日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
PCIDSS數(shù)據(jù)安全標準V2.0變更分析

文檔歷史

版本 日期 作者 變更
0.1 2011-01-19 Xiangdong Gao Draft
1.0 2011-02-09 Xiangdong Gao Revise according to Yan and Jinyun suggestion, and release.

前言

在2010年10月, PCI安全標準委員會發(fā)布了新版本的PCI-DSS和PA-DSS標準。作為周期性的新版本發(fā)布,該版本主要基于PCI標準在使用過程中各種信息反饋,對數(shù)據(jù)安全的要求進行完善,并未產(chǎn)生重大的變化。PCI標準主要是卡品牌(Card brand)從持卡人數(shù)據(jù)所存在安全風險的角度,制定了覆蓋數(shù)據(jù)安全所涉及的各個方面的安全標準。

對于新版本所引入的變更,本文旨在通過新版本與舊版本變化的角度,對新版本所涉及的主要變化進行解讀,使讀者能較快地理解和掌握標準變更的主要方面。如需要了解所有的變更,感興趣的讀者可通過PCI標委會網(wǎng)站所提供的"Summary of Changes from PCI DSS Version 1.2.1 to 2.0"以及PA-DSS的相應(yīng)內(nèi)容了解全部變更細節(jié)。

1 變更概述

PCI 安全標準委員會(PCI SSC)最近發(fā)布了關(guān)于PCI-DSS和PCI PA-DSS的更新版本V2.0。該版本的發(fā)布,經(jīng)過了近兩年從客戶和廠商收集,并將審議的結(jié)果體現(xiàn)于新版本中。值得注意的是,V2.0并未引入新的重大要求。下載地址如下:https://www.pcisecuritystandards.org/security_standards/updates.php

1.1 新標準產(chǎn)生的影響

對于PCI-DSS的變更,整體上趨向于更合理、更嚴格,同時也更多地引用和借鑒了業(yè)界的標準和實踐。(具體內(nèi)容請參照下一章節(jié))

在原版本的PCI PA-DSS中,頻繁地引用至PCI DSS,使得客戶和評估人員在完成PCI PA-DSS審核時要同時打開兩個標準。由此,在PA-DSS的新版本中投入了大量工作以消除PCI-DSS和PA-DSS這兩個標準間的信息冗余。

1.2 新標準的轉(zhuǎn)換日期

對于PCI DSS和PA-DSS這兩個標準的轉(zhuǎn)換日期是一致的,如下表所示:

  

所應(yīng)用的標準

2010年12月31日前

V1.2.1 版本用于評估。在2010年不可使用V2.0版本。

在2011年

可使用V1.2.1或V2.0用于評估。V2.0于2011年1月1日正式生效。

在2012年

評估中必須使用V2.0。

2012年7月1日

自該日起,PCI-DSS要求6.2、6.5.6和11.1變?yōu)檎揭?。在之前,這三個條款為最佳實踐。

對于當前正基于V1.2.1版本進行評估的用戶,意味著還有大約11個月的時間完成評估??蛻粢部蛇x擇在2011年使用V2.0展開評估??傊?,在2011年,客戶可基于新版本或舊版本展開評估,但在2012和2013年,所有評估必須使用V2.0版本。

atsec在此建議需要通過PCI-DSS標準的組織盡早展開新版本的轉(zhuǎn)換工作,以減少合規(guī)建設(shè)過程中對信息系統(tǒng)的影響。對于正在開展PCI-DSS合規(guī)的組織,推薦使用新版本進行PCI 合規(guī)。

2 PCI DSS的變更

以下內(nèi)容主要側(cè)重于pci-dss的主要變化,因篇幅原因未能覆蓋所有變化。

注:本章內(nèi)容所描述的"原版本"指的是PCI-DSS的V1.2.1版本,"新版本"指的是PCI-DSS的V2.0版本。

2.1 適用性更強

為適應(yīng)于組織的發(fā)展和合規(guī)的要求,在新版本中將所涉及適用范圍和合規(guī)要求方面進行了更加明確的描述,使得某些概念更清晰、要求更明確。同時,也更多地引用了大量的業(yè)界標準和最佳實踐,使得組織在合規(guī)過程中有更多的依據(jù)可尋。具體來看,適用性的變化主要體現(xiàn)在如下方面:

