Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?

/0 評論/在: ,

本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用 Linux Filesystem 的 size_t-to-int 類型轉換進行權限提升。其中無特權 (root) 的惡意使用者會利用大於 1GB 的長路徑掛載到 Linux 的 Filesystem 中,造成緩衝區溢出產生惡意提權。

由 PCI DSS 合規角度切入,核心考量點為作業系統帳戶的安全性,從是否需要登入主機的角度切入,限制非必要使用者登入進行目錄掛載、eBPF 使用等。並且安裝適用的安全補丁,如有重大風險應於 30 天內完成 Patch 更新

  • 作業系統帳戶的安全性 (PCI DSS Req. 2.1) – 驗證本機的所有不必要的預設帳戶已被刪除或停用。檢查目前所有的機器預設帳戶是否已被刪除或停用,可檢查 /etc/password 內的帳戶設定是否已刪除或是配置 nologin,避免不必要使用者可登入進行惡意漏洞利用攻擊。
  • 重大風險應於 30 天內完成 Patch 更新 (PCI DSS Req. 6.2) – 安裝適用的供應商安全補丁,確保所有系統組件和軟件免受已知漏洞的影響。如供應商發布 Patch 後,應在發布後的一個月內安裝關鍵的安全補丁。

檢查目前作業系統供應商是否有釋出相關 Patch,並盡可能安排時間於一個月內完成作業系統 Patch。如作業系統供應商尚未發布 Patch 則應實施緩解措施。

目前各家系統提供商正如火如荼的發布更新 Patch 來解決這次由 Qualys 安全研究團隊所發布的漏洞 (CVE-2021-33909)。目前收集的風險判定 Patch 參考清單可參考下方整理表格:

來源風險等級
NESSUS https://www.tenable.com/cve/CVE-2021-33909CVSS (v2) 7.2
NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909CVSS (v3) 7.8
Redhat https://access.redhat.com/security/cve/cve-2021-33909CVSS (v3) 7.0
CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909Source: MITRE

資料於 2021年 9月 10日更新

Qualys 安全研究團隊目前已經驗證了成功取得 root 權限的漏洞作業系統包含 Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11 和 Fedora 34 Workstation 等。而其他的 Linux 作業系統也可能因為這次的漏洞產生惡意利用攻擊。Linux Server 版本所對應的安全補丁整理:

作業系統安全補丁連結
Redhathttps://access.redhat.com/security/cve/cve-2021-33909
CentOShttps://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/

https://centos.pkgs.org/8-stream/centos-baseos-x86_64/kernel-4.18.0-326.el8.x86_64.rpm.html

SUSEhttps://www.suse.com/security/cve/CVE-2021-33909.html
ubuntuhttps://ubuntu.com/security/CVE-2021-33909

資料於 2021年 9月 10日更新

如 Patch 尚未出現,可先採用的緩解做法。

sysctl kernel.unprivileged_userns_clone=1   # 將 unprivileged_userns_clone 設定為 0

sysctl kernel.unprivileged_bpf_disabled=1   # 將 unprivileged_bpf_disabled 設定為 1

技術細節請看:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt

Max Tsai

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

* 如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

你可能會喜歡看

ASV弱點掃描代掃服務 公告

/
0 評論
親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
0 評論
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
0 評論
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

【GCP】使用 Google Cloud Build 的要小心了

/
0 評論

【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

/
0 評論
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

支付產業合規新挑戰-研討會簡報檔案

PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案

ASV弱點掃描代掃服務 公告

/
0 評論
親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
0 評論
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
0 評論
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

集團業務重整 公告

/
0 評論
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

【GCP】使用 Google Cloud Build 的要小心了

/
0 評論

【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

/
0 評論

金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

/
0 評論

合規共管助企業完成交易安全驗證

/
0 評論

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

/0 評論/在: ,

Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。

目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。

除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。

針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:

  1. 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
  2. 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
  3. 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。

         

Bryan Cheng

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

你可能會喜歡看

ASV弱點掃描代掃服務 公告

/
0 評論
親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
0 評論
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
0 評論
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

