亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費注冊 查看新帖 |

Chinaunix

  平臺 論壇 博客 文庫
最近訪問板塊 發(fā)新帖
查看: 1069 | 回復(fù): 1
打印 上一主題 下一主題

PA DSS 3.0標準更新解讀 [復(fù)制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報告]
發(fā)表于 2015-04-13 17:49 |只看該作者 |倒序瀏覽
1.PCI-DSS標準家族介紹
如我們所知,PCI-DSS標準家族主要由三部分組成,分別是PCI-DSS(Payment Card Industry Data Security Standard)、PA-DSS(Payment Application Data Security Standard)與PTS(PIN Transaction Security),PCI-DSS標準主要關(guān)注于持卡人數(shù)據(jù)環(huán)境的安全,PTS關(guān)注于ATM或POS機進行支付交易處理時PIN碼及其相關(guān)密鑰的保護,而PA-DSS則關(guān)注于整個支付應(yīng)用軟件的安全,使其更容易地部署在持卡人數(shù)據(jù)環(huán)境中,以支持持卡人數(shù)據(jù)環(huán)境合規(guī)于PCI-DSS的安全要求。

2.PA-DSS 3.0 適用場景
如果商用的支付應(yīng)用軟件存儲、處理或傳輸持卡人數(shù)據(jù),并且將其作為授權(quán)或結(jié)算操作的部分,則適用于PA-DSS標準。


3.PA-DSS評估簡介
如下圖所示,PA-DSS評估大體可以分為四個階段。第一個階段是準備評估階段,atsec開發(fā)了完整先進的準備評估的方法論,可以協(xié)助客戶明確支付應(yīng)用的審核邊界,并共同識別差距,提出詳細的整改建議。第二個階段是基于差距的整改以及實施指南IG(Implementation Guide)的編寫,這個階段的周期通常根據(jù)支付應(yīng)用的現(xiàn)狀差距和整改的工作量等因素有所不同。第三個階段是正式評估階段,具有資質(zhì)的評估人員QSA將開展全面的合規(guī)評估,之后出具ROV(Report On Validation)報告和AOC (Attestation Of Validation)證明。第四階段是提交IG、ROV與AOC給PCI標委會審核,審核通過后PCI標委會將通過PCI官網(wǎng)發(fā)布認證結(jié)果。



4.PA-DSS 3.0 相對2.0的更新
PCI安全標準委員會于2014年初發(fā)布了PA-DSS 2.0的更新版本PA-DSS 3.0,相比PA-DSS 2.0,PA-DSS 3.0做了一些重要的變化與補充以適應(yīng)不斷發(fā)展的風(fēng)險管理,融入了安全的最佳實踐。在PCI 安全標準委員會的官方網(wǎng)站上,有一個標題為“PA-DSS 2.0到3.0變化概要”的文檔,包含了標準變化有價值的信息。PA-DSS 3.0增加了一些新的要求,取消了一項舊的要求,并對其中的一些要求做了改進。為了您理解方便,這里對標準變化做一簡要的總結(jié)。

增加的要求:
要求 3.4:支付應(yīng)用必須限制對必需功能/資源的訪問并對內(nèi)置應(yīng)用程序帳戶執(zhí)行最小權(quán)限。
應(yīng)用程序安裝需要確保其使用或設(shè)置了所需的權(quán)限,而沒有給予額外的許可。這適用于內(nèi)置帳戶和服務(wù)帳戶。確保你已文檔化了任何缺省或服務(wù)帳戶所需的權(quán)限。審核員需要驗證這些文檔,以驗證相應(yīng)的實現(xiàn)。
要求 5.1.5:支付應(yīng)用開發(fā)人員驗證整個開發(fā)過程中源碼的完整性
需要確保所有的源碼控制工具(例如SVN、SourceSafe、ClearCase等)被配置為僅相關(guān)開發(fā)人員能更改代碼,這不排除給予某些人讀的訪問權(quán)限,但是需要最小化寫的訪問權(quán)限。
要求 5.1.6:根據(jù)安全編碼技術(shù)的行業(yè)最優(yōu)方法開發(fā)支付應(yīng)用程序。
必須用最小特權(quán)來開發(fā)應(yīng)用以確保不安全的假設(shè)不被引入到應(yīng)用。為了防止攻擊者獲取關(guān)于應(yīng)用程序故障的敏感信息,以便用來創(chuàng)建后續(xù)攻擊。還必須確保安全應(yīng)用于所有的訪問和對應(yīng)用的輸入,以避免輸入通道被**。這包括敏感數(shù)據(jù)和PAN在內(nèi)存中怎樣被處理,嘗試在內(nèi)存中加密這些數(shù)據(jù)與保持它在內(nèi)存僅很短的一段時間。
要求 5.2.10:失效的驗證和會話管理
*  將會話令牌(如 cookie)標記為“安全”
*  不要暴露 URL 中的會話ID
*  成功登錄后添加適當(dāng)超時和輪換會話 ID
要求 5.4:支付應(yīng)用程序供應(yīng)商必須將軟件版本控制方法作為系統(tǒng)開發(fā)生命周期的一部分來進行記錄和遵循。
要求 5.5:在軟件開發(fā)流程中使用風(fēng)險評估技術(shù)(例如,應(yīng)用程序威脅建模)來識別潛在的應(yīng)用程序安全設(shè)計攻擊和漏洞。
要求 5.6:軟件供應(yīng)商必須實施流程來記錄和授權(quán)應(yīng)用程序和任何應(yīng)用程序更新的最終發(fā)布。
要求 7.3:所有應(yīng)用程序更新應(yīng)包含發(fā)布說明,包括該更新的詳情及影響,以及版本號的變更如何體現(xiàn)應(yīng)用程序的更新。
要求 10.2.2:如果供應(yīng)商或集成商/經(jīng)銷商可以對客戶的支付應(yīng)用程序進行遠程訪問,則必須使用每個客戶獨有的驗證憑證(例如密碼/口令)。
要求 13.1.1:向客戶、經(jīng)銷商和集成商提供適用于其所使用應(yīng)用程序的相關(guān)信息。
要求 14.1:每年向負責(zé)PA-DSS 的供應(yīng)商工作人員提供至少一次有關(guān)信息安全和PA-DSS 的培訓(xùn)。
要求 14.2:向供應(yīng)商工作人員分配角色和職責(zé),包括以下各項:
*  全面負責(zé)滿足 PA-DSS 的各項要求
*  與 PCI SSC《PA-DSS 計劃指南》的變更情況保持同步
*  確保遵循安全編碼實踐
*  確保集成商/經(jīng)銷商接受培訓(xùn)并獲得配套材料
*  確保所有負責(zé) PA-DSS 的供應(yīng)商工作人員(包括開發(fā)人員)接受培訓(xùn)

