日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

到目前為止，大多數(shù)安全人士可能已經(jīng)意識到完全遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）將會在技術(shù)方面和操作層面上遇到極大的挑戰(zhàn)。

創(chuàng)新互聯(lián)公司是一家專注于網(wǎng)站設(shè)計、成都網(wǎng)站制作與策劃設(shè)計,寧波網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:寧波等地區(qū)。寧波做網(wǎng)站價格咨詢:18980820575

因為達(dá)成和驗證法規(guī)遵從需要大量的費用和努力，許多貿(mào)易商和服務(wù)提供商通過限制在機構(gòu)內(nèi)部存儲、處理或傳輸持卡人數(shù)據(jù)的范圍來設(shè)法限定PCI DSS法規(guī)遵從的范疇。像直接把持卡人數(shù)據(jù)轉(zhuǎn)交給收單銀行（從而使得貿(mào)易商環(huán)境中涉及數(shù)據(jù)處理的范圍最小化）或者利用標(biāo)記化技術(shù)（替代主帳戶號或帶有保密處理數(shù)值的“PAN”）的策略能幫助持卡人數(shù)據(jù)遠(yuǎn)離網(wǎng)絡(luò)環(huán)境。這限定了需要控制的范圍并減少了那些被要求實施年度審計的公司的審計面。

不管怎么樣，那只是理論

但是就像經(jīng)常引用的理論一樣——黃蜂從空氣動力學(xué)來講是無法飛行的，有時理論上成立的事，在實踐中的并不一定成立。就拿PCI DSS來說，這個差距能讓企業(yè)處于風(fēng)險之中， PCI DSS評估的結(jié)果發(fā)現(xiàn)信用卡數(shù)據(jù)常常位于不安全的網(wǎng)絡(luò)中。在網(wǎng)絡(luò)中的信用卡數(shù)據(jù)沒有文檔記載或受到正確防護，這不僅對組織來說不好，對于網(wǎng)絡(luò)安全團隊也無益。在本文中，我們將討論這種情況發(fā)生的原因，并提供一個簡化的PCI合規(guī)網(wǎng)絡(luò)檢測檢查列表來辨識信用卡數(shù)據(jù)。

墨菲定律：什么會出差錯

在實踐中，操作上的失誤可能會造成持卡人數(shù)據(jù)被無意泄漏到網(wǎng)絡(luò)上，這種情況是很多的。這些問題的出現(xiàn)是因為員工沒有遵守已定義好的業(yè)務(wù)流程，因為合規(guī)策略沒有解決那些“不引人注目”的情況，還有就是在處理支付事務(wù)的技術(shù)組件中的錯誤。

到目前為止與人員相關(guān)的最常見的情形是：個別員工無意地把持卡人數(shù)據(jù)帶入到網(wǎng)絡(luò)環(huán)境。在***線處理客戶支付的人員（例如幫助客戶的客服人員）甚至可能不知道PCI DSS是什么，更別提理解通過減少/消除持卡人數(shù)據(jù)出現(xiàn)在環(huán)境中來限定PCI DSS范圍的重要性了。當(dāng)一個這樣的員工收到客戶的某些請求時，例如，就錯誤的收費表示爭議或希望跨多個信用卡完成交易，原本打算限定范圍的員工可能會以違反策略的方式處理請求。某人可能會匆忙記下信用卡號、過期時間或CVV，并隨后把這些數(shù)值寄給主管，或者把它們添加到調(diào)用日志應(yīng)用的注釋字段。

另一種情況是由于偶然地忽視組織內(nèi)的一個或多個支付“渠道”而導(dǎo)致問題的出現(xiàn)。例如，一個大型在線零售商可能會花費幾百萬來實施標(biāo)記化以便限制客戶提交的數(shù)據(jù)（目前為止***的風(fēng)險），但是自助餐廳或停車場該怎么辦呢？那些看起來小的問題可能會避開監(jiān)督，要么是因為同另一個收單方和處理者的不同尋常的關(guān)系，或者是因為在開始的規(guī)劃中沒有加以考慮。

***，技術(shù)上的問題同樣能造成數(shù)據(jù)流入到網(wǎng)絡(luò)環(huán)境中。在調(diào)查操作上的問題時可能會留下調(diào)試和錯誤日志，常常會記錄在線的PAN或者其它持卡人數(shù)據(jù)。

因此，我們需要意識到在很多情形下實際操作方面的深思熟慮比起我們***的計劃能搶先一步來防止信用卡數(shù)據(jù)穿越網(wǎng)絡(luò)，那么能做什么呢？

***步是組織內(nèi)的合規(guī)意識培訓(xùn)，并且安全團隊需要知道這些問題。在滿足合規(guī)的過程中對這些問題進行監(jiān)督有助于每個利益相關(guān)者，如網(wǎng)絡(luò)安全管理員保持對這些事情的警覺性。但是還有一些策略可以用來發(fā)現(xiàn)和消除這些狀況以便減少合規(guī)面。

首要的是，使用自動數(shù)據(jù)發(fā)現(xiàn)工具是有幫助的。即使你發(fā)現(xiàn)的比你預(yù)期的多很多，花費一些時間來驗證理論是值得的，而不是隨后驚訝于意料之外的數(shù)據(jù)。如果你的企業(yè)已經(jīng)部署了數(shù)據(jù)防泄漏（DLP）產(chǎn)品，你已經(jīng)領(lǐng)先了一步：簡單地開啟產(chǎn)品的發(fā)現(xiàn)功能來定位持卡人數(shù)據(jù)。如果你沒有這樣的工具，考慮使用像ccsrch這樣的開源工具來尋找。當(dāng)你找到一個或多個關(guān)注點時，你要糾正問題并進行根源分析以防止再次發(fā)生。

同樣對于處于網(wǎng)絡(luò)中的我們來說，維護一個系統(tǒng)及過程的列表或清單也是有幫助的。它們有專門的用途如涉及到存儲、處理或傳輸信用卡數(shù)據(jù)，從這里你能發(fā)現(xiàn)信用卡數(shù)據(jù)。從記錄下完成這些功能的所有系統(tǒng)和過程開始。當(dāng)你讓某些系統(tǒng)“退役”時，從列表中去掉它們以保持內(nèi)容***。當(dāng)你檢查數(shù)據(jù)發(fā)現(xiàn)過程時，添加你新發(fā)現(xiàn)的到清單中。PCI DSS要求你維護這個清單并記載你的數(shù)據(jù)流的文檔，這樣可以讓你的審計或自評估的過程流水化。但是當(dāng)你建造它時，對于CDE真實的范圍有一個全面的了解會有幫助，而不僅是理論上你認(rèn)為的范圍。

限定在你的網(wǎng)絡(luò)環(huán)境范圍內(nèi)收集和處理的數(shù)據(jù)只是***步——并且是一個好的理論方法——限定你的合規(guī)范圍。但是記住這需要采取可靠的后續(xù)過程——自始至終對該理論保持警惕性并且在實踐中應(yīng)用。

作者：Ed Moyle

【編輯推薦】

1. 怎樣避免企業(yè)移動設(shè)備的數(shù)據(jù)泄漏
2. 阻止數(shù)據(jù)泄漏危害的簡單方法
3. 企業(yè)的寶貴數(shù)據(jù)泄漏的現(xiàn)狀及影響以及保護方案
4. 防止人為因素造成企業(yè)數(shù)據(jù)泄漏的描述

分享標(biāo)題：用PCI合規(guī)網(wǎng)絡(luò)檢測清單限定PCIDSS范圍
URL地址：http://www.5511xx.com/article/dhpehdo.html