要求7、8、9组成目标4实施强访问控制措施,旨在实施和监控作为 PCI DSS 合规性环境一部分的系统组件中识别、身份验证、授权和权限管理的物理和逻辑控制,以防止未经授权的访问。 控制资产的机密性、完整性和可用性,并启用主体(人员或计算机系统)与客体在环境中执行的操作之间的关系。PCI DSS v3.2.1 PCI DSS v4.0Implement Strong Access Contro
这两个要求的目的是确保合规性环境中的可跟踪性,以便检测恶意模式,并作为取证调查的基础,并验证环境的安全级别是否随着时间的推移继续可接受。要求 10:记录和监控对系统组件和持卡人数据的所有访问要求 10 定义了记录影响环境系统组件和持卡人数据的活动所需的安全控制,以便主动识别任何可疑事件并能够进行事件后调查。此要求的关键元素是事件/审核日志(或日志)及其在时间级别的同步,以确保特定事件中涉及的所有资
本文分析 PCI DSS 标准 4.0 版中要求 12(第 6 组“维护信息安全策略”的一部分)的变化。要求 12:通过组织策略和计划支持信息安全PCI DSS v3.2.1 PCI DSS v4.0Maintain an Information Security PolicyMaintain an Information Security PolicyR12. Maintain
PCI DSS 标准要求 5 和 6 ,侧重于软件级保护,以防止、检测和缓解对范围内系统组件中漏洞的利用。在 PCI DSS 版本 4.0 中,这些要求被重命名,以阐明和扩大其操作范围,更正版本 3.2.1 中确定的一些约束。PCI DSS v3.2.1 PCI DSS v4.0 Maintain a Vulnerability Management Program Maintain a Vuln
本文将分析属于“保护账户数据”组的要求3和4,重点是保护支付卡数据在通过开放和公共网络存储和传输过程中的机密性和完整性。与大多数 PCI DSS 4.0 要求一样,要求 3 和 4 已重命名,以扩大其范围,并使这些控制与标准的适用性保持一致,如第 2 节“PCI DSS 适用性信息”中所述:PCI DSS 要求适用于具有存储环境的实体。 处理或传输帐户数据(持卡人数据和/或敏感身份验证数据)(PC
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号