- 論壇徽章:
- 0
|
1.PCI-DSS標(biāo)準(zhǔn)家族介紹
如我們所知�����,PCI-DSS標(biāo)準(zhǔn)家族主要由三部分組成�,分別是PCI-DSS(Payment Card Industry Data Security Standard)�����、PA-DSS(Payment Application DataSecurity Standard)與PTS(PIN Transaction Security)���,PCI-DSS標(biāo)準(zhǔn)主要關(guān)注于持卡人數(shù)據(jù)環(huán)境的安全����,PTS關(guān)注于ATM或POS機(jī)進(jìn)行支付交易處理時(shí)PIN碼及其相關(guān)密鑰的保護(hù)�����,而PA-DSS則關(guān)注于整個(gè)支付應(yīng)用軟件的安全���,使其更容易地部署在持卡人數(shù)據(jù)環(huán)境中����,以支持持卡人數(shù)據(jù)環(huán)境合規(guī)于PCI-DSS的安全要求�����。
2.PA-DSS 3.0 適用場景
如果商用的支付應(yīng)用軟件存儲��、處理或傳輸持卡人數(shù)據(jù)��,并且將其作為授權(quán)或結(jié)算操作的部分��,則適用于PA-DSS標(biāo)準(zhǔn)�。
PA DSS 3.0適用場景.png (18.29 KB, 下載次數(shù): 40)
下載附件
2015-04-15 15:53 上傳
3.PA-DSS評估簡介
如下圖所示,PA-DSS評估大體可以分為四個(gè)階段�。第一個(gè)階段是準(zhǔn)備評估階段,atsec開發(fā)了完整先進(jìn)的準(zhǔn)備評估的方法論��,可以協(xié)助客戶明確支付應(yīng)用的審核邊界�,并共同識別差距,提出詳細(xì)的整改建議����。第二個(gè)階段是基于差距的整改以及實(shí)施指南IG(Implementation Guide)的編寫,這個(gè)階段的周期通常根據(jù)支付應(yīng)用的現(xiàn)狀差距和整改的工作量等因素有所不同����。第三個(gè)階段是正式評估階段����,具有資質(zhì)的評估人員QSA將開展全面的合規(guī)評估�,之后出具ROV(Report On Validation)報(bào)告和AOC (Attestation Of Validation)證明。第四階段是提交IG��、ROV與AOC給PCI標(biāo)委會審核�,審核通過后PCI標(biāo)委會將通過PCI官網(wǎng)發(fā)布認(rèn)證結(jié)果。
PA DSS評估簡介.png (24.15 KB, 下載次數(shù): 41)
下載附件
2015-04-15 16:00 上傳
4.PA-DSS 3.0 相對2.0的更新
PCI安全標(biāo)準(zhǔn)委員會于2014年初發(fā)布了PA-DSS 2.0的更新版本PA-DSS 3.0�,相比PA-DSS 2.0,PA-DSS 3.0做了一些重要的變化與補(bǔ)充以適應(yīng)不斷發(fā)展的風(fēng)險(xiǎn)管理�,融入了安全的最佳實(shí)踐。在PCI 安全標(biāo)準(zhǔn)委員會的官方網(wǎng)站上�,有一個(gè)標(biāo)題為“PA-DSS 2.0到3.0變化概要”的文檔,包含了標(biāo)準(zhǔn)變化有價(jià)值的信息���。PA-DSS 3.0增加了一些新的要求���,取消了一項(xiàng)舊的要求,并對其中的一些要求做了改進(jìn)�����。為了您理解方便,這里對標(biāo)準(zhǔn)變化做一簡要的總結(jié)�����。
增加的要求:
要求 3.4:支付應(yīng)用必須限制對必需功能/資源的訪問并對內(nèi)置應(yīng)用程序帳戶執(zhí)行最小權(quán)限����。
應(yīng)用程序安裝需要確保其使用或設(shè)置了所需的權(quán)限��,而沒有給予額外的許可���。這適用于內(nèi)置帳戶和服務(wù)帳戶�。確保你已文檔化了任何缺省或服務(wù)帳戶所需的權(quán)限��。審核員需要驗(yàn)證這些文檔�,以驗(yàn)證相應(yīng)的實(shí)現(xiàn)。
要求 5.1.5:支付應(yīng)用開發(fā)人員驗(yàn)證整個(gè)開發(fā)過程中源碼的完整性
需要確保所有的源碼控制工具(例如SVN����、SourceSafe、ClearCase等)被配置為僅相關(guān)開發(fā)人員能更改代碼���,這不排除給予某些人讀的訪問權(quán)限�����,但是需要最小化寫的訪問權(quán)限���。
要求 5.1.6:根據(jù)安全編碼技術(shù)的行業(yè)最優(yōu)方法開發(fā)支付應(yīng)用程序��。
必須用最小特權(quán)來開發(fā)應(yīng)用以確保不安全的假設(shè)不被引入到應(yīng)用��。為了防止攻擊者獲取關(guān)于應(yīng)用程序故障的敏感信息�,以便用來創(chuàng)建后續(xù)攻擊��。還必須確保安全應(yīng)用于所有的訪問和對應(yīng)用的輸入��,以避免輸入通道被**�����。這包括敏感數(shù)據(jù)和PAN在內(nèi)存中怎樣被處理�,嘗試在內(nèi)存中加密這些數(shù)據(jù)與保持它在內(nèi)存僅很短的一段時(shí)間。
