Oracle电子商务测试和开发数据库和PCI合规性

创建生产电子商务套件数据库的克隆和副本是定期发生的。有几种PCI DSS要求适用于Oracle E-Business Suite的非生产实例。 

没有生产持卡人数据

适用于非生产实例的最重要的PCI DSS要求是要求6.4.3禁止生产持卡人数据用于开发,测试,培训和/或任何其他原因或任何其他原因或目的,而不是支持业务交易。 生产持卡人数据不能存在外部生产。非生产实例需要具有删除或扰乱的生产持卡人数据。

保护生产加密密钥

要求3.5管理加密密钥的保护和管理,当应用于非生产数据库时,该密钥的保护和管理意味着生产加密密钥(特别是支付钱包)无法在非生产实例中复制和/或存在。如果由于任何原因,生产钱包被复制到非生产实例,则必须旋转生产加密密钥,并且生产钱包必须通过安全擦除(不仅从文件系统中删除)销毁。如果非生产实例是虚拟化的,根据内存被锁定或共享给客户,安全擦除可能更为关键。

建立非生产实例

以下要点突出了构建非生产实例的要求:

  • 如果从生产中复制,需要旋转和安全地擦拭生产支付钱包。
  • 需要重置付款钱包的位置。请勿使用SQL直接更新为表IBY_SYS_SECURINATE_OPTIONS。必须使用用户界面来更新文件位置。
  • 删除,清除和/或争吵生产持卡人数据。根据要求,有几个选择和消毒持卡人数据的选项。这些选项利用持卡人数据(PAN和补充数据)与相关业务交易分开且不同的事实,并且持卡人数据集中在安全付款存储库中。

有关PCI合规性,公司卡和电子商务套件的更多信息,请参阅下面的链接中的WhitePaper。

如果您有疑问,请联系我们 [email protected]

 -Michael Miller,CISSP-ISSMP

参考

 

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。