你的数据中心运营商是否遵守PCI守则?

2010-08-27 00:00出处:比特网作者:编译我要评论

[导读]潜在的数据中心客户经常会问,他们的数据中心运营商是否是“遵守PCI守则的?”

 数据中心热点推荐
 惠普推出模块化“蝴蝶”数据中心设计  如何保持数据中心的精简、适用和绿色
 继Facebook和Twitter 37signals搬迁数据中心  高频机型UPS的几个“致命弱点”论 值得商榷
 独特的超前数据中心设计 不知道你就OUT了  让我们卖掉一些数据中心吧!

  潜在的数据中心客户经常会问,他们的数据中心运营商是否是“遵守PCI守则的?”围绕这个问题的答案有一些混乱。数据中心供应商一般不会与他们客户的敏感信息处理程序有任何关系。为了说明和回答PCI问题,让我们讨论数据中心的责任和商家或服务供应商(数据中心客户)的责任。

  究竟什么是PCI守则?

  PCI DSS是支付卡行业数据安全标准(PCI Data Security Standard)的缩写,它是世界范围内的信息安全标准,是由支付卡行业安全标准委员会(Payment Card Industry Security Standards Council)设立的,用来帮助控制和减少欺诈或敏感信息受到威胁的风险点。PCI守则是您的业务处理信息按照PCI DSS标准执行的政策和程序的结合。

  如果一家公司(服务供应商或商家)在数据中心被要求遵守PCI守则,那么,它就必须按照PCI DSS的要求限制其信息处理程序,并具有该遵守行为的认证。

  这些原则和要求可以在PCI安全标准委员会网页上找到。

  PCI安全标准委员会已经提供了PCI DSS新的自我评估问卷(SAQ)简要1.2版,以确定哪些自我评估问卷(SAQ)适合你的公司。

  一个数据中心,为企业和商家提供设施,这些企业在数据中心的服务器上操作他们的业务。在这种情况下,数据中心提供商有具体的责任,它必须遵循PCI守则。一个商家或公司,虽然处于一个PCI标准的数据中心,但他们不会自动地成为遵守PCI守则的人。每个商家或公司必须声明遵守PCI规定,并能够提供他们自己合规的认证,按照PCI标准要求,详细介绍他们的敏感信息的程序。

  数据中心必须填写自我评估问卷(SAQ)表,并在SAQ附录中提供一个“不适用”或“补偿控制使用”的解释。作为一个例子,让我们看一个PCI要求的样本。

  在SAQ:V1.2 D中:

  “9.1-9.4要求的问题只需要回答设施中的‘敏感区域’。在这里‘敏感区域’是指任何数据中心、服务器机房或任何存储、处理或传输持卡人数据的系统所处的房屋区域。但唯一不包括在该地区的销售终端点,例如:在零售商店的收银区域。”

  下面列出的是9.1-9.4对数据中心要求的具体问题:

  9.1是否在适当的位置,有适当的访问控制和监测设施,用来限制外人物理进入持卡人数据环境系统?

  9.1.1.a是否有摄像机或其他访问控制机制,监督个人的身体进入敏感的区域?

  9.1.1.b是否从摄像机回放中收集数据,以及是否收集了其它入口的数据?

  9.1.1.c是否保留至少三个月的摄像机存储的数据(除非法律另有限制的情况)?

  9.1.2到公开的访问网络接口的物理访问是否受到限制?

  9.1.3到无线接入点、网关和手持设备的物理访问是否受到限制?

  9.2是否有程序可以帮助所有人员很容易区分员工和访客,特别是在可接近持卡人数据的区域?

  9.3是否按照下列要求处理所有的访客:

  9.3.1是否是授权后才能进入持卡人数据处理或维护的区域?

  9.3.2是否做到由于物理令牌(例如:徽章或接入设备)的期限届满,把这些访客作为非雇员看待?

