来自 防护 2021-05-01 08:05 的文章

香港高防服务器_香港高防10m_指南

香港高防服务器_香港高防10m_指南

支付卡行业数据安全标准(PCI-DSS)合规性包括12个方面,涉及保护支付数据的技术和人的方面。虽然这些不同的领域对法规遵从性和风险缓解都至关重要,但企业更可能在PCI的某些方面遇到困难。专家级首席信息安全官(CISO)似乎比其他标准更"关心"几项合规标准,这可能是某些PCI要求风险或难度增加的自然副产品。值得注意的是,PCI合规性不应在您的年度合规性最终报告(FRoC)到期前的几周内成为一个"疯狂的冲刺"。PCI合规性是一个不断变化的目标,也是一个全年的努力。根据Verizon research的数据,只有29%的公司在获得初始合规证书一年后就完全符合PCI-DSS标准。有许多常见的PCI陷阱会导致数据泄露的重大风险。请加入我们,了解PCI DSS合规性方面的内容,这些领域可能会增加数据泄露的可能性,或者可能是最难实现的。1测试安全系统PCI要求11规定供应商必须"定期测试安全系统和流程"。根据Verizon,行业合规性平均值下降的唯一领域是满足测试要求,从40%下降到33%。尽管法规遵从性水平很低,但信息安全专家Kevin Beaver指出,这一要求"一直是企业面临的挑战"最终,自建高防cdn,PCI DSS法规遵从性的主要目标是保护客户免受未经授权的访问、盗窃和数据泄露。根据PCI要求,定期进行渗透测试是模拟外部网络犯罪攻击的行为。这使组织能够识别其网络中的危险漏洞。测试安全系统的另一个关键组件属于文件完整性监控,这在PCI 10.5.5和PCI 11.5中有明确规定。文件完整性监控应至少每周进行一次。保持关键文件的完整性可以减少漏洞,并有助于及早发现网络犯罪未遂攻击。通过满足或超过文件完整性监控要求,组织可以确保他们不会因为修改日志数据或其他关键系统文件而面临风险。最终,测试应该比每年甚至每季度更频繁地进行。对网络配置、安全软件层或您的技术的任何其他方面的更新都可能在您的系统中引入新的漏洞。最理想的情况是,组织应努力持续进行PCI合规性测试和监控。2维护安全标准PCI要求6规定公司必须"开发和维护安全系统和应用程序"。CISO经常意识到"开发"或"实施安全系统"的行为与安全维护完全不同。据Verizon称,维护和访问监控是每个遭受数据泄露的组织都会发现的两个不合规领域。研究表明,根据合规性评估的中期报告,绝大多数实现PCI合规性的组织未能维持这一标准(80%)。Verizon的研究指出,缺乏流程和控制是公司在年度最终合规报告(FRoC)评估期间难以保持合规性的常见原因。持续监控和主动识别技术对于了解自上次FRoC评估以来您的网络安全标准是否有所下降至关重要。三。创建策略最后一项PCI要求,即#12,要求组织"维护一项解决信息安全问题的策略"。这就要求您不仅要在组织的独特结构中创建,而且要"维护一系列说明如何满足DSS要求的策略文档"。政策对所有规模的公司的CISO来说都是一个挑战,因为政策是一个由人驱动的纪律,可能需要与人力资源、法律顾问和领导团队的其他成员合作。有效的策略解决的不仅仅是IT工作流和过程。它们还应涵盖人力资源、物理安全、管理等。政策应明确说明贵公司将如何满足PCI合规性的其他11项要求。它还应说明您将如何对员工进行安全最佳实践的培训和教育,并强调所有员工保护持卡人数据的责任。4跟踪和监控网络访问PCI要求10规定公司必须"跟踪和监控对网络资源和持卡人数据的所有访问"。与维护安全标准一样,网站cc防御策略,未能满足PCI合规性要求与数据泄露完全相关。审查网络活动和用户登录可以让组织快速检测未经授权的访问,并实时降低攻击风险。《PCI Compliance Guide》(PCI合规指南)将此要求简单地表述为:需要"确定"谁、什么、何地和何时访问您的数据处理资源。您的组织还必须能够检测到试图修改日志数据以覆盖访问轨迹的尝试,进行cc攻击防御,并进行文件完整性监控。无论您的公司遭受的是内部攻击还是第三方攻击,能够监视管理日志和用户日志可以让CISOs及其团队快速识别攻击和风险源。5实践访问管理PCI的第7条要求规定,组织机构"根据业务需要了解限制对持卡人数据的访问。"TechTarget的Diana Kelley和Ed Moyle表示,这包括访问管理的两个组成部分:限制访问的策略和过程支持访问限制的技术系统组织很少在这两个方面都失败,特别是在支持访问治理的技术变得普遍的情况下。在缺乏专门的访问治理团队的中小型组织中,这一要求可能很难实现。最常见的是,ciso发现他们的组织缺乏访问限制的人的方面,特别是策略和过程。为了确保遵守,CISO应实施严格的密码协议,美国高防cdn代理,包括共享登录和定期更改密码的规则和影响。如果您的组织有有效的技术来限制访问,那么您的策略和流程应该能够支持和实施这些需求。其他PCI合规性要求虽然这些要求并不是实现和维护PCI合规性所需的唯一活动,ddos攻击的防御方法,但它们是最有可能积极关注CISO的活动之一。虽然具体的组织要求可能因PCI级别而异,但其他高级要求包括:安装和维护防火墙避免使用默认密码保护存储的持卡人数据加密公共网络上的数据传输使用更新的防病毒软件分配唯一的用户标识凭据限制对数据的物理访问完全满足12项要求中的每一项对于组织避免与不合规相关的昂贵的财务处罚至关重要。技术与工艺虽然组织结构可能会有很大的变化,但很明显,PCI合规性始终是一个不断变化的目标。公司必须全年努力满足PCI法规遵从性中最具挑战性的方面。通过实施正确的技术和过程来支持文件完整性监视、测试、访问限制和其他方面的法规遵从性,您可以显著降低数据泄露的风险。要了解有关Cimcor的PCI兼容文件完整性监控解决方案的更多信息,请单击此处。hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(1978802,'c5b90949-83c4-4a3b-a64a-a26f41ad969e',{});