web-dev-qa-db-ja.com

PCIコンプライアンスは本当にリスクを減らし、セキュリティを向上させますか?

これのホットトピックをここに持ってくることもできます!

知らない人のために: https://www.pcisecuritystandards.org/

risk-managementcompliancepci-dss
24
Tate Hansen

良い質問ですが、おそらく「PCIharmsecurityを実行しますか」と表現する必要があります。

両方の質問に答えるために、私は2つのタイプの組織を非常に大まかに区別します(ほとんどの場合、これらの2つの極端の間にあります)。

  • ビジネスリスクに基づく分析を日常的に実行し、包括的なSDLを導入し、すべての適切な行動を実行するなど、セキュリティを重視する組織。
  • セキュリティに無意識の組織で、絶対に関心のないものは何でもない強制すべきことであり、特にそれがお金を稼がない場合はそうではありません。

2番目のグループの場合、PCIは次のように非常に役立ちます。

  • 認識(今、誰か​​が少なくともでセキュリティについて言及することを許可されています。うまくいけば、彼ら全員がそれについて話しています)
  • 予算-それ以外の場合、経営陣はいかなる形のセキュリティに投資するためにリソースを割り当てることは決してなかったので、少なくとも現在、彼らは少なくともリップサービスを支払うことを強いられています。
  • 最も一般的でない分母活動の最小ベースライン。 (うまくいけば、これには開発者のトレーニングが含まれ、これはどの規制よりも役立つ...)

基本的にそれは彼らにセキュリティを認めることを強制し、うまくいけばいくつかの追加の善がそれから出てくるでしょう。

最初のグループの場合、2つの(2.5の)主な結果があります。

  • 組織が実際のセキュリティソリューションと一般的なベースラインLCDへの準拠のどちらかを選択しなければならない(まれな)状況があります。
  • 現在、予算は最小限の一般的なベースラインに強制的に割り当てられていますLCD彼らのビジネスについて何も知らない外部グループによって定義されています。 )。
  • 管理者は、PCIから直接義務付けられていないセキュリティへの投資をより迅速に受け渡すことができます。または「もしそれが重要だったら、PCIはそれを要求したでしょう」。

この場合、PCIがセキュリティを構築することはこれらの組織にとって問題ではないため、PCIは良いことよりも多くの害を及ぼしています。

ただし、PCIコンプライアンスの1つの利点は、が全面的に共有されることです。

PCIコンプライアンスは、コンプライアンス違反によるペナルティのリスクを軽減します。

32
AviD

最初に注意する必要があるのは、PCI DSSは組織の保護を目的としたものではありません。支払いネットワークと支払いエコシステムの保護を目的としています。これは多くの人にとって奇妙に聞こえるかもしれませんが、 VisaとMastercardに尋ねてください。

AviDのコメントに同意します。 「PCIコンプライアンス」は特定のリスクを軽減し、おそらく(何も実行していない)それらの組織をより安全にします。しかし、PCIコンプライアンスが組織の最終的な目標であってはなりません。

もう1つ明確にする必要があるのは、「PCIコンプライアンス」とPCIのすべての要件を実際に行使することには大きな違いがあるということですDSSリスクに見合った方法で。多くの組織は「準拠している」(またはそうであると考えている)PCIの解釈が不十分なためDSSまたは完全なギャップ評価を行わなかったため。

10
ken5m1th

経験として、私はクレジットカードプロセッサで働いていました。PCIは、

1)上級管理者の注意を引く(VISAおよびMastercardを使用する権利を失う可能性があると彼らが聞いたときにセキュリティが重要になった)。

2)セキュリティは、会社全体の開発ライフサイクルの一部となる機会を得ました。開発者は、「セキュリティ番号をこのtxtに保存してそこに置いておくと、 30人が使用するデスクトップ」

3)セキュリティは、レガシーを処理し、コンプライアンスを適用し、古いソリューションを再考し、古いハックのための新しいソリューションを見つけるための予算を獲得しました

だから私の意見では、PCIコンプライアンスはあなたの会社をより安全にしません、そうです、それはVISAとマスターカードを保護することに主眼を置いています、しかしそれはセキュリティにいくつかの扉を開き、あなたに多くの予算を与え、あなたを助けることができますあなたの遺産をレビューし、一般的にソフトウェア開発ライフサイクルをより勤勉にするため。

9
VP.

PCI DSSは、PCI SSC(PCI評議会)がお金を稼ぐのに役立ちます。

また、PCI SSCパートナーがお金を稼ぐのにも役立ちます。

セキュリティやセキュリティコミュニティを特定の方法で「支援」するものではありません。組織の情報セキュリティに対する姿勢を損ない、適切な情報セキュリティ管理とリスク管理を実行する能力を妨げる例を数多く挙げることができます。ただし、最良の例は、良いプロジェクトからお金を奪い、PCI SSCとそのパートナー(上記を参照)の手に渡して、常に悪いプロジェクトに資金を提供しているように見えることです。これは、SANSのしくみでもあります。

PCI DSS=コンプライアンスがリスクを軽減し、セキュリティを向上させると言うことは、ジェニークレイグ(またはウェイトウォッチャー)が脂肪を減らし、幸福を向上させると言うのと同じです。

4
atdre

PCI-DSSには、多くの企業が(クレジットカードを処理していない場合でも)実行することが理にかなっていることがかなりあり、適切に実装されていると、組織のセキュリティが強化されます。それを超えて、それはすべて、PCI-DSSコンプライアンスを達成しようとしている組織の(PCI-DSSに関する)考え方に依存します。

3
NSSec