誰需要通過 PCI DSS 的審查呢 ? Part 2
/在: 新聞 /通過: arthur.li在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:
誰需要通過 PCI DSS 的審查呢 ? Part 1
/在: 知識 /通過: arthur.li在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:
智慧型手機被盜刷,mPOS的安全性?
/在: 新聞 /通過: arthur.li『 智慧型手機被盜刷!!! 』
規模較小的公司與商店都開始設計及導入 mPOS 這類型的裝置,請大家要多加留意安全性。
企業安全解決方案供應商 Positive Technologies 研究人員發現一個影響全球支付服務的安全漏洞,
黑心商家或者是駭客有機會在顧客藉由 mPOS 載具進行消費時,入侵其消費者的帳戶或是竊取信用卡相關資訊,
較進階一點的方式,駭客還可以修改客戶支付卡的金額,另外還能強迫消費者使用其他種方式來做付款,POS 機的廠商真的要注意!
會有這樣的情況發生,是近期較熱門的移動式支付讀卡機 (mPOS),
駭客趁機在手機於 mPOS 之間,利用中間人攻擊手法 (MiTM)。
當消費者準備使用手機做信用卡交易的途中,會透過手機的藍芽裝置進行信用卡的交易,
這時駭客會藉機在傳輸時利用攻擊程式進行監聽,並且能夠有效的干擾磁條通過後的支付金額,也有機會遠端控制手機程式。
這是因為有些mPOS讀卡機在執行藍牙傳輸時,沒有採用較安全性的機制進行配對,讓mPOS暴露了不少的安全漏洞,
Positive Technologies供應商建議商家應避免採用磁卡交易,而是利用晶片+PIN碼、晶片+簽名或非接觸式支付選項。
小編認為磁卡交易在手機上才算是新一代的消費模式,改善方式不是單純避免磁卡交易才算有效解決,
應該改變及優化藍芽裝置的加密機制,或者在進行載具及網路傳輸時,
增加多因子的身份認證,例如多一組帳號確認、手機簡訊通知,可降低駭客入侵及修改金額的機會。
安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
https://www.ithome.com.tw/news/125139
https://latesthackingnews.com/…/vulnerability-discovered-m…/
支付卡營運標準的安全管理層次與精神
/在: 新聞 /通過: arthur.li大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元
/在: 新聞 /通過: arthur.li各種系統的漏洞未及時更新,常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功,再進一步搜尋不安全的,或是破解服務安裝,
例如 Remote Desktop Protocol (RDP),然後遂行勒索、破壞或竊取的目的。
駭客會利用安全漏洞來取得對系統的特權存取。
許多這些漏洞由供應商提供的安全修補程式來修復,這些修補程式必須透過系統管理者來進行安裝。
所有系統必須具有所有適當的軟體修補程式,以防止駭客和惡意軟體對持卡人資料的竊取和破壞。
在 PCI DSS 標準中:
6.2 Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release.
安裝由供應商所提供的安全修補程式,確保所有系統組件和軟體免受已知漏洞的影響。並且在發布後一個月內安裝關鍵安全修補程式。
而對於遠端存取的行為,PCI DSS 標準亦規定:
2.3 Encrypt all non-console administrative access using strong cryptography.
所有非終端 (遠端) 管理存取必須使用强加密技術對過程加密
8.1.5 Manage IDs used by third parties to access, support, or maintain system components via remote access as follows:
• Enabled only during the time period needed and disabled when not in use.
• Monitored when in use.
對於遠端連線使用都有強制的要求,以確保遠端連線使用受到嚴密的管制和監控,避免狀況發生。
安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
Reddit 遭駭了,Two Factor 被破解!
/在: 新聞 /通過: arthur.li今天小編 ”讀過”了這則新聞想起, 由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中,也要求在遠端登入 (Remote Login) CDE 所在的網路,或是 Non-Console 登入主機時均需符合多重身份驗證 (multi-factor authentication)的安全要求。
但 Reddit 這個案例,可能是透過社交工程、身分資料盜竊後對電信公司進行 SIM 卡重新申請而破解了原來帳號綁定的 Two Factor (SMS) 機制,這個也就需要提醒大家,其實兩年前 NIST 就已經建議大家 Two-Factor 安全機制別再用 SMS (Drafted Digital Identity Guidelines, NIST,但後來有提出解釋軟化了原來的措辭) ,所以無論 SMS , SIM 卡是透過社交工程、資料盜竊向電信申請換卡,或是透過 SS7 可能的問題攔截到,目前均可以透過 APP 或是非 SMS 的雙因認證來避開這個風險。
安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
來源網址:
https://www.ithome.com.tw/news/124948
https://blog.vasco.com/authentication/sms-authentication/
7/27資安整合服務平台啟動大會,歡迎報名!
/在: 活動 /通過: arthur.li轉自: https://www.acw.org.tw/News/Detail.aspx?id=29
為強健我國資安產業生態鏈,推動產業共通「資安整合服務平台」,媒合橋接資安產業供給與需求端。建立資安整合服務平台營運機制,以提供產品安全開發檢測工具、套裝企業資安風險評估服務、客製化的專業滲透測試以及新興資安解決方案導入等四大類服務。
● 指導單位:經濟部工業局
時間 | 議程 | 致詞貴賓/主講人 |
---|---|---|
13:00~13:30 | 來賓報到 | |
13:30~13:35 | 主辦單位致詞 | 經濟部工業局呂正華局長 |
13:35~13:45 | 貴賓致詞 | 國安會廖述煌主任 院資安處簡宏偉處長 |
13:45-13:50 | 執行單位致詞暨介紹資安整合服務平台 | 工研院闕志克所長 |
13:50~13:55 | 平台啟動儀式暨貴賓合影 | |
13:55~14:40 |
資安整合服務平台推動作法說明
資安廠商案例分享
安全軟體開發工具 應用場域安全強化 新興資安產品 |
工研院卓傳育博士
安華聯網
互聯安睿 奧義智慧 |
14:40~14:55 | Break | |
14:55~15:35 |
資安檢測診斷服務申請說明暨能量登錄說明
資安健檢團隊介紹 關貿網路
漢昕科技 安華聯網 |
中華軟協張德維組長
關貿網路
漢昕科技 安華聯網 |
15:35~15:50 | GDPR之介紹與政府因應作法 | 資策會科法所 |
15:50~16:00 | Q&A/活動結束 |
※7/27議程