Carding 4 Carders
Professional
Глоссарий терминов, сокращений и акронимов PCI DSS и PA-DSS
AAA
Акроним от «аутентификации, авторизации и учета». Протокол для аутентификации пользователя на основе его проверяемой личности, авторизация пользователя на основе их прав пользователя и с учетом потребления пользователем сетевых ресурсов.
Контроль доступа
Механизмы, ограничивающие доступность информации или обработку информации ресурсами только уполномоченным лицам или приложениям.
Данные аккаунта
Данные учетной записи состоят из данных держателя карты и / или данных конфиденциальной аутентификации.
Смотрите Данные о держателях карт и конфиденциальные данные аутентификации.
Номер счета
Смотрите «Основной номер счета (PAN)».
Эквайер
Также именуется «торговый банк», «банк-эквайер» или «эквайринговый финансовый банк».
Учреждение или организация, обычно финансовая организация, которая обрабатывает платеж транзакции по картам для продавцов и определяется платежным брендом как эквайер. Эквайеры подчиняются правилам и процедурам платежного бренда относительно соответствия мерчанта. Смотрите также «Платежный процессор».
Административный доступ
Повышенные или повышенные привилегии, предоставленные учетной записи для управления системами, сетями и / или приложениями.
Административный доступ может быть назначен отдельной учетной записи или встроенному в системном аккаунте. Учетные записи с административным доступом часто называют как «суперпользователь», «root», «администратор», «admin», «sysadmin» или «supervisor-state», в зависимости от конкретной операционной системы и организационной структуры.
Рекламное ПО
Тип вредоносного ПО, которое при установке заставляет компьютер автоматически отображать или загружать рекламные объявления.
AES
Аббревиатура от «Advanced Encryption Standard». Блочный шифр, используемый в криптография с симметричным ключом, принятая NIST в ноябре 2001 г.
FIPS PUB 197 (или «FIPS 197»). Смотрите «Надежная криптография».
ANSI
Акроним от «Американский национальный институт стандартов». Частная, некоммерческая организация, которая управляет и координирует добровольные
система стандартизации и оценки соответствия.
Антивирус
Программа или программное обеспечение, способное обнаруживать, удалять и защищать от различных форм вредоносного программного обеспечения (также называемого «вредоносным ПО»), включая вирусы, черви, трояны или троянские кони, шпионское ПО, рекламное ПО и руткиты.
AOC
Акроним от «подтверждение соответствия». AOC - это форма для продавцов и поставщиков услуг для подтверждения результатов оценки PCI DSS, задокументированной в анкете самооценки или отчете о соответствии.
AOV
Акроним от «attestation of validation». AOV - это форма для PA-QSA для засвидетельствования результатов оценки PA-DSS, как указано в PA-отчете DSS о валидации.
Приложение
Включает все приобретенные и заказные программы или группы программ, включая как внутренние, так и внешние (например, веб) приложения.
ASV
Акроним от «Утвержденный поставщик сканирования». Компания одобрена PCI SSC для проведения сервисов сканирования внешних уязвимостей.
Журнал аудита
Также называется «контрольным следом». Хронологическая запись деятельности системы.
Обеспечивает независимо проверяемый маршрут, достаточный для реконструкции, обзор и изучение последовательности сред и действий окружающих или ведущие к операции, процедуре или событию в транзакции от начала до конечных результатов.
Контрольный журнал
Смотрите «Журнал аудита».
Аутентификация
Процесс проверки личности человека, устройства или процесса.
Аутентификация обычно происходит с использованием одного или нескольких факторы аутентификации, такие как:
▪ Что-то, что вы знаете, например пароль или кодовую фразу.
▪ Что-то, что у вас есть, например токен-устройство или смарт-карту.
▪ Что-то, что у вас есть, например, биометрия
Полномочия аутентификации
Комбинация идентификатора пользователя или учетной записи плюс фактор (-ы) аутентификации используемые для аутентификации человека, устройства или процесса.