2.1.1 引用概念的變化

為更靈活地適應(yīng)各種組織形式、組織規(guī)模以及組織的架構(gòu),新版本通過相應(yīng)的概念變化使得組織在合規(guī)過程中的范圍更清晰、要求更明確。

變化的方面

概念的變化

 

合規(guī)所涉及對象的變化

評估對象由舊版本的company變更為新版本的entity。

這使得標準所適用的組織范圍更廣。

合規(guī)所涉及人員的變化

組織所涉及的人員由employee變更為personnel。

該變化將組織的外部和相關(guān)人員均納入到PCI-DSS的要求之中,通用性更強。

授權(quán)管理人員的變化

對管理過程的授權(quán)人員由management變更為authorized party。

這使得授權(quán)和批準過程的管理更適用。

除此之外,新版本對PCI DSS所涉及的"介質(zhì)media"、"現(xiàn)場人員onsite personnel"、"訪客visitor"等均給出了更明確的定義。#p#

2.1.2 部分要求的合理化

在原版本的技術(shù)要求中,有些要求的通用性不高,使得組織在合規(guī)過程中的可選措施較少。新版本更多地關(guān)注于技術(shù)措施的有效性,在某些點不再局限于具體的某一種技術(shù),使得組織在合規(guī)建設(shè)中的可選措施的范圍更廣一些。新版本主要對地址隱藏、帳號安全性要求、公共網(wǎng)絡(luò)上的信息傳輸?shù)确矫嫣岢隽烁鼮楹侠淼募夹g(shù)要求,并在服務(wù)器的功能分布方面進行了合理化。主要的變化如下:

要求所在的條目

原版本的要求

新版本的要求

外向流量的訪問(Requirement 1.3.5)

限制內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問。只能訪問到DMZ,由后者轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)。

允許內(nèi)網(wǎng)流量在經(jīng)過授權(quán)的前提下訪問到互聯(lián)網(wǎng)。(訪問還需滿足requirement 1.3.3非直接連接的要求)

地址隱藏方法(Requirement 1.3.8)

明確要求使用NAT和使用私有地址空間來隱藏地址。

添加了將持卡人數(shù)據(jù)環(huán)境置于代理服務(wù)器和內(nèi)容緩存之內(nèi)、刪除和過濾路由通告等方法以隱藏地址空間。

“每臺服務(wù)器一個主要功能”的解釋(requirement2.2.1)

對 “每臺服務(wù)器一個主要功能”有明確要求,未給出過多解釋,使得組織在認證過程中對該要求有較多爭議。

明確主要功能是處于同一安全級別的功能,這使得在合規(guī)過程中服務(wù)器上的主要功能的分布更加合理。

同時,明確了虛擬化的系統(tǒng)也視同于一臺服務(wù)器,以適應(yīng)于技術(shù)的發(fā)展和變化。

特定情況下的敏感認證數(shù)據(jù)存儲(requirement3.2)

原版本中不允許在任何情況下存儲敏感認證數(shù)據(jù)。

允許發(fā)卡行或支持發(fā)卡服務(wù)的公司在業(yè)務(wù)需要的情況下安全存儲CHD。 這使得標準的適用性更強。

提供公共訪問的服務(wù)(requirement4.1)

對于提供公共訪問的服務(wù),必須支持最新的補丁版本,使得組織必須頻繁地關(guān)注于公開服務(wù)的最新補丁。

要求這些公共訪問的服務(wù)僅使用安全的配置,并且不支持不安全的版本。這使得公共服務(wù)的安全維護更合理,減少了不必要的補丁更新。

通過公共網(wǎng)絡(luò)傳輸主帳號信息的安全措施(requirement4.2)