【GCP】使用 Google Cloud Build 的要小心了

/
0 評論

【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

/
0 評論
acceptable formats for truncation of primary account numbers pci dss 2021

2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

支付產業合規新挑戰-研討會簡報檔案

PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案

ASV弱點掃描代掃服務 公告

/
0 評論
親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
first time PCI DSS Compliance

【PCI DSS 過證懶人包】資安小白也能輕鬆達標

/
0 評論
【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
PCI 3DS 驗證 3 步驟_Max

PCI DSS 認證的流程以及合規費用說明

/
0 評論
PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

集團業務重整 公告

/
0 評論
安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

【GCP】使用 Google Cloud Build 的要小心了

/
0 評論

【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

/
0 評論

金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

/
0 評論

合規共管助企業完成交易安全驗證

/
0 評論

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    因應信用卡資料保護的八大祕訣分享 (中小型商店適用)

    八大祕訣讓中小企業在疫情中保護信用卡資料

    /在: ,

    由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。 PCI SSC [1] 是五大信用卡組織組成的安全委員會,特別針對中小型商店提出一些信用卡資料安全保護的小祕訣提供大家參考 (8 Tips to Help Small Merchants Protect Payment Card Data During COVID-19)  

    網路犯罪分子利用支付卡環境的快速變化採取各種行動

     

    攻擊增加了 475%

    小型企業需要支付五萬美金以上才能從資料洩漏的事件中復原

    29% 的消費者表示不會在繼續使用有資料洩漏事件的小型企業

    從 2020 年三月起跟 Coronavirus 有關的攻擊增加了 475%,伴隨著疫情,惡意攻擊者藉由疫情的主題進行釣魚或木馬植入時有所聞。

    依據 Bank of America 2019年的研究顯示 41% 的小型企業至少需要支付五萬美金以上才能從資料洩漏的事件中復原。[2]

    29% 的消費者表示不繼續使用有資料洩漏事件的小型企業。[3]

     

     

     

    因此,PCI SSC 提出以下八個資料安全保護的小秘訣 (中小型商店適用)

    1. 減少能發現卡資料的位置:
    2. 適用強度較強的密碼 (通行碼):
      • 使用預設及強度低的密碼是企業卡號洩漏的主要原因之一,有效的預防可以使用強度強的密碼並且定期更新。 小型商店洩漏資料的原因經常是因為便宜行事使用了強度低的密碼以及廠商預設密碼。
      • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-strong-passwords
    3. 保持軟體修補及最新:
      • 惡意攻擊者通常會刻意尋找停止支援的軟體利用這些未更新的系統的漏洞來進行攻擊。 因此及時進行安全修補可以降低被攻破的風險。確保做到必要的安全變更的主要方法可以透過定期弱點掃描來發現安全問題。 PCI 組織核可的 外部弱點掃描廠商 – ASV (Approved Scanning Vendors)可以協助發現線上的支付系統、電商網站及相關系統是否有漏洞或錯誤的設定及如何因應,例如應該安裝那些修補程式等。 建議每季至少一次針對 ASV 漏洞掃描進行相關修補作業並確保你的軟體更新到最新狀態。
      • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-patching
    4. 使用高強度加密方式:

      • 加密可以使信用卡資料在沒有金鑰下無法被讀取,在儲存或傳輸時受到保護。建議企業詢問刷卡機的供應商是否支援點對點加密 (Point-to-Point Encryption) ,如果是一個新的網站,必須先確認購物車使用正確的加密機制,例如 TLS v1.2 來保護客戶資料。

      • 更多的資訊可以參考: https://www.pcisecuritystandards.org/document_library?document=ssl&hs

    5. 使用安全的遠端存取:

      • 確保最小化被攻破的風險,企業知道委外的系統供應商如何及何時存取系統是相當重要的。 惡意攻擊者會透過利用遠端存取控制的弱點來取得對系統的存取權。因此需要限制遠端存取的功能且在不使用時停止該功能。如果開放遠端存取,必須要求系統供應商使用多因素認證及高強度的遠端存取帳號密碼,而且必須不同於該供應商使用於其他客戶的帳號密碼。

      • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/infographic-secure-remote-access

    6. 確保防火牆已有適當的配置設定:

      • 硬體/軟體式防火牆主要做為網際網路與企業系統之間的保護屏障,防火牆可以將不允許、或未授權的存取阻擋在外,以保護內部的系統。儘管有些防火牆的設定看起來可能很複雜,但適當的配置對於整體安全來說是不可或缺的,如果需要進一步的支援,可以尋找供應商或網路相關專業人員來進行協助。

      • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/resource-for-small-merchants-firewall-basics
    7. 點擊連結前要三思而後行:

      • 惡意攻擊者常使用網路釣魚或社交工程方式,透過看起來合法的 email 郵件或社交工具訊息來騙取使用者提供一些機密資料,如信用卡號碼、特約商店的帳號密碼等。小型特約商店對這類網路釣魚或社交工程等的攻擊,必須特別注意並提高警覺性。

      • 更多的資訊可以參考: https://blog.pcisecuritystandards.org/beware-of-covid-19-online-scams-and-threats
    8. 選擇可信任的合作夥伴:

      • 認識服務供應商是誰,並需要問他們相關安全的問題,是非常關鍵重要的。這個服務供應商是否有遵守 PCI DSS 的要求? 對於線上購物的特約商店 (和一些目前正準備開始使用線上購物平台來取代實體交易的單位) 來說,選擇的服務供應商,包括管理支付作業流程的服務供應商 (可能稱之為 Payment Service Provider,或 PSP),通過 PCI DSS 是非常重要的。

      • 更多的資訊可以參考: https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Questions_to_ Ask_Your_Vendors.pdf

    文章資料原文:https://www.pcisecuritystandards.org/documents/PCI_COVID-19_Resource_Guide.pdf

    [1] PCI SSC Payment Card Industry Security Standards Council https://www.pcisecuritystandards.org/

    [2] https://nypost.com/2019/09/28/rise-in-data-breaches-wreaking-havoc-on-small-businesses-study/ according to Bank of America Merchant Services Third Annual Small Business Spotlight.

    [3] 同上

    作者簡介

    Bryan Cheng

    安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
    • Payment Card Industry Security, IT Security Management, Cloud Service Management
    • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

    安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

    你可能會喜歡看

    ASV弱點掃描代掃服務 公告

    /
    0 評論
    親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
    first time PCI DSS Compliance

    【PCI DSS 過證懶人包】資安小白也能輕鬆達標

    /
    0 評論
    【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    0 評論
    PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

    如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

    【GCP】使用 Google Cloud Build 的要小心了

    /
    0 評論

    【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

    /
    0 評論
    acceptable formats for truncation of primary account numbers pci dss 2021

    2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

    2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

    支付產業合規新挑戰-研討會簡報檔案

    PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案

    ASV弱點掃描代掃服務 公告

    /
    0 評論
    親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
    first time PCI DSS Compliance

    【PCI DSS 過證懶人包】資安小白也能輕鬆達標

    /
    0 評論
    【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
    PCI 3DS 驗證 3 步驟_Max

    PCI DSS 認證的流程以及合規費用說明

    /
    0 評論
    PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

    如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

    集團業務重整 公告

    /
    0 評論
    安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

    【GCP】使用 Google Cloud Build 的要小心了

    /
    0 評論

    【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

    /
    0 評論

    金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

    /
    0 評論

    合規共管助企業完成交易安全驗證

    /
    0 評論

    *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

    我們會儘快回覆您的任何問題!

