为PCI DSS 3.0合规升级网络图

日期: 2014-08-27 作者:Mike Chapple翻译:邹铮 来源:TechTarget中国 英文

我听说新的PCI DSS 3.0中要求提供持卡人数据的连接的网络图,我的企业有这样的图,但已经有多年的历史。我们需要采取哪些步骤来更新这个网络图以满足PCI 3.0的要求?

Mike Chapple:在PCI DSS 3.0版本中,关于网络图的要求确实已经改变。在采取具体步骤之前,你应该看看你的合规流程,并考虑为PCI DSS合规性文档安排审查时间。如果这个网络图很老旧,可能已经过时。

我强烈建议你实现年度审查/更新过程,自动进行文档审查。请记住,PCI DSS合规性并不是一年一次的活动。重要的是保持“当前网络图”,这个网络图应该包括处理持卡人数据的设备和其他网络之间的所有连接的情况,特别要注意与无线网络的连接。

对于网络图,PCI DSS 3.0中有两个要求。第一个要求,即要求1.1.2,只是略有变动。现在要求“标识持卡人数据环境和其他网络(含任何无线网络)间所有连接的当前网络图表,并且显示所有网络、网络设备和系统组件”。斜体部分现在被添加到PCI DSS 3.0版本中。因此,你至少应该审查你的网络图表确保其中包含了相关网络、网络设备和系统组件。而且必须显示持卡人网络和其他网络之间的所有连接。如果你一直保持着一个完整的网络图表,这项工作基本已经完成。

第二个要求,即要求1.1.3是PCI DSS 3.0中新增的要求,它要求“显示整个系统和网络中所有持卡人数据流的当前图表”。这个规定要求覆盖网络图表的当前业务流程图,还应该清楚地表明持卡人数据存储和传输的位置,以及不同的系统组件如何与持卡人数据交互。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

翻译

邹铮
邹铮