亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　2014年是信用卡數(shù)據(jù)泄露年，新型POS機(jī)惡意軟件的猖獗攻擊導(dǎo)致Target、HomeDepot等全球上千家零售企業(yè)遭受POS惡意軟件攻擊，信用卡數(shù)據(jù)泄露規(guī)模的世界紀(jì)錄也不斷被刷新。與此同時(shí)，不少安全專家曾指出，支付卡行業(yè)安全規(guī)范PCI DSS在降低攻擊損害上起到了關(guān)鍵作用。而在HomeDepot的案例中，數(shù)據(jù)泄露事故的一個(gè)重要原因就是HomeDepot沒(méi)能嚴(yán)格遵守PCI標(biāo)準(zhǔn)進(jìn)行安全審計(jì)和漏洞掃描。

　　在零售業(yè)和支付行業(yè)亡羊補(bǔ)牢，重新審視和構(gòu)建安全管理體系、策略的同時(shí)，新版支付卡行業(yè)安全規(guī)范PCI DSS3.0標(biāo)準(zhǔn)成為指導(dǎo)零售業(yè)重建信息安全護(hù)城河、確立新的安全最佳實(shí)踐的重要基石。

　　經(jīng)過(guò)2014年的試行后，2015年P(guān)CI DSS3.0將強(qiáng)制執(zhí)行，對(duì)于廣大商業(yè)企業(yè)和發(fā)卡銀行來(lái)說(shuō)，剩下的合規(guī)時(shí)間窗口即將關(guān)閉，必須盡快了解PCI DSS3.0的新內(nèi)容和新規(guī)范。

　　以下我們向大家介紹PCI 3.0中的三個(gè)主要變化以及合規(guī)所需采取的步驟，由TechTarget編譯如下（大家也可以到PCI DSS安全標(biāo)準(zhǔn)委員會(huì)官網(wǎng)了解更多內(nèi)容）：

　　服務(wù)提供商管理

　　由于PCI DSS是合同義務(wù)，而不是法律，該標(biāo)準(zhǔn)并不直接適用于那些沒(méi)有進(jìn)入信用卡商戶協(xié)議的實(shí)體。然而，大多數(shù)企業(yè)依賴于外部服務(wù)來(lái)處理器部分信用卡操作。因此，PCI DSS也擴(kuò)展到了這些實(shí)體，考慮他們作為服務(wù)提供商，并要求商家與代表他們存儲(chǔ)、處理或傳輸信用卡信息的任何服務(wù)提供商簽訂書(shū)面協(xié)議。這些書(shū)面協(xié)議必須要求服務(wù)提供商遵守PCI DSS的規(guī)定。

　　服務(wù)提供商的概念可以追溯到PCI DSS的最早版本，并且，商家總是被要求保持服務(wù)提供商名單，與這些提供商簽訂書(shū)面協(xié)議，以及持續(xù)監(jiān)控這些提供商的合規(guī)狀況。PCI DSS 3.0為涉及服務(wù)提供商的商家提出了新要求。根據(jù)12.8.5中的規(guī)定，商家需要維持這些信息，即哪些PCI DSS要求是商家的責(zé)任，以及哪些是服務(wù)提供商的責(zé)任。

　　當(dāng)更新文檔來(lái)遵守這個(gè)新規(guī)定時(shí)，企業(yè)應(yīng)主要依賴于服務(wù)提供商。畢竟，他們正在為其產(chǎn)品組合中的每個(gè)客戶回答相同的問(wèn)題。很多服務(wù)提供商準(zhǔn)備了詳細(xì)的文檔來(lái)概述他們PCI DSS合規(guī)的范圍，以及留在商家手里的責(zé)任。在某些情況下，這些文件是由合格安全性評(píng)估機(jī)構(gòu)(QSA：Qualified Security AsseSSOrs)準(zhǔn)備。企業(yè)可以依靠這些文件并保存它們作為合規(guī)材料的一部分。

　　滲透測(cè)試的嚴(yán)謹(jǐn)性

　　PCI DSS的11.3要求一貫規(guī)定，企業(yè)在每年以及重大變更后對(duì)其環(huán)境執(zhí)行內(nèi)部和外部滲透測(cè)試。在其2014年P(guān)CI合規(guī)報(bào)告中，Verizon指出滲透測(cè)試是其所有客戶合規(guī)率最低的控制，只有不到40%的商家滿足滲透測(cè)試要求，并適當(dāng)?shù)赜涗浟似淇刂啤?/p>