Авторизация
В контексте управления доступом авторизация - это предоставление доступа или другие права на пользователя, программу или процесс. Авторизация определяет, что человек или программа могут сделать это после успешной аутентификации.
В контексте транзакции по платежной карте авторизация происходит, когда продавец получает одобрение транзакции после того, как эквайер подтверждает сделку с эмитентом / процессором.
Резервный
Дублирующая копия данных, сделанная для целей архивирования или защиты от повреждение или потери.
BAU
Акроним от слова «бизнес как обычно». BAU - это обычная повседневная деловая операции.
Блютуз
Беспроводной протокол с использованием технологии связи ближнего действия для облегчения передачи данных на короткие расстояния.
Переполнение буфера
Уязвимость создается из-за небезопасных методов кодирования, когда программа выходит за границу буфера и записывает данные в соседнее пространство памяти.
Переполнение буфера используется злоумышленниками для получения несанкционированного доступа к системе или данным.
Карточный скиммер
Физическое устройство, часто подключенное к законному устройству для чтения карт, предназначенный для незаконного сбора и / или хранения информации платежных карт.
Код или значение проверки карты
Также известен как код подтверждения карты или значение или код безопасности карты.
Относится либо к: (1) данным на магнитной полосе, либо (2) к печатным элементам защиты.
(1) Элемент данных на магнитной полосе карты, использующий безопасные криптографические процессы для защиты целостности данных на полосе, и обнаруживает любые изменения или подделки. Именуется CAV, CVC, CVV или CSC в зависимости от марки платежной карты.
Следующий список содержит условия для каждой марки карты:
▪ CAV - Значение аутентификации карты (платежные карты JCB)
▪ PAN CVC - код подтверждения карты (платежные карты MasterCard)
▪ CVV - значение для проверки карты (платежные карты Visa и Discover)
▪ CSC - Код безопасности карты (American Express)
(2) Для платежных карт Discover, JCB, MasterCard и Visa второй тип верификационного значения карты или кода - крайнее правое трехзначное значение напечатан в области панели для подписи на обратной стороне карты. Для платежных карт American Express, код четырехзначный без тиснения.
Номер, напечатанный над PAN на лицевой стороне платежных карт. Код уникально связан с каждым отдельным кусочком пластика и привязывает PAN к пластику.
В следующем списке приведены условия для каждой марки карты:
▪ CID - идентификационный номер карты (падёжные карты American Express и Discover)
▪ CAV2 - значение аутентификации карты 2 (платежные карты JCB)
▪ PAN CVC2 - код подтверждения карты 2 (платежные карты MasterCard)
▪ CVV2 - значение проверки карты 2 (платежные карты Visa)
Картхолдер
Клиент, не являющийся потребителем или потребитель, которому выдана платежная карта или любое физическое лицо, уполномоченное использовать платежную карту.
Данные держателя карты
Как минимум, данные держателя карты состоят из полного PAN. Данные держателя карты также могут отображаться в виде полной PAN плюс любое из следующего:
имя держателя карты, срок действия и / или код услуги.
Смотрите «критичные аутентификационные данные» для дополнительных элементов данных, которые могут передаваться или обрабатываются (но не хранятся) как часть платежной транзакции.
CDE
Акроним от «среды данных о держателях карт». Люди, процессы и технологии, которые хранят, обрабатывают или передают данные держателей карт или конфиденциальные данные аутентификации.
Сотовые технологии
Мобильная связь через беспроводные телефонные сети, в том числе не ограничиваясь Глобальной системой мобильной связи (GSM), код множественного доступа с разделением каналов (CDMA) и пакетная радиосвязь общего назначения (GPRS).
CERT
Акроним от Университета Карнеги-Меллона «Computer Emergency Response Team». Программа CERT разрабатывает и продвигает использование соответствующих технологии и методы управления системами для защиты от атак на сетевые системы, чтобы ограничить ущерб и обеспечить непрерывность критически важных сервисов.