要求 5.2.10:失效的驗(yàn)證和會話管理
* 將會話令牌(如 cookie)標(biāo)記為“安全”
* 不要暴露 URL 中的會話ID
* 成功登錄后添加適當(dāng)超時(shí)和輪換會話 ID
要求 5.4:支付應(yīng)用程序供應(yīng)商必須將軟件版本控制方法作為系統(tǒng)開發(fā)生命周期的一部分來進(jìn)行記錄和遵循�。
要求 5.5:在軟件開發(fā)流程中使用風(fēng)險(xiǎn)評估技術(shù)(例如,應(yīng)用程序威脅建模)來識別潛在的應(yīng)用程序安全設(shè)計(jì)攻擊和漏洞�����。
要求 5.6:軟件供應(yīng)商必須實(shí)施流程來記錄和授權(quán)應(yīng)用程序和任何應(yīng)用程序更新的最終發(fā)布。
要求 7.3:所有應(yīng)用程序更新應(yīng)包含發(fā)布說明�,包括該更新的詳情及影響,以及版本號的變更如何體現(xiàn)應(yīng)用程序的更新��。
要求 10.2.2:如果供應(yīng)商或集成商/經(jīng)銷商可以對客戶的支付應(yīng)用程序進(jìn)行遠(yuǎn)程訪問��,則必須使用每個(gè)客戶獨(dú)有的驗(yàn)證憑證(例如密碼/口令)�。
要求 13.1.1:向客戶、經(jīng)銷商和集成商提供適用于其所使用應(yīng)用程序的相關(guān)信息���。
要求 14.1:每年向負(fù)責(zé)PA-DSS 的供應(yīng)商工作人員提供至少一次有關(guān)信息安全和PA-DSS 的培訓(xùn)。
要求 14.2:向供應(yīng)商工作人員分配角色和職責(zé)�,包括以下各項(xiàng):
* 全面負(fù)責(zé)滿足 PA-DSS 的各項(xiàng)要求
* 與 PCI SSC《PA-DSS 計(jì)劃指南》的變更情況保持同步
* 確保遵循安全編碼實(shí)踐
* 確保集成商/經(jīng)銷商接受培訓(xùn)并獲得配套材料
* 確保所有負(fù)責(zé) PA-DSS 的供應(yīng)商工作人員(包括開發(fā)人員)接受培訓(xùn)
刪除的需求:
要求 2.4:如果磁盤加密被使用(而不是文件加密或級別的數(shù)據(jù)庫加密),邏輯訪問必須單獨(dú)管理以獨(dú)立于本地操作系統(tǒng)的訪問控制機(jī)制(例如��,不使用本地用戶帳戶數(shù)據(jù)庫)���。解密密鑰不能關(guān)聯(lián)到用戶帳戶����。
改進(jìn)的需求:
要求 3.3.2:使用強(qiáng)效單向加密算法����,基于許可標(biāo)準(zhǔn)使所有支付應(yīng)用程序密碼在存儲期間不可讀����。
在應(yīng)用加密算法之前�����,每個(gè)密碼都必須組合一個(gè)唯一的輸入變量������?磥恚用艿拿艽a是不可接受的��。在你的應(yīng)用程序�����,你必須使用一個(gè)強(qiáng)的���、單向加密算法(hash)與鹽值�。審核你的應(yīng)用存儲以確保您使用的是帶鹽的哈希算法�����。
要求 4.2.5:支付應(yīng)用程序必須提供自動檢查記錄以便重建事件“通過root 權(quán)限或管理員權(quán)限對應(yīng)用程序的身份識別和驗(yàn)證機(jī)制(包括但不限于創(chuàng)建新帳戶、提升權(quán)限等)進(jìn)行使用和更改�����,并對應(yīng)用程序帳戶進(jìn)行任何更改�、增加、刪除�。”
5.結(jié)束語
支付應(yīng)用軟件在處理�����、傳輸與存儲持卡人數(shù)據(jù)中扮演著非常重要的角色��,PA-DSS標(biāo)準(zhǔn)為商戶或收單機(jī)構(gòu)在選擇支付應(yīng)用軟件時(shí)提供了全球級別的安全評判標(biāo)準(zhǔn)�����,通過PA-DSS認(rèn)證的支付應(yīng)用軟件將大大降低了商戶環(huán)境中數(shù)據(jù)違背的風(fēng)險(xiǎn)��,也為整個(gè)持卡人數(shù)據(jù)環(huán)境獲得與維護(hù)PCI-DSS合規(guī)認(rèn)證提供了保障���。
參考文檔和鏈接
[1] PA-DSS Requirement and Security Assessment Procedures Version 3.0
[2] PA-DSS Summary of changes v 2.0 to v3.0
[3] QSA Validation Requirements - PA-QSA
[4] PA-DSS Program Guide Version 3.0
本文為atsec和作者技術(shù)共享類文章,旨在共同探討信息安全業(yè)界的相關(guān)話題。未經(jīng)許可���,任何單位及個(gè)人不得以任何方式或理由對本文的任何內(nèi)容 進(jìn)行 修改��。轉(zhuǎn)載請注明:atsec信息安全和作者 |
|
免費(fèi)注冊
發(fā)表于 2015-04-15 16:02