欢迎光临网防CDN首页! 您好, 新人有礼

网防CDN

新闻公告

Web应用程序安全性PCI认证和SOC2兼容性

发布时间:2018-04-16 08:58
cdn加速

在线数据安全性是所有组织都非常关心的问题,包括那些将关键业务操作外包给第三方客户(例如软件即服务云计算提供商)的组织。处理不当的数据特别是应用程序和网络安全提供商可能会泄露导致数据被盗用,勒索和恶意软件渎职的漏洞。
 
PCI认证:
 
支付卡行业数据安全标准(PCI DSS)是由VISA,万事达,Discover金融服务,JCB国际和美国运通联合制定的一套安全标准。合规计划旨在确保信用卡和借记卡交易免受可能的数据盗窃和欺诈行为。对于处理信用卡或借记卡交易的所有企业来说PCI认证是一项要求。它也被认为是保护敏感数据的最佳方式帮助企业与客户建立持久和信任的关系。
 
通过认证确保了一系列的要求以确保数据安全。例如企业必须限制对持卡人信息的访问并监控对网络资源的访问。PCI DSS认证确保遵循常见的最佳实践,例如安装防火墙、数据传输的加密、使用防病毒软件。
 
符合PCI标准的安全服务为企业提供数据安全标准并让客户知道他们的个人数据受到保护。客户希望PCI符合安全交易。根据每年业务流程的信用卡或借记卡交易次数,PCI合规性分为四个级别。分类级别决定企业需要做些什么才能保持合规性。
 
等级1:适用于每年处理600多万个真实世界信用卡或借记卡交易的商家。他们必须每年进行一次内部审核并且必须由认可扫描供应商每季度进行一次PCI扫描。
 
等级2:适用于每年处理一至六百万次真实世界信用卡或借记卡交易的商户。他们需要使用自我评估调查问卷每年完成一次评估。此外可能需要每季度进行一次PCI扫描。
 
等级3:适用于每年处理2万至100万电子商务交易的商户。必须完成使用相关SAQ的年度评估并且还可能需要每季度进行一次PCI扫描。
 
等级4:适用于每年处理少于20,000个电子商务交易的商家或者处理高达100万个真实世界交易的商家。使用相关SAQ的评估必须每年完成一次并且可能需要每季度进行一次PCI扫描。
 
除了这些合规性级别外PCI SSC还确定了处理持卡人数据和维护安全网络的12项附加要求。 所有这些都是企业遵守法规所必需的。他们是:
 
安全的网络:
 
1)必须安装和维护防火墙配置
 
2)系统密码必须是原始的
 
保护持卡人数据:
 
3)存储的持卡人数据必须受到保护
 
4)跨公共网络传输持卡人数据必须加密
 
漏洞管理:
 
5)必须使用防病毒软件并定期更新
 
6)必须开发和维护安全系统和应用程序
 
访问控制:
 
7)持卡人数据访问必须限制在业务需要知道的基础上
 
8)每个有计算机访问权的人都必须分配一个唯一的ID
 
9)对持卡人数据的物理访问必须受到限制
 
网络监控和测试:
 
10)必须跟踪和监控对持卡人数据和网络资源的访问
 
11)安全系统和过程必须定期测试
 
信息安全:
 
12)必须保持处理信息安全的政策
 
尽管多年来合规的基本规则保持不变,但定期增加新的要求以跟上在线威胁环境的变化。早在2008年PCI DSS就确立了针对一些最常见Web应用程序攻击媒介(例如SQL注入,RFI和其他恶意载体)的数据保护的要求。组织可以通过以下两种方式之一完成此操作:通过严格的应用程序代码审查或通过实施过滤恶意攻击的Web应用程序防火墙。
 
SOC 2合规性:
 
除了PCI认证外SOC2还是一个审计程序,可确保您的服务提供商在管理数据方面做得很好。对于数据驱动型企业来说这是考虑SaaS提供商时的最低要求。SOC2由美国注册会计师协会开发,并基于五项“信任服务原则”定义了管理客户数据的标准:
 
安全性:包括网络/应用程序防火墙,双因素身份验证和入侵检测。
 
可用性:定义为性能监控,灾难恢复和安全事件处理。
 
加工完整性:质量保证和加工监控。
 
保密性:包括加密访问控制和网络/应用程序防火墙。
 
隐私:包括访问控制双因素认证和加密。
 
与PCI DSS的具体要求不同,SOC2报告针对每个组织量身定制。根据具体的商业惯例每个人都根据上述一项或多项信任原则设计自己的控制。对于SaaS和云计算供应商来说SOC2合规性不是必需的。但是它在确保数据安全方面的作用不能被夸大。
 
网防cdn专业提供国内外高防cdn加速服务
 
本文链接:http://www.f8i.com/news/469.html