刪除的需求:
要求 2.4:如果磁盤加密被使用(而不是文件加密或級別的數(shù)據(jù)庫加密),邏輯訪問必須單獨管理以獨立于本地操作系統(tǒng)的訪問控制機制(例如,不使用本地用戶帳戶數(shù)據(jù)庫)。解密密鑰不能關(guān)聯(lián)到用戶帳戶。

改進的需求:
要求 3.3.2:使用強效單向加密算法,基于許可標準使所有支付應(yīng)用程序密碼在存儲期間不可讀。
在應(yīng)用加密算法之前,每個密碼都必須組合一個唯一的輸入變量?磥,加密的密碼是不可接受的。在你的應(yīng)用程序,你必須使用一個強的、單向加密算法(hash)與鹽值。審核你的應(yīng)用存儲以確保您使用的是帶鹽的哈希算法。
要求 4.2.5:支付應(yīng)用程序必須提供自動檢查記錄以便重建事件“通過root 權(quán)限或管理員權(quán)限對應(yīng)用程序的身份識別和驗證機制(包括但不限于創(chuàng)建新帳戶、提升權(quán)限等)進行使用和更改,并對應(yīng)用程序帳戶進行任何更改、增加、刪除!

5.結(jié)束語
支付應(yīng)用軟件在處理、傳輸與存儲持卡人數(shù)據(jù)中扮演著非常重要的角色,PA-DSS標準為商戶或收單機構(gòu)在選擇支付應(yīng)用軟件時提供了全球級別的安全評判標準,通過PA-DSS認證的支付應(yīng)用軟件將大大降低了商戶環(huán)境中數(shù)據(jù)違背的風(fēng)險,也為整個持卡人數(shù)據(jù)環(huán)境獲得與維護PCI-DSS合規(guī)認證提供了保障。


參考文檔和鏈接
PA-DSS Requirement and Security Assessment Procedures Version 3.0
PA-DSS Summary of changes v 2.0 to v3.0
QSA Validation Requirements - PA-QSA
PA-DSS Program Guide Version 3.0



本文為atsec和作者技術(shù)共享類文章,旨在共同探討信息安全業(yè)界的相關(guān)話題。未經(jīng)許可,任何單位及個人不得以任何方式或理由對本文的任何內(nèi)容 進行 修改。轉(zhuǎn)載請注明:atsec信息安全和作者

求職 : Linux運維
論壇徽章:
203
拜羊年徽章
日期:2015-03-03 16:15:432015年辭舊歲徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:57:092015小元宵徽章
日期:2015-03-06 15:58:182015年亞洲杯之約旦
日期:2015-04-05 20:08:292015年亞洲杯之澳大利亞
日期:2015-04-09 09:25:552015年亞洲杯之約旦
日期:2015-04-10 17:34:102015年亞洲杯之巴勒斯坦
日期:2015-04-10 17:35:342015年亞洲杯之日本
日期:2015-04-16 16:28:552015年亞洲杯紀念徽章
日期:2015-04-27 23:29:17操作系統(tǒng)版塊每日發(fā)帖之星
日期:2015-06-06 22:20:00操作系統(tǒng)版塊每日發(fā)帖之星
日期:2015-06-09 22:20:00
2 [報告]
發(fā)表于 2015-04-16 16:02 |只看該作者
非常多新技術(shù)      
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報專區(qū)
中國互聯(lián)網(wǎng)協(xié)會會員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP