企业需要评估PCI DSS 3.0要求,并为2015年6月30日的强制性改变做好准备。本文中专家Mike Chapple讨论了如何为最后期限备战。 两年前,企业在评估PCI DSS 3.0变化带来的影响时,可能注意到有一组要求被标记为“在2015年6月30日之前,要求X为最佳做法,而在该日期之后,该要求将变成强制性要求”。如果企业当时的回应是“我们可晚点再处理”,那么现在,企业要注意这个时刻即将到来。
当PCI SSC在2013年11月发布最终PCI DSS 3.0标准时,他们意识到有些要求修改会对企业带来非常显著的影响,所以,他们向商家和服务提供商提供了20个月的宽限期来慢慢适应这些变化。本……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
两年前,企业在评估PCI DSS 3.0变化带来的影响时,可能注意到有一组要求被标记为“在2015年6月30日之前,要求X为最佳做法,而在该日期之后,该要求将变成强制性要求”。如果企业当时的回应是“我们可晚点再处理”,那么现在,企业要注意这个时刻即将到来。
当PCI SSC在2013年11月发布最终PCI DSS 3.0标准时,他们意识到有些要求修改会对企业带来非常显著的影响,所以,他们向商家和服务提供商提供了20个月的宽限期来慢慢适应这些变化。本文中我们将看看这些即将变为强制性要求的可选要求及其对企业的影响。
顺便提一下,PCI SSC最近发布了PCI DSS 3.1版,此更新版本主要涵盖对不安全的SSL/TLS协议的使用,并不会改变这些延迟的PCI DSS 3.0要求。虽然说,你应该为PCI DSS 3.1制定计划,但你首先要解决这些要求。
读卡设备的物理安全
Requirement 9.9要求商家“保护通过直接物理解除来获得支付卡数据的设备,防止设备被篡改和替换”。这一要求旨在防止略读和其他攻击技术篡改读卡器本身,该要求适用于有卡交易的商家。
如果企业有销售点终端设备允许客户或员工刷卡支付,则企业还有一个月的时间来满足这一要求。企业需要遵守以下政策,并进行文档记录,这包括:维护所有刷卡设备的库存清单、定期检查这些设备以及对人员进行培训,让他们了解物理安全的重要性以及设备篡改带来的风险。
渗透测试方法更新
在PCI DSS 3.0中,最大的变化之一是Requirement 11.3中渗透测试方法的严谨性。PCI委员会开始规范渗透测试的范围以及测试人员使用的技术。在6月30号之后进行的所有测试必须遵循新的标准。
企业在重新设计测试方法期间,应该仔细阅读该标准中的详细内容,下面是其中的基本要求:首先,企业必须使用业界公认的方法进行测试,PCI委员会推荐NIST SP800-115.其次,测试必须包括对所有持卡人数据环境组件的内部和外部测试,包括范围缩减技术,例如网络分段。第三,包括网络和应用层测试。最后,企业必须让测试结合风险评估,并且,按照正式的保留时间表来保存测试和修复结果的文档。
身份验证和会话管理
在最新版本的OWASP十大Web应用安全威胁中,糟糕的身份验证和会话管理被评为当今Web应用面临的第二大威胁。对此,PCI DSS在PCI DSS 3.0的6.5.10要求中新增了缓解这种风险的内容,让开发人员重新审视自己的工作,并将6月30日定为最后期限。
该标准建议开发人员遵循安全编码做法。Web应用开发人员必须标记会话令牌为安全,从可能保存在日志中的URL删除会话ID,以及在身份验证后轮换会话ID并设置过期时间。这可能需要对Web应用的大幅修改,因此现在是时候该行动了。
针对服务提供商的另外两个PCI要求
这些是在6月份新要求变成强制要求之前所有商家都需要做的工作。在另一方面,服务提供商还需要解决两个额外的要求。第一个是要求8.5.1,该要求适用于远程访问客户系统的服务提供商,其中要求服务提供商为每位客户使用独特的登录凭证,而不是对所有账户使用共享主密码。
服务提供商还必须遵守12.9节中的新要求。这个要求更偏向行政方面,要求他们向客户发送书面通知,说明服务提供商代表客户对他们存储、处理或传输的持卡人数据的PCI DSS合规性负责。
还有不到一个月的时间,这些新要求将变成强制性要求。现在企业是时候开始行动,遵循PCI DSS 3.0标准了--特别是因为现在PCI DSS 3.1已经成为现实。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
DR基础知识:灾难恢复计划和灾难恢复策略
IT灾难恢复(DR)计划的主要目标是制定详细的恢复计划,以在意外中断时执行。 这种计划应该列明详细步骤,说明在 […]
-
如何确定应用程序的攻击面?
应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……
-
隐私vs.安全:该如何平衡?
中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。
-
抵御WannaCry等攻击?这里有一波资源来袭……
连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?