banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: prof  XML
Profile for prof Messages posted by prof [ number of posts not being displayed on this page: 26 ]
 
To vikjava: hôm nay vô tình lục lại kho ebook của mình, thấy còn lưu cuốn PCI DSS handbook @ 2009, cũng khá hữu ích. Nếu bạn quan tâm, thì PM cho tớ nhé. Tớ sẽ gởi link download để bạn tham khảo thêm khi cần.

To anh conmale: Hoàn toàn nhất trí với anh. Theo em thì có thể tóm gọn như thế này: nếu việc xây dựng & triển khai các tiêu chuẩn an ninh khó khăn 1, thì việc duy trì nó khó khăn 10 smilie.
Hello vikjava,

Một cách tổng quát, chuẩn PCI DSS cũng tương tự như bất kỳ các chuẩn quốc tế khác ở lộ trình lên kế hoạch xây dựng, triển khai và chứng nhận. Lộ trình thực hiện có thể vắn tắt như sau: trước tiên bạn nghiên cứu các tài liệu về requirements của PCI DSS, sau đó tiến hành triển khai hệ thống quy trình, tài liệu văn bản, cài đặt các biện pháp an ninh bảo vệ theo các requirements đó, và cuối cùng là mời tổ chức đánh giá tới kiểm định và chứng nhận.

vikjava wrote:
Hi all !

...

- Cho mình hỏi để triển khai PCI DSS thì ta cần phải qua những giai đoạn nào, quy trình thực hiện ra sao.
 

Về các yêu cầu cụ thể để đạt chuẩn của PCI DSS cũng như quy cách đánh giá, bạn có thể tham khảo tài liệu (phiên bản 1.1) tại đây: https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf. Có lẽ tài liệu này đã được update phiên bản, nhưng mình nghĩ đây là những yêu cầu chung nhất về qui cách đánh giá & quy trình thực hiện.


- Theo checklist của PCI DSS v2.0 thì mình thấy nó tương tự như các policy? Vậy một tổ chức có các policy và thực hiện các policy đáp ứng đúng các yêu cầu thì sẽ OK ?
 

Chính xác là vậy. Như tớ đã nói ở phần đầu, một mặt mình cần hệ thống các policies, processes, procedures hỗ trợ, một mặt mình phải triển khai thực hiện thật sự. Khi kiểm định viên tới kiểm tra, họ sẽ theo các requirements của PCI DSS để check xem chúng ta đã thực thi đúng những gì mà PCI DSS yêu cầu hay không. Và điều quan trọng là tổ chức của bạn phải chứng minh được đã triển khai đầy đủ các hạng mục smilie. Ví dụ, PCI DSS yêu cầu tổ chức phải cài đặt, cấu hình & vận hành hệ thống tường lửa bảo vệ mạng lưu trữ thông tin dữ liệu chủ thẻ, thì cty bạn phải thực hiện điều này, phải chỉ ra được cty bạn đã trang bị hệ thống tường lửa theo cách mà PCI DSS đề nghị smilie.

- Làm thế nào đề đạt được chứng nhận này, ai là người xác nhận công ty bạn đạt chuẩn PCI DSS smilie
 

Hiện nay, theo mình biết thì PCI DSS do tổ chức PCI SECURITY STANDARDS COUNCIL đánh giá và chứng nhận. Ở Việt Nam, có lẽ OnePay là một trong số ít các doanh nghiệp đã đạt được chứng nhận này, bạn có thể liên lạc thêm với OnePay v/v này nhé.

Chúc bạn thành công.

--pr0f


Topic phát triển nhanh quá. Từ việc để trở thành hacker, sau đó chuyển sang "võ lâm chánh tông", rồi giờ thành.... ISMS smilie. Có lẽ tại anh conmale mở rộng ghê quá, đôi khi là khá quá sức đối với một vài người :p.

Mình thấy ở topic nào có bạn louisnguyen27 tham gia, là ở đó rất dễ bị ISMS... hoá. Hi hi. Bạn louisnguyen27 có lẽ hoặc là đang "phải lòng" ISMS quá, hoặc đang nhận việc tư vấn về ISMS nên nắm mớ lý thuyết ISMS rất vững smilie.

Cá nhân mình thấy ISMS, CMM, hay bất kỳ mô hình nào khác, cũng khó có thể gọi là thành công thực sự, hay nói cách "văn vẻ" là đi-vào-đời-sống-quần-chúng doanh nghiệp, nếu như: các nhân sự tham gia vận hành mô hình không có nhận thức tốt & chuyên nghiệp, không nhận được hỗ trợ tốt từ quản lý cấp cao nhất, và không có kiến thức chuyên môn tốt.

Btw, mình thích câu này: lý luận mà không gắn với thực tiễn là lý luận suông.

Cuối cùng, để trở thành hacker, hay để thế giới, cộng đồng công nhận mình là một hacker thực thụ, có lẽ nên có một kế hoạch định hướng học tập & làm việc dài hơi + sự đam mê không ngừng nghỉ smilie.
Hì hì, ông CEO đó nói Tiếng Anh, có lẽ mình chuyển qua Tiếng Việt chưa được ổn. Có lẽ từ "sau này", nên hiểu theo nghĩa "sau đó" hoặc không cần chuyển sang TV thì hợp lý hơn. Ý của ông đó nói, theo mình hiểu, không phải như cách bạn louisnguyen27 suy diễn dưới dạng word-by-word đâu smilie.

Một cách tổng quát, một câu nói ra, có thể n người hiểu theo m cách khác nhau, do nhận thức mỗi người khác nhau. Nhưng mình tin chỉ có 1 cách hiểu đúng. Ai may mắn hiểu đúng sẽ có nhiều khả năng đi đúng hướng, làm đúng việc, vào đúng thời điểm smilie.

Vài chia sẻ.

--pr0f

 
Go to Page:  2 3 4 Page 5 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|