  9.3.3是否要求在离开设施之前或者在物理令牌失效日期时,交出物理令牌?

  9.4.a是否在使用访问者日志来保持物理的审计,跟踪访问者的活动?

  9.4.b是否在访问者的日志中记录了访问者的姓名、他所代表的公司、授权物理访问的雇员情况?

  9.4.c是否保留访问者日志3个月以上,除非法律另有限制?

  针对每一个处理敏感信息和位于数据中心的商家和公司,按照自我评估问卷(SAQ)确认的责任摘要如下:

  1、建立和保持一个安全的网络:

  (1)安装和维护一个防火墙配置,保护持卡人的数据;

  (2)不要使用供应商提供的默认的系统密码和其他安全参数。

  2、保护持卡人数据:

  (1)保护持卡人的数据存储;

  (2)加密所有在开放的,公共网络上传输的持卡人的数据。

  3、保持一个弱点管理程序:

  (1)使用并定期更新反病毒软件;

  (2)开发和维护安全系统和应用。

  4、执行强的访问控制措施:

  (1)限制为了商业需要而访问持卡人的数据;

  (2)用计算机访问时,分配一个唯一的ID给每个人;

  (3)限制对持卡人数据的物理的访问。

  5、定期监控和测试网络:

  (1)追踪和监控所有对网络资源和持卡人数据的访问;

  (2)定期测试安全系统和程序。

  6、维持信息安全政策:

  (1)让雇员和承包商维持一个地址信息安全政策。

  7、PCI DSS对共用主机提供商的额外要求:

  (1)共用主机提供商必须保护持卡人的数据环境。

  为每一位客户提供服务,数据中心可以得到安全、遵守规则和成功运作的经验。了解和理解了什么是的PCI守则,明确了谁应该负责哪些部分,将会取得更加圆满的成功。

  关于作者:Nathan Hatch 是C7数据中心(C7 Data Centers)的总裁和CEO,C7数据中心是一家私人公司,它提供托管、灾难恢复、数据备份和虚拟化等高价值的数据中心解决方案

PCI 服务 数据中心 运营商
[责任编辑:李菁]
请输入邮箱订阅您选择的电子杂志:
企业信息化周刊
比特网信息化周刊为您全力奉献信息化领域每周热点新闻、时事评论、案例点评、产经动态等内容。独家点评各类热点新闻,带给您不一样的视角感受。
新闻中心热点推荐
在如今这个信息爆炸的时代里,每天都会有数不清的新闻通过各种渠道涌到我们面前,而真正有价值的应该进入我们心里的,却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》,就是要告诉您过去的七天都发生了哪些新闻,更希望和您一起,站在七天的高度来看待过去一周的新闻。
比特网博客新闻周刊
以最快速度追踪业界热点新闻,以最全面的视角解读业界的新鲜事,以最互动的方式来倾听最广大网民的声音,打造“最快、最丰富、最好看”的一周热点评论。
数据中心热点播报
业内首个只为报道数据中心资讯内容的专业频道,是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心,贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则,以成为用户最信赖的行业专家为目标,打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报,为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。
chinabyte商业智选
比特网商用电脑携办公自动化频道,倾力打造最权威的企业办公设备采购指导中心和软硬件整合资讯中心。为您提供第一手的专业化资讯及深度分析,帮助商用个人与企业用户实现商务智选。
chinabyte网络周刊
向企业网管员以及网络技术和产品使用者提供关于组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
chinabyte服务器周刊
就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧,向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐,为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。
chinabyte软件视界
以数据库和管理软件为重点的全面软件产业热点、应用方案推荐、实用技巧分享等等。
chinabyte存储周刊
就存储和虚拟化领域的产业动态、技术热点、热门产品、实用技巧,向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐。
chinabyte安全周刊
向企业信息安全专业人士提供安全领域最新的热点技术、热门产品、实用技巧、安全漏洞和木马病毒下载。