Oracle安全博客

我们收到的常见问题是关于公司卡和PCI合规性。企业卡，员工持有的信用卡用于企业目的，通常不会受到PCI DSS合规的范围。公司卡被归类为内部帐户，PCI DSS仅适用于外部帐户。内部与内部的完整定义

接下来的几个博客帖子将专注于PCI和Oracle E-Business Suite。

PCI.要求3.4要求主账号（PAN）无法使用单向哈希或强加密存储的任何位置。 Oracle E-Business Suite第12版首先通过集中持卡人数据（进入安全支付存储库），然后应用强加密来满足此要求。

Oracle付款提供了两种加密模式，完整或部分，以及即时或预定。选择哪些加密选项应该是与法律顾问，合规性和风险管理的讨论的结果。 

通过参数和URL篡改攻击者或诺格芳innider，可以操纵和/或构造URL，以公开信息和/或尝试将Oracle E-Business Suite功能进行CircumenAviate - 包括应用程序安全部分。有几个配置文件选项，可在跨站点脚本（XSS），HTML注入攻击和参数和URL篡改中提供防御。将这些配置文件选项设置为下面的建议值将有助于降低信息泄漏风险。

如果您有问题，请与我们联系。

附加文件是Oracle E-Business Suite的信息泄漏风险。有两个来源，第二个是不常识的。

很难找到不使用诊断的客户来支持他们的Oracle E-Business Suite。但是，诊断通常被忽视为信息泄漏的来源。通过设计，在生产中不应启用诊断，或者如果是，它应该仅在用户级别和有限的时间段内启用它。如果您的非生产实例具有DMZ节点，则适用相同的建议。

Oracle E-Business Suite提供大量诊断和监控解决方案。虽然这些解决方案提供了有关您实施的全面和深入信息，但它们也可以是严重信息泄漏的来源。特别是如果您有互联网面对应用程序这样的istore，iSupplier或iRecruitement，则需要采取措施来确保您的实施防止意外信息泄漏，并提供可能希望攻击您的任何人的信息。

截至2013年12月1日，Oracle E-Business Suite 11.5.10迁至维持支持。通常，Oracle持续支持不包括关键补丁更新形式的安全修复。但是，对于11.5.10，在2015年12月之前存在异常，并且可以使用严重性1修复，PayRoll / 1099更新和关键补丁更新。

Oracle EBS 12.2中的新安全功能
2013年10月24日星期四 - 2:00 PM EDT

在Oracle EBS 11i上没有CPU补丁？
2013年9月17日星期二 - 2:00 EDT

当您无法应用Oracle安全修补程序时
2013年6月25日星期二 - 2:00 PM EDT

它全部始于2005年1月，具有关键补丁更新（CPU）。然后，补丁集更新（PSU）被添加为累积补丁，包括优先级修复以及安全修复。截至2012年10月至关重要的补丁更新，Oracle已更改术语，以更好地区分补丁类型。此术语将用于Oracle数据库，企业管理器，融合中间件和WebLogic。

即将到来的网络研讨会：

信用卡和Oracle E-Business Suite - 安全和PCI合规性问题
星期四，8月16日，下午2点 - 下午3:00 EDT

即将到来的网络研讨会：确保1000个Oracle数据库 - 挑战和解决方案

星期四，7月26日，下午2:00 - 下午3:00

对于那些在最近的Collaborate12会议上错过了这次会议的人，请阅读。

即将到来的网络研讨会：管理Oracle E-Business套件的经理指南

管理者'保护Oracle E-Business Suite的指南
周三，6月20日，下午2:00 - 下午3:00 EDT

对于那些在最近的Collaborate12会议上错过了这次会议的人，请阅读。