Проходя через требования PCI DSS 4.0, мы уже прошли половину пути. В ходе этого путешествия мы затронули криптографию, безопасность и управление периметром, сетевую безопасность, авторизацию и другие критические аспекты безопасности. Теперь мы сталкиваемся с проблемой аутентификации и управления идентификацией с восьмым требованием. 

Однако аутентификация — это не только пароли и CAPTCHA. Что касается обработки платежей и защиты данных держателей карт, от розничных продавцов и процессоров ожидается внедрение надежной и эффективной аутентификации в точке покупки и в любой системе, которая хранит информацию PAN. 

Читать

Работая над требованиями PCI DSS, мы столкнулись с несколькими призывами защитить данные от «неавторизованных пользователей». С точки зрения эксплуатации это имеет смысл — данные держателей карт должны быть защищены от использования или просмотра людьми, у которых нет на это причин. Однако любая эффективная система безопасности ИТ должна иметь метод, гарантирующий, что только авторизованные лица имеют доступ к ресурсам. Это седьмое требование PCI DSS 4.0 адреса – ограничение доступа к компонентам системы и данным держателей карт. 

Читать

Программное обеспечение, будь то локальная установка или веб-приложение, несет в себе риск атаки. Хотя фишинг и другие атаки социальной инженерии являются одними из самых распространенных форм взлома системы, хакеры по-прежнему ищут открытые уязвимости в программном обеспечении, будь то из-за ошибок или неправильно настроенных параметров. Вот почему шестое требование PCI DSS 4.0 подчеркивает практики и политики, помогающие поддерживать безопасность программного обеспечения. 

Читать