Oracle电子商务套件 PCI接口 DSS合规性,要求3.4和解密风险
PCI接口要求3.4要求PAN数据在任何存储位置都是不可读的,除非受到保护。使用Release 12,信用卡持卡人的数据可以像加密时一样容易地随时解密,只需运行请求集“解密敏感数据请求集”或任何单个程序即可。
整合学 Corporation强烈建议从所有请求组中删除请求集及其中的并发程序,然后禁用(结束请求集日期并禁用其并发程序。) 如果出于任何原因需要在以后运行程序,则可以启用它们。这将有助于防止意外解密以及恶意访问持卡人数据的尝试。
整合学 Corporation还强烈建议为生产中的这些“解密敏感数据”并发程序设置特殊的监视(非生产实例无法按照要求6.4.3拥有实时的信用卡持有人数据)。如果不存在其他监视工具,则可以配置Oracle Alerts。 无论设置了哪种监视过程,都需要每天对其进行监视,以确保未运行这些程序。
不使用时,请从所有请求组中删除并禁用:
请求集(结束日期)
- 解密敏感数据请求集
并发程序(禁用)
- 解密信用卡数据
- 解密外部银行帐户数据
- 解密交易扩展数据
- 解密信用卡交易数据
- 付款计划的解密
更多的信息
有关PCI合规性,公司卡和电子商务套件的更多信息,请参阅下面链接中的白皮书。
如有疑问,请通过以下方式与我们联系 [email protected]
-Michael Miller,CISSP-ISSMP
