PCI委员会发布PCI令牌化规则遵从指南
huanghui 发布于 2011-08-29
据支付卡行业安全标准委员会(PCI SSC)近期的一个新报告称,使用令牌化技术来淘汰信用卡数据可以减小支付卡行业数据安全标准评估的范围,但是商家必须小心避免与这个技术相关的许多陷阱。 期待已久的PCI DSS令牌化指南(.pdf)阐述了如何在商业系统中使用令牌,以及部署这个技术适...
huanghui 发布于 2011-08-29
据支付卡行业安全标准委员会(PCI SSC)近期的一个新报告称,使用令牌化技术来淘汰信用卡数据可以减小支付卡行业数据安全标准评估的范围,但是商家必须小心避免与这个技术相关的许多陷阱。 期待已久的PCI DSS令牌化指南(.pdf)阐述了如何在商业系统中使用令牌,以及部署这个技术适...
liukai 发布于 2011-03-10
尽管目前为止大多数人都意识到满足PCI DSS合规的要求是困难的。与其它专注于安全的合规要求不同,例如HIPAA和SOX,PCI DSS大多数内容是高度规范性的。鉴于许多其它合规定义了高级的控制却没有足够的技术实施指导,PCI DSS通常用相对复杂的技术细节来定义可接受的参数用于...
liukai 发布于 2011-02-10
在你决定用源代码审查或者Web应用程序防火墙来满足PCI DSS规则遵从的需求时,我建议你抽点时间,全面了解一下PCI的Web应用程序要求,包括澄清文档(clarification documents),并考虑这两种选择应该如何同你的架构和资源结合起来。目前,企业有多种途径进行规...
liukai 发布于 2011-01-27
支付卡行业数据安全标准(PCI DSS)的6.6部分成为必要条件已经过去一年多了。PCI6.6章节要求处理信用卡交易的组织解决Web应用安全,它要求公司要么实施人工或自动的源代码评审,要么在Web应用和客户终端间安装Web应用防火墙(WAF)。 Web应用是流行的被攻击对象。SQ...
liukai 发布于 2011-01-20
思科将借助新的软件功能,提升通过Wi-Fi无线网络交易的安全性,并表示,这一变化将为用户带来高于支付卡行业(PCI)标准的安全保障。 思科2010年12月对500家零售商进行的一项调查显示,约有三分之一通过内部Wi-Fi网络传送支付或信用卡数据。 PCI标准是由支付卡行业安全标准...
liukai 发布于 2011-01-19
项针对500位安全专家的调查发现,遵守支付卡行业数据安全标准(PCI DSS)是件繁重的事,但是超过半数的人承认这种付出是必要的,同时表示他们公司内部的安全性能得到了改善。 这项调查是由思科系统公司赞助的,旨在通过评估来确定与服从相关标准带来的挑战。此外,思科公司进一步询问了他们...
liukai 发布于 2010-12-16
两个需要注意的领域 最值得注意的改变是对PCI评估范围的说明(在上面更改清单的第二个条款里)。然而,该条款还不太明确,特别是如何在最终的文件中体现出范围的改变。但有一点可以肯定,最终文件里需要保留充分的记录,从而让参加评估的人能对范围的改变有所注意。可以明确的是,在上述情况中持卡...
liukai 发布于 2010-12-16
又到这个时候了。PCI DSS(支付卡行业数据安全标准)和PA DSS(付款申请数据安全标准)的2.0版本即将登台亮相。在官方“发布”PCI DSS 2.0之前,人们可以通过查看该标准委员会的“更改情况摘要”文件对此次所做的改动进行...
liukai 发布于 2010-12-13
到目前为止,大多数安全人士可能已经意识到完全遵从支付卡行业数据安全标准(PCI DSS)将会在技术方面和操作层面上遇到极大的挑战。 因为达成和验证法规遵从需要大量的费用和努力,许多贸易商和服务提供商通过限制在机构内部存储、处理或传输持卡人数据的范围来设法限定PCI DSS法规遵从...
liukai 发布于 2010-11-26
以下表格简单地列出了PCI DSS的所有变化(基于概要文档的信息),以及SecurityCurve站点的分析(这些变化对需要满足PCI DSS的组织的影响)。 要求 建议的变化 类别 实施影响分析 PCI DSS介绍 阐...