חפש מאמרים:
שלום אורח
19.04.2024
 
דף הבית | אודות | פרסום מאמר | מאמרים אחרונים | מאמרים מובילים | כותבים מובילים | הנחיות עריכה | צור קשר | תנאי שימוש | טוויטר |
   
מאמרים בקטגוריות של:

   
 

תקן PCI DSS: לא מספיק רק להגיד שאתה מוסמך

מאת: Benjamin Baruchאבטחת מידע02/11/20101166 צפיות שתף בטוויטר |   שתף בפייסבוק

מנהלי IT נדרשים להגיב ולעמוד בתיקנה של איגוד חברות האשראי (PaymentCard Industry Data Security Standard) ויכולים למצוא את עצמם מוצפיםבתהליך.

רוב הארגונים אינם מכירים וחיים בשלום עם רוב הדרישות שלהתקן ובפרט דרישה 10.6, צפייה ואבחון של לוגים מכל המערכות בארגון(סביבהאשראי כמובן), למעשה 90% מהחברות שנפרצו נמצאו כי לא עמדו בתקן מה שמוכיחלנו שיש לנהל את התקן על בסיס יומי וכדרך חיים ארגונית, מה הטעם בלסמן vבכל דרישה ולשכח מהפרויקט? בזמן אמת חברות אלו נקנסות בסכומי עתק, מדוברבסופו של דבר במספרי אשראי לא שלנו.

בשנה שעברה, ספקית שירותי אבטחהגדולה פרסמה מחקר המראה כי מעל ל80% מהחברות שנפרצו התעלמו או אפילו לאקראו את הלוגים בצורה שוטפת, נתוני הפרצה הופיעו בלוגים וכמובן לא היה מישיאבחן וימנע את הרע מכל.

אםניהול יומן ולוגים מבוצע היטב הארגוןיכול להפחית באופן משמעותי את הסיכון של פריצה או הפרה, מדוע ארגונים לאמקפידים על ניהול לוגים קבוע? מדוע לא מתמיאים מערכת לוגים מרכזית אשרתסייע בניפוי הלוגים? ההסבר הפשוט הוא ''תהליך'', להתמיד עם דרישה 10.6ולהשאיר אותה באוויר ואו להתמיע מערכת לוגים זה תהליך, מדובר על ניפוי שלמאות אלפים ואפילו מיליונים של לוגים שמשתוללים במערכת - זה מפרך ומצריךזמן.

הגישה הבריאה היא יעילות, לפני הסמכת הלקוח יש לזהות בברור מהמנותר ומה לא, היכן זרם העסקאות והיכן השרתים הרגישים אותם יש לנתר, מעל ל35% מהארגונים לא מבצעים סיגמנטציה נכונה ויעילה של שרתי האשראי(בסיסנתונים ושרתים המשתתפים בתהליך הסליקה/טרנזקציה). אבחון תחום וטווח השרתיםהרגישים הוא הגישה הכללית במטודולוגיה ותקף עבור סטנדרטים אחרים כגון משפט,ביטוח, Sarbanes-Oxley וכדומה.

מיפוי הסביבה והגדרתה:

רצוי כי תהיה לחברה דיאגרמה מעודכנת עד חצי שנה אחרונה ולעדכנה מעת לעת,מיפוי נכון של סביבות הטרנזקציה והסביבה המעורבת בעיבוד או/ו שידור שלנתוני אשראי תקל על החברה פלאים, תחסוך הון ואף תאפשר לנו לחשוב צלול וברוראל תוך המערכת וכיצד לשלב מוצרים במערכת שיצמצמו לנו עלויות נוספות אודרישות נוספות של התקינה.

סביבה גדולה ולא ברורה תגרום לנו לנחות, לרצון עז לסיים את התהליךולהוציא סכומי עתק על שיפורים והקשחות, צמצמו את הסיבבה עי מוצרים יעודיים,תעדו הכל בנהלים, דרשו מאדם אחד לעקוב אחר השינויים של הסביבה ולעדכן אתהדיאגרמה וכמובן לחסוף כסף וזמן.

