English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Xác định CDE trong PCI DSS  XML
  [Question]   Xác định CDE trong PCI DSS 08/05/2012 22:24:19 (+0700) | #1 | 262739
baze
Member
[Minus]    0    [Plus]
Joined: 02/05/2012 11:07:52
Messages: 4
Offline
[Profile] [PM]
Bác nào từng làm về PCI DSS rồi có thể chia sẻ ít kinh nghiệm liên quan đến phương pháp, công cụ để xác định chính xác CDE (Cardholder Data Environment) được không?
[Up] [Print Copy]
  [Question]   Xác định CDE trong PCI DSS 14/05/2012 18:35:57 (+0700) | #2 | 263154
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Theo định nghĩa thì đó là nhưng thiết bị, máy móc và đường truyền mạng có liên quan đến việc truy cập, xử lý dữ liệu thẻ trực tiếp, không có sự kiểm soát hoặc ngăn cách nào đó với nhau, có thể là ngăn cách logic (bởi firewall) hoặc vật lý (bởi khóa cửa chẳng hạn) và ngăn cách này phải được verify một cách cẩn thận. Cái này bao gồm cả con người tham gia vào quá trình này (tức đụng đến các thiết bị và máy móc đó nữa).
Nói chung PCI-DSS cái phạm vi nó khá rộng đối với tổ chức có dịch vụ thẻ thanh toán, từ máy chủ, máy trạm, thiết bị... mọi thứ đụng đến dữ liệu thẻ.
[Up] [Print Copy]
  [Question]   Xác định CDE trong PCI DSS 15/05/2012 21:22:58 (+0700) | #3 | 263244
baze
Member
[Minus]    0    [Plus]
Joined: 02/05/2012 11:07:52
Messages: 4
Offline
[Profile] [PM]
Cụ thể hơn tí được không? Bởi về định nghĩa thì:
"The CDE is comprised of people, processes and technology that store, process or transmit cardholder data or sensitive authentication data."
=> Vấn đề mình quan tâm ở đây là làm sao (phương pháp/ công cụ, ...) để xác định ra nó một cách chính xác?
[Up] [Print Copy]
  [Question]   Xác định CDE trong PCI DSS 17/05/2012 20:44:38 (+0700) | #4 | 263399
myquartz
Member
[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

baze wrote:
Cụ thể hơn tí được không? Bởi về định nghĩa thì:
"The CDE is comprised of people, processes and technology that store, process or transmit cardholder data or sensitive authentication data."
=> Vấn đề mình quan tâm ở đây là làm sao (phương pháp/ công cụ, ...) để xác định ra nó một cách chính xác? 


Nếu nói đến phương pháp hay công cụ thì chả có gì nhiều. Đơn giản là trong hệ thống của bạn có nối mạng trực tiếp hoặc có thể tiếp xúc vật lý trực tiếp với thiết bị hoặc máy tính có dữ liệu thẻ trên đó thì sẽ nằm trong scope.
Ví dụ là thế này: 1 máy tính của bạn có nối mạng LAN với 1 máy tính khác, tuỳ ý ping, kết nối... trong máy tính đó nó chạy chương trình thanh toán thẻ => cả 2 máy tính và mạng LAN đều nằm trong scope, cả người sử dụng 2 cái máy đó cũng thuộc scope.
Ví dụ khác thế này: dù không có nối mạng gì cả với 1 máy tính có chứa dữ liệu thẻ, nhưng lại để trong cùng phòng, bạn có thể tuỳ ý đi tới đó, login hay tắt bật máy đó => cả bạn, cả cái phòng và cả cái máy tính phải nằm trong scope.
[Up] [Print Copy]
  [Question]   Xác định CDE trong PCI DSS 17/05/2012 21:22:01 (+0700) | #5 | 263400
baze
Member
[Minus]    0    [Plus]
Joined: 02/05/2012 11:07:52
Messages: 4
Offline
[Profile] [PM]

myquartz wrote:

baze wrote:
Cụ thể hơn tí được không? Bởi về định nghĩa thì:
"The CDE is comprised of people, processes and technology that store, process or transmit cardholder data or sensitive authentication data."
=> Vấn đề mình quan tâm ở đây là làm sao (phương pháp/ công cụ, ...) để xác định ra nó một cách chính xác? 


Nếu nói đến phương pháp hay công cụ thì chả có gì nhiều. Đơn giản là trong hệ thống của bạn có nối mạng trực tiếp hoặc có thể tiếp xúc vật lý trực tiếp với thiết bị hoặc máy tính có dữ liệu thẻ trên đó thì sẽ nằm trong scope.
Ví dụ là thế này: 1 máy tính của bạn có nối mạng LAN với 1 máy tính khác, tuỳ ý ping, kết nối... trong máy tính đó nó chạy chương trình thanh toán thẻ => cả 2 máy tính và mạng LAN đều nằm trong scope, cả người sử dụng 2 cái máy đó cũng thuộc scope.
Ví dụ khác thế này: dù không có nối mạng gì cả với 1 máy tính có chứa dữ liệu thẻ, nhưng lại để trong cùng phòng, bạn có thể tuỳ ý đi tới đó, login hay tắt bật máy đó => cả bạn, cả cái phòng và cả cái máy tính phải nằm trong scope. 


Hai zà. Túm lại vẫn là tất cả con người, quy trình, hệ thống có lưu, xử lý hoặc truyền dữ liệu cardholder hoặc dữ liệu xác thực nhạy cảm và các thành phần khác có kết nối trực tiếp với nó. Còn cụ thể là những gì thì vẫn phải thực địa và theo từng môi trường cụ thể. Bác nào có gợi ý nào hay hơn không vậy???
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|