Смени управление
Процессы и процедуры для обзора, тестирования и утверждения изменений в системах и программное обеспечение для воздействия перед внедрением.
CIS
Акроним от «Центр интернет-безопасности». Некоммерческое предприятие с миссией чтобы помочь организациям снизить риски бизнеса и сбои электронной коммерции в результате ненадлежащего технического контроля безопасности.
Уровень столбца шифрования базы данных
Техника или технология (программная или аппаратная) для шифрования содержимое определенного столбца в базе данных по сравнению с полным содержимым всей база данных. Или смотрите «Шифрование диска» или «Шифрование на уровне файлов».
Компенсация управления
Компенсационные меры контроля могут быть рассмотрены, когда предприятие не может выполнить требование, прямо как указано, из-за законных технических или задокументированных бизнес-ограничений, но в достаточной степени снизил риск, связанный с требование путем реализации других средств управления.
Компенсация органов управления должна:
(1) Соответствовать цели и строгости исходного требования PCI DSS;
(2) Обеспечивать такой же уровень защиты, что и исходное требование PCI DSS;
(3) Быть «выше» других требований PCI DSS (не только в соответствие другим требованиям PCI DSS);
(4) Быть соразмерным дополнительному риску, связанному с несоблюдением требование PCI DSS.
Смотрите «Компенсационные меры» в приложениях B и C стандарта PCI DSS.
Требования и процедуры оценки безопасности для руководства по использованию компенсирующих средств управления.
Компромисс
Также называется «компрометация данных» или «утечка данных». Вторжение в компьютерную систему, в которой обнаружено несанкционированное раскрытие / кража, модификация или подозревается уничтожение данных держателя карты.
Консоль
Экран и клавиатура, обеспечивающие доступ к серверу и управление им, мэйнфрейм или другой тип системы в сетевой среде.
Потребитель
Индивидуальная покупатель товаров, услуг или того и другого.
Критические системы / критические технологии
Система или технология, которые организация считает особенными важность. Например, критическая система может иметь важное значение для выполнения бизнес-операции или для функции поддержки безопасности. Примеры критических систем часто включают системы безопасности, общедоступные устройства и системы, базы данных и системы, в которых хранятся, обрабатывается или передаются данные держателей карт. Рекомендации по определению конкретные системы и технологии имеют решающее значение, будут зависеть от среды организации и стратегия оценки рисков.
Межсайтовый запрос - подлог (CSRF)
Уязвимость, созданная из-за небезопасных методов кодирования, позволяет выполнение нежелательных действий через аутентифицированный сеанс. Часто используется вместе с XSS и / или SQL-инъекцией.
Межсайтовый скриптинг (XSS)
Уязвимость возникает из-за небезопасных методов кодирования, что приводит к неправильной проверке ввода. Часто используется вместе с CSRF и / или SQL инъекцией.
Криптографический ключ
Значение, определяющее результат работы алгоритма шифрования, когда преобразование простого текста в зашифрованный текст. Длина ключа в целом
определяет, насколько сложно будет расшифровать зашифрованный текст в заданном сообщение. Смотрите «Надежная криптография».
Генерация криптографических ключей
Генерация ключей - одна из функций управления ключами. В следующие документы содержат признанное руководство по правильной генерации ключей:
• Специальная публикация NIST 800-133: Рекомендации по криптографии
Генерация ключей
• ISO 11568-2 Финансовые услуги - Управление ключами (розничная торговля) - Часть 2:
Симметричные шифры, их управление ключами и жизненный цикл
4.3 Генерация ключей
• ISO 11568-4 Финансовые услуги - Управление ключами (розничная торговля) - Часть 4:
Асимметричные криптосистемы - управление ключами и жизненный цикл
6.2 Ключевые этапы жизненного цикла - Генерация
• Руководство по алгоритмам Европейского платежного совета EPC 342-08.
