亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　支付卡行業(yè)安全標(biāo)準(zhǔn)委員會（PCI SSC）本周二發(fā)布了針對交互點（POI）上所運行設(shè)備軟件的安全開發(fā)和維護指南（以下稱《指南》）。

　　POI設(shè)備是指銷售終端（POS）設(shè)備中允許消費者使用信用卡進行支付和購買的硬件或軟件組件，比如刷卡機。根據(jù)支付卡行業(yè)安全標(biāo)準(zhǔn)委員會，《指南》針對的是存在于POI設(shè)備上的軟件，包括支付類和非支付類應(yīng)用程序，強調(diào)分層方法對安全的重要性。

　　《指南》的目的是確保所有對軟件開發(fā)（和設(shè)備管理）負(fù)責(zé)的組織都要對潛在的威脅了解清楚，并為了應(yīng)對這些威脅在整個開發(fā)生命周期采用適當(dāng)?shù)牧鞒獭ｋm然流程時序取決于組織、所開發(fā)的應(yīng)用程序類型、所使用的軟件語言等，但原則都是相同的。”

　　據(jù)支付卡行業(yè)安全標(biāo)準(zhǔn)委員會，《指南》是為了幫助包括在POI設(shè)備內(nèi)部編寫或?qū)崿F(xiàn)應(yīng)用程序的POI設(shè)備供應(yīng)商在內(nèi)的組織了解威脅，并在整個開發(fā)生命周期對其進行應(yīng)對。《指南》的發(fā)布正值針對零售商以及POS設(shè)備供應(yīng)商的網(wǎng)絡(luò)犯罪越來越多、越來越引起人們對POS設(shè)備關(guān)注的時刻。

　　罪犯對于支付交易一直都在窮盡一切辦法尋找數(shù)據(jù)泄露的途徑。當(dāng)消費者和商家都受益于第三方應(yīng)用程序所帶來的額外的特性、復(fù)雜性以及不斷增長的依賴性的同時，也為漏洞的利用創(chuàng)造了新的機會。這就是為什么在終端所依賴的軟件開發(fā)中盡職調(diào)查是如此地至關(guān)重要。《指南》強調(diào)了在這個獨特環(huán)境中軟件編碼的重要最佳實踐。

　　據(jù)支付卡行業(yè)安全標(biāo)準(zhǔn)委員會，組織可以使用本《指南》來幫助確保遵循標(biāo)準(zhǔn)安全編碼實踐，包括——

　　支持安全軟件開發(fā)安全意識培訓(xùn)：

　　· 參與開發(fā)過程的人員（包括軟件開發(fā)人員和審核人員），在開發(fā)軟件以確保實現(xiàn)安全編碼實踐和解決當(dāng)前威脅中扮演著重要角色。這些角色需要在開發(fā)開始前進行明確，并且這些人需要進行培訓(xùn)并了解安全軟件開發(fā)計劃。

　　安全軟件開發(fā)生命周期：

　　· 在開發(fā)開始前，組織需要明確將解決已知威脅的軟件安全路線圖。軟件需要有規(guī)劃圖和記錄文檔及規(guī)則和流程定義，軟件的安全性才能作為開發(fā)過程的一部分得以實現(xiàn)，而不是事后補救。

　　設(shè)備級的測試：

　　· 對這些即將投入使用的硬件、固件和其他應(yīng)用程序的工作原理進行了解是必要的。不僅模擬器測試和單元測試是必不可少的，而且使用完整解決方案對設(shè)備進行測試也是應(yīng)該優(yōu)先考慮的事情。

　　內(nèi)部流程審核：

　　· 威脅環(huán)境是不斷發(fā)展的，因此組織需要時刻緊跟最新的威脅和變化，確保相應(yīng)的流程依然能夠滿足并得到有效追蹤。

　　對于普通的零售商來說，在他們已經(jīng)購買的產(chǎn)品上進行硬件和軟件安全測試的成本是高昂的。

　　在安全軟件開發(fā)生命周期實踐過程中對開發(fā)人員進行安全意識培訓(xùn)，可以幫助確保應(yīng)用程序開發(fā)者之間的一致性。這種在安全設(shè)計和預(yù)期中的一致性意味著應(yīng)用程序在發(fā)布后將會有更少的漏洞可被利用。滲透測試人員每次執(zhí)行評估時都會遇到與安全生命周期實踐相關(guān)的問題。這兩點或許是構(gòu)建以安全和可預(yù)測方式運行軟件的最關(guān)鍵挑戰(zhàn)。