论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
 文章标题 : 支付产业数据安全动态更新说明
帖子发表于 : 2015-03-02 14:03 
离线
初级用户

注册: 2010-07-13 16:58
最近: 2015-06-02 10:07
拥有: 204.00 安全币

奖励: 0 安全币
在线: 566 点
帖子: 40
PCI DSS和PA DSS即将迎来新的小版本更新,经过支付产业的研讨和确认,最新版本将分别为PCI DSS 3.1和PA DSS 3.1。

本次更新主要是针对SSL不再被认可为“强加密Strong Cryptography”。众所周知,由于其协议本身的弱点,SSL和早期版本的TLS已经不再被产业认可进行数据保护。SSL的 所有版本目前不再被PCI产业所认可为强加密方式保护持卡人数据,这也是本次PCI DSS 3.1和PA DSS 3.1更新的主要内容。
atsec将一如既往协助各个机构寻求合理的整改方案,也希望各个机构引起重视并尽早消除SSL所带来的安全隐患。
PCI标准支持文档最新版本:渗透测试指导即将发布。

针对PCI DSS 11.3所要求的渗透测试工作提出进一步的指南和最佳实践建议, 可以协助各个机构更好的理解渗透测试组件和方法的基本要求,选择合格的渗透测试人员,并完成高质量的渗透测试报告。atsec作 为本PCI SIG特 别工作组的核心成员,早在2013年度提出了本次指导编写的草案和提议,并积极地参与到该工作中。本次发布的指导内容将包括但不限于:
a)理解渗透测试所组成的不同组件,及其和脆弱性扫描的区别;
b)无论是外部还是内部渗透测试,通过对人员经验、人员资质证书等因素判断和决定合格的渗透测试执行人员;
c)渗透测试方法论指导;
d)完整渗透测试报告的指导,通过检查单的形式确认所有内容都在报告中有所体现;
atsec也于2015年初正式成立了@PT Lab渗 透测试实验室,更多参见http://www.atsec.cn/cn/news--393.html。 希望通过atsec在渗透测试领域的专注和投入,不仅配合PCI审核保护支付卡产业的持卡人数据安全,而且能够对更为广泛的IT安全领域做出应有的贡献。同时,atsec一如既往地提供外部 安全扫描(特别是PCI产业要求的ASV服务)。我们将以最高效的方式和最小的成本从远程方式检查对外可见的主机的安全脆弱性。如需该项服务请参见外部安全扫描委托合同:
http://www.atsec.cn/downloads/rfi/Commi ... y_Scan.doc

另外,1月27日 美国国土安全部(Department of Homeland Security) 通过计算机应急小组(US-CERT:Computer Emergency Readiness Team)警告机构关于命名为“GHOST” 的重要软件脆弱性,可能导致计算机系统的严重风险。

GHOST影响Linux GNC C库(glibc) 2.18之前的版本。黑客可以利用该漏洞进行远程代码执行,使其控制被影响的系统,可能通过删除文件、安装恶意程序造成严重损失,并通过盗取的帐号信息进行任何操作。可以考虑如下方式识别并降低该脆弱性的影响:
a)首先与机构内部IT部门和/或合作伙伴,识别所有服务器、系统和应用所采用的glibc版本;
b)采用了受影响的Linux版本的机构应该:
查阅VU#967332的脆弱性说明及其整改方案,
参见:http://www.kb.cert.org/vuls/id/967332


--------本帖迄今已累计获得17安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 支付产业数据安全动态更新说明
帖子发表于 : 2015-03-04 11:08 
离线
初级用户

关注按钮

注册: 2012-12-20 11:32
最近: 2015-11-14 23:44
拥有: 1,854.40 安全币

奖励: 4 安全币
在线: 2130 点
帖子: 51
地址: Shanghai
新版本什么时候release出来?


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012