在全面的PCI数据安全计划中寻找什么?
要正确解决您的PCI数据安全问题并确保合规性,您需要为数据提供全面的端到端策略。策略必须符合高度特定的要求。而且,由于并非所有服务都提供真正的解决方案,您必须确保选择具有以下功能的服务:
1.保护存储的PCI数据
关于存储数据,PCI DSS需要三件事情。 首先,您必须限制密钥访问。
您需要一个平台,使您能够保护基础架构中的信息,无论您的模型是否具有云中的所有数据,还是分配在内部服务器和云之间。
在任何时候,您都需要知道安全密钥在哪里,哪些人有权访问,以及在什么情况下允许访问。
其次,您必须部署改进过的的密钥管理流程。您的平台必须能够控制如何处理安全密钥。如果一个人同时具有密钥和数据库访问权限,则数据不安全。一旦该人或其信任状遭到破坏,您的所有数据都将面临风险。加强安全的这一方面意味着确保至少在两个人之间分权。更多文章阅读:独立服务器cn.bluehost.com
第三,您必须澄清“不可恢复的数据”的意图。数据被删除后,至关重要的是将其数字化打碎,以使其无法被企业内外任何人恢复和使用。理想情况下,您将能够从一个数据安全管理员门户管理这三个安全组件。
2.限制持卡人资料的存取
PCI
DSS还要求您的企业具有适当的子控制程序以涵盖每个用户角色的访问需求,以及特权用户对必需的最少权限等其他重点限制。
简单来说,您需要一个平台,可以在需要知情的基础上限制持卡人对数据的访问。
不管您在企业内部的功能如何,并不是每个人都需要访问持卡人的数据。这意味着您的平台必须能够根据可识别和合理的业务需求来限制每个人的访问。
3.实现综合安全智能化
此外,PCI
DSS建立了跟踪和监控对网络资源和持卡人数据的所有访问相关的基本安全智能化要求。
Verizon的“2013年数据泄露调查报告”发现,66%的违规行为需要数月甚至数年的时间才能发现。
报告还发现,69%的违规行为被外部人员发现,9%被客户发现。 防止违规行为或快速找到它们的最佳方法是建立一个能够实现全面安全智能化的平台。
有效的安全解决方案必须能够以下列方式监控,记录和报告审核数据访问:
•提醒您异常访问模式,以便您可以迅速采取行动,确定原因并进行修复
•识别受到攻击的用户,管理员和应用程序,以便您可以阻止访问并保护持卡人的数据
•阻止管理模拟帐户,以防止某人绕过已建立的子控制程序
•防止暂停和停止发出未经授权访问持卡人数据的审核日志
•加速恶意的内部人员识别,在出现问题之前防止发生违规行为
•通过更高层次的洞察和观察实现合规性和合同授权的报告