דרישה 10.6 תקטן משמעותי אם תמפו ותגדירו נכון ויעיל את סביבתכם וכךנכון לשאר הדרישות, לא מעט לקוחות ענק מצאו את עצמם עם סביבה של 3 שרתים:)......(כשיתר הסביבה מורכת מ 450 מחשבים ומעל ל25 שרתים).

בהצלחה!
 





 
     
     
     
   
 
אודות כותב המאמר:

Thank You!,

NSAP IT-consider IT done?
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE
Mail: BB@nsapIT.com
Phone :1599-599-596
Mobile :+972-50-260-7456
Fax :+972-3-647-9731

USA&CANADA: +1 315-608-6534
United Kingdom: +44 (0)20-3286-3563
Hong Kong: +852-8174-5947

St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel
www.nsapIT.com
 
     
   
 

מאמרים נוספים מאת Benjamin Baruch

מאת: Benjamin Baruchאבטחת מידע21/06/111371 צפיות
Because NFC is a wireless communication interface it is obvious that eavesdropping is an important issue. An attacker can of course use an antenna to also receive the transmitted signals.

מאת: Benjamin Baruchאבטחת מידע20/06/111489 צפיות
NSAP הינה ספק שירותי אבטחת מידע מנוהלים המקנה לך כלים לחשיפת חולשות ברשת, אנו נפעל יחד איתך בהתאם למודל התקציבי ונפעל לעבוד מול האינטרס הארגוני ושלך כמנהל IT להשלמת המשימה

מאת: Benjamin Baruchאבטחת מידע10/01/111485 צפיות
3 עובדות על תקן PCI "PCI-DSS" עמידה בתקינת ה PCI הינה מסורבלת לעיתים, הינה תקינה שגדלה ומשפיעה משמעותית בסביבה הטכנית של אותו גורם. התקינה הינה תערובת של תקינות ידועות השמות דגש על תהליך סליקת כרטיסי ארשאי בארגון, להלן עובדות בסיסיות אודות תקן ה PCI-DSS (להלן: "PCI DSS"):

מאת: Benjamin Baruchאבטחת מידע05/12/101556 צפיות
The Payment Card Industry Data Security Standard (PCI DSS) sets forth the security requirements for organizations that store, process and/or transmit credit or debit card transactions. These requirements stem from a series of significant security incidents affecting databases of consumer credit information over the past decade.

מאת: Benjamin Baruchאבטחת מידע15/11/101473 צפיות
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

מאת: Benjamin Baruchאבטחת מידע15/11/101256 צפיות
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

מאת: Benjamin Baruchאבטחת מידע02/11/101700 צפיות
רבים מהלקוחות תוהים לעצמם מי מוסמך, מי לא מוסמך ומי פג תוקפו. איגוד חברות האשראי (להלן: PCI SSC או Payment Card Industry Security Standards Council) מסמיך מדי שנה חברות אבטחת מידע ליישום התקן, כל חברה והיבשת שאליה הוא משוייך(להלן: REGION), ישראל משוייכת ליבשת אירופה-europe region והחברות המוסמכות בישראל ואירופה רשאיות ליישם את תקן PCI-DSS.

מאמרים נוספים בנושא אבטחת מידע

מאת: tiloniאבטחת מידע23/03/211630 צפיות
מספר טלפון וירטואלי הוא מבין הטרנדים החזקים ביותר שקיימים בשנים האחרונות בעולם התקשורת והטלפוניה לעסקים. מספרים אלה מתאפשרים בעזרת טכנולוגיות תקשורת מתקדמות וכך מאפשרות לנו ליהנות ממספרים שהם לא פחות מקווי טלפון, וללא צורך בהרכבה של תשתית פיזית בעסק

