The Payment Card Industry Data Security Standard (PCI DSS) sets forththe security requirements for organizations that store, process and/ortransmit credit or debit card transactions.These requirements stemfrom a series of significant security incidents affecting databases of consumer credit information over the past decade.

What does PCI DSS mean to you as a database professional?If you review the PCI DSS standard,you’ll find seventeen pages packed with detailed requirements forsecuring cardholder information.If your organization processestransactions, it’s a good idea to review the entire standard and ensureyou’re meeting all of those requirements.That said, I’ll highlight afew salient points that pertain directly to database professionals.

Place the database in an internal network zone, segregated from the DMZ.PCI requires that you place your database server on your internalnetwork and that you deny attempts to directly access the database fromuntrusted networks.Additionally, you must use private IP addressesfor the database server.
Change vendor-supplied default passwords. You must ensurethat your database uses strong passwords for all user accounts and thatyou change the passwords for any default accounts supplied by yourdatabase vendor.
Encrypt all non-console administrative access.You’rerequired to use encryption technology (e.g. VPN, SSL, ssh) to encryptany administrative connections to the database.This reduces the riskof an eavesdropper obtaining administrative credentials to the database.
Keep cardholder data storage to a minimum.You should neverstore cardholder data that you no longer need.If you don’t need tostore it, don’t.If you’re finished with it, purge it from yourdatabase.In all cases, you may never store data from the card’s magnetic stripe or the three digit security code on the back of the card.
Encrypt card numbers that you do store.If your businessrequirements dictate that you store card numbers, you must encrypt themusing a strong encryption algorithm.Furthermore, you must use soundkey management practices to limit access to the encryption keys.
Ensure that you patch your database regularly. A recent study revealed that many DBAs seldom, if ever apply security patches.PCI requires that you apply security updates within one month of their release.
Develop web applications securely.Granted, DBAs seldom havecontrol over the code written by developers, but it's important that weact as security evangelists, educating developers about the risk posedby database attacks such as SQL injection.
Practice secure user management.In addition to the controlsyou'd expect, such as requiring individual user accounts with strongpasswords, you also need tomanage database roles and rights in a fashion that limits access to those with a need to know.
Log everything.PCI requires that you record the name of theuser, type of event, timestamp, and other technical information aboutany individual user access to cardholder data, administrator actions andfailed authentication attempts.

This article provides only a high-level overview of the PCI DSSrequirements most applicable to database administrators.I encourageyou to review the entire standard and discuss it with other IT and business professionals in your organization.

תגיות המאמר: רגולציה, סליקה, כרטיסי אשראי, pci, תקן pci, pci dss, דרישה 106, pcidss, תקן 106, חברות מוסמכות לתקן pci, pci compliant, PADSS, תקנים, סליקת כרטיסי אשרא, דרישה 10 6, תקן 10 6, בנימין ברוך, בנגי ברוך, ברוך, יועץ אבטחת מידע, בנגי, סקרי סיכונים, בנגמין ברוך

מקור המאמר: Academics – ספריית המאמרים של ישראל

הדפסת המאמר |

שלח לחבר |

פרסם את המאמר באתרך |

הוסף למועדפים

אודות כותב המאמר:

Thank You!,

NSAP IT-consider IT done?
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE
Mail: BB@nsapIT.com
Phone :1599-599-596
Mobile :+972-50-260-7456
Fax :+972-3-647-9731

USA&CANADA: +1 315-608-6534
United Kingdom: +44 (0)20-3286-3563
Hong Kong: +852-8174-5947

St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel
www.nsapIT.com

מאמרים נוספים מאת Benjamin Baruch

NFC Assessments and Risk Assessments

מאת: Benjamin Baruch | אבטחת מידע | 21/06/11 | 1422 צפיות

Because NFC is a wireless communication interface it is obvious that eavesdropping is an important issue. An attacker can of course use an antenna to also receive the transmitted signals.

חברת Nsap מציעה לך ייעוץ ופילוסופיית אבטחת מידע שמעולם לא הכרתם!

מאת: Benjamin Baruch | אבטחת מידע | 20/06/11 | 1550 צפיות

NSAP הינה ספק שירותי אבטחת מידע מנוהלים המקנה לך כלים לחשיפת חולשות ברשת, אנו נפעל יחד איתך בהתאם למודל התקציבי ונפעל לעבוד מול האינטרס הארגוני ושלך כמנהל IT להשלמת המשימה

3 עובדות על תקן PCI "PCI-DSS"

מאת: Benjamin Baruch | אבטחת מידע | 10/01/11 | 1550 צפיות

3 עובדות על תקן PCI "PCI-DSS" עמידה בתקינת ה PCI הינה מסורבלת לעיתים, הינה תקינה שגדלה ומשפיעה משמעותית בסביבה הטכנית של אותו גורם. התקינה הינה תערובת של תקינות ידועות השמות דגש על תהליך סליקת כרטיסי ארשאי בארגון, להלן עובדות בסיסיות אודות תקן ה PCI-DSS (להלן: "PCI DSS"):

