用PCI合规网络测试清单限定PCI DSS范围
发布时间:2022-04-22 09:22:24 所属栏目:安全 来源:互联网
导读:到目前为止,大多数安全人士可能已经意识到完全遵从支付卡行业数据安全标准(PCI DSS)将会在技术方面和操作层面上遇到极大的挑战。 因为达成和验证法规遵从需要大量的费用和努力,许多贸易商和服务提供商通过限制在机构内部存储、处理或传输持卡人数据的范
|
到目前为止,大多数安全人士可能已经意识到完全遵从支付卡行业数据安全标准(PCI DSS)将会在技术方面和操作层面上遇到极大的挑战。 因为达成和验证法规遵从需要大量的费用和努力,许多贸易商和服务提供商通过限制在机构内部存储、处理或传输持卡人数据的范围来设法限定PCI DSS法规遵从的范畴。像直接把持卡人数据转交给收单银行(从而使得贸易商环境中涉及数据处理的范围最小化)或者利用标记化技术(替代主帐户号或带有保密处理数值的“PAN”)的策略能帮助持卡人数据远离网络环境。这限定了需要控制的范围并减少了那些被要求实施年度审计的公司的审计面。 但是就像经常引用的理论一样——黄蜂从空气动力学来讲是无法飞行的,有时理论上成立的事,在实践中的并不一定成立。就拿PCI DSS来说,这个差距能让企业处于风险之中, PCI DSS评估的结果发现信用卡数据常常位于不安全的网络中。在网络中的信用卡数据没有文档记载或受到正确防护,这不仅对组织来说不好,对于网络安全团队也无益。在本文中,我们将讨论这种情况发生的原因,并提供一个简化的PCI合规网络检测检查列表来辨识信用卡数据。 首要的是,使用自动数据发现工具是有帮助的。即使你发现的比你预期的多很多,花费一些时间来验证理论是值得的,而不是随后惊讶于意料之外的数据。如果你的企业已经部署了数据防泄漏(DLP)产品,你已经领先了一步:简单地开启产品的发现功能来定位持卡人数据。如果你没有这样的工具,考虑使用像ccsrch这样的开源工具来寻找。当你找到一个或多个关注点时,你要纠正问题并进行根源分析以防止再次发生。 同样对于处于网络中的我们来说,维护一个系统及过程的列表或清单也是有帮助的。它们有专门的用途如涉及到存储、处理或传输信用卡数据,从这里你能发现信用卡数据。从记录下完成这些功能的所有系统和过程开始。当你让某些系统“退役”时,从列表中去掉它们以保持内容***。当你检查数据发现过程时,添加你新发现的到清单中。PCI DSS要求你维护这个清单并记载你的数据流的文档,这样可以让你的审计或自评估的过程流水化。但是当你建造它时,对于CDE真实的范围有一个全面的了解会有帮助,而不仅是理论上你认为的范围。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