מאת: ליאת מנדלסוןאבטחת מידע28/09/143080 צפיות
מחפש שירותי מחשוב לעסקים? מעוניין בפתרונות חכמים אשר יועילו בצורה משמעותית לעסק שלך? ובכן, אתה נמצא במקום הנכון. בשנים האחרונות ניתן לראות כיצד הטכנולוגיה נתנה אותותיה ואם בעבר בעלי עסקים נאלצו להתמודד עם "חוות שרתים" (חווה אשר אילצה את בעלי העסקים לסבול מהוצאות שונות הן בשמירה על חדר השרתים והן בתחזקו) הרי שכיום הדבר מיותר לחלוטין ופשוט לא קיים כמעט.

מאת: ליאת מנדלסוןאבטחת מידע05/08/142700 צפיות
מחשוב מענן אומר למעשה משהו פשוט: יש ברשותך עסק, סביר להניח שיש בו מספר של מחשבים, הגיע הזמן שתחשוב כיצד להגן עליהם מבלי באמת להצטרך "ללכת לאיבוד", מבלי להרגיש אבוד בתוך עולם עם מושגים ונתונים שאינך מכיר כיוון שזה בדיוק היתרון של מחשוב ענן. הוא פשוט, מובן ומעניק את מלוא הצרכים שאתה זקוק להם.

מאת: ליאור מזוראבטחת מידע02/12/138191 צפיות
הרשתות החברתיות הביאו לאחד השינויים היסודיים ביותר באופן שבו אנו מתקשרים ברשת האינטרנט מאז המצאתו של הדואר האלקטרוני. אתרים אלה מציעים דרך זמינה ונפוצה לשמור על קשר עם חברים ומשפחה בשיתוף תמונות, קטעי וידיאו, כתבות ומידע בכלל. רבים פונים לאתרי הרשתות חברתיות כדי לקדם את הקריירה שלהם או מסיבות מקצועיות אחרות כמו חיפוש עובדים ועוד . הפרופיל ברשת החברתית מזהה אותנו עם החברים שלנו, התגובות שלנו באתרים שונים ובפורומים ולהזדהות מול אתרים יותר פרטיים ואישיים.

מאת: שי ברסאבטחת מידע05/07/131811 צפיות
למי מיועד קורס אבטחת מידע? מה כוללת תכנית לימודי קורס אבטחת מידע בלימודי ההייטק?

מאת: אייל מנקראבטחת מידע08/04/131979 צפיות
בעידן של ימינו, כשלא מפסיקים לשמוע על מתקפות סייבר, פריצות לאתרים והאקרים שרק משכללים את שיטותיהם מדי יום, אין לנו מנוס מלנסות להגן על האתרים שלנו. כדי שנוכל לאבטח את אתרינו, ובתוכם כמובן אתרי וורדפרס, יש להקפיד על מספר עקרונות חשובים. אבטחה של אתרי וורדפרס חשובה מאוד - במיוחד לאור העובדה שפשטותם של אתרים אלו מאפשרים לכל אחד לנהל אותם, גם למי שלא מבין בכל תחומי האינטרנט והמחשבים, ולכן לא מודע לסיכונים הטמונים בשימוש ברשת.

מאת: אייל מנקראבטחת מידע26/02/132061 צפיות
סוגיית האבטחה ברשת האינטרנט נהיית חשובה יותר ויותר בעבור בעלי אתרים ברחבי עולם ובישראל בפרט, וזאת לנוכח הפריצות המרובות שהאקרים מנסים לבצע כל יום ויום. בארץ למרבה הצער השרתים יותר חשופים יחסית להתקפות האקרים, וזאת משום שרבים מעוניינים לפגוע באזרחים ישראלים. יש מספר דרכים לוודא את אבטחת האתר, כשאחת הפשוטות בהן היא פשוט לבנות אתרים על בסיס מערכת וורדפרס. וורדפרס היא מערכת לניהול תוכן, שמלבד מגוון יתרונותיה היא גם בעלת יכולות גבוהות מבחינת אבטחה.

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica