来自 网络 2021-10-13 21:05 的文章

cc防护_ddos防御套餐_3天试用

cc防护_ddos防御套餐_3天试用

2014年的假期就要到了,预计零售额也将达到数十亿美元。人们不仅对创纪录的零售收入抱有很高的期望,而且对在网上和零售地点进行假日购物的消费者来说,移动支付解决方案的使用率也在不断提高。新的移动支付替代品的发布是人们期待的焦点。PCI DSS验证这些安全解决方案已经被行业领先的支付安全技术(或支付卡)所验证。但它们是否真的根据PCI数据安全标准(DSS)进行了验证?更重要的是它们安全吗?新的支付技术比旧的技术更安全吗?大多数安全专业人士会告诉你"合规性不等于安全性",合规性标准(如PCI)是一组最基本或最基本的标准,应该作为任何体面的安全计划的起点。新的移动支付系统/应用程序必须根据PCI DSS进行验证,这是迈向安全的重要第一步。抢购随着这些新支付技术的大力推广,我们怎么知道它们是否安全?它们是否经过独立测试,或者我们只能依赖供应商的索赔?在一位前客户询问我对PCI安全标准对移动销售点系统的看法后,我开始问自己这些问题。他给我发邮件说:"我对第三类移动设备特别感兴趣,其中移动应用程序使用信用卡。我似乎找不到PCI委员会或合格的安全评估人员提供任何指导。"简单的回答是,PCI委员会还没有发布任何关于移动支付系统的标准。然而,他们在这个问题上也没有完全沉默。委员会的一个担忧是,由于技术发展如此迅速,他们生产的任何标准在发布之前都可能过时。您可以在他们的网站上找到以下项目:移动支付受理应用和PA-DSS常见问题解答PCI PTS POI模块化安全要求,版本3.1(1类)PCI支付应用程序数据安全标准(PA-DSS),2.0版(2类)使用智能手机或平板电脑接受移动支付(第3类,高防cdn目标客户,场景1)如果你仔细阅读这些文档,你会看到一个共同的口号:"使用认可的技术,需要P2PE。"据我所知,这些产品中没有一个是通过与任何现有标准(尤其是PCI DSS)进行比较而以任何权威方式获得批准的。那么,新的支付技术比旧的技术更安全吗?事实上,它们通常不那么安全。由于市场力量的原因,新技术往往被匆忙投入生产,而且在发布前往往没有经过全面的安全测试。一旦黑客(好的和坏的)开始把注意力集中在新技术上,漏洞就会被发现。通常,这些漏洞甚至与技术本身并不直接相关,而是与技术的实现有关。这是一种非常常见的开发方法,新技术同样容易受到这种滥用和误用的影响。旧应用程序,新应用程序我在过去几年看到的移动应用程序似乎可以分为三类:一个安装在移动设备上的允许刷卡的应用程序,最常用于出租车司机一款允许用户输入支付数据并提交授权的应用程序——一款真正的移动POS应用程序一个应用程序,接受相同的支付数据,但只是通过现有的"传统"基于网络的支付应用程序传递数据。在这种情况下,移动应用程序只需将传统页面重新格式化为适合移动屏幕的格式,海外游戏ddos防御,几乎就像现有电子商务/支付应用程序的包装随着技术的飞速发展,现在出现了第四类:替代移动支付技术采用令牌化来处理支付,而无需传输支付卡数据那么这些解决方案是如何被PCI社区认可的供消费者使用的呢?我相信许多qsa,高防打不死cdn,试图做正确的事情,寻找支付应用数据安全标准(PA-DSS)的答案。在大多数情况下,PA-DSS将不适用,但许多QSA认为,"嗯,这是一个应用程序,所以它必须服从PA-DSS。"这不一定是真的,因为PA-DSS的资格要求有几个重大漏洞。第一个是:如果应用程序是国产的,并且只由制造它的公司(内部)使用,那么PA-DSS不适用。第二个是:即使内部应用程序是由第三方承包和开发的,只要它只由一个客户使用,它就被认为是"定制的",PA-DSS不适用。最后:如果应用程序可以使用SaaS模型,则PA-DSS不适用。这些限制性条款实际上取消了大多数电子商务应用程序受PA-DSS约束的资格。为防止数据泄露提供最佳机会的最佳实践安全原则没有改变。最好的做法是将PCI DSS要求应用于支付应用程序,并将移动设备视为所提供服务的一部分和持卡人数据环境(CDE)的一部分。如果你把移动设备看作是一个典型的物理POS设备——就像你在零售商店里发现的那样——然后意识到有成百上千的POS设备到处走动,而不是你的所有,这会让你在安全问题上三思而后行。在这种情况下,12种PCI-DSS类别都可能无法满足。你该怎么办?好消息是,对于当今所有可用的新技术,为防止数据泄露提供最佳机会的最佳实践安全原则没有改变。您必须能够识别和跟踪网络的所有组件,特别是端点,如移动设备。您必须通过持续监控的持续流程来维护安全性,以确保系统配置和维护安全,必要时进行修补,DDOS攻击防御本科生论文,安全保护正在积极工作,最重要的是,系统正在生成事件和审核日志,以便进行持续的监视和审核。Tenable的安全中心连续视图™ 是一个很好的工具。我的建议是寻找一种遵守这些基本安全原则的支付解决方案:保护设备内存中的数据,加密数据和/或使用加密通信协议进行上游传输,无论如何,都要关注聚合点(所有的移动应用程序事务都集中在一起),硬件防御ddos,并最大限度地保护它们——为初学者使用PCI DSS要求。