在使用消息協(xié)議(requirement如郵件、即時消息等)通過公共網(wǎng)絡(luò)傳輸主帳號信息時,要求使用強加密對主帳號進行保護。

除可使用強加密措施外,也可以使用其它措施把主帳號變得不可讀來達到標準的要求。

分離了WEB程序和常規(guī)程序的安全漏洞(requirement6.5)

WEB和常規(guī)程序的安全要求未分離。

新版本更新了OWASP更新的TOP10漏洞,并將WEB程序和常規(guī)程序的漏洞檢查要求分開,使得檢查的要求更明確。

對計算機的訪問人員分配唯一的帳號(requirement8)

未明確不涉及帳號要求的情況,使得帳號管理成為PCI-DSS合規(guī)中的難點之一。

明確帳號唯一性的所有要求適用于所有管理帳號,包括POS帳號以及用于訪問持卡人數(shù)據(jù)的帳號。此處明確要求所涉及的范圍是非客戶的用戶(non-consumer user),使得組織在合規(guī)過程中的技術(shù)措施更有針對性。

明確對處理單筆交易用戶帳號的適用范圍,明確部分要求(包括8.1分配唯一帳號、8.2認證方法、8.5.8不允許組密碼、8.5.9每季度更改口令、8.5.10密碼長度要求、8.5.11密碼復(fù)雜度、8.5.12密碼歷史、8.5.13帳號鎖定、8.5.14鎖定周期和8.5.15閑置會話超時)不適用于該類帳號,使得帳號的安全要求更合理。

時間同步的來源(requirement10.4)

外部更新時間源為特定調(diào)頻、GPS衛(wèi)星以及UTC等。

明確為特定的、業(yè)界可接受的時間源,使得標準的適用性更強。

無線訪問點的檢查(requirement11.1)

要求使用Wireless Analyzer或無線的入侵檢測系統(tǒng)對無線接入點進行檢查。

添加了物理和邏輯監(jiān)控、網(wǎng)絡(luò)訪問控制等方法進行檢查,使得方法的選擇更為靈活,明確只要達到有效探測到非授權(quán)設(shè)備即可。

入侵檢測系統(tǒng)的監(jiān)控位置(requirement11.4)

對于持卡人環(huán)境的入侵檢測和響應(yīng),原版本要求監(jiān)控持卡人環(huán)境的所有流量。

要求進行邊界的檢查,并對持卡人環(huán)境的關(guān)鍵點進行檢查。該變化使得入侵檢測系統(tǒng)的監(jiān)控范圍更為合理。

文件完整性監(jiān)控的軟件要求(requirement11.5)

使用文件完整性監(jiān)控軟件對關(guān)鍵文件的完整性進行監(jiān)控。

將“軟件”的要求變更為“工具”,使得一些系統(tǒng)自帶的完整性監(jiān)控工具也同樣可用于標準的合規(guī)。

遠程訪問時對持卡人數(shù)據(jù)的操作(requirement12.3)

明確要求遠程訪問時禁止拷貝、移動和存儲持卡人數(shù)據(jù),不存在例外。

通過明確業(yè)務(wù)的需求論證和授權(quán),并對數(shù)據(jù)進行安全保護的前提下,可對持卡人數(shù)據(jù)進行授權(quán)的操作。

安全意識教育(requirement12.6.1)

未提出更明確的要求。

明確可基于組織的不同角色及訪問持卡人數(shù)據(jù)的級別進行不同的培訓和教育,使得安全意識教育的開展更靈活。

 #p#

2.1.3 對業(yè)界實踐的廣泛借鑒

在新版本的標準中,更多地借鑒了優(yōu)秀的業(yè)界標準和實踐。主要體現(xiàn)在:

所在的條目

原版本的參照標準

新版本的參照標準

密鑰管理流程(requirement3.6)

