2008-8-15 包括網路商店在內,凡接受信用卡刷卡付費的組織都須符合支付卡行業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)。適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者,還須接受經由認可的第三方單位稽核與安全檢測。
台灣企業對於資安的法規遵循需求不若歐美企業,僅金融業面臨較多金管會法令規範、上市櫃企業受證交所稽核或與美國企業有業務往來者,須配合一定的安全等級。現在包括網路商店在內,凡接受信用卡刷卡付費的組織都須符合支付卡行業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)。適用對象包括發卡銀行、接受信用卡付款的商店。尤其每年的刷卡交易達6百萬筆以上者,還須接受經由認可的第三方單位稽核與安全檢測。
在總計12條的安全標準當中,有些是一般性準則,例如安裝防火牆、安全設備避免使用出廠時的預設值等,但另外也有一些具體的規範,例如針對在開放公共網路上傳輸持卡人資料需使用加密設備;第6.6項條文更指出,為確保網頁應用程式能抵禦攻擊,需採用程式碼檢測(Code Review)或在網頁系統前端部署應用層防火牆。此項要求目前僅視為最佳實踐,但在2008年6月底之後將成為正式標準。
網路安全廠商F5 Networks安全產品經理Ido Breger表示,當Code Review找出程式碼弱點時,需要程式設計師去修正程式碼、再經過品質檢測等過程後,才能上線使用,但這樣往往無法應付已上線系統的運作時間壓力。透過網頁應用程式防火牆能在第一時間透過參數設定等方式先阻絕將近95%的安全威脅,剩下的5%則再透過更詳細的組態設定來達到。
Ido Breger進一步指出,產品整合性與流量檢測時的延遲性問題,是企業評選應用程式防火牆時需要考慮的重點。目前F5的Application Security Manager(ASM)已能透過TMOS中央控管軟體與應用程式傳輸產品Big IP整合,另外ASM採用反向代理伺服器的技術,因此能對Full session做檢查同時避免延遲性的問題。
PCI DSS的12項要求標準可分為以下6核心領域:
(一) 建立並維護安全的網路
要求1:安裝並維護防火牆,以保護持卡人資料。
要求2:不要使用供應商預設的系統密碼以及其他安全參數。
(二) 保護持卡人資料
要求3:保護儲存下來的持卡人資料。
要求4:持卡人資料在開放、公開的網路中傳輸時必須加密。
(三) 維護漏洞管理的計畫
要求5:使用定期更新的防毒軟體。
要求6:開發並維護安全的系統與應用程式。
(四) 實施強有力的安全存取控制措施
要求7:根據業務需要限制對持卡人資料的存取。
要求8:為每一個存取電腦的使用者分配唯一的ID。
要求9:限制持卡人資料的實體存取保護。
(五) 定期監視並測試網路
要求10:追蹤並監控網路資源與持卡人資料的所有存取。
要求11:定期測試安全系統與程序。
(六) 維護資訊安全政策
要求12:維護一個資訊安全政策。
『Information Security 資安人科技網 』 http://www.informationsecurity.com.tw
亞利安科技:
http://www.ciphertech.com.tw
沒有留言:
張貼留言