Oracle应用程序11i和PCI合规性

最近的OAUG."自动化合规调查"(oaug登录要求)显示,调查的组织的7%响应符合支付卡行业(PCI)数据安全标准(DSS),而19%在规划或实施过程中,而且71%不规划或不确定PCI合规性。 拥有71%的组织回应"不规划/不确定"自从此以来似乎很高 所有Oracle应用程序实现"存储,过程或传输信用卡数据"无论大小或事务卷如何,都必须遵守支付卡行业(PCI)数据安全标准1.1。 这意味着71%的受访者要么在他们的Oracle应用程序环境中都不会处理任何信用卡,或者有很多"not sure" responses.

让我首先退回并提供PCI合规性的简要背景。 PCI数据安全标准(DSS)1.1是网络,网络设备,服务器和应用程序的一组严格安全要求。 标准详细信息在安全配置和策略方面的特定要求以及所有要求都是强制性的。 PCI DSS专注于安全地处理信用卡数据,但也有重大强调普通IT安全性。 即使您不需要年度现场审计,请执行季度扫描,完成年度自我评估问卷,或提交合规文件,"尽管如此,必须遵守,并受到所有其他条款的责任"然后当前支付卡行业数据安全标准。

难以使用Oracle应用程序和实现PCI合规性的是,即使信用卡处理可能只是应用程序的一个次要功能,也必须是由于Oracle应用程序的紧密集成和数据模型,整个应用程序安装必须是完全PCI DSS。 其中一个关键要求是所有信用卡号码都在数据库中加密,最近只有Oracle包含Oracle应用程序中的这种功能。

对于已经完成SOX审计和修复的这些组织,与PCI合规相关的难度水平在旁观者中。 对于那些争夺宽广和差别定义的IT经理和DBA,将欢迎PCI,因为它是一个明确明确和记录的标准。 另一方面,它提供了与补偿控制相关的几种例外。

为帮助Oracle应用程序实现排序,通过PCI合规性问题,我们已从一些与Oracle应用程序的安装和配置相关的PCI要求的一些PCI要求中编译的。 此白皮书还提供Oracle应用程序信用卡加密补丁的详细信息(请参阅Metalink Note ID 338756.1 )。

白皮书: Oracle应用程序11i:信用卡和PCI合规性问题

 Share this post