排行
数据库百科
核心案例
行业报告
月度解读
大事记
产业图谱
中国数据库
向量数据库
时序数据库
实时数据库
搜索引擎
空间数据库
图数据库
数据仓库
大调查
2021年报告
2022年报告
年度数据库
2020年openGauss
2021年TiDB
2022年PolarDB
2023年OceanBase
首页
资讯
活动
大会
学习
课程中心
推荐优质内容、热门课程
学习路径
预设学习计划、达成学习目标
知识图谱
综合了解技术体系知识点
课程库
快速筛选、搜索相关课程
视频学习
专业视频分享技术知识
电子文档
快速搜索阅览技术文档
文档
问答
服务
智能助手小墨
关于数据库相关的问题,您都可以问我
数据库巡检平台
脚本采集百余项,在线智能分析总结
SQLRUN
在线数据库即时SQL运行平台
数据库实训平台
实操环境、开箱即用、一键连接
数据库管理服务
汇聚顶级数据库专家,具备多数据库运维能力
数据库百科
核心案例
行业报告
月度解读
大事记
产业图谱
我的订单
登录后可立即获得以下权益
免费培训课程
收藏优质文章
疑难问题解答
下载专业文档
签到免费抽奖
提升成长等级
立即登录
登录
注册
登录
注册
首页
资讯
活动
大会
课程
文档
排行
问答
我的订单
首页
专家团队
智能助手
在线工具
SQLRUN
在线数据库即时SQL运行平台
数据库在线实训平台
实操环境、开箱即用、一键连接
AWR分析
上传AWR报告,查看分析结果
SQL格式化
快速格式化绝大多数SQL语句
SQL审核
审核编写规范,提升执行效率
PLSQL解密
解密超4000字符的PL/SQL语句
OraC函数
查询Oracle C 函数的详细描述
智能助手小墨
关于数据库相关的问题,您都可以问我
精选案例
新闻资讯
云市场
登录后可立即获得以下权益
免费培训课程
收藏优质文章
疑难问题解答
下载专业文档
签到免费抽奖
提升成长等级
立即登录
登录
注册
登录
注册
首页
专家团队
智能助手
精选案例
新闻资讯
云市场
微信扫码
复制链接
新浪微博
分享数说
采集到收藏夹
分享到数说
首页
/
案例 | 你的安全我来保证—支付卡行业数据安全标准
案例 | 你的安全我来保证—支付卡行业数据安全标准
Cloudera中国
2016-02-19
402
点击上方“公众号”蓝字
可以订阅哦!
概述
支付卡行业数据安全标准
(PCI-DSS) 是保护消费者信用
卡数据的全行业框架体系。任何
公司在进行信用卡数据存储、处
理或传输时,必须遵守支付卡行
业数据安全标准(PCI-DSS)以
确保数据安全和保护数据。
根据2014年Verizon公司数
据泄密调查报告显示,支付卡数
据仍然是最简单的现金转换数据
类型之一;正因为如此,支付卡
成为犯罪分子的首选目标。事实
上,74%的犯罪将零售、住宿
和餐饮业企业的支付卡信息作为
目标。
但是,对静态卡号进行加密
及恰当地管理加密密钥并不能防
止所有支付卡黑客攻击,使用这
些安全最佳实践通常可以削减泄
密所造成的代价昂贵的后果。
历史和范围
PCI-DSS是由五家主要的信用卡公司建立的独立数据安全标准,这五家公司分
别是:Visa、MasterCard(万事达)、Discover、American Express(美国运通)
和Japan Credit Bureau(日本信用卡株式会社)。建立该标准的目的是确保持卡人
数据受到恰当的保护,且商家的数据存储、处理、传输过程满足最低安全性级别要
求。2004年,支付卡行业安全标准委员会成立,使各信用卡公司的独立政策调整为
全行业的标准。
“
2013年,66%的PCI数据泄密事件
涉及“静态”数据。
成立至今已经10年,处理持卡人数
据的所有实体公司必须都遵循PCI-DSS
法规的要求。2014年1月,3.0版本的安
全标准正式生效,要求各企业机构降低
由于第三方(例如云服务提供商和支付
处理)所引起的支付卡风险。新版本的安全标准还强调,接受和/或处理支付卡的
企业和组织机构有责任确保他们所依赖的提供外包解决方案和服务的第三方,也须
使用适当的安全措施。这包括以下几方之间的合同要求:企业、零售商和接受银行
卡支付的其他实体以及特别规定支付卡安全保障义务的第三方。