Использование и управление ключами
6.1.1 Генерация ключей [для симметричных алгоритмов]
6.2.1 Генерация ключей [для асимметричных алгоритмов]
Управление криптографическим ключом
Набор процессов и механизмов, поддерживающих установка и обслуживание криптографического ключа, включая замену старых ключей на новые ключи по мере необходимости.
Криптография
Дисциплина математики и информатики, связанная с информационной безопасностью, особенно шифрование и аутентификация. В приложениях и безопасности сети, это инструмент контроля доступа, конфиденциальности информации, и целостности.
Криптопериод
Период времени, в течение которого конкретный криптографический ключ может использоваться для определенной цели, основанной, например, на определенном периоде времени и / или количество созданного зашифрованного текста и в соответствии с отраслью передового опыта и рекомендации (например, Специальная публикация NIST 800-57 ).
CVSS
Акроним от «Common Vulnerability Scoring System». Независимый поставщик, отраслевой открытый стандарт, предназначенный для передачи серьезности компьютерной системы уязвимости безопасности и помогают определить срочность и приоритет ответа.
Смотрите Руководство по программе ASV для получения дополнительной информации.
Диаграмма потока данных
Диаграмма, показывающая, как данные проходят через приложение, систему или сеть.
База данных
Структурированный формат для организации и обслуживания легко извлекаемой информации. Простыми примерами баз данных являются таблицы и электронные таблицы.
Администратор базы данных
Также именуется «DBA». Лицо, ответственное за управление и администрирование баз данных.
Учетные записи по умолчанию
Учетная запись для входа, предопределенная в системе, приложении или устройстве, чтобы разрешить начальный доступ при первом запуске системы. Дополнительные учетные записи по умолчанию могут также могут быть созданы системой в процессе установки.
Пароль по умолчанию
Пароль для учетных записей системного администратора, пользователей или служб, предопределенных в системе, приложении или устройстве. Обычно ассоциируется с учетной записью по умолчанию.
Учетные записи и пароли по умолчанию опубликованы и хорошо известны, и поэтому легко подвергаются взлому.
Размагничивание
Также называется «размагничивание диска». Процесс или метод размагничивания диска таким образом, что все данные, хранящиеся на диске, навсегда уничтожаются.
Зависимость
В контексте PA-DSS зависимость - это конкретное программное обеспечение или оборудование компонента (например, аппаратный терминал, база данных, операционная система, API,
библиотека кодов и т.д.), что необходимо для того, чтобы платежное приложение соответствовало PA-требованиям DSS.
Шифрование диска
Техника или технология (программная или аппаратная) для шифрования всех сохраненных данных на устройстве (например, жестком диске или флэш-накопителе).
Кроме того, File-Level Encryption или Шифрование на уровне столбцов базы данных используется для шифрования содержимого определенных файлов или столбцов.
DMZ
Аббревиатура от «демилитаризованная зона». Физическая или логическая подсеть, которая обеспечивает дополнительный уровень безопасности для внутренней частной сети. DMZ добавляет дополнительный уровень сетевой безопасности между Интернетом и внутренней сетью организации, чтобы только внешние стороны имели прямые подключения к устройствам в DMZ, а не ко всему содержимому внутренней сети.
DNS
Акроним от «система доменных имен» или «сервер доменных имен». Система, которая хранит информацию, связанную с доменными именами, в распределенной базе данных для предоставления услуг разрешения имен пользователям в таких сетях, как Интернет.
DSS
Акроним от «Стандарт безопасности данных». Смотрите «PA-DSS» и «PCI DSS».
Двойное управление
Процесс использования двух или более отдельных субъектов (обычно лиц), работающих совместно для защиты конфиденциальных функций или информации. Обе организации в равной степени ответственны за физическую защиту материалов, используемых в уязвимых транзакциях. Ни одному человеку не разрешается доступ или использование материалов (например, криптографический ключ). Для генерации ключей вручную требуется транспортировка, погрузка, хранение и извлечение, двойное управление требует разделения знание ключа среди сущностей. Смотрите также «разделение знаний».