      請輸入右方所示文字 captcha

      PCI 3DS 驗證 3 步驟_Max

      PCI 3DS 驗證 3 步驟

      /在:

      3D 驗證 (3-D Secure)

      消費者 (Consumer) 在商戶 (Merchant) 的電子商務平台使用信用卡付款時,需先輸入一次性密碼完成 3D 驗證 (3-D Secure),才可以完成一筆交易。這是一個讓信用卡交易加倍安全的技術。3D 驗證服務流程,由以下系統組件組成 3DS Server (3DSS), 3DS Directory Server (DS) 和 3DS Access Control Server (ACS)。

      誰提供 3DS 驗證服務

      3DS 驗證服務的系統組件包含了 3DSS、DS 和 ACS,其使用對象包含:

      • 3DSS 的使用對象包含銀行 (Bank)、收單機構 (Acquirer),除了可以自行建置管理 3DSS 之外,也可以使用提供 3DS Solution 服務提供商 (Hosting Service Provider) 的服務,提供商戶連接以及和卡組織 DS 進行 3D 驗證訊息交換。
      • DS 為信用卡組織 (VISA、MasterCard、JCB、Discover、American Express) 所擁有,以做為提供 3DSS 和 ACS 之間的 3D 驗證資料交換交界中心。
      • ACS 的使用對象為發卡行 (Issuer),也可以透過提供 3DS Solution 的服務提供商 (Hosting Service Provider) 進行託管。

      以上的系統組件除了需通過 EMVCo 制定了產品與功能的標準 (EMV®3-D Secure-Protocol and Core Functions Specification v2.0) 之外,提供服務者也需要通過由 PCI 安全標準委員會 (PCI SSC) 制定的 PCI 3DS 安全審查標準 (Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS,DS and 3DS Server),來保障 3DS 系統的運營環境及資料安全。

      PCI 3DS 審查準備

      所有 3DS 產品 (ACS, DS 和 3DSS) 需要通過 EMVCo 的產品測試,並通過各信用卡組織 (VISA、MasterCard、JCB、Discover、American Express) 的運營測試後才能確保其互通性 (Interoperability)。而 3DS 產品的運營環境安全,則需通過 PCI SSC 制定的 PCI 3DS 安全審查標準。

      PCI 3DS 審查,由 PCI SSC 核可的 QSA 公司進行安全的審查,卡組織通常在於 3DS 產品通過其運營測試、支付機構與商戶 (Acquirers, Merchants) 通過 PCI 3DS 審查後才正式核可 3DS 的服務上線。PCI 3DS 標準分為 Part 1 及 Part 2 兩部分:

      • Part 1 包含3DS 系統運營環境所需要的安全規定 (3DS Baseline Security Requirements)。
      • Part 2 為 3DS 系統運行本身的系統安全及資料安全規定 (3DS Security Requirements)。

      如果支付機構或服務供應商使用的環境,或 3DS 系統所運作存在的環境,已通過 PCI DSS 合規審查,且PCI DSS 合規審查的範圍與 PCI 3DS 的運作需求相同 (無不當的排除項目存在),則可以僅建置 PCI 3DS Part 2 的合規規定項目。

      PCI 3DS 審查前,需進行以下三個準備階段

      PCI 3DS 驗證 3 步驟_Max

      (1) 確保3DS資料的保存與保護合規

      為了確保所經手處理的 3DS 交易資料均符合PCI 3DS 標準合規要求,支付機構或服務供應商應檢視現有或規劃運行的 3DS 系統資料流程及資料保存已依據PCI 3DS Data Matrix 對於各項資料保存、安全保護的規定。包括對於 Authentication Data, Key Data 已及 Cryptographic Key (適用於 ACS, DS) 的保護及保存規定。合規規定中不得儲存的資料應確保於系統交易處理過程中不保存,如系統供應商所提供或協助建置者,也應諮詢該系統廠商有關 3DS 資料的處理方式。

      (2) 備妥並實施相關程序及管理作業

      PCI 3DS 規範支付機構或服務供應商建立管理政策及程序確保 3DS 服務的安全管理作業合於 PCI 3DS 規範,例如存取控制政策及軟體開發程序等。 PCI 3DS 以運營的風險為前提,建立對應的保護措施及實施等級,並要求建立及留存管理必須的文件及紀錄,包括風險評鑑結果、軟硬體清冊、網路架構圖及資料流程圖 (Network Diagrams, Data Flow Diagrams) 以及各項的測試及實施紀錄。

