有声小说打包下载,完美世界官网,好看的电视剧

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

PCIDSS2.0：解析PCI評估變更

PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標準）和PA DSS（付款申請數(shù)據(jù)安全標準）的2.0版本即將登臺亮相。在官方“發(fā)布”PCI DSS 2.0之前，人們可以通過查看該標準委員會的“更改情況摘要”文件對此次所做的改動進行了解。（編輯注：本文以更改情況摘要中的信息為藍本。）

站在對 PCI（支付卡行業(yè)）進行評估的角度，在對標準所做更改的情況進行具體分析之前，在宏觀層次上此次更改體現(xiàn)出兩個特征：第一點，更改的幅度相對較小。這一點是人們所沒預(yù)料到的；該領(lǐng)域不少的專家曾預(yù)測新的標準會采用“主要版本/次要版本”的模式來進行發(fā)布（與軟件產(chǎn)品的發(fā)布情況類似）。2008年10月PCI DSS 1.2發(fā)布，此后許多人估計今年發(fā)布的2.0“主要版本”將會是徹底的改變，但結(jié)果卻與人們預(yù)測的不符。該標準委員會把標準的成熟化作為改動相對較少的原因。因此，企業(yè)可以做出這樣的預(yù)測：未來發(fā)布的標準改動將會更少。在過去的五年里，該標注的1.x版本反復(fù)出現(xiàn)，導(dǎo)致改動相當(dāng)大，這使得一些企業(yè)遭受了沉重的打擊，對他們而言出現(xiàn)上述情況也不失為一件好事。

第二點，更改的執(zhí)行時間也很合理。換句話說，在企業(yè)被要求就它們?nèi)绾螌嵤┝诉@些標準的更改而進行陳述前，企業(yè)還有充分的反應(yīng)時間。因為這些標準的更改要到2011年才生效，留給他們還有一年的時間。在進行升級評估前，企業(yè)還有充分的時間來確保自身的環(huán)境處于良好的狀態(tài)中。

但這些可以帶來積極效果的進展不應(yīng)該成為安全和規(guī)則遵從（compliance）管理人員偷懶的借口。盡管大部分的改動意味著控制范圍的縮小，但一些較小部分反而會產(chǎn)生更大的沖擊。因為這些小部分會涉及到企業(yè)目前的業(yè)務(wù)流程、規(guī)則遵從符合的范圍，以及企業(yè)以往對控制的理解情況。所以，現(xiàn)在正是采取行動、查看更改、對企業(yè)的規(guī)則遵從計劃進行調(diào)整的好時機。這時候采取行動將事半功倍。

PCI 2.0可能會使評估的影響輕微下降

總而言之，大部分的標準更改意味著PCI評估過程中工作量的減少。更改后的標準為評審員或企業(yè)都提供了額外的靈活度，從而可以縮小評估工作的范圍，并允許進行有梯度的評估，適用于企業(yè)和QSA（質(zhì)量體系評定）。梯度評估使得企業(yè)不會再為爭論自己的部署是否符合苛刻的參數(shù)而花費大量時間；在和控制范圍的描述說明結(jié)合在一起后，企業(yè)和服務(wù)提供商之間耗時巨大的討價還價的情況就大大減少了，它還能減少質(zhì)量體系評定時關(guān)于意圖與實際意義的爭論。下表列舉了具有以下特點的領(lǐng)域：標準的更改對PCI評估工作沒有影響，或者減輕了評估過程的工作強度。

要求	被提議的更改	評估的影響
PCI DSS簡介	說明： PCI DSS Requirements 3.3和3.4只適用于在PTS（虛擬終端）SRED（安全閱讀和數(shù)據(jù)交換模式）下的 PAN. Align語言	在大多數(shù)情況下，對評估工作會有極小的影響。如果企業(yè)或者企業(yè)的QSA在過去的評估中將3.3和3.4用于其他持卡人資料，有可能會造成在對工作量進行評估時，評估范圍的縮小。
評估的范圍	說明：所有崗位和持卡人資料的流動應(yīng)該被確定和記錄在文件中，確保對持卡人資料環(huán)境的準確界定。	有可能存在影響的領(lǐng)域（如下所述）
PCI DSS簡介和各種不同的要求	對系統(tǒng)組件定義的擴展，使其包括虛擬組件。對要求2.2.1進行更新，來說明“一臺服務(wù)器，一項主要功能”的內(nèi)涵，并使用虛擬化。	有可能存在影響的領(lǐng)域（如下所述）
PCI DSS要求1	提供對互聯(lián)網(wǎng)和持卡人資料環(huán)境之間的安全邊界的說明。	從描述中來看，還不清楚所謂的說明究竟是什么。不過，當(dāng)前對將CDE（通用桌面環(huán)境）從互聯(lián)網(wǎng)中分離出來所要進行的控制相對明晰了。這一要求只會帶來極小的影響。
PCI DSS要求3.2	要認識到這一點，發(fā)行人存儲敏感的認證數(shù)據(jù)要有合法的商業(yè)需求。	發(fā)行人的商業(yè)要求與對企業(yè)和服務(wù)提供商進行評估關(guān)系不大。對評估所需工作量影響極小。
PCI DSS要求3.6	對密鑰的改變、廢棄和替換的過程進行說明，并增加其靈活性，采用分裂控制（split control）和雙重知識。	從對更改情況的描述中，我們沒有獲得足夠的信息來獲悉這一點究竟如何改變。改變的目的是提高靈活性，這也意味著評估工作量的減少。
PCI DSS要求6.2	對要求進行更新，允許把不安全因素進行排列，并根據(jù)風(fēng)險大小進行優(yōu)先化處理。	這一點使得要求與目前企業(yè)所進行的工作更加合拍；在評估過程中，這項要求的實現(xiàn)情況可以用梯度來進行展示。
PCI DSS要求6.5	將要求6.3.1融合進6.5 中，消除在對內(nèi)部和面向Web的應(yīng)用進行安全編碼時的冗余。包括額外的安全編碼標準，例如CWE和CERT。	將這兩個領(lǐng)域進行整合，可以帶來評估工作量的減少。因為這樣一來，對同樣的控制，企業(yè)和QSA人員就不必進行兩次了。
PCI DSS要求12.3.10	對要求進行更新，在遠程訪問時，要求提供對CHD進行復(fù)制，移動和儲存的正當(dāng)商業(yè)理由。	這項改動意識到：企業(yè)在進行遠程訪問時，需要對持卡人的資料進行操作。因此，企業(yè)在進行這項操作時就不必書寫補償性控制了。

