有一个新版本的支付卡网络安全行业标准——PCI 3.0 -今天集团负责出版,PCI安全标准委员会。
如果您的组织接受或付款流程卡,这是新的,你需要知道:
证据证明环境范围PCI确实无法访问其他网络。
——鲍勃•鲁索通用PCI安全标准委员会
——实现一个网段的渗透测试方法用于存储或处理信用卡付款。这个网络领域的行话叫做“PCI范围”PCI标准和遵从性测试。根据理事会总经理鲍勃•鲁索的想法是“证据证明环境范围PCI确实无法访问其他网络。”他说这是一个新的需求,因为没有足够的内部网络的测试。
但安理会不打算有一个列表的批准了渗透测试的产品或服务,因为它假定组织自己可以做到这一点。“这是新事物,需要额外的工作从服务提供者和商人,”鲁道夫,Simonetti说Verizon的董事总经理卡行业服务,关于新的PCI要求。他说PCI渗透测试的目的是验证范围,“基本上可以通过白帽黑客方法是否可以在定义PCI网段。Simonetti还指出,使用点对点加密是一种方法来定义网络“范围”和Verizon认为P2P加密将在未来发挥更大的作用,特别是在移动支付处理。
特洛伊Leach,委员会的首席技术官
——物理安全考虑相关支付卡数据在PCI 3.0中得到更多的关注。委员会的首席技术官特洛伊Leach说,一个新的需求涉及“常识性的测试和寻找物理篡改系统在零售环境和面对面的交易。“这特别是属于物理销售点系统,建议将防止卡数据进行脱脂骗子。这可能包括从简单的看着销售点设备是否定期或连接电线被篡改。这是小和大商人,特洛伊指出。他补充说,合格的安全评估(QSA)进行正式评估为目的的PCI遵从性可以预计在未来会问什么程序来教育人员对卡略读和欺诈。
——应用程序安全性也是一个区域委员会把更多的重点在PCI的指导方针。Russo说,他是沮丧,很多软件开发者不仅没有听说过PCI标准,甚至不知道应用程序漏洞拼出的打开Web应用程序安全性项目或SANS研究所。但这些应用程序漏洞被攻击者窃取支付卡数据,利用他的笔记。在PCI 3.0中,组织需要证明他们测试应用程序支付卡片承受知名安全漏洞和行业安全编码实践使用。这意味着验证源代码的完整性在发展过程中,。根据PCI规则,供应商与远程访问客户前提的支持和维护,例如,为每个客户必须使用独特的身份验证凭证。
——远程访问和身份验证总体也看到一些变化和澄清相比老年PCI 2.0版本的标准。服务提供者必须使用独特的身份验证凭证为每个客户如果他们不了。物理和逻辑安全令牌,智能卡和证书也必须连接到一个个人帐户,确保只有预期的用户可以访问。这可能会带来一些网络如何改变使用基于SSH管理访问加密,例如。
——反病毒保护一直是要求根据PCI规则,但在PCI 3.0,安理会补充一些关于打击恶意软件的细微差别。问题提出当QSAs进入数据中心的主机没有杀毒软件,例如,问题是系统是否可能受到恶意2020欧洲杯预赛软件的影响,首席技术官Leach说。实际问题的风险管理在这些情况下不仅意味着转向的方法不是传统的杀毒软件,但是使用“补偿控制”,只是继续“评估发展的恶意软件威胁任何系统一般不被认为是受到影响。”
Russo称,PCI 3.0 1月1日生效,2014年,但商家和服务提供者”仍有一年日落旧版本”的标准。由卡协会理事会,2006年开始包括Visa和万事达,参与组织,拥有超过650包括商家、银行、处理器和供应商。委员会说,它有两个从大约1700年输入PCI 3.0世界各地的社区会议的与会者。
PCI的担忧
一些安全专家说,这是他们没有看到在新的PCI v . 3.0标准,跳出来,。
在网络安全工程师,格雷格•罗森博格表示失望,PCI 3.0不含具体指导的移动支付应用,巨大的银行和商人感兴趣的一个领域。
“架构为移动设备是不同的,”罗森博格说,他指出,智能手机和平板电脑,可用于信用卡支付处理引入一个新的产品,新的威胁,旨在利用他们。“我如何扩展脆弱性扫描与移动?”
罗森博格说,业内有很多讨论现在如何适当的安全移动PCI的方针下,但他的失望安理会不占用专门在PCI 3.0这个话题。最多,今天的行业“最佳实践”准则理事会发表在一年前分别为移动以外的PCI标准本身。
行业需要安理会对PCI相关的流动性问题作更深入的了解,罗森博格表示。他补充说,希克斯协会之间正在进行的战斗和其他人在移动支付策略可能放缓的能力对移动安全委员会更明确。他认为有一个“缺口”今天没有PCI指导,危险的是许多开发人员可能不采取措施为安全移动支付卡处理。
问及移动PCI委员会Russo和利奇承认PCI 3.0不单独对手机进行特殊的评论,但什么也没说在PCI 3.0被认为是不应该申请移动。
艾伦·梅斯默是资深编辑网络世界,IDG出版物和网站,在那里她涵盖了新足球竞猜app软件闻和信息安全相关的技术发展趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com