[Chinese]PCI-DSS的新要求
前不久,PCI委员会公布了两则安全要求的新解释 – 关于渗透测试11.3,以及关于Web应用安全的要求6.6. McAfee的官方博客进一步讨论了这两则具体要求。
关于渗透测试,PCI并不要求某些具体的人员或者厂商做安全扫描或测试,内部人员或者其他有能力的资源都可以,至少每年一次。在范围上,与持卡人数据有网络连接的所有信息系统都在测试范围。
关于Web应用安全,从6月30日开始生效,提供了两个选项-
其一是Web应用代码评审又进一步分成了四种做法,它们是:
* Manual review of application source code
* Proper use of automated source code analyzer (scanning) tools
* Manual web application security vulnerability assessments
* Proper use of automated web application security vulnerability assessment (scanning)
tools.
该要求与企业自身的软件开发生命周期管理(SDLC)有关。
其二是使用应用层防火墙。要求提到不仅仅是产品的选择和安装,更重要的是架构、策略配置和管理维护等各种环节。
此处可以下载相关的各个要求文档。
Recent Comments