      (3) 進行合規要求的各項技術檢測

      PCI 3DS 要求以下技術測試:

      • 軟體安全測試 (Software Security Tests)
      • 每季一次內外部弱點掃描 (Vulnerability Scans)
      • 每年一次的滲透測試 (Penetration Tests)

      相關測試可以委由專業技術檢測公司提供服務或由內部專門人員進行。其中外部弱點掃描需使用 PCI SSC 核可的 ASV 服務供應商。

      進行 PCI 3DS 審查

      PCI 3DS 的核可服務商為 PCI 3DS QSA 公司,相關核可名單可以於 PCI SSC 網站中可查詢。安律信息技術公司是目前亞太地區少數提供 PCI 3DS 審查服務的 QSA 公司。

      審查作業依據各組織的規模大小與 3DS 系統的建置方式而有不同,通常在審查前或審查開始階段會進行 Scoping 的範圍確認作業,審查期間在現場 (On-site) 3-5 天查核以及 QSA 人員的報告及證據會在非現場 (Off-site) 進行檢視。審查完成後,由 QSA 公司簽署 Report On Compliance (ROC) 報告,並由是受審查組織簽署 Attestation of Compliance (AOC) 後完成。

      支付機構或服務供應商應依據卡組織或收單機構的要求提交 AOC 或 ROC 完成年度的審查。PCI 3DS 標準應每年進行一次審查。

      Max Tsai

      安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant

      • Payment Card Industry Security, IT Security Management, Cloud Service Management
      • 專業認證: PCI DSS QSA, CISSP, ISMS LA

      安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一個專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。

      你可能會喜歡看

      ASV弱點掃描代掃服務 公告

      /
      0 評論
      親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
      first time PCI DSS Compliance

      【PCI DSS 過證懶人包】資安小白也能輕鬆達標

      /
      0 評論
      【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      0 評論
      PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

      如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      【GCP】使用 Google Cloud Build 的要小心了

      /
      0 評論

      【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

      /
      0 評論
      acceptable formats for truncation of primary account numbers pci dss 2021

      2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?

      2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…

      支付產業合規新挑戰-研討會簡報檔案

      PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案

      ASV弱點掃描代掃服務 公告

      /
      0 評論
      親愛的客戶您好,   感謝貴公司長期以來對安律的支持與信任。   即日起,為協助貴公司更有效率地完成每季PCI…
      first time PCI DSS Compliance

      【PCI DSS 過證懶人包】資安小白也能輕鬆達標

      /
      0 評論
      【PCI DSS 過證懶人包】資安小白也能輕鬆達標 2024年電商、遠程工作及外送平台消費等等型態持續成長,加速跨境交易和線上支付的使用率,支付卡資訊安全變成非常重要。為了確保消費者的個人資料不被盜取或濫用,支付卡產業安全標準協會…
      PCI 3DS 驗證 3 步驟_Max

      PCI DSS 認證的流程以及合規費用說明

      /
      0 評論
      PCI DSS 是國際支付卡組織針對處理其品牌持卡人資訊安全所訂定的共同產業標準,針對 PCI DSS 合規認證,說明適用商戶及服務商等級、時間及流程,可能新增的相關費用及審查顧問費用說明,幫助企業快速了解 PCI DSS 合規需求及預算規劃。幫助企業了解合規需求及預算規劃。

      如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?

      集團業務重整 公告

      /
      0 評論
      安律信息技術有限公司營運已經邁入第十個年度,也發展了新加坡、美國、中國、越南等國際分公司,為了擴大營運及更有效率的服務大家,公司決議將德諾科技服務股份有限公司、安合規律有限公司、協作安全有限公司及各地的分公司收歸到台灣的控股結構,成立的新的公司主體「安律國際股份有限公司 Secure Vectors Information Technologies Inc.」

      【GCP】使用 Google Cloud Build 的要小心了

      /
      0 評論

      【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?

      /
      0 評論

      金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?

