it-swarm-korea.com

PCI 규정 준수가 실제로 위험을 줄이고 보안을 향상합니까?

뜨거운 주제 를 여기로 가져올 수도 있습니다!

모르는 사람들을 위해 : https://www.pcisecuritystandards.org/

24
Tate Hansen

좋은 질문이지만 "Does PCI harm security"라고 말해야합니다.

두 가지 질문에 모두 답하기 위해 두 가지 유형의 조직을 매우 대략적으로 구분합니다 (대부분이 두 극단 사이에 속하더라도).

  • 일상적으로 비즈니스 위험 기반 분석을 수행하는 보안 의식이있는 조직은 포괄적 인 SDL을 갖추고 있으며 모든 올바른 이동을 수행합니다.
  • 어떤 것에 관심이없는 보안 의식이없는 조직은 절대적으로 강제하지 않으며 특히 돈을 벌지 못하는 경우에는 그렇지 않습니다.

두 번째 그룹의 경우 PCI는 다음과 같은 방식으로 많은 도움이됩니다.

  • 인식 (이제 누군가는 적어도 보안에 대해 언급 할 수있는 허용 이며, 바라건대 그들은 모두 그것에 대해 이야기하고 있습니다)
  • 예산-그렇지 않으면 경영진은 어떤 형태의 보안에도 투자하기 위해 자원을 할당하지 않았을 것이므로 이제 최소한 립 서비스를 지불해야합니다.
  • 최소 공통 분모 활동의 최소 기준. (여기에는 어떤 규정보다 더 많은 도움이되는 개발자 교육이 포함되기를 바랍니다.)

기본적으로 보안을 인정하도록 강요하며, 일부 추가 혜택이 나올 수 있기를 바랍니다.

첫 번째 그룹의 경우 두 가지 (2 개 반) 주요 결과가 있습니다.

  • 조직이 실제 보안 솔루션과 일반 기준 LCD 준수 중에서 선택해야하는 (드문 경우) 상황이 있습니다.
  • 이제 예산은 비즈니스에 대해 전혀 모르는 일부 외부 그룹에 의해 정의 된대로 최소한의 일반 기준선 LCD에 강제 할당됩니다. (이 예산은 아마도 다른 보안 활동/제품 등에 더 유용 할 것입니다.).
  • 경영진은 PCI에서 직접 요구하지 않는 보안 투자를 더 빨리 전달합니다. "필요하지 않은 경우/없이도 충분한 보안 투자를 수행해야하는 이유는 무엇입니까?" 또는 "중요했다면 PCI가 필요했을 것입니다".

이 경우 PCI는 보안을 강화하는 것이 이러한 조직의 문제가 아니기 때문에 득보다 해를 끼치고 있습니다.

그러나 보드 전체에서 공유되는 PCI 규정 준수의 한 가지 이점은 다음과 같습니다.

PCI 준수는 미준수로 인한 처벌 위험을 줄여줍니다.

32
AviD

가장 먼저 알아야 할 것은 PCI DSS는 조직을 보호하기위한 것이 아니라 결제 네트워크와 결제 생태계를 보호하기위한 것입니다. 이것은 많은 사람들에게 이상하게 들릴 수 있습니다. 하지만 Visa와 Mastercard에게 물어보세요.

나는 AviD의 의견에 동의합니다. "PCI 규정 준수"는 몇 가지 특정 위험을 줄이고 아마도 아무 일도하지 않는 조직을 더 안전하게 만들 수 있습니다. 그러나 PCI 컴플라이언스가 조직의 궁극적 인 목표는 아닙니다.

분명히해야 할 또 다른 점은 "PCI 규정 준수"와 실제로 위험에 상응하는 방식으로 PCI DSS)의 모든 요구 사항을 실행하는 것 사이에는 큰 차이가 있다는 것입니다. 많은 조직은 " 오늘날 누군가가 PCI DSS)에 대한 잘못된 해석으로 인해 또는 전체 격차 평가를 수행하지 않았기 때문입니다.

10
ken5m1th

경험으로 저는 신용 카드 프로세서에서 일했고 PCI는

1) 고위 관리자의 관심을받습니다.

2) 보안은 회사 전체의 개발 라이프 사이클의 일부가 될 수있는 기회를 얻었고 개발자는 "이 txt에 보안 번호를 저장하고 거기에 놓아 두었다"와 같은 솔루션을 제공하기 위해 두 번 생각하기 시작했습니다. 30 명이 사용한 데스크톱 "

3) 보안은 레거시를 처리하고, 규정을 준수하고, 기존 솔루션을 재고하고, 기존 해킹에 대한 새로운 솔루션을 찾기위한 예산을 확보했습니다.

제 생각에는 PCI 규정 준수가 회사를 더 안전하게 만들지는 않습니다. 예, VISA 및 Mastercard를 보호하는 데 주된 초점이 있지만 보안에 대한 문을 열 수 있으며 더 많은 예산을 제공하고 도움을 줄 수 있습니다. 레거시를 검토하고 일반적으로 소프트웨어 개발 라이프 사이클을보다 부지런히 처리합니다.

9
VP.

PCI DSS PCI SSC (PCI Council)가 돈을 많이 벌도록 돕습니다.

또한 PCI SSC 파트너가 수익을 창출하는 데 도움이됩니다.

특정 방식으로 보안 또는 보안 커뮤니티를 "도움"하지 않습니다. 나는 그것이 어떻게 조직의 정보 보안 태세를 해치고 적절한 정보 보안 관리 및 위험 관리를 수행하는 능력을 방해하는지에 대한 수많은 예를 인용 할 수 있습니다. 그러나 가장 좋은 예는 좋은 프로젝트에서 돈을 빼앗아 PCI SSC와 파트너 (위 참조)에게 전달하는 것입니다. 이는 항상 나쁜 프로젝트에 자금을 지원하는 것처럼 보입니다. 이것은 또한 SANS가 작동하는 방식입니다.

PCI DSS 컴플라이언스가 위험을 줄이고 보안을 향상 시킨다는 것은 Jenny Craig (또는 Weight Watchers))가 지방을 줄이고 행복을 향상 시킨다고 말하는 것과 같습니다.

4
atdre

PCI-DSS에는 많은 회사가 (신용 카드를 처리하지 않는 경우에도) 수행해야 할 일이 상당히 많으며, 제대로 구현되면 조직을 더욱 안전하게 만들 수 있습니다. 그 외에도 PCI-DSS 준수를 달성하려는 조직의 정신 (PCI-DSS 관련)에 따라 다릅니다.

3
NSSec