Динамический пакет фильтрации
Смотрите «Stateful Inspection».
ECC
Акроним от «Криптография с эллиптическими кривыми». Подход к публичному ключу криптографии на основе эллиптических кривых над конечными полями. Смотрите «Сильная криптография».
Выходная фильтрация
Метод фильтрации исходящего сетевого трафика, разрешенный только явному трафику покидать сеть.
Шифрование
Процесс преобразования информации в неразборчивую форму, кроме держателей определенного криптографического ключа. Использование шифрования защищает информацию между процессом шифрования и процессом дешифрования (инверсия шифрования) от несанкционированного раскрытия. Смотрите «Сильная криптография».
Алгоритм шифрования
Также называется «криптографическим алгоритмом». Последовательность математических инструкции, используемые для преобразования незашифрованного текста или данных в зашифрованный текст или данные, и обратно. Смотрите «Надежная криптография».
Entity
Термин, используемый для обозначения корпорации, организации или бизнеса, который проходят проверку PCI DSS.
Мониторинг целостности файлов
Техника или технология, с помощью которых отслеживаются определенные файлы или журналы для определения, изменены ли они. Когда критически важные файлы или журналы изменяются, предупреждения должны быть отправлены соответствующему персоналу службы безопасности.
Шифрование на уровне файлов
Техника или технология (программная или аппаратная) для полного шифрования содержимого определенных файлов. Смотрите «Шифрование диска» или «Уровень столбца. Шифрование базы данных».
FIPS
Акроним от «Федеральные стандарты обработки информации». Стандарты, которые публично признаны Федеральным правительством США для использования негосударственными агентствами и подрядчиками.
Брандмауэр
Аппаратные и / или программные технологии, защищающие сетевые ресурсы от несанкционированного доступа. Брандмауэр разрешает или запрещает компьютерный трафик между сетями с разными уровнями безопасности на основе набора правил и других критериев.
Криминалистика
Также называется «компьютерной криминалистикой». Что касается информационной безопасности, применение инструментов расследования и методов анализа для сбора доказательства из компьютерных ресурсов для определения причины данных компромиссов.
FTP
Акроним от «Протокол передачи файлов». Сетевой протокол, используемый для передачи данных с одного компьютера на другой через общедоступную сеть, например Интернет.
FTP широко рассматривается как небезопасный протокол, поскольку пароли и файлы содержимого отправляется незащищенным и открытым текстом. FTP может быть реализован безопасно через SSH или другую технологию. Смотрите «S-FTP».
GPRS
Акроним от General Packet Radio Service. Доступная услуга мобильной передачи данных пользователям мобильных телефонов GSM. Признана за эффективное использование ограниченной пропускной способности. Особенно подходит для отправки и получения небольших пакетов данных, таких как электронная почта и просмотр веб-страниц.
GSM
Акроним от «Глобальная система мобильной связи». Популярный стандарт для мобильных телефонов и сетей. Повсеместность стандарта GSM делает
международный роуминг очень распространен между операторами мобильной связи, позволяя абонентам использовать свои телефоны во многих частях мира.
Хеширование
Процесс предоставления данных о держателях карт нечитаемым путем преобразования данных в дайджест сообщения фиксированной длины. Хеширование - это односторонняя (математическая) функция в которой несекретный алгоритм принимает любое сообщение произвольной длины как вход и производит вывод фиксированной длины (обычно называемый «хеш-кодом» или «дайджест сообщения»).
Хеш-функция должна иметь следующие свойства:
(1) Вычислительно невозможно определить исходный ввод, заданный только хэш-кодом,
(2) Вычислительно невозможно найти два входа, которые дают одинаковые хэш-код.
