云和虚拟化服务器向PCI提出挑战

日期: 2009-04-22 作者:Robert Westervelt翻译:Tina Guo 来源:TechTarget中国 英文

特别兴趣小组和新技术的研究都可以帮助支付卡行业安全标准委员会(PCI SSC)解决云中的支付卡数据的法规问题。

  PCI SSC有一个关于虚拟化安全的特别兴趣小组(SIG)。它的终极目标是什么?这个团队要考虑哪些问题呢?

  Troy Leach:退后一步,我们有一个无线特别兴趣小组,一直在提交新的无线实施指导。它是一个现象文件,我迫不及待要把这些文件放在市场上。它为环境中含有无线的企业、正在做出变更的企业或者正在实施无线的企业都提供了指导。这是很强大的指导,我们希望可以在虚拟SIG中看到同样的效果。

  我可以假定(虚拟化团队)将围绕虚拟服务器中的保管、规则和责任一系列问题。他们可能会讨论云计算。他们可能讨论虚拟本地网(VLAN)以及网络的虚拟分割是否合适等。它和我们上个月成立的另一个关于作用域(scoping)的SIG很相似。所以当谈到虚拟化的时候应该会有一些重叠。

  关于作用域(scoping)的SIG只和虚拟化问题有关吗,还是和所有的网络分段问题有关呢?

  Leach:都是关于作用域(scoping)的问题。这是由商家和特别组织以及他们呢想要如何覆盖这些话题来决定的。他们在分割和减少PCI评估的不同方面有着广泛的兴趣。

  如果有人走过来对你他他们正在进行运计算,在这个标准中你能给他们指出他们要遵守规则给他们指导吗?

  Leach:这是个较难的问题。我们有一种RFP所要求的新技术,可以探究这些问题,我们将会研究虚拟化中怎么应用。我们想要对这种技术保密,但是我们认识到有时不能发出一些要求。

  我们确实有些挑战性的技术。我认为大部分人需要的技术之一是“服务器的主要功能”,以及虚拟化是否在这些操作系统内部创建了足够的分割,然后在每个服务器上实现这种功能。对于很多企业来说这都是很大的挑战。管理程序从一个操作系统转移到另一个操作系统上以及这种层面的杀毒软件是否合适中都存在一些新的工作。这种技术还存在很多挑战,我们希望在今年夏末可以出具一份关于RFP新技术的意见书。

  在网络分段中存在哪些问题?

  Leach:我认为很多厂家在分段的时候面对的第一个挑战就是他们不知道他们的持卡人数据存储在哪里。持卡人信息的发现阶段,特别是如果你不熟悉这种发现,就是一种挑战。作为前任首席技术官,我可以说有时我确实不知道市场团队是如何收集信息的,也不知道业务部是服务收集系统管理员和数据库管理所不知道的信息的。我们正在向这个方面努力。很多企业都认识到了安全的重要,并且需要进行一些实践,而不是一年一次的确认。

  PIN Entry Device (PED)安全项目是正在扩大,将要包括UPT和HSM。这两种新标准是什么?

  Leach: PED标准现在是一个群,我们有很多这些设备的标准,可以记录PIN交易。这个项目中和无人监看支付设备(unattended payment terminals,UPT)相关的部分关注这类设备的另外的安全要求,例如染料泵和电影售票厅。这些交易都是在没有出纳员的情况下完成的,我们认识到在这类设备上需要有附加的物理和逻辑的安全控制。

  另外, 硬件安全模板(HSM)是在设备内部的。它管理设备处理PIN的方式。例如,它可以从设备上进入处理器或者acquiring bank(接受信用卡转帐的银行)的时候加密PIN。

  如果我是个商人,而且我已经安装了这些设备,那么会发生什么呢?

  Leach:这些要求和PED的要求类似。在这些要求中,这些设备的制造商有责任通过这些要求的验证。很多这些制造商都非常了解这些标准。他们也参与了审查这些标准。所以我们可以预料这些厂商将会很快在实验室中通过这些过程。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐

  • PCI内部安全评估员能否验证1级商家?

    我知道PCI内部安全评估员(ISA)可签署商家合规报告(ROC),但ISA可以验证1级商家同时也是服务提供商的合规性吗?如果不可以,应该如何处理这种情况?

  • 如何评估第三方应用的安全性?

    我最近在评估一个新产品,该产品可以帮助企业评估第三方应用的安全性,以确保它们符合一定的安全标准。这样的产品有价值吗,还是说,坚持遵守政策和程序就足够了呢?

  • 携程漏洞追踪:对话白帽黑客“猪猪侠”

    3月22日18点18分,乌云的核心白帽子黑客“猪猪侠”曝光了携程的一个漏洞,该漏洞会导致大量用户银行卡信息泄露,而这些信息可能直接引发盗刷等问题。

  • XP退役 下一代防火墙价值凸显

    网康下一代防火墙充分结合云计算和大数据的技术优势,可大幅增强针对Windows XP系统攻击的识别和拦截能力。