正如你所看到的，除了兩個已經(jīng)提及的領(lǐng)域，該表格中所列項目對評估所造成的影響都相對較小。反而是另外的兩個領(lǐng)域，商人和服務(wù)供應(yīng)商或許更樂于保持警惕。

兩個需要注意的領(lǐng)域

最值得注意的改變是對PCI評估范圍的說明（在上面更改清單的第二個條款里）。然而，該條款還不太明確，特別是如何在最終的文件中體現(xiàn)出范圍的改變。但有一點可以肯定，最終文件里需要保留充分的記錄，從而讓參加評估的人能對范圍的改變有所注意?？梢悦鞔_的是，在上述情況中持卡人的數(shù)據(jù)流圖表應(yīng)該包括所有崗位和所有領(lǐng)域。

這對許多企業(yè)來說是個難題。實際情況表明，許多企業(yè)在這一點上并沒有滿足要求。乍一看，出示企業(yè)各個領(lǐng)域的最新持卡人數(shù)據(jù)流圖表并非難事。但是，在一個大型的、具有多種不同業(yè)務(wù)部門的零售環(huán)境中，數(shù)據(jù)流圖表可能只會涉及到一個業(yè)務(wù)部門，或者是整個企業(yè)付款流程系統(tǒng)的一部分。因此，評估范圍的改變會促使不同業(yè)務(wù)部門間加強流動信息的共享（因為一個過程可能關(guān)系到多個業(yè)務(wù)部門），并確保所有的付款流程都在文件材料上體現(xiàn)出來。在進行評估時，相關(guān)文件的不足總是主要的問題之一。所以，這項改變也更凸顯了原來就存在的一個老問題。

第二點，表面上看對虛擬化進行升級沒什么危害，可是我們中的大多數(shù)一直面臨著這么一個問題，即虛擬化如何與要求聯(lián)系，例如“一臺服務(wù)器需具備一項功能”（Requirement 2.2.1）。然而，將“系統(tǒng)組件”的定義擴展，使其包括虛擬化組件，從深層來看似乎有悖于Requirement 2.2.1，而且還會影響到其他的要求。例如，有些要求和測試步驟特別指出所涉及的是“所有系統(tǒng)組件”（Requirements 10.6指出， “系統(tǒng)組件的日志至少要每天檢查一次”，Requirement 2.2，“所有的系統(tǒng)組件都需制定配置標準”）。

為“所有系統(tǒng)組件”進行定位的Requirements含蓄地表示，系統(tǒng)組件包括虛擬環(huán)境，測試步驟也是如此。因此，測試步驟2.2.a（“檢查企業(yè)所有類型系統(tǒng)組件的系統(tǒng)配置標準，并核實這些標準是否與行業(yè)接受的硬性標準相一致”）意味著不僅企業(yè)本身要有一套與虛擬化環(huán)境相關(guān)的硬性標準，企業(yè)的評審員也要擁有和參考那套標準。而在以前的評估中，情況并非如此。

總的來說，對企業(yè)和服務(wù)提供商而言，該標準的這一版本意味著評估過程的精簡，能夠從某種程度上減輕由于實施PCI DSS規(guī)則遵從而帶來的負擔(dān)。不過，系統(tǒng)組件包括虛擬化組件和升級所需的文件材料又使評估過程變得復(fù)雜了。所以，在企業(yè)第一次進行PCI DSS 2.0標準評估時，一定要向評審員說明上述兩點的情況。不過，從現(xiàn)在就開始對企業(yè)現(xiàn)有的控制部署還不能覆蓋的領(lǐng)域進行規(guī)劃仍是一個很不錯的策略。

作者：Ed Moyle

本文題目：PCIDSS2.0：解析PCI評估變更
本文路徑：http://m.fisionsoft.com.cn/article/djohdsd.html

新聞中心

其他資訊