亚博体彩PCI DSS 31发布:商家需供给详尽的新

亚博体彩PCI DSS 31发布:商家需供给详尽的新

发布时间:2019-05-04 22:36    |    来源:未知    |    所属栏目:重型设备迁移

  yabo88官网新版本的领取卡行业数据平安尺度(PCI DSS)曾经发布,此中不只要求商家做好预备脱节有问题的数据加密和谈,还要求供给相关他们筹算若何实现这种改变的细致打算。

  正在2004年,Visa、MasterCard和其他次要银行卡品牌发布了基准平安尺度最后版本以领取卡数据传输和存储,而正在近日PCI平安尺度委员会发布了最新版本PCI DSS 3.1。

  这个版本包罗少量和更新,次要是为领会决平安套接字层(SSL)和传输层平安(TLS)加密和谈内的高风险缝隙,这些缝隙可能让领取数据面对。

  PCI DSS 3.1更新了三个出格提到SSL的环节要求:2.2.3(对VPN、NetBIOS、文件共享、Telnet、FTP和雷同办事的加密)、2.3(对基于Web的办理和其他非节制台办理拜候的加密)以及4.1(对跨公开收集传输的持卡人数据的加密)以删除SSL和“晚期版本TLS”做为密和谈的示例和谈。SSC定义“晚期版本TLS”为1.0版TLS,正在某些环境下还包罗1.1版,这取决于它正在哪里利用以及若何摆设。

  该版本当即生效,现正在商家摆设采用SSL和晚期版本TLS的新手艺;正在2016年6月30日,商家将不再答应以任何体例利用SSL和晚期版本TLS做为领取数据的平安节制。

  此举是受客岁美国国度尺度取手艺研究院(NIST)Special Publication 800-52更新的鞭策。正在该文件中,NIST指出只要TLS 1.1和1.2脚够平安可供利用,这表白SSL 2.0、SSL 3.0和TLS 1.0不再是可行的密尺度。然而,良多商家仍然正在其持卡人数据利用第一个版本的TLS,正在某些环境下,以至正在利用SSL。

  凡是PCI DSS更新时间间隔为三年,PCI DSS 3.0发布于2013年11月,本来下一版本的PCI DSS要到2016年秋天才会发布。可是,SSC正在2月份悄悄颁布发表SSL和TLS中的缝隙问题需要一个打算外的PCI DSS版本。

  “正在委员会,我们专注于供给最强的尺度和资本,以帮帮商家及其贸易合做伙伴抵御最新的和缝隙,”PCI SSC总司理Stephen Orfei正在声明中称,“正如我们正在POODLE和其他中所看到的,SSL和谈内的缝隙对领取数据形成风险。通过PCI DSS 3.1和响应指点原则,我们但愿帮帮企业采纳务实的基于风险的方式来应对这些。”

  合规和平安办事公司Trustwave高级平安工程师Don Brooks暗示,他很欢快地看到,PCI 3.1为商家供给了脚够的时间来逐渐裁减SSL,由于正在该版本发布前业界猜测他们可能需要正在本年岁尾前修复SSL和晚期版本TLS。不外,他认为,跨越14个月的过渡期可能是一把双刃剑。

  “我次要担心的是这漫长的时间,”Brooks暗示,“对于一般商家而言,他们具有的时间越长,他们可能就越没那么告急。商家需要确保他们能够很快处理这个问题。”

  虽然商家有一年多的时间来进行过渡,但PCI DSS 3.1,利用SSL和/或晚期版本TLS的商家必需当即采纳步履,还需要当即制定正式的风险缓解和迁徙打算。

  SSC正在声明中称,期近将发布的PCI消息弥补文件《从SSL和晚期版本TLS迁徙》中,他们将供给姑且风险缓解方式的指南、迁徙以及密和谈的替代方案。

  正在这些弥补文件中(副本曾经供给给SearchSecurity),供给了细致的指点看法以及正式风险缓解和迁徙打算中该当记实的消息示例。

  具体来说,商家必需描述存正在缝隙的和谈若何被利用;风险评估成果及其摆设的风险降低节制;商家为监测取缝隙和谈相关的新缝隙所摆设的法式;商家为确保SSL/晚期版本TLS没有摆设到新所采纳的变动节制流程;以及对企业迁徙项目打算的总体概述,包罗筹算若何正在2016年6月30日的最初刻日之前完成迁徙方针。

  PCI DSS 3.1商家应细致描述其迁徙到平安和谈的打算,并引见正在迁徙完成前,为削减取SSL/晚期版本TLS相关风险所采纳的节制。

  Gartner研究公司副总裁兼出名阐发师Avivah Litan暗示,虽然商家将需要正在短时间内制定这个新文件,但该消息弥补文件的要求是合理的。但她暗示,这表白领取卡行业火急需要更具计谋性的方式来确保平安性。

  “若是我是零售商,我会感应很厌烦,但正在另一方面,这些都是合理的平安办法,”Litan称,“商家需要采纳更具计谋性的做法。”

  具体来说,Litan全行业对从POS到发卡机构的收集的PAN数据进行终端终端加密,以及所有发卡机构实行行业尺度令牌化。

  “你不克不及老是希望零售商来修复缝隙系统,而这个修复是合理的,”Litan称,“但不合理的处所是,要求零售商对缝隙领取系统进行弥补。”

  征询公司K3DES LLC副总裁兼PCI QSA的Miguel Mike Villegas暗示,虽然新文件需要商家做些工做,但其实这雷同于演讲合规(ROC),此中需要概述并细致引见弥补节制,商家该当很熟悉这个过程。

