支付卡行业数据安全标准可持续合规性-Oracle.PDF

Oracle 白皮书 2014 年3 月 支付卡行业数据安全标准 可持续合规性 支付卡行业数据安全标准可持续合规性 引言2 Oracle 产品与PCI 解决方案的对应关系3 PCI 数据保护面临的挑战20 持卡人数据存在泄露风险20 加密时代来临20 Oracle 数据编辑和加密解决方案20 保护动态数据21 保护备份数据21 使用屏蔽数据21 解决密钥管理问题22 加密的致命弱点22 密钥管理方面的PCI 要求22 Oracle 密钥管理23 建立持卡人数据保护机制23 强身份验证23 监视、跟踪和审计23 维护安全配置24 管理特权帐户25 内部的敌人25 PCI 对风险的认知26 Oracle 管理特权帐户26 通过身份管理满足合规性要求，为业务提供助力27 安全且灵活的身份和访问管理27 身份和访问管理方面的PCI 要求28 身份管理挑战28 Oracle 身份管理解决方案30 总结31 参考资料32 支付卡行业数据安全标准可持续合规性 引言 许多组织一直在努力遵守支付卡行业数据安全标准 (PCI DSS)，这个标准是保护持卡人数 据和防止欺诈的支付卡行业要求。该标准由五家主要支付卡公司共同制定，当时他们协调 各自的计划形成了一套统一的要求。从那时起，PCI 安全标准委员会(PCI SSC) 已经发布 了多个更新版本，最新的版本3 于2014 年 1 月起生效。 这个标准包含 12 条要求和辅助指导，比大多数政府或行业安全指令更加规范，但是，遵 守该标准常常需要耗费远超必要的过多资源和成本，而且出错的可能性也过大。考虑到通 过低效的劳动密集型流程手动收集和分析日志数据、编制报告以及维护和验证安全控制和 策略需要付出的劳力，根据您组织的层次，每年的平均成本可能会超过数十万美元。 访问控制、数据保护和配置管理策略不仅难以实施，而且在实践中更加难以维护、管理和 执行。合规性和安全性程序通常过于缓慢或不灵活，无法应对当今动态业务环境中不断变 化的业务需求。手动控制和/或实施和管理不善的控制不仅成本高昂，容易出错，而且实际 上会防碍高效的经营，而且并没有明显改善安全性。因此，个人甚至部门可能会规避策 略，转而自行其事。于是，在技术上符合 PCI DSS 的组织中发生重大数据泄露事件就不 足为奇了。 组织可以实行一种高效、可重复和可持续的安全计划，以满足其履行 PCI 义务的技术要 求，同时提供该标准制定之初意图实现的持卡人数据保护级别。本白皮书将介绍 PCI 合规 性计划的要点，重点阐述构成大部分核心要求的关键但有问题的方面： • 防止未授权使用持卡人数据 • 实施强有力的特权用户和数据访问控制 2 支付卡行业数据安全标准可持续合规性 • 实施集中、自动化、基于角色的访问控制、授权和身份验证 • 提供系统和数据库审计，以及数据库活动监视 Oracle 全面的数据安全、身份管理和配置管理产品系列提供了安全纵深防御，从而有助于 满足 12 项要求中的6 项。其余的第 1、4 、5、9、11 和 12 项要求分别与杀毒软件和网络 防火墙的部署、持卡人数据通过公共网络的加密传输、物理安全控制、测试和维护管理策 略有关。 Oracle 产品与PCI 解决方案的对应关系 下面是一个汇总表，其中显示了 Oracle 的数据安全、身份管理和配置管理系列解决方案与 PCI DSS 具体条款的对应关系，从而帮助满足客户的合规性需求。 章节 PCI 3.0 要求 对应的ORACLE 功能 构建并维护安全的网络和系统 2: 不要使用供应商提供的默认系统口令和其他默认安全参数 恶意个人 （公司的内部和外部人员）经常使用供应商提供的默认口令和其他默认设置来危害系统安全。黑客社区十分了