标准的PCI决策支持系统的步骤doc - 素包子(2)

检测灵敏度验证数据如何看待下表描述了用来寻找敏感的身份验证数据的基本技术数目。没有人的工作方式在所有情况下，这是最好的建议这些方法加以调整和发展适合你的结构网络使用。当检查验证数据敏感重要的是要记住的 PCI决策支持系统适用于所有系统，存储，处理或传输信用卡资料。这包括如 ATM机和 POS设备，以及软件系统的硬件系统。方法程序 1。手动找出数据进入您的业务。 2。确定(和文件)的数据流包括所有 paperbased,语音和系统的基础设施，例如：防火墙，路线，数据记录，备份。 3。调查在交易流程的每个项目，寻找敏感

数据。手动映射流(拧) 4。此外，如果数据处理的计算机系统： 文件的计算机基础设施，操作系统和用于处理数据的程序 如果程序确认的 PA-DSS的名单，并已在一个标准的方式实施 确认如果数据备份来了，哪些信息是被当作正常业务的一部分被俘 1.对于你的业务中使用的每种类型的交易，进入交易作出说明的价值扫描计算机基础设施上的已知值观，例如 PAN,有效期，CVV2,轨道 1,轨道 2。 2.调查在每个项目的交易流程，为寻找敏感的身份验证数据。下面的数据项都知道的模式，可扫描计算机基础设施上已知的模式用扫描工具扫描： PAN(LuHn10检查) PAN启动数字 跟踪 1和第 2轨格式 明文密码块格式不要指望只在您预期的地审查布局-或架构-在您的公司使用，看检查数据库布局或可疑列是否有列或项目的标题 (如'跟踪数据'或 CVV2)可能显示敏感的数据存储在数据库中。方，可能对敏感的认证数据。这个数据可能会发生在艾被许多公司采用不同的数据库，具体系统或可能是一个商业软件的许多不同的原因包位置的一部分。审查日志和错误文件敏感的身份验证数据可能存储有意或可用于存储数据蓄意错误恢复或通信软件 data.Do不能只看到敏感的无意地在许多不同的地方。支付软件，日志可能会不小心保存和普通工具方法引用附录一他的方法是有用的检查 CVV2及密码加密块价值其中数据可能很难找到其他方式。据建议，应当为所有企业执行。虽然它可能是一个劳动力密集型任务复杂的业务，完成后的结果宝贵的，并会协助你的其他 PCIDSS标准的许多任务你。评论

第 9页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

地方，您的身份验证数据的预期可能。这些数据可以发生在许多不同的地点进行许多不同的原因。确认误差为您支付系统恢复方法向您支付系统供应商，并确定他们的系统是如何运作，如果是一个错误。通常系统存储敏感身份验证数据，以协助完成付款处理时发生错误。当寻找敏感的身份验证数据是非常重要的了解交易过程中，不仅在工程付款，而且还发生什么付款不起作用。

删除敏感验证数据要实现 PCIDSS标准，关键是要减少项目的范围是多少，也就是说，以消除持卡人的数据业务，除非是绝对必需的。你越少的数据在您的企业有你都要控制，变得更容易遵守。 当禁止数据发现，采取行动，消除数据尽快考虑改变您的业务流程，因此数据不再授权后仍保留 介绍程序，数据控制，以最短时间安全地删除，保存，一旦不再需要。方法由媒介下表详细共同存储位置，并建议采取

行动，以协助在遵守。媒介纸/传真 授权后切丝 停电持卡人的数据与油墨软拷贝图像(扫描文件，传真 rervers) 改变进程，以便数据不再需要 删除后授权 如果可能的话，电子黑敏感领域呼叫中心-电话录音计算机和计算机存储 如果 CVV2确认是被记录下来，如果是，考虑'冲'技术 加密和安全地存储在最低限度的所有呼叫数据 只能使用 PA-DSS的批准的申请 咨询与软件开发者和应用程序确认是否兼容的 PCI决策支持系统，如果任何特殊设置的需要 分析已知的所有的应用程序来处理敏感数据 扫描所有 PAN和跟踪数据，包括日志和备份存储网络设备 请咨询制造商，并确认，如果设备是 PCI决策支持系统兼容，如有特殊需要设置 分析日志文件的所有敏感数据备份 如果备份是预授权，审查备份的目的和可能的情况下修改 加密备份动作

第 10页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

联系信息欲了解更多有关此文件或客户资料安全计划的信息.请访问我们的网站 /secured或联系： Tony Zhu Risk Management China tzhu@ Navy Li Risk Management China navyli@

第 11页共 12页

标准的PCI决策支持系统的步骤doc - 素包子

第 12页共 12页