  “我认为这不是很费事的工做,只是撰写文档,”Villegas称,“而则可能需要更多工做,但商家的大部门该当是针对这些和谈。”

  正在该弥补文件中,SSC指出,对于额外的加密办法,商家有多种摆设选择,此中有些做法不必然要移除SSL/晚期版本TLS;这包罗升级到最新的平安版本的TLS,正在数据通过SSL/晚期版本TLS发送之前利用字段级或使用级加密对数据进行加密,或者正在数据通过SSL发送之前摆设密会话,例如IPsec地道。

  “你要改变所有领取系统来正在字段级加密或摆设加密地道,这仍然很麻烦,”Litan称,“这是不少的工做量,SSC只是供给了更多选择。”

  正在弥补文件中,SSC沉申,所有规模的商家(以至是小商家)都必需摆设PCI DSS 3.1中的变动,以防止领取数据被盗。

  “所有实体类型都遭到SSL/晚期版本TLS问题的影响,包罗小商家,”SSL正在弥补文件中称,“小商家也必需采纳需要的办法来将SSL/晚期版本TLS从其持卡人数据移除,以确保其客户数据的平安性。”

  Brooks称,所幸的是,还有良多开源和基于Web的东西能够帮帮企业评估其SSL的利用环境。

  “良多人不会想到SSL的所有利用,”Brooks称,包罗VPN、电子邮件数字签名和平安立即通信,“第一步是风险评估,从你的供应商和软件供给商领会他们的风险所正在。”

  对于发卖终端(POS)系统和交互点(POI)终端(由SSC定义为磁卡读卡器或芯片读卡器,例如NFC接触点),商家还有必然的喘气空间。

  PCI 3.1指出,若是利用SSL和晚期版本TLS的设备“被验证为不容易遭到所有SSL/晚期版本TLS已知缝隙的影响”,那么,商家能够正在2016年6月30日之后继续利用这些设备。

  正在消息弥补文件中,SSC注释说目前已知的缝隙凡是更难用于POS系统,所以对这些系统采纳了不太严酷的。

  “有些现有SSL缝隙被者用来拦截客户端/办事器通信以及发到客户端的消息,”SSC正在弥补文件中指出,“者的方针是客户端来发送额外数据,让者用来传染会话。”

  然而,发卖终端凡是不支撑多个客户端毗连,其利用的和谈了可能被的数据量,而且没有利用Web浏览器软件、JavaScript或平安相关的会话cookie;这些都是操纵SSL和晚期版本TLS缝隙需要的要素。

  “同样主要的是要记住,缝隙操纵还正在不竭成长,企业必需做好预备应对新,”SSC弥补说,“所有利用SSL和/或晚期版本TLS的企业都该当打算尽快升级到密和谈。”

  然而,Litan质疑SSC的决定能否纯粹是基于风险,他指出,发卖终端供应商可否正在2016年6月前沉做其产物也是一个考虑要素。

  “正在Target和Home Depot等商家蒙受的中,大大都恶意软件都位于毗连到发卖终端的领取使用中,”Litan称,“从理论上讲,者很难进入POS系统,由于它们凡是是封锁的操做系统,但这并不料味着他们无法进入。”

  她弥补说,SSC可能是比力现实,他们试图避免大型零售商争抢更新没有颠末完全测试的POS系统的环境。

  Brooks称,Trustware正在评估POS系统对领取使用数据平安尺度(PA-DSS)的合规环境后发觉,正在POS系统中存正在对SSL/晚期版本TLS的“一些亏弱环节”,POS供应商正正在取SSC合做来领会这些环境,并制定具体办法来处理问题。

  “最终,POS供应商将修复这个问题,并正在最初刻日之前推出新版本代码,可能恰是这正在鞭策着14个月过渡刻日,”Brooks称,“SSC可能但愿这能够带动下一版本的PA-DSS。”

  PCI 3.1中其他显著变动包罗导语部门中“持卡人数据”变为“账户数据”,11.3.4要求中指出渗入测试的目标是验证所有范畴外系统取“CDE”中的系统分隔(隔离),以及环绕测试法式言语的多个变动。

  【所有原创内容版权均属TechTarget,欢送大师转发分享。但未经授权,严禁任何(平面、收集、自等)以及微信号复制、转载、摘编或以其他体例进行利用。】

  近年来,平安套接字层(SSL)手艺曾经有所改良,但同时也呈现新的缝隙。那么若何处理环节SSL平安问题及缝隙呢?总共分七步……

  比来的一篇论文表白有可打破RC4加密以及解密用户cookie。那么,这种的工做道理是什么,企业该当若何避免这种?RC4能否还有用?

  PCI DSS包罗对POS终端平安的要求。正在本文中,专家Mike Chapple将注释若何理解PCI对于POS终端的要求,并就此的最佳平安实践给出。

  ETM停当认证打算旨正在帮帮Blue Coat营业保障手艺合做伙伴将可互操做的SSL可见性处理方案集成到Blue Coat系统布局,构成一流的平安产物,无效地检测、防御和消弭躲藏加密流量中的。


文章当前地址:http://www.pufakaoshi.com//product/zxsbby/20190503/598.html

  • 上一篇:yabo88官网惠东县林业局便携式计较机网上竞价(
  • 下一篇:亚博体彩研华推出10 GbE XMC加强型CompactPCI M