      /
      0 評論

      合規共管助企業完成交易安全驗證

      /
      0 評論

      *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

      我們會儘快回覆您的任何問題!

        請輸入右方所示文字 captcha

        誰需要通過 PCI DSS 的審查呢 ? Part 2

        /在:

        在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:

        閱讀更多

        誰需要通過 PCI DSS 的審查呢 ? Part 1

        /在:

        在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:

        閱讀更多

        PCI DSS 之 Incident Response Plan

        /在:
        閱讀更多

        智慧型手機被盜刷,mPOS的安全性?

        /在:

        『 智慧型手機被盜刷!!! 』

        規模較小的公司與商店都開始設計及導入 mPOS 這類型的裝置,請大家要多加留意安全性。

        企業安全解決方案供應商 Positive Technologies 研究人員發現一個影響全球支付服務的安全漏洞,
        黑心商家或者是駭客有機會在顧客藉由 mPOS 載具進行消費時,入侵其消費者的帳戶或是竊取信用卡相關資訊,
        較進階一點的方式,駭客還可以修改客戶支付卡的金額,另外還能強迫消費者使用其他種方式來做付款,POS 機的廠商真的要注意!

        會有這樣的情況發生,是近期較熱門的移動式支付讀卡機 (mPOS),
        駭客趁機在手機於 mPOS 之間,利用中間人攻擊手法 (MiTM)。
        當消費者準備使用手機做信用卡交易的途中,會透過手機的藍芽裝置進行信用卡的交易,
        這時駭客會藉機在傳輸時利用攻擊程式進行監聽,並且能夠有效的干擾磁條通過後的支付金額,也有機會遠端控制手機程式。

        這是因為有些mPOS讀卡機在執行藍牙傳輸時,沒有採用較安全性的機制進行配對,讓mPOS暴露了不少的安全漏洞,
        Positive Technologies供應商建議商家應避免採用磁卡交易,而是利用晶片+PIN碼、晶片+簽名或非接觸式支付選項。

        小編認為磁卡交易在手機上才算是新一代的消費模式,改善方式不是單純避免磁卡交易才算有效解決,
        應該改變及優化藍芽裝置的加密機制,或者在進行載具及網路傳輸時,
        增加多因子的身份認證,例如多一組帳號確認、手機簡訊通知,可降低駭客入侵及修改金額的機會。

        安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

        https://www.ithome.com.tw/news/125139
        https://latesthackingnews.com/…/vulnerability-discovered-m…/

         

        acceptable formats for truncation of primary account numbers pci dss 2021

        支付卡營運標準的安全管理層次與精神

        /在:

        大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。

        閱讀更多
        攻擊增加了 475%

        SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元

        /在:

        各種系統的漏洞未及時更新,常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功,再進一步搜尋不安全的,或是破解服務安裝,
        例如 Remote Desktop Protocol (RDP),然後遂行勒索、破壞或竊取的目的。
        駭客會利用安全漏洞來取得對系統的特權存取。 
        許多這些漏洞由供應商提供的安全修補程式來修復,這些修補程式必須透過系統管理者來進行安裝。
        所有系統必須具有所有適當的軟體修補程式,以防止駭客和惡意軟體對持卡人資料的竊取和破壞。
        在 PCI DSS 標準中:
        6.2 Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release.
        安裝由供應商所提供的安全修補程式,確保所有系統組件和軟體免受已知漏洞的影響。並且在發布後一個月內安裝關鍵安全修補程式。

        而對於遠端存取的行為,PCI DSS 標準亦規定:
        2.3 Encrypt all non-console administrative access using strong cryptography.
        所有非終端 (遠端) 管理存取必須使用强加密技術對過程加密
        8.1.5 Manage IDs used by third parties to access, support, or maintain system components via remote access as follows:
        • Enabled only during the time period needed and disabled when not in use.
        • Monitored when in use.
        對於遠端連線使用都有強制的要求,以確保遠端連線使用受到嚴密的管制和監控,避免狀況發生。

        安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

        https://www.ithome.com.tw/news/124904