小公司如何在局域网内保存信用卡号码

日期: 2011-03-23 作者:Joel Dubin翻译:Sean 来源:TechTarget中国 英文

问:小公司通常如何在局域网内保存信用卡号码?它们是保存在NTFS安全服务器硬盘上的电子表格中吗?还是有应用程序可以对这些号码进行加密并保护安全?   答:这个问题的关键在于支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)。PCI DSS在信用卡数据的处理、存储、保护和加密方面都有具体的规定,无论公司的大小。   PCI DSS由五家大型的信用卡公司协会控制,这五家公司是:Visa、万事达、美国运通、Discover和JCB。不遵守标准规定可能会面临罚款或被禁止使用五个协会成员签发的卡。

鉴于他们占有了很大的市场份额……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:小公司通常如何在局域网内保存信用卡号码?它们是保存在NTFS安全服务器硬盘上的电子表格中吗?还是有应用程序可以对这些号码进行加密并保护安全?

  答:这个问题的关键在于支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)。PCI DSS在信用卡数据的处理、存储、保护和加密方面都有具体的规定,无论公司的大小。

  PCI DSS由五家大型的信用卡公司协会控制,这五家公司是:Visa、万事达、美国运通、Discover和JCB。不遵守标准规定可能会面临罚款或被禁止使用五个协会成员签发的卡。鉴于他们占有了很大的市场份额,这五家信用卡公司有很大的影响力。被禁止使用他们的信用卡会严重阻碍通过信用卡进行的商业活动。

  尽管遵守PCI DSS被认为是一个行业标准而不是一种安全程序规定,但是该标准的建议对公司而言是处理信用卡数据的有益开始。

  PCI DSS要求3是与保存信用卡号码或个人账户号码(personal account numbers,PAN)最相关的一节,涵盖了对持卡人信息的保护。3.4节特别要求,无论PAN保存在哪里,都应该被加密。可以使用下列四种加密方法:强单向散列函数、截断、指数表征及衬垫,或基于密钥管理过程的强加密算法。

  要么使用全盘加密,要么使用文件级或列级数据库加密。但在所有这些情况中,PAN都是需要加密的最少的那一部分信息。

  当使用NTFS安全服务器硬盘时,企业应确保通过本地操作系统控制——如本地系统或活动目录(Active Directory)账户——分离逻辑访问权限。只要NTFS硬盘没有被这些账户直接访问,那么该企业就是符合PCI DSS规范的。

  PCI DSS没有规定加密强度,但却在3.5节和3.6节中指定了对密钥的处理方法。在这两节中,密钥被要求安全地保存和分发。只要能达到这些要求,任何免费的、商业的硬盘或文件加密工具都是足够的。

  尽管有这些严格的规定,PCI DSS还是考虑到一系列被称之为“补偿控制”的手段,供那些无法提供加密的公司使用。这些补偿控制包括将持卡人信息保存在单独的网段,或限制可以访问的IP地址,访问控制或对数据类型进行包过滤。

  在这种情况下,不能对信用卡号码加密的小公司可以通过将信用卡号码从网络中隔离,勉强说自己符合PCI的补偿控制。因此,如果是使用NTFS安全硬盘上的电子表格,一个组织需确保PAN被安全地从网络隔离开,并且不能被用户访问。

翻译

Sean
Sean

相关推荐