为了符合PCI数据安全标准而需要在保护无线网络方面获得帮助的商家现在可以采用分步指南了。
PCI安全标准理事会在上周四发布了无线安全指南,这是理事会里的无线技术特别兴趣小组(special interest group,SIG)开发的。这份28页的PCI无线指南解释了可应用的 PCI DSS要求,并提供了一些采用建议。
VeriFone Holdings Inc.的产品安全经理兼无线SIG的主席Doug Manchester说:“这份指南的目的是让需要的人们更加清楚。”他说,例如,干洗店的人员可以轻松地设置无线网络,但是他/她可能需要在理解PCI DSS如何遵守的方面的帮助。
指南关注Wi-Fi技术,因为它被广泛地应用于支付卡交易中。他说:“Wi-Fi好像是最紧迫的目标。”他补充说SIG下一步可能会解决蓝牙这种也被大量用于支付卡交易的无线协议的问题。
Manchester说,无线SIG最关注的是解决PCI标准范围内和无线相关的问题。无线安全指南中的建议包括变更默认设置、WLAN分段不要依赖于虚拟LAN,以及维护硬盘目录以确保不要安装混乱的WLAN。论文包含一些图表和流程图。
Manchester说:“这种全局性的目标是为了简化安全程序。无线就在这里,而我们想要给大家平等利用这种技术的机会。”
代表商家、销售点的厂商、银行和网络安全公司的大约40家机构都参与了无线SIG。管理PCI标准的PCI SSC去年夏天组成了无线SIG。理事会还有关于 、虚拟化和预授权的SIG。无线SIG第一发布了作品。
网络犯罪利用无线网络中的漏洞窃取信用卡数据,这也凸现了无线安全的需求。2007年TJX Companies Inc.的数据泄露案中有4570万的信用卡和借记卡受到欺诈威胁。调查人员称这个安全就存在松散的WLAN安全。他们发现黑客利用TJX的WI-Fi网络中的漏洞以及一个改良的嗅探项目来监控和捕获TJX的交易系统的数据。调查人员说TJX使用了 Wired Equivalent Privacy (WEP)加密协议。这种旧的容易被攻击的安全标准已经被Wi-Fi Protected Access (WPA)取代了。使用高级加密标准(Advanced Encryption Standard)的WPA2可以和最新的标准IEEE 802.11i兼容。
PCI DSS v1.2要求企业在2010年6月30日终止使用WEP,转向改良的IEEE 802.11i等加密和认证标准。
独立PCI DSS审计员兼FTI Consulting Inc.的策略安全经理Roger Nebel说PCI无线安全指南中的技术建议很可靠,如果采用可以改善无线安全性。
他说:“采用这些建议的主要问题是商家需要相当大的成本,因为他们需要在2010年六月前替换旧的只使用WEP的技术。”他补充说,商家需要在紧缩的经济环境中购买新的硬件和软件设备。
Manchester说成本是采用这个指南的时候要考虑的问题之一。他说这份指南使为了提供一些选择,例如网络分段和“不让商家增加负担,增加设备上的大型投资。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
PCI内部安全评估员能否验证1级商家?
我知道PCI内部安全评估员(ISA)可签署商家合规报告(ROC),但ISA可以验证1级商家同时也是服务提供商的合规性吗?如果不可以,应该如何处理这种情况?
-
专访志翔科技伍桑海:“懂业务才能做安全”
志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……