和安全數(shù)據(jù)存儲
本文鏈接：http://www.5511xx.com/article/ccioghj.html