要求以至少每年一次的頻率定期執(zhí)行密鑰變更。

定義了密鑰周期(cryptoperiod)的概念,要求組織參照業(yè)界實踐NIST SP 800-57以及廠商的應(yīng)用建議制定更新周期。

安全編碼的實踐引用(requirement6.5)

在安全編碼方面要求的是參照OWASP。

除引用OWASP指導(dǎo)外,還包括SANS CWE top25,CERT secure coding等優(yōu)秀業(yè)界實踐的引用。

風險管理實踐的借鑒(requirement12.1.2)

未定義風險評估所使用的方法論。

明確所推薦的風險評估方法論指導(dǎo),包括OCTAVE、ISO 27005及NIST SP 800-30等。這使得組織在制定適用于自身的風險管理過程有更多的實踐參考。

2.2 要求更嚴格

在新版本的要求中,除更加適用外,還對組織的安全措施和審核方面提出了更高要求。為便于進行說明,從組織的安全要求和QSA審核要求兩個方面進行展開。

2.2.1 對組織的要求更嚴格

新版本在漏洞管理流程、系統(tǒng)配置標準的應(yīng)用、主密鑰的替換條件以及無線網(wǎng)絡(luò)的識別等過程提出了更高要求。其中的主要要求變更包括:

    1. <dfn id="gzurj"></dfn>
      


      


      所在的條目 
      
      		


      原版本的要求 
      
      		


      新版本的要求 
      (加粗字體為主要的變化) 
      
      		

      

      


      記錄并論證不安全協(xié)議的使用(requirement1.1.5)
      
      		


      原版本僅明確FTP協(xié)議作為不安全的協(xié)議。
      
      		


      而在新版本中,所要求的“不安全協(xié)議” 包括了FTP、Telnet、POP3、IMAP、SNMP等存在明文口令傳輸、漏洞較多的協(xié)議。
      
      		

      

      


      互聯(lián)網(wǎng)與持卡人數(shù)據(jù)環(huán)境間的訪問(requirement1.3.1-1.3.7)
      
      		


      要求明確的網(wǎng)絡(luò)分段分隔互聯(lián)網(wǎng)、DMZ區(qū)和持卡人數(shù)據(jù)區(qū)域,并且訪問是業(yè)務(wù)所需要的。
      
      		


      在論證是業(yè)務(wù)所必須的前提下,添加要求所有的入站和出站要經(jīng)過相應(yīng)的授權(quán)。
      
      		

      

      


      對于持卡人數(shù)據(jù)系統(tǒng)組件的分段,明確要求獨立于DMZ區(qū)域。
      
      		


      對于持卡人數(shù)據(jù)系統(tǒng)組件的分段,明確要求獨立于DMZ區(qū)域和不可信網(wǎng)絡(luò)區(qū)域。
      
      		

      

      


      地址隱藏方法(requirement1.3.8)
      
      		


      無相應(yīng)要求。
      
      		


      新版本要求在向外部透露內(nèi)部地址和路由信息時,必須經(jīng)過授權(quán)。
      
      		

      

      


      個人防火墻的安裝范圍(requirement 1.4.b)
      
      		


      要求移動用戶須安裝個人防火墻軟件。
      
      		


      添加要求,員工自有的電腦也應(yīng)使用個人防火墻軟件。
      
      		

      

      


      安全配置標準(requirement2.2.b和2.2.d)
      
      		


      未明確配置標準在何時需要更新。
      
      		


      明確在組織識別到新的安全漏洞時,需要進行配置標準的更新,以應(yīng)對新的安全威脅。
      
      		

      

      


      要求對現(xiàn)有系統(tǒng)應(yīng)用配置標準。
      
      		


      要求除現(xiàn)有系統(tǒng)外,對于新的系統(tǒng)也要應(yīng)用安全配置標準。
      
      		

      

      


      http://www.dlmjj.cn/article/dhdohsc.html