显然,颁发驾驶执照的目的并不是为了消除道路上的事故。 PCI DSS 也是如此:它的。该标准仅规定了最低程度的保护。它不能成为任何网络犯罪或数据泄露的不可逾越的障碍。
在 99% 的案例中,道路交通事故都是由于错误(明显的或无意的)造成的。同样,99% 的公司发现 PCI DSS 违规行为都是因为在发生网络攻击时未完全实施该标准的各个要素。
案例研究:Web 应用程序的 PCI DSS 合规性
如果我们对与 PCI DSS 违规相关的事件进行分类,不到一半的事件与通过受信任的第三方应用程序泄露数据、物理设备级别的攻击(浏览、使用 POS 终端时的数据盗窃等)、内部威胁等有关。另一方面,超过一半的事件涉及企业 Web 应用程序,这些应用程序由于某种原因被证明是不安全的。
该标准的第 6 条要求公司“在设计系统和应用程序 丹麦电报数据 电子交易系统可用性延迟也存在类似的“不准确性”。 PCI DSS 标准没有提供该参数的确切值,但很多人指出,此类系统的功能应在不超过 24 小时内完全恢复。
要求 6.3 和 6.4 涉及组织内的安全系统开发生命周期、安全开发标准和变更管理。乍一看,一切都很清楚,但实践表明,即使是最有经验的开发人员也可能由于紧急解决生产问题、疲劳或出现群体错误而成为错误的受害者。结果,不安全的程序和设置被转移到生产模式,导致漏洞出现。当开发人员只有一个小时来编写新功能时,几乎不可能避免错误。
时要考虑安全性,并保持该安全级别”。然而,大多数组织并没有准确地解释这一要求及其在实践中的应用细节。
例如要求 6.2:“确保所有关键安全更新在发布后一个月内安装。”由于工业系统复杂,每次更新的安装都需要在投入生产之前进行彻底的初步测试,因此安全标准委员会允许如此长的实施期。然而,对于大多数与电子商务相关的网络应用程序来说,安装更新的最大时间范围不超过八个工作小时。否则,正如委员会所认为的,没有“补丁”就等于直接“邀请”黑客访问该公司的系统。