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

מאת: Benjamin Baruch | אבטחת מידע | 15/11/10 | 1530 צפיות

סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

מאת: Benjamin Baruch | אבטחת מידע | 15/11/10 | 1314 צפיות

חברות המוסמכות ליישם את תקן ה PCI בישראל ואירופה

מאת: Benjamin Baruch | אבטחת מידע | 02/11/10 | 1767 צפיות

רבים מהלקוחות תוהים לעצמם מי מוסמך, מי לא מוסמך ומי פג תוקפו. איגוד חברות האשראי (להלן: PCI SSC או Payment Card Industry Security Standards Council) מסמיך מדי שנה חברות אבטחת מידע ליישום התקן, כל חברה והיבשת שאליה הוא משוייך(להלן: REGION), ישראל משוייכת ליבשת אירופה-europe region והחברות המוסמכות בישראל ואירופה רשאיות ליישם את תקן PCI-DSS.

תקן PCI לעסקים קטנים

מאת: Benjamin Baruch | אבטחת מידע | 02/11/10 | 1509 צפיות

DSS חל על חנויות אם וסניפי כאחד, כמו כן גם קמעונאים. תהליך האימות מבוסס על כמו העסקאות השנתי שלך ולא על כמות העסקאו. ברמה הנמוכה ביותר, אתה צריך לאמת את התקן על ידי מילוי שאלון הערכה עצמית (SAQ) ולבצע סריקות רבעוניות באמצעות ספק סריקות אבטחת מידע שאושר עלי איגוד חברות האשראי (ASV).

מאמרים נוספים בנושא אבטחת מידע

לגלוש ברשת בביטחה

מאת: אלעד סאעת | אבטחת מידע | 31/07/16 | 1955 צפיות

במאמר הבא נסביר קצת על אבטחת מידע אישי ופרטי שלך ברשת. כיצד נגן על פרטיותינו באמצעות מספר צעדים פשוטים.

דרוש תקציב לאבטחת המידע

מאת: ליאור מזור | אבטחת מידע | 14/02/16 | 1813 צפיות

תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.

מהו תג קרבה וסוגיו השונים

מאת: יוני שוורץ | אבטחת מידע | 02/07/15 | 2436 צפיות

תגי קרבה פועלים בטכנולוגיית RFID. זו טכנולוגיה ותיקה יחסית לזיהוי באמצעות תדרי רדיו, אך בשנים האחרונות היא חוזרת למרכז הבמה. הסיבה העיקרית לכך היא מידת ההתאמה של הטכנולוגיה לשימוש בתוך כרטיסי עובד. בנוסף, בעזרת הטכנולוגיה ניתן לאתר פריטים ולזהות חפצים בצורה אלחוטית וללא צורך בשדה ראייה או מגע ישיר

המקור לדלף מידע בארגונים

מאת: ליאור מזור | אבטחת מידע | 14/03/15 | 11852 צפיות

עובדים בארגון מתוקף תפקידם נחשפים למידע מסווג כגון: מידע רפואי, מידע מסווג אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד. בין אם ניתן להם אישור לגשת למידע או שמדובר בגישה לא מורשית, הדבר עלול להוות בסיס להוצאת המידע מתוך מערכות הארגון השונות למקורות שאינם מורשים. לחלופין, עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר מבלי להיות מודע לכך שהתוכן מסווג ולהוצאת המידע מחוץ לארגון ביודעין או בעקיפין.

מה זה אבטחת מידע? מי אחראי על אבטחת מידע?

מאת: אלכסיי | אבטחת מידע | 18/01/15 | 3389 צפיות

מה זה אבטחת מידע? מי אחראי על אבטחת מידע? ATTGM Consulting חברת אבטחת מידע. www.attgm.com

טיפים ליצירת סיסמאות חזקות

מאת: אלכסיי | אבטחת מידע | 18/01/15 | 3346 צפיות

טיפים ליצירת סיסמאות חזקות, להגברת מודעות אבטחת מידע ומניעת זליגת מידע אישי ורגיש. ATTGM Consulting www.attgm.com חברת אבטחת מידע

כיצד תגנו על אתרכם מפני תקיפת סייבר

מאת: ליאור מזור | אבטחת מידע | 19/07/14 | 3762 צפיות

לוחמת סייבר היא פעולה מלחמתית, הננקטת על ידי מדינה, ארגון טרור וכדומה, על מנת לחדור ולהסב נזק למערכת המחשוב של היריב או למערכות אחרות המסתמכות עליה. לאור הלחימה באזור הדרום במבצע "צוק איתן", בימים האחרונים מתקיימות מתקפות סייבר על ארגונים וחברות שונות במדינת ישראל. בין המתקפות ניתן לראות מתקפות כגון: DOS (Denial Of Service), Defacement (השחתת אתרים) ופישינג (דיוג).

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported