Oracle电子商务套件 PCI接口 DSS合规性,要求3.4和解密风险

PCI接口要求3.4要求PAN数据在任何存储位置都是不可读的,除非受到保护。使用Release 12,信用卡持卡人的数据可以像加密时一样容易地随时解密,只需运行请求集“解密敏感数据请求集”或任何单个程序即可。

整合学 Corporation强烈建议从所有请求组中删除请求集及其中的并发程序,然后禁用(结束请求集日期并禁用其并发程序。) 如果出于任何原因需要在以后运行程序,则可以启用它们。这将有助于防止意外解密以及恶意访问持卡人数据的尝试。

整合学 Corporation还强烈建议为生产中的这些“解密敏感数据”并发程序设置特殊的监视(非生产实例无法按照要求6.4.3拥有实时的信用卡持有人数据)。如果不存在其他监视工具,则可以配置Oracle Alerts。 无论设置了哪种监视过程,都需要每天对其进行监视,以确保未运行这些程序。

不使用时,请从所有请求组中删除并禁用:

请求集(结束日期)

  • 解密敏感数据请求集

并发程序(禁用)

  • 解密信用卡数据
  • 解密外部银行帐户数据
  • 解密交易扩展数据
  • 解密信用卡交易数据
  • 付款计划的解密

更多的信息

有关PCI合规性,公司卡和电子商务套件的更多信息,请参阅下面链接中的白皮书。

如有疑问,请通过以下方式与我们联系 [email protected]

 -Michael Miller,CISSP-ISSMP

参考文献

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。