| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
联网企业实施PCI标准
文/李孟 在对网络欺骗、身份盗窃和其他安全问题的斗争中,American Express、Discover、MasterCard和Visa等共同创建了PCI(Payment Card Industry)数据安全标准。PCI将在6月30日开始使用,它包括网络安全和应用、持卡人数据保护、漏洞管理程序的维护和通过第三方评估进行定期验证等12种技术。 对于零售商、支付人和财政机构的电子商务来说,这项标准可通过统一不同信用卡公司的安全策略来简化流程。PCI标准可用于零售商、支付人和财政机构等本质上对持卡人数据进行存储、处理和传输的商业行为。PCI协会根据零售商或服务商所处理的成交量,对不采用PCI标准的商业行为制订了各种强制和惩罚措施。如果零售商或服务商对持卡人数据造成了危害或未使用PCI标准,他们可能会面临高额罚金。另外,PCI协会可以停止非PCI公司的信用卡处理特权。 对多数联网企业来说,采用PCI标准的代价是比较昂贵的。对小型商业用户来说,采用PCI标准还需购买安全产品,如加密、访问控制、活动监控和日志设备等。还有一些程序上的命令需要IT资源,如需要实施正规的安全策略和漏洞管理程序等。当采用了安全系统和策略之后,公司必须向PCI指定的审核员提交年度或季度的审计,以进行确认。 PCI开展的最大困难在于零售行业不像财政服务等行业一样重视安全性。数据库加密可能是PCI标准中最难以实施的技术,而最困难的IT管理则是制订一种综合的安全策略并对这些策略进行管理。 长期以来,获得统一的数据安全标准而不是一些分散的程序将会大大简化商业和支付人的处理过程。2001年以来Visa已经拥有了自己的持卡人信息安全程序,MasterCard去年也已推出了自己的站点数据保护程序。与此同时,许多其他厂商也已推出了各种产品和服务,用于帮助公司进入PCI标准。近日,Ingrian推出了一种用于PCI标准的加密规则。Qualys最近也对其管理平台进行了PCI扫描测试,用于探测、识别和报告Web站点基础设施和配置的漏洞。 为了保证网络安全、保护持卡人数据、定期检查安全系统和保证进程的可靠性,PCI数据安全标准列出了12条统一的要求: 1、 安装并维护用于保护数据的防火墙; 2、 不使用厂商提供的默认系统密码和其他安全参数; 3、 保护存储的数据; 4、 对通过公共网传输的持卡人数据和敏感信息进行加密; 5、 使用反病毒软件并定期升级; 6、 开发和维护安全系统及应用; 7、 限制对企业数据的访问; 8、 对每个通过计算机访问的个人分配惟一的ID; 9、 限制持卡人信息的物理访问; 10、跟踪和监控对网络资源和持卡人数据的所有访问; 11、定期测试安全系统和进程; 12、坚持维护信息安全的策略。 |
||||||||||||||||||||||||
