PCI-DSS是幹什麼的不多做介紹了,主要是針對支付卡業務的合規要求,國內目前還不強制要求,但是銀聯和央行都再搞這類的合規標準了,大致都和PCI類似。
這類認證都是從ISO27001發展而來的,27001是屬於業務範圍的合規要求,規範了比較寬泛的信息安全的規範,而PCI DSS,SOX等都是基於管理層面的合規要求,大部分檢查內容都是基於和支付卡業務相關的內部管理流程和管理內容。
因此在PCI DSS中更加強調的是管理流程和流程中產生的輸出物,這2者之中更加重要的是流程是否存在,而非輸出物是否最合理。
PCI DSS合規中我們應該根據最佳實踐的指導對設計支付卡業務的各個部門進行整改,其中包括生產數據中心,設計卡的操作員,設計到銀行清結算的部門等。
從我的實施PCI DSS的經驗看來,基於收單接口部門是規範比較模糊的地方,比如PSTN屬於合規範圍內,移動的cmnet和cnwap都不屬於合規範圍,專線屬於合規範圍等。具體的符合性問題做一下pci的check list就比較清晰了。
關於PCI中比較重要的幾項技術類檢測:
1.***測試,一般會由審覈機構來進行內部網絡的掃描,onsite的。會通過一些掃描工具配合手工進行,比較常用的是nessus。
2.ASV定期測試,ASV測試是從外部進行的掃描,可以購買諮詢公司的定期掃描報告,也可以購買一些公司的產品,比如mcafee的PCI DSS的asv價格也相對合理,任何時候都可以發起。ASV掃描必須注意是需要包含支付卡業務這些對外IP的整個網段進行,不可以遺漏IP地址。
3.onsite的數據庫敏感信息檢查。
4.日誌的檢查,PCI要求日誌統一保存一年,所以準備過PCI的機構最好預算開始收集服務器的日誌。保存好最後提供給審覈機構。看不看就是他們的事情了,PCI關心的其實是有沒有。
今天就寫那麼多了,PCI內容相對還較爲簡單,希望大家都可以順利通過。