--对渗透测试、代码审查以及应用防火墙要求做出解释--

　　商业编辑/技术编辑

　　美国商业资讯 2008 年 4 月 22 日马萨诸塞威克费尔德消息 —

　　支付卡行业安全标准委员会是管理信用卡行业数据安全标准 (DSS)、PCI PIN 码输入设备 (PED) 安全要求和支付程序数据安全标准 (PA-DSS)的全球性、开放式行业标准机构，该委员会今日宣布两项信息补遗现已对外发布，对 PCI DSS 要求11.3(关于渗透测试)和要求 6.6(关于应用程序代码审查与应用防火墙)做出了进一步解释。这两项信息补遗为帮助商家和服务提供商达到上述两个要求提供了指导，支持他们遵守 PCI DSS。这两项信息补遗现已发布在委员会网站上 https://www.pcisecuritystandards.org/tech/supporting_documents.htm。

　　这两项信息补遗是委员会提供有关 PCI DSS 解释和指导的方法之一。委员会与支付卡行业及其参与组织 – 目前共计 440 余家来自全球各地的公司 – 通力合作，利用这些信息补遗帮助商家和服务提供商采用PCI DSS，保护客户持卡人数据。

　　要求 11.3 主要涉及渗透测试，其中包括网络层和应用层测试，以及围绕网络和应用程序的控制和过程。此类测试对于确保网络和应用程序免受外界入侵具有重大价值。针对要求 11.3 的信息补遗对谁可以执行渗透测试、测试涉及哪些范围、测试频率、测试准备、测试方法以及测试技巧方面提供了指南。

　　要求6.6(将于 2008 年 6 月 30 日正式实施)提供两种方案，旨在应对对持卡人数据的通常的威胁，以及确保对从不可信环境输入到 Web 应用程序的数据进行全面检查。针对该要求的信息补遗就执行应用程序代码审查(方案一)和/或应用防火墙(方案二)方面向各组织给予了详细解释。

　　为达到要求 6.6 而制定的应用程序代码审查第一方案现已细分为四个备选方案，旨在满足要求之宗旨。四个备选方案为：

　　-- 应用程序源代码的人工审查

　　-- 自动源代码分析(扫描)工具的正确使用

　　--人工 Web 应用程序安全漏洞评估

　　-- 自动 Web 应用程序漏洞评估(扫描)工具的正确使用。

　　针对要求 6.6 的第二方案是一个 Web 应用防火墙 (WAF)，这是一个定位于 Web 应用程序与客户终端之间的安全策略执行点。信息补遗载明了指定 WAF 的推荐功能，特定环境的其他推荐功能，各组织实现 WAF 的其他考虑事宜，以及有关 Web 应用程序安全的其他信息源。

　　支付卡行业安全标准委员会总经理 Bob Russo 说：“委员会正不懈努力，力求向支付链上的所有组织提供有关执行 PCI DSS 的最明确指引， 这些定期信息补遗是基于我们不断收到的来自权益人各种不同且至关重要的行业反馈信息而做出的，目的是为了让各个组织更容易执行 PCI DSS 项目。”

　　更多信息：

　　若想了解关于支付卡行业安全标准委员会的更多信息或者成为参与组织，请访问 pcisecuritystandards.org，您还可在上面找到常见问题的答案，或者通过 info@pcisecuritystandards.org 联系支付卡行业安全标准委员会。

　　关于支付卡行业安全标准委员会

　　支付卡行业安全标准委员会的使命是，通过推动支付卡行业安全标准以及其他能够提高支付数据安全性的标准的教育和认知，提高支付账户的安全性。

　　支付卡行业安全标准委员会由美国运通、美国发现金融服务公司(Discover Financial Services)、JCB International、万事达卡全球组织、Visa卡全球组织这几大支付卡品牌共同组建，旨在提供一个透明的论坛，让所有的权益人都能通过这个论坛为PCI数据安全标准、个人识别号码输入设备安全要求和支付应用数据安全标准的持续发展、改进和推广做出贡献。欢迎商户、银行、数据处理机构以及POS销售终端提供商加入委员会，成为会员机构。

　　--30--LO/bo*

　　免责声明：本公告之原文版本乃官方授权版本。译文仅供方便了解之用，烦请参照原文，原文版本乃唯一具法律效力之版本。

　　联系方式：

　　支付卡行业安全标准委员会

　　Glenn R. Boyet, +1 617-876-6248

　　gboyet@pcisecuritystandards.org

　　或

　　Text 100 Public Relations

　　Ella Nevill or Matthew Mors

　　+1 617-399-4915 (Eastern U.S.)

　　+1 206-267-2004 (Western U.S.)

　　pci@text100.com