日志 arthur.li
【PCI DSS】 如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供货商的额外要求?
服务供货商 (Service Providers) 每季需依据 PCI DSS v4.0 – 12.4.2 条文( PCI DSS v3.2.1 – 12.11 ) 确认公司的安全政策、程序等,是被实质上执行且进行定期各项控制措施检查。 PCI DSS v4.0 – 12.4.2条文中,列举了五项检查项目,包含但不限于: a) 每日日誌審核 每三個月執行日誌審查,確保審查作業如期完成。 在 PCI DSS v4.0 的要求中,以 “自動化方式” 執行審查為主,故在環境中建議配置如 SIEM、Log Analyzer 等機制,確保標的日誌自動化執行定期審查。 b) 網路安全控制的配置審核 針對網路安全控制設備 (如防火牆),每半年需進行 Rule-set 審查。 確認相關人員是否執行定期作業;Rule-set 的申請作業是否遵循公司規定,執行核准及相關測試等等。 c) 在新加入的系統、設備應用配置標準 環境中若有新增系統、設備,需套用已建立完善的配置標準並於每季執行網路設備、主機環境 (作業系統)、資料庫…等等檢查。 d) 回應安全警報 各類安全事件告警,是否依照公司規定的事件/事故回應流程 (如 Incident Response Plan, […]
Sequoia 漏洞 (CVE-2021-33909),听听 PCI DSS 专家怎么说 ?
資訊資訊 作业系统帐户的安全性 (PCI DSS Req. 2.1) – 验证本机的所有不必要的预设帐户已被删除或停用。检查目前所有的机器预设帐户是否已被删除或停用,可检查 /etc/password 内的帐户设定是否已删除或是配置 nologin,避免不必要使用者可登入进行恶意漏洞利用攻击。 重大风险应于 30 天内完成 Patch 更新 (PCI DSS Req. 6.2) – 安装适用的供应商安全补丁,确保所有系统组件和软件免受已知漏洞的影响。如供应商发布 Patch 后,应在发布后的一个月内安装关键的安全补丁。 检查目前作业系统供应商是否有释出相关 Patch,并尽可能安排时间于一个月内完成作业系统 Patch。如作业系统供应商尚未发布 Patch 则应实施缓解措施。 目前各家系统提供商正如火如荼的发布更新 Patch 来解决这次由 Qualys 安全研究团队所发布的漏洞 (CVE-2021-33909)。目前收集的风险判定 Patch 参考清单可参考下方整理表格: Qualys 安全研究团队目前已经验证了成功取得 root 权限的漏洞作业系统包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作业系统也可能因为这次的漏洞产生恶意利用攻击。Linux Server 版本所对应的安全补丁整理: […]
即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞
Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。 目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934) 如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV […]
八大秘诀让中小企业在疫情中保护信用卡资料
由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI SSC [1] 是五大信用卡组织组成的安全委员会,特别针对中小型商店提出一些信用卡资料安全保护的小秘诀提供大家参考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19) 网络犯罪分子利用支付卡环境的快速变化采取各种行动 因此,PCI SSC 提出以下八个资料安全保护的小秘诀 (中小型商店适用) 减少能发现卡资料的位置: 最佳防御资料泄漏的方法就是完全不储存卡资料。由于疫情的关系,许多小商店接受「来店自取」或「电话付款」来因应疫情的管制,要记得纸笔写下信用卡相关的资料,建议直接输入信用卡交易的系统或终端以避免更多的地方可能出现卡号。 更多的资讯可以参考: https://blog.pcisecuritystandards.org/industry-guidance-on-accepting-telephone-payments-securely 适用强度较强的密码 (通行码): 使用预设及强度低的密码是企业卡号泄漏的主要原因之一,有效的预防可以使用强度强的密码并且定期更新。小型商店泄漏资料的原因经常是因为便宜行事使用了强度低的密码以及厂商预设密码。 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-strong-passwords 保持软体修补及最新: 恶意攻击者通常会刻意寻找停止支援的软体利用这些未更新的系统的漏洞来进行攻击。因此及时进行安全修补可以降低被攻破的风险。确保做到必要的安全变更的主要方法可以透过定期弱点扫描来发现安全问题。 PCI 组织核可的 外部弱点扫描厂商 – ASV (Approved Scanning Vendors) 可以协助发现线上的支付系统、电商网站及相关系统是否有漏洞或错误的设定及如何因应,例如应该安装那些修补程式等。建议每季至少一次针对 ASV 漏洞扫描进行相关修补作业并确保你的软体更新到最新状态。 更多的资讯可以参考: https://blog.pcisecuritystandards.org/infographic-patching 使用高强度加密方式: 加密可以使信用卡资料在没有金钥下无法被读取,在储存或传输时受到保护。建议企业询问刷卡机的供应商是否支援点对点加密 (Point-to-Point Encryption) […]
PCI 3DS 验证 3 步骤
3D 验证 (3-D Secure) 消费者 (Consumer) 在商户 (Merchant) 的电子商务平台使用信用卡付款时,需先输入一次性密码完成 3D 验证 (3-D Secure),才可以完成一笔交易。 这是一个让信用卡交易加倍安全的技术。 3D 验证服务流程,由以下系统组件组成 3DS Server (3DSS), 3DS Directory Server (DS) 和 3DS Access Control Server (ACS)。 谁提供 3DS 验证服务 3DS 验证服务的系统部件包含了 3DSS、DS 和 ACS,其使用对象包含: 3DSS的使用对象包含银行(Bank)、收单机构(Acquirer),除了可以自行建置管理3DSS之外,也可以使用提供3DS Solution服务提供商(Hosting Service Provider)的服务,提供商户连接以及和卡组织DS进行3D验证消息交换。 DS为信用卡组织 (VISA、MasterCard、JCB、Discover、American Express) 所拥有,以做为提供 3DSS 和 ACS 之间的 3D 验证数据交换交界中心。 ACS 的使用对象为发卡行 (Issuer),也可以通过提供 3DS […]
智能型手机被盗刷,mPOS的安全性?
『 智能型手机被盗刷!!! 』
规模较小的公司与商店都开始设计及导入mPOS这类型的装置,请大家要多加留意安全性。
企业安全解决方案供货商Positive Technologies研究人员发现一个影响全球支付服务的安全漏洞,
黑心商家或者是黑客有机会在顾客藉由mPOS载具进行消费时,入侵其消费者的账户或是窃取信用卡相关信息,
较进阶一点的方式,黑客还可以修改客户支付卡的金额,另外还能强迫消费者使用其他种方式来做付款,POS 机的厂商真的要注意!
支付卡营运标准的安全管理层次与精神
大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
