支付卡数据安全标准新特性可有效拦截网络欺诈

2017-02-08 17:06      光驱网 原创 hutuxiong


   来自《Payments Journal》报道

  自从1.0版本于2004年12月被释放,支付卡行业数据安全标准(PCI-DSS)一直对于处理品牌信用卡组织的信息安全主食。最初由VISA和MasterCard共同撰写,并由其他领先的信用卡行业机构认可,以定义保护成员免受电子欺诈的做法。

  PCI适用于存储,处理或传输持卡人数据的所有实体,包括零售商,支付处理商和银行。不遵守PCI政策可能会导致罚款,并且债权人无法访问信用机构。

  虽然PCI已经演变了多年,它一直被分为12个要求,每个要求概述了IT安全最佳实践的不同方面。这些最佳做法包括实施强大的访问控制措施,例如跟踪,保护和审核使用强大的特权帐户。

  PCI-DSS合规性和特权身份管理

  历史上,PCI-DSS建立了对用户访问,帐户分离,审计,密码强度和密码重用的限制。特权身份管理(PIM)解决方案帮助这些控制和审计要求。

  企业级PIM产品在跨平台企业中自动发现特权帐户。然后,它为每个帐户提供唯一且经常轮换的凭据。这可确保密码不断更改,没有共享密码,并且没有前员工可以使用的静态密码来访问 - 这些都是PCI合规性的组成部分。PIM解决方案还通过显示谁有权访问每个特权帐户,何时以及为什么目的满足PCI的审计跟踪要求。

  这就是我们到现在为止。但现在有一个新版本的标准--PCI-DSS 3.2。版本3.1于10月份结束,迫使许多组织开始符合新的3.2版本控制。

  那么PCI-DSS 3.2的新特性是什么?

  PCI-DSS 3.2有很多重大变化。我们只是看看直接影响安全控制的任务的新方面。以下是这些新要求的亮点:

  6.4.6:在持卡人数据环境中更改后,确保安全控制措施到位

  随着IT基础架构的变化,安全控制必须改变,以保护基础设施的新现实。具有全面发现功能的PIM产品特别适合协助这一点。这种类型的产品可以确保随着更改的发生,它将看到这些更改并做出适当的反应 - 无论IT决定通知安全组还是合规组。

  10.8和10.8.1:服务提供商需要检测和报告关键安全控制系统的故障

  基本上这些要求意味着控制系统应允许IT检测和响应可能暴露漏洞的控制故障。再次,正确的PIM让你在这里覆盖。不仅所有的组件都通过有线互相监视,并通过过程和日志级别监视由其他系统监视,有一个广泛的系统通知系统内的数百个离散事件。

  12.11和12.11.1:服务提供商必须进行季度审核,以确认员工遵守安全政策和操作程序

  这些规定规定,您现在必须至少进行季度审计,以确保您符合规定。这将有可能迫使更多的组织自动化他们的控制。自动化控制很容易审核。自动化是关键,不仅是为了更好的安全性,而且也更容易审计。这是特别真实的,因为监管机构看到双重检查控制的智慧,以确保适当的应用。

  安全不仅仅是遵守

  虽然在PCI-DSS一些很好的安全措施,我们有义务提醒你的危险的复选框的方法来网络安全。只是因为您已经达到了合规标准,并不一定意味着您的环境是安全的。

  例如,PCI-DSS需要90天的密码更改。但是,我们认为90天的密码更改计划太松了。相反,真正安全的企业应该每隔几个小时自动轮换特权凭证。采取这种积极的方法通过限制他们可以利用受损的凭证多长时间来最小化入侵者的嵌套时间。

  想更多地了解PCI-DSS 3.2的新功能?下载解决方案简介权限管理如何有助于满足PCI DSS合规性。

  (翻译:贼霸)

相关阅读

    无相关信息