PCI組織創立於西元2004年,目的是為了建立支付卡產業的共同安全需求-資料安全標準(DSS),期望被所有的信用卡組織所接受。這些信用卡組織包括:American Express、Discover Financial Services、JCB、MasterCard Worldwide和Visa International。這個標準主要是定義持卡人與卡片上的資料如何安全地儲存、管理與處理。
PCI具體規定-信用卡某些類型的資料應該永遠不會被儲存,不應該出現在資料庫,也不應該出現在交易記錄中,即使資料加密。我們商業應用軟體(嵌入式POS設備、電子商務網站)如何處理敏感性資料?在應用軟體的其它地方儲存該資料?或許在除錯的記錄中?應用軟體有試著去徹底清除記憶體內的敏感性資料來確保惡意使用者無法去利用軟體弱點來揭露非授權的資訊?
西元2006年成立的PCI Security Standard Council組織負責發展與維持PCI DSS標準。違反該標準的組織將遭受高達每次$50萬的罰款。只要有儲存、處理或傳輸持卡人資料的所有的商家和服務提供商都必須遵守。本標準適用於所有支付通道,包括零售業(實體商店),郵遞/電話訂購和電子商務。
|
PCI法規遵循 |
Fortify可以協助 |
|
6.5節:發展安全的系統與應用程式
|
Fortify SCA是原始碼分析工具,可用來協助開發安全的應用程式
|
|
6.6節:確保公眾Web應用程式能抵擋一般常見的攻擊
|
Fortify Defender(RTA)提供最準備確與有效的應用程式防火牆
|
|
6.7節:能夠提供溝通法規遵循狀態的詳細報表
|
Fortify Manager可產生PCI法規遵循的詳細活動與狀態之報表
|
有一間未通過PCI法規的大型的電子商務網站。他們要保護網路的安全時,由於缺乏適當的應用程式層保護而失敗了。愈來愈多的應用程式層的攻擊,Fortify的客戶意識到有必要加強其應用程式防護-不僅僅是PCI法規遵從-還有確保私密資料不被駭。藉由Fortify RTA-強大的應用程式防火牆,同時也有準確的攻擊度量後,可以進一步了解攻擊取證,因此客戶可受到強力的保護。
這個案例是一家頂尖的線上零售業,利用Fortify SCA來識別與修復任何在原始碼發現的弱點問題。由於這家公司是大型的商業公司,常遭受外來的攻擊。他們需要導入原始碼檢核,也知道手動檢視原始碼曠日廢時。自從使用了Fortify SCA後,可以藉由快速地掃描所有的程式碼而加快審核流程,並且識別弱點與產生問題清單以及修復建議的圖示報告。