安全软件生命周期的调整:电子商务/支付卡行业

电子商务/支付卡行业

窃取大量资金的能力使支付卡行业（PCI）成为攻击者特别有吸引力的目标。作为回应，PCI成立了安全标准委员会，这是一个全球论坛，负责持续开发、增强、存储、传播和实施账户数据保护的安全标准。安全标准委员会制定了数据安全标准（PCI DSS），任何处理支付卡（包括借记卡和信用卡）的组织都必须遵守该标准。PCI DSS包含12项要求39，这些要求是企业为保护信用卡数据而必须实施的一组安全控制措施。这些具体要求包含在产品的安全要求中，如第2.1.1节第2项、第2.1.2节第6项和第2.1.3节第1项所述。12项要求如下：

1.安装并维护防火墙配置，以保护持卡人的数据。

2.不要使用供应商提供的系统密码和其他安全参数的默认值。

3.保护存储的持卡人数据。

4.通过开放的公共网络加密持卡人数据的传输。

5.使用并定期更新防病毒软件。

6.开发和维护安全的系统和应用程序，包括检测和缓解漏洞以及应用缓解控制措施。

7.根据业务需要限制对持卡人数据的访问。

8.为每个有计算机访问权限的人分配一个唯一的ID。

9.限制对持卡人数据的物理访问。

10.跟踪和监控对网络资源和持卡人数据的所有访问。

11.定期测试安全系统和流程。

12.维护一项涉及信息安全的政策。

原文始发于微信公众号（河南等级保护测评）：安全软件生命周期的调整:电子商务/支付卡行业