由于因不遵循PCI-DSS法规而导致的安全漏洞问题,相关的违规企业机构可能
会受到严厉的处罚和罚款。
“
2013年,截至年度基线时只有
11.1%的企业机构完全符合
PCI-DSS标准要求。
支付卡行业数据安全标准
(PCI-DSS)包含12个类别的规定。Cloudera 企业版的合规性安全解决方案,包括
Navigator 加密
和
Navigator 密钥托管人
,
可帮助满足其中五个最难类别的规定,如下列粗体字部分所述。
1、 安装及维护防火墙
2、不使用供应商提供的默认密码;制定配置标准
3、保护已存储的数据
4、持卡人数据在公共网络上进行加密传输
5、 应用并定期更新杀毒软件
6、开发并维护安全系统和应用
7、按照业务和须知限制对数据的访问
8、为每一位计算机访问者分配一个唯一的ID号
9、 限制对持卡人数据的物理访问
10、跟踪和监控所有对网络资源和持卡人数据的访问
11 、定期测试系统,以确保在任何时间以及发生变更时保持安全性
12 . 维护信息安全策略
我们将讨论Navigator 加密和密钥托管人如何有助于满足上述第3条、第4条和第7条
的要求。上述第6条和第10条的要求可以通过Cloudera 企业版中其他内置的安全特性予以
满足。欲了解更多信息,请访问以下网址
www.cloudera.com/security
。
存储数据的保护
支付卡行业数据安全标准(PCI-DSS)第3部分规定了对已存储的持卡人数据的保护:
3.1 通过实施数据保留和处理策略、程序和流程,保持持卡人数据存储的最小化。
3.2 经授权后不得存储敏感性验证数据(即使已经经过加密)
3.3 在显示时,屏蔽主账号(PAN)(前六位和最后四位数字是可显示的最大位数)。
3.4 使PAN无法辨认,无论其存储在任何地方(包括便携式数字媒介、备份媒介及
日志),也无论通过使用下列任何方式:基于强效加密的单向散列(散列必须
是整个PAN);截断(散列不能用于替代PAN的截段部分);索引标记及索引
簿(索引簿必须安全地存储);以及具备密钥管理流程和程序的强加密算法。
PCI-DSS 3.0版本中包含的新要求和子控件要求各企业机构更加注重加密密钥的管理性
和安全性。
3.5 防止任何用于保护持卡人数据的密钥泄密和滥用。
3.5.1 限制最低数量的人员可以访问密钥。
3.5.3 必须尽可能减少密钥的存储位置。
3.6 完整记录并实施用于持卡人数据加密密钥的所有密钥管理流程和程序。
附加3.6子控件:当密钥的使用寿命终结或受到损害时,在更换密钥过程中要求遵循
最佳实践,并且要求管理密匙的受托人应知悉并承担他们的责任。
符合PCI-DSS第3部分规定的最简单方法是加密所有“静态”的持卡人数据,并将加
密密钥存储在远离受保护数据的地方。
“
“静态”数据在很多方面更容易成
为目标,相比传输的“动态数据”
通常具有较大的数据暴露窗口。
Navigator 加密是Cloudera 企业版一个不
可分割的组成部分,提供了一种透明的数据加
密解决方案,使企业机构能够在Linux操作系统
上保护“静态”数据;其中包括客户PAN、信
用卡号、及其他个人身份信息。
加密密钥是由Navigator 密钥托管人进行管理(Navigator 密钥托管人是一种基于软
件的通用密钥服务器,可存储、管理并执行Cloudera和其它加密密钥的策略。Navigator
密钥托管人具备强大的密钥管理策略,可以防止云和操作系统管理员、恶意行为者和其
他非授权人员访问加密密钥和敏感性数据。
那些必须遵守PCI-DSS规则的企业机构可以使用Navigator密钥托管人(Cloudera 企
业版内置的安全解决方案)来存储和管理加密密钥,与加密的持卡人数据分开存放。这
种做法非常重要,因为可以防止加密密钥丢失导致数据泄密。
所有密匙管理流程和策略都需有文档以备审计。
公共网络上持卡人数据的加密
PCI-DSS的第4部分提出了针对开放、公共网络中持卡人数据的加密要求:
4.1在开放、公共网络中传输数据时,应使用强大的加密和安全协议(例如
SSL/TLS、IPSec、SSH等)保护敏感性的持卡人数据。
