![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PCI DSS相关
文章平均质量分 84
atsec
atsec是一家独立且基于标准的IT(信息技术)安全咨询和评估服务公司,它拥有丰富的技术经验和较高的国际声誉,为客户提供具有商业导向的信息安全解决方案。2000年1月,atsec首先成立于德国;随着在国际范围业务的迅速发展,atsec先后在美国、瑞典、意大利和中国壮大。atsec秉承专业、诚信、专注、独立的原则,致力于提供高效高质量的国际化信息安全服务。
展开
-
PCI DSS v4.0变更系列之十——新要求点统计
对于新要求的时间点要求,再次提醒如下:1、在2022年开始,所有合规机构均可以按照PCI DSS v4.0的要求进行合规认证。2、如果按v4.0的要求进行合规认证,所有对应于“立即生效”的要求点必须达到要求。3、理论上讲,所有标记为“2025年3月31日”的要求点(共51个)在2025年3月31日前可以按不适用处理。但仍然建议合规机构尽早研究和分析这些要求点,落实所对应的控制措施。原创 2022-12-30 13:27:23 · 285 阅读 · 0 评论 -
PCI DSS v4.0变更系列之九——第六大类要求点
该章节增加了新的要求A1.1.1,A1.1.4和A1.2.3,这三个要求均是将在2024年3月31日后变为强制要求。对于涉及到灵活执行频率的要求点,应通过风险评估的方法进行确定。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。将原来的“服务供应商”的说法,调整为“第三方服务供应商”,使得要求的适用更明确。原创 2022-12-30 13:23:56 · 171 阅读 · 0 评论 -
PCI DSS v4.0变更系列之八——第五大类要求点
将原11.2.3的要求拆分为内部和外部的外部重大变更后进行扫描的要求。此处是对内部的重大变更,要求按6.3.1的漏洞评级为高危和紧急的漏洞必须解决,并进行修复验证。进一步澄清了对方法论的定义、记录与实施,测试结果要保留至少一年,记录对发现的漏洞进行评估和解决的方法。将原11.2.3的要求拆分为内部和外部的外部重大变更后进行扫描的要求。要求所有的机构均实施该控制,并且增加了对日志审查机制和自动安全测试工具的失效响应要求。同时,对于服务供应商以外的合规机构,该要求在2025年3月31日后将变为强制。原创 2022-12-30 13:23:07 · 200 阅读 · 0 评论 -
PCI DSS v4.0变更系列之七——第四大类要求点
要求8的介绍章节强调了适用性,对应的要求适用于所有的系统组件账号,包括但不限于POS账号、管理账号、系统及应用账号、用于查看/访问持卡人数据及其系统的账号等。要求8.3.9和8.3.10.1使用密码登陆的情形,对密码变更有90天的频率要求,增加了可基于安全态势进行分析的选项,更具灵活性。增加了对密码/口令防止误用的要求,包括基于风险评估的结果以及怀疑泄露时进行定期变更,基于变更的频率确定相适宜的密码/口令的复杂性。在原要求8.5的基础上,添加了使用组、共享和通用账号的例外场景,并对该场景进行了具体的要求。原创 2022-12-30 13:21:04 · 149 阅读 · 0 评论 -
PCI DSS v4.0变更系列之六——第三大类要求点
在原5.1.2要求的基础上,强调重点在于不受恶意软件影响的系统组件,定期评估提出了具体的记录系统组件、识别恶意软件的影响及确认是否继续不进行恶意软件防护等细节要求。对原6.4.3的要求进行了强化,要求持卡人数据环境之外不能存在生产的账户数据,强调预生产环境也不能存储生产的账户数据。将原6.3要求中的“内部和外部软件”的要求,调整为“定制软件”的要求。对支付页面脚本进行管理的要求,包括授权的检查、检查脚本的完整性以及脚本清单的论证及维护要求。对原5.2要求进行了拆分,此要求覆盖防恶意软件的特征更新的要求。原创 2022-12-30 12:22:23 · 187 阅读 · 0 评论 -
PCI DSS v4.0变更系列之五——第二大类要求点
要求4针对主账号的传输保护,进一步澄清了机构的内网与涉卡范围的持卡人数据有数据传输时,将使得这个内网需要进行PCI DSS要求的审核。如变为永久存储,应按要求进行加密保护。针对服务供应商分享密钥给客户用于账户数据的存储与传输时,要求记录并发布相应的指导文档,指导密钥的传输、存储及密钥的更新。在原4.1要求的基础上,增加了适用于保护主账号传输的证书的要求,要求证书处于有效状态,不应处于过期或调销状态。该要求参照了原12.3.10的要求,明确提出除了有明确的业务需要的情况外,实施技术手段限制卡号的拷贝与移动。原创 2022-12-30 12:17:45 · 142 阅读 · 0 评论 -
PCI DSS v4.0变更系列之四——第一大类要求点
此要求把原来1.3.1、1.3.2和1.3.5的要求进行了融合,把入站请求要求的仅访问授权的公开服务、对内访问的状态控制、任何其它流量均禁止整合在这一个要求,控制的思路要求更清晰。这个要求是基于组件的配置标准提出的,综合了原2.2,6.4.6等要求,对组件的配置标准提出了更高的要求,比如在基于要求6.3.1识别到新漏洞时更新配置标准。把原1.3.4与1.2.1重叠的要求做了整合,同时把原1.2.1中关于入站和出站的访问控制要求做了分解,拆分为新的1.3.1入站要求和1.3.2出站要求。原创 2022-12-30 11:54:10 · 134 阅读 · 0 评论 -
PCI DSS v4.0变更系列之三——通过“定制方法”增加标准的灵活性
定制方法本质上是在要求所对应的控制目标不变的前提下,被审核机构针对PCI DSS要求及其审核方法进行自行定义和重新编写,可以理解为合规机构基于其技术特点和安全管理能力自行进行对应的标准要求点的编写,并由评估机构对这些自行编写的标准要求点进行验证。在更适合使用定制方法来达到合规要求的情况下,atsec作为审核机构,会与合规机构一起基于机构自身的技术特点及风险管理能力,定制恰当的技术要求与审核方法,评估技术要求与审核方法的充分性并进行审核,以验证合规机构的合规状态。原创 2022-12-30 11:50:26 · 346 阅读 · 0 评论 -
PCI DSS v4.0变更系列之二——主体章节的变更情况说明
通过了PCI SSF将有助于相应的软件或软件生命周期的流程符合并通过PCI DSS的评估,但采用通过SSF的软件部署后的环境仍需要进行独立的PCI DSS验证。对于完全采用标委会网站上列出的软件的情形,需要PCI QSA进行环境中实际部署的软件与标委会网站上列出的软件的比对,并通过实施指导文档与实际部署情况的比对确认软件进行了安全的部署。第九章节为新添加的内容,提及了被审核机构的审核材料(包括配置标准、加密协议、拓扑图、数据流向图、AOC等)的保护,也提出了对审核机构对被审核机构的信息保护要求。原创 2022-12-30 11:32:10 · 346 阅读 · 0 评论 -
PCI DSS v4.0变更系列之一——变更概述
PCI DSS新版本的变化主要体现在如下几个方面:引入更灵活的合规和审核方法、标准易读性更强、标准要求点格式变化以及更强的控制点要求等等。原创 2022-12-30 11:05:34 · 802 阅读 · 0 评论