　　對(duì)此，PCI組織在PCI DSS 3.0中提高了滲透測(cè)試要求的嚴(yán)格性。除了要求年度和變更后測(cè)試外，該標(biāo)準(zhǔn)現(xiàn)在要求公司自己指明測(cè)試的細(xì)節(jié)信息。這些測(cè)試必須由合格的獨(dú)立測(cè)試者執(zhí)行并基于行業(yè)標(biāo)準(zhǔn)做法，測(cè)試需要涵蓋整個(gè)持卡人數(shù)據(jù)環(huán)境、整合分段控制測(cè)試，以及滿足11.3要求內(nèi)包含的其他詳細(xì)規(guī)范。

　　當(dāng)企業(yè)升級(jí)其滲透測(cè)試控制時(shí)，首先應(yīng)檢查執(zhí)行測(cè)試的實(shí)體。如果員工在管理該測(cè)試，企業(yè)將需要讓審計(jì)人員確認(rèn)該員工有資格執(zhí)行測(cè)試，并且，該測(cè)試人員在組織上獨(dú)立于負(fù)責(zé)部署和維護(hù)安全控制的人員。該測(cè)試者能否滿足11.3中的很多新規(guī)定呢？如果不能，企業(yè)最好聘請(qǐng)專業(yè)的滲透測(cè)試公司來(lái)滿足這一要求。

　　物理安全更新

　　PCI DSS 3.0還變更了持卡人數(shù)據(jù)處理位置的物理安全要求。這個(gè)新要求9.3提高了圍繞允許現(xiàn)場(chǎng)人員進(jìn)入敏感區(qū)域的嚴(yán)謹(jǐn)度。企業(yè)現(xiàn)在必須明確對(duì)個(gè)人的授權(quán)訪問(wèn)，并且，這種訪問(wèn)權(quán)限僅為滿足個(gè)人的工作職能。此外，企業(yè)必須部署程序以在終止時(shí)立即撤銷物理訪問(wèn)。企業(yè)應(yīng)該審查其在這些區(qū)域的當(dāng)前程序，并采取措施在必要時(shí)更新它們。

　　同時(shí)，9.9要求給企業(yè)帶來(lái)一個(gè)更加困難的物理安全挑戰(zhàn)。這個(gè)新規(guī)定涵蓋了銷售點(diǎn)卡交易中使用的支付卡刷卡終端的物理安全性。企業(yè)必須保持這些設(shè)備的完整清單（包括序列號(hào)），并定期進(jìn)行設(shè)備檢查，以確保它們沒(méi)有被篡改或者更換。操作終端設(shè)備的人員必須接受培訓(xùn)，以減少未經(jīng)授權(quán)篡改的可能性。

　　具有大量刷卡終端的企業(yè)可能更難以滿足9.9要求，特別是當(dāng)設(shè)備分布廣泛時(shí)。企業(yè)應(yīng)該花時(shí)間來(lái)規(guī)劃目錄、培訓(xùn)和檢查方法，以確保他們?cè)诿髂昴軌蚍闲聵?biāo)準(zhǔn)。

　　結(jié)論

　　企業(yè)擔(dān)心遵守PCI DSS 3.0版本所需做的工作太多而無(wú)法在2014年年底之前完成，不過(guò)，這些企業(yè)可以稍微松一口氣：有些PCI DSS 3.0控制的合規(guī)最后期限有所延遲。這些控制包括11.3章節(jié)的更新的滲透測(cè)試要求和9.9中終端物理安全要求，它們被認(rèn)為是最佳做法，而且要到2015年7月1日才變?yōu)閺?qiáng)制性。

　　PCI DSS 3.0為企業(yè)帶來(lái)了新的合規(guī)責(zé)任，但這些都不是不可克服的。現(xiàn)在花時(shí)間進(jìn)行差距評(píng)估將幫助緩解2015年合規(guī)最后期限到來(lái)時(shí)的過(guò)渡負(fù)擔(dān)。