Oracle电子商务测试和开发数据库与PCI合规性

通常会创建生产E-Business Suite数据库的克隆和副本。有几项PCI DSS要求适用于Oracle电子商务套件的非生产实例。 

没有生产持卡人数据

适用于非生产实例的最重要的PCI DSS要求是要求6.4.3,该要求禁止生产持卡人数据用于开发,测试,培训和/或除支持生产中的业务交易以外的任何其他原因或目的。 生产持卡人数据不能在生产之外存在。非生产实例需要删除或加扰生产持卡人数据。

保护生产加密密钥

要求3.5规范了加密密钥的保护和管理,当加密密钥应用于非生产数据库时,意味着生产加密密钥(特别是“付款钱包”)不能复制到和/或存在于非生产实例中。如果出于某种原因将生产钱包复制到非生产实例,则必须旋转生产加密密钥,并且必须通过安全擦除(不只是从文件系统中删除)销毁生产钱包。如果将非生产实例虚拟化,则取决于锁定内存或将其共享给来宾的方式,安全擦除可能更为关键。

建立非生产实例

以下几点强调了构建非生产实例的要求:

  • 如果从生产中复制出生产支付钱包,则需要对其进行旋转并安全擦除。
  • 付款钱包的位置将需要重置。不要使用SQL直接更新到表IBY_SYS_SECURITY_OPTIONS。必须使用用户界面来更新文件位置。
  • 删除,清除和/或扰乱生产持卡人数据。根据要求,有几种创建和清除持卡人数据的选项。这些选项利用了以下事实:持卡人数据(PAN和补充数据)是独立的,并且与相关业务交易不同,并且持卡人数据集中在Secure Payment Repository中。

有关PCI合规性,公司卡和电子商务套件的更多信息,请参阅下面链接中的白皮书。

如有疑问,请通过以下方式与我们联系 [email protected]

 -Michael Miller,CISSP-ISSMP

参考文献

 

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。