【IT168 资讯】
【聆听IT专家讲座,了解如何驾驭IT风险,更有机会获得限量蓝牙耳机!】
2007年11月28日,中国北京讯——IBM(NYSE:IBM)今日对外发布了一项新计划,旨在为客户提供其所需的产品和服务,帮助他们满足支付卡行业数据安全标准(PCI DSS)的要求。与同类产品和服务不同,此项全面而完善的计划将负责企业从评估到一致性认证在内的整个PCI一致性认证流程,帮助企业满足与客户支付卡数据安全相关的全部12项PCI要求。
作为一项国际通用标准,PCI适用于任何一家处理、传输或存储信用卡信息的企业。该标准由多家信用卡企业共同创建,旨在帮助各机构预防安全违规事件的发生。如今,任何处理信用卡数据的企业都有可能遭受电子犯罪的攻击,导致客户身份窃失。那些没有达到PCI要求的企业可能面临着处理信用卡能力的撤回,或者处理成本不断增加的问题。并且由于安全威胁对企业可能产生的广泛影响,非认证企业不仅将面临巨大的财务和客户流失风险,还可能有损于品牌的形象和信誉。
为规避上述风险,全球领先的宽带卫星网络与服务提供商Hughes选择与IBM展开合作,共同完成HughesNet® 宽带网络服务的PCI一致性认证流程。
Hughes高级副总裁Mike Cook表示:“作为一家常年为大型企业提供管理服务的领先提供商,Hughes始终致力于为我们的客户提供更广泛的服务和应用。PCI DSS一致性对我们客户的运营至关重要,这就要求我们所提供的网络服务必须能够满足所有PCI要求。从最初的评估到最终的认证,IBM这项完善的计划引导我们成功地完成了整个流程。”
尽管罚款的威胁依然存在,高端数据破坏事件最近也层出不穷,但据估算,PCI一致性的认证率却还不及50%。事实上,在行业分析公司Gartner的一份报告中,据Visa USA显示:截至2007年7月仅有39%的一级厂商(指那些每年处理的交易超过600万笔的厂商)和33%的二级厂商(指那些每年处理的交易在100万到600万笔之间的厂商)符合PCI数据安全标准。1
IBM治理与风险管理部门战略总监Kristin Lovejoy表示:“近年来许多厂商开始意识到,仅仅满足部分或大部分强制PCI要求是远远不够的。作为安全技术与咨询服务领域的全球领先厂商,IBM凭借多年来积累的丰富专业知识和技术,可为企业提供一款全面的解决方案,帮助企业达到所有PCI标准的要求。”
只有IBM能够帮助企业达到全部12项要求
PCI数据安全标准包含12项关于保护支付卡数据安全的要求。这些要求涵盖从安装和维护防火墙配置,到加密传输持卡人数据以及维护适当的政策和测试程序等方面的内容。
为帮助客户达到上述全部12项要求,IBM PCI解决方案囊括了针对一致性缺口分析、补救、验证、持续测试与报告的咨询服务,以及在安全规划、管理和一致性报告的各个方面为企业提供帮助的一系列产品。例如,该解决方案可为客户提供安全处理评估、安全信息与事件管理、存储管理、加密、身份与访问管理、变更与配置管理、入侵防护系统、应用层测试和用户活动监控软件等方面的产品或服务。此外,IBM还是世界上经国际认证有资格执行PCI评估、PCI季度网络扫描、PCI支付应用评估和PCI应急响应服务的三大厂商之一。
IBM采用一项“五步走”计划来实施PCI解决方案,具体步骤为:
评估——包括总体“安全状态检查”,用于了解哪些区域需要补救、以及如何通过认证并保持一致性。
设计——这一阶段包括制定安全战略、政策、标准和程序、以及应急响应预案、安全架构设计和实施方案。
部署——这一阶段侧重于安全软件和硬件的实施和优化(帮助确保运动和静止状态下的客户数据安全)以及迁移服务和漏洞补救。
管理——IBM在此阶段将提供安全监控和管理软件解决方案、以及人员增置和应急响应、法庭分析和漏洞分析服务等方面的持续支持。
培训——在这一阶段,IBM将提供持续的产品课程、培训和安全意识课程,以便客户能够适当地培训员工对PCI一致性展开长期的维护。
除提供上述产品和服务,IBM还在IT治理与风险管理产品组合中添加了特定的PCI一致性功能。例如,IBM互联网安全系统最近对IBM Proventia网络企业扫描器产品进行了升级,添加了PCI特定漏洞检查功能,以简化执行网络漏洞评估的流程(该流程为PCI一致性计划的一部分)。此外,仅借助“IBM Proventia网络多功能安全统一威胁管理解决方案”这一项产品,即可满足12项PCI安全要求中的10项要求。
IBM产品组合现在还包括Rational AppScan,它支持PCI DSS要求,可在整个软件开发生命周期中,通过自动化应用层漏洞与渗透测试,识别出从开发到操作的常见漏洞和新漏洞。
IBM还能为客户提供充分利用他们现有大型机投资进行PCI审计的能力。为达到审计员的标准,大型机将提供固若金汤的安全机制(如安全访问控制和加密解决方案)、以及内建入侵检测服务和网络安全政策代理等网络安全特性。这些机制和特性可共同对抗身份盗窃事件。
除提供产品和服务,IBM还能凭借安全咨询团队深厚的专业知识、丰富的经验及专业的指导,协助客户完成一致性认证流程。
