今天,我们在舒适的家里享受购物的便利。然而,在进行在线支付时,你有没有意识到可能有黑客在监视你的银行卡信息?
随着全球电子商务用户数量的增长,估计达到1.64亿,对提供在线交易设施的组织来说,确保用户卡数据的安全变得至关重要。我们有一个叫做“PCI DSS”的标准来保证用户卡数据的安全。
支付卡行业数据安全标准
支付卡行业数据安全标准(PCI DSS)是一套针对接受、处理、存储或传输信用卡信息的公司的安全标准,以确保安全环境的维护。
- 支付卡行业安全标准委员会
- 最新标准版本- 3.2.1(2018年5月发布)
- 每季度或每年进行一次验证
- 质量安全评估员
- 内部安全评估员
- 合规报告
- 自我评估问卷
PCI DSS符合要求
PCI DSS规定了6组(控制目标)的符合性要求,如下所示:
1
网络安全
- 安装防火墙
- 系统密码安全
2
持卡人数据保护
- 保护存储数据
- 数据传输加密
3.
脆弱性管理
- 使用防病毒
- 安全系统和应用程序开发
4
访问控制
- 给每个人员分配唯一的Id
- 限制对CDE(持卡人数据环境)的物理访问
5
网络监控
- 监控对网络资源的访问
- 定期测试保安系统和程序
6
透过政策加强资讯保安
- 推行资讯科技政策
- 教育员工
渗透测试方法
为了符合PCI DSS要求,需要漏洞扫描和渗透测试。漏洞扫描通过自动化程序识别漏洞,而渗透测试主要通过手工技术利用这些漏洞。
-
- 识别处理CDE(持卡人数据环境)的系统组件
- 详细的文档,包括限定范围的组件的图表和流程流
- 定义测试规则
- 定义笔测试的深度和成功标准
-
- 应用程序层。访问控制检查和未经授权访问数据
- 网络层,自动网络扫描和绕过CDE(持卡人数据环境)的身份验证控制和授权的尝试
- 社会工程,非技术上说服某人打开攻击之门
-
- 如果持卡人数据被访问,通知
- 执行事故响应计划
- 重新测试发现漏洞
- 为处理发现的漏洞构建最佳实践
- 清洁整个测试环境
工具评估-黑客守护者
PCI SSC批准的工具,为企业和任何服务提供商处理卡数据,以保持符合PCI DSS。与Qualys PCI和CoalfireOne等竞争对手相比,这是一个相对低成本的工具。
特性
- 能够在全球范围内扫描整个组织网络和规模
- 组织了获取和维护PCI DSS符合性的过程
- 对所有应用程序的策略进行集中更新
- 生成非常有用的报告
- 生成提交给银行的合规状况报告
- 报表从云中手动下载
- 扫描时间比竞争对手长一点
有建议吗?
我们很乐意听取您的反馈、问题、意见和建议。这将帮助我们使我们更好,更有用的下一次。
分享你的想法和想法knowledgecenter@qasource.com