SSL或SSH会话仅在协议能够控制访问和身份验证时才能确保其安全。SSH(或
Secure Shell)密钥将用于验证安全管理会话。如果密钥被存储在纯文本中,该密钥被存
储的特定数据库或文件因为黑客攻击而遭受损害,或发生硬件丢失或被盗情况,未经授
权的第三方就能够获得支配整个网络的自由管控权,包括访问正在传输的持卡人数据。
通过管理数据传输过程中用于保护敏感性数据的密钥和证书,Navigator密钥托管人
可以帮助企业机构满足PCI-DSS的第4部分准则。Navigator密钥托管人提供了强大的安全
策略 - 包括多重身份验证 - 管控敏感性SSL和SSH密钥的访问。将这些密钥存储在
Navigator密钥托管人服务器中,将防止在某个设备被盗或文件被偷看的情况下出现未经
授权的访问。即使黑客获取了SSH登录凭据并登录为受信任的用户,Navigator密钥托管
人密匙释放策略被预先设置为自动触发向指定的“受托人”发送一份通知,以要求他们
批准密匙释放。如果受托人拒绝密匙释放,SSH访问将被拒绝,并会创建一份表明拒绝请
求的审查日志。
访问限制
PCI-DSS的第7部分要求按业务需要限制对持卡人数据的访问:
7.1 限制对系统组件和持卡人数据的访问,只允许因工作需要的人员方可访问。
7.2 针对多用户的系统组件建立了一套访问控制体系,可根据用户的需求限制访问,
并且被设置为“拒绝所有”(除非明确允许)。
Navigator 加密遵循PCI-DSS第7部分的规定可防备强大的Linux用户和恶意行为者来
保护数据。凭借Navigator加密,只有授权的数据库帐户,同时分配了与核准的网络客户
端上的应用相关联的数据库权限,方可访问在服务器上的持卡人数据。未获得Navigator
加密密钥的操作系统用户无法读取已经加密的数据
。
Navigator密钥托管人提供了一个额外的安全层,允许企业机构设置各种密匙释放策
略,包括纳入考虑的请求密钥的人员、密钥请求发起的位置、当日时间以及密匙可被其
他人取回的次数等等。
法规遵循解决方案
Cloudera公司的产品可以轻松快速很经济性地应用为符合PCI-DSS规定的解决方
案。由于Navigator 加密的存在,加密是“透明的”,但是同时文件的读取和写入实际上
经过了AES加密/解密。强密钥管理技术可以保证密钥通过多层的先进加密技术进行保
护,并且始终与被加密的文件分开存储。基于流程的访问控制列表确保了只有获得授
权的系统进程可以访问密钥以便对文件进行解密。在数据库遭受黑客攻击或者物理磁
盘因盗窃或处置不当时,这样就可以最大限度地减少未授权访问加密数据的风险。
Navigator密钥托管人针对安全密钥和其他敏感性不透明对象提供了强大的保
护。在企业和托管环境中运行的先进控制策略可以确保密钥的安全性,防止发生未
经授权的访问。对敏感性数据进行加密,保护关键性密钥,同时实施增强的、多层
次安全性和访问控制是保护持卡人数据的最佳做法。
Cloudera简介
Cloudera通过提供基于Apache Hadoop的首个统一化的大数据平台,正在对企
业数据管理进行变革。Cloudera为企业提供一个集存储、访问、处理、保护以及分
析所有数据的一个平台,使企业能够增加现有投资的价值,同时从根本上革新从数
据中挖掘价值的方式。Cloudera的开源大数据平台在全球使用最为广泛,而且
Cloudera为开源Hadoop生态系统的贡献量最大。同时作为Hadoop的领先职业教育
机构,Cloudera已经培训了来自世界各地的22,000多名学员。超过1400家合作伙伴
和一个经验丰富的服务团队在致力于交付更多价值。唯有Cloudera可以提供主动且
预测性的支持服务以确保企业数据中心无忧运行。全球各个行业的领先企业和顶尖
的公共组织都正在生产环境中使用Cloudera。
Cloudera公司网址:www.cloudera.com
登陆网址:go.cloudera.com/ced
下载Cloudera企业免费试用版。
安全
文章转载自
Cloudera中国
,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
评论
领墨值
有奖问卷
意见反馈
客服小墨
