来自 数据 2021-06-11 15:19 的文章

香港ddos防御_高防dns_如何防

香港ddos防御_高防dns_如何防

虽然一些组织还没有完成他们的PCI 3.1审计,新的PCI dss3.2已经由PCI委员会发布。它包括更严格的合规性规则,要求多因素身份验证,为服务提供商提供额外的验证程序,以及在显示时对主帐号(PAN)的屏蔽标准进行急需的澄清。与DSS的每个新版本一样,cc攻击防御php,都有许多增量更改、控制整合和澄清。不典型的是新版本的发布如此接近上一次迭代。我相信这是议会有意为之。太多违规行为的源头来自第三方服务提供商。安理会采取行动,收紧对这些实体的要求。影响服务提供商的关键新控制包括从治理到技术的各个方面。例如,新的12.4要求行政管理层正式承认保护持卡人数据和建立PCI合规计划的责任。在技术方面,服务提供商现在必须每六个月进行一次渗透测试,以验证其分段控制,并实施检测和报告安全控制故障的流程。很可能,对服务提供商来说,最困难的新控制是12.11,几万条cc攻击怎么防御,这要求他们每季度对其安全政策和操作程序进行审查,以确认人员遵守了这两项规定。这将大大增加服务提供商的内部审计部门所需的资源,以建立测试方法,以演示和执行季度测试。由于目前还没有关于这是否适用于每个季度所有员工的指导,大型服务提供商可能会受到重大影响。这种控制还需要qas在评估过程中付出更多努力,服务器ddos防御怎么弄,以确定评审是否具有必要的严格性和覆盖范围,以满足这种宽泛的控制要求。这些变化最终将导致更好的安全计划和更少的违规行为;尽管代价不小。审查下表,了解新的拟议需求。该指南还对下文未列出的几十个章节提出了修改或澄清。新PCI DSS 3.2指南此表仅讨论PCI DSS 3.2的新增功能。以下内容仅供参考,最终依据应以PCI安全标准委员会正式发布的文件为基础。剖面细节影响3.5.1条新要求服务提供商维护加密体系结构的书面描述;2018年2月1日生效。提供加密解决方案的任何服务提供商都必须维护有关其体系结构的详细文档,包括密钥管理。这可能会暴露许多依赖于不太可靠的解决方案(如全磁盘加密)的提供商,或者依赖于许多SAN解决方案中内置的底层加密技术,而这些解决方案对运行中的服务器不提供任何保护。6.4.6条变更控制流程的新要求,包括验证受变更影响的PCI DSS要求;生效日期:2018年2月1日。这是对需求的一个重要补充,它将迫使所有PCI实体对CDE中的每一个更改添加对PCI控制的潜在影响的分析。看到宽限期是很好的,因为这将迫使重新编写变更控制策略以及对流程和过程的技术更改—这两项都不是微不足道的工作。8.3.1条新要求8.3.1规定了对CDE具有非控制台管理访问权限的所有人员的多因素身份验证;自2018年2月1日起生效。这将多因素需求扩展到所有类型的管理访问,包括应用程序管理,并将需要进行技术更改以便于实现。宽限期将允许有必要的时间对其环境实施重大的技术更改。8.3.2条新的要求8.3.2提出了所有远程访问CDE的人员的多因素身份验证(包括以前的要求8.3)。10.8、10.8.1对服务提供商检测和报告关键安全控制系统故障的新要求;自2018年2月1日起生效。这是另一个重大变化,将影响过程和程序的正式化和文件化。甚至可能需要创建新的流程。11.3.4.1条新要求服务提供商至少每六个月对细分控制进行渗透测试;自2018年2月1日起生效。这一要求将导致服务提供商的费用增加,并可能导致一些价格上涨。12.4对服务提供商行政管理层制定保护持卡人数据和PCI DSS合规计划的责任的新要求;于2018年2月1日生效。这要求行政管理层正式承认保护持卡人数据(CHD)的责任,并正式授权和赞助PCI合规计划。这可能会加重上市公司高管层的责任。12.11新要求服务提供商至少每季度进行一次审查,ddos防御20g,以确认人员遵守安全政策和操作程序;自2018年2月1日起生效。虽然表面上看起来不太重要,但这一要求将需要更高级别的正式调查和文档记录。这将大大增加内部审计人员制定、实施和记录测试程序的负担。宽限期会有所帮助,ddos防御手段,但许多缺乏大型(如果有的话)IT安全部门的小型组织将很难满足这一新要求。FacebookTwitterEmail分享