В контексте PCI DSS хеширование должно применяться ко всей PAN для хэш-код считается нечитаемым. Рекомендуется, чтобы хешированные данные держателя карты включали входную переменную (например, «соль») для функции хеширования для уменьшения или снижения эффективности предварительно вычисленных атак радужной таблицы (смотрите «Входная переменная»).
Для получения дополнительных рекомендаций обратитесь к отраслевым стандартам, например к текущим версиям.
Специальные публикации NIST 800-107 и 800-106, Федеральная информация
Стандарт обработки (FIPS) 180-4 Стандарт безопасного хеширования (SHS) и FIPS 202 SHA-3 Standard: хеширование на основе перестановок и расширяемый вывод функции.
Хост
Основное компьютерное оборудование, на котором находится программное обеспечение.
Хостинг-провайдер
Предлагает различные услуги торговцам и другим поставщикам услуг. Сервисы варьируются от простых до сложных; от общего пространства на сервере до целого набор опций «корзины покупок»; от платежных приложений до подключений платежным системам и процессорам; и для хостинга, посвященного только одному клиенту на сервер. Хостинг-провайдер может быть провайдером виртуального хостинга, который размещает несколько объектов на одном сервере.
HSM
Акроним от «аппаратный модуль безопасности» или «модуль безопасности хоста». Физически и логически защищенное аппаратное устройство, обеспечивающее безопасный набор криптографических сервисов, используемых для криптографического управления ключами функции и / или расшифровка учетных данных.
HTTP
Акроним от «протокола передачи гипертекста». Открытый интернет-протокол для передачи информации во всемирной паутине.
HTTPS
Акроним от «протокола передачи гипертекста через уровень защищенных сокетов». Безопасный HTTP, который обеспечивает аутентификацию и шифрованную связь на World Wide Web, предназначенный для конфиденциальной связи, такой как Интернет-логины.
Гипервизор
Программное обеспечение или прошивка, отвечающая за хостинг и управление виртуальными машинами. Для целей стандарта PCI DSS системный компонент гипервизора также включает монитор виртуальных машин (VMM).
ID (ИД)
Идентификатор конкретного пользователя или приложения.
IDS
Акроним от «система обнаружения вторжений». Программное или аппаратное обеспечение, используемое для выявления и предупреждения о сетевых или системных аномалиях или попытках вторжения.
В состав входят: датчики, генерирующие события безопасности; консоль для мониторинга события и оповещения и контроль датчиков; и центральный двигатель, который записывает события, регистрируемые датчиками в базе данных. Использует систему правил для генерации предупреждения в ответ на обнаруженные события безопасности. См. «IPS»
IETF
Акроним от Internet Engineering Task Force. Большое, открытое международное Сообщество сетевых разработчиков, операторов, поставщиков и исследователей озабоченных развитием архитектуры Интернета и бесперебойной работой Интернет. IETF не имеет официального членства и открыта для всех заинтересованных физических лиц.
IMAP
Акроним от Internet Message Access Protocol. Уровень приложения Интернет-протокола, который позволяет клиенту электронной почты получать доступ к электронной почте на удаленном компьютере к почтовому серверу.
Индексный токен
Криптографический токен, заменяющий PAN на основе заданного индекса для непредсказуемой стоимости.
Информационной безопасности
Защита информации для обеспечения конфиденциальности, целостности и доступности.
Информационная система
Дискретный набор структурированных ресурсов данных, организованных для сбора, обработки, обслуживания, использования, совместного использования, распространения или распоряжения информацией.
Входящая фильтрация
Метод фильтрации входящего сетевого трафика, разрешенный только явному трафику вход в сеть.
Инъекционные недостатки
Уязвимость, создаваемая небезопасными методами кодирования, приводящая к неправильной проверке ввода, которая позволяет злоумышленникам передавать вредоносный код через веб-приложение в базовую систему. К этому классу уязвимости относится внедрение SQL, внедрение LDAP и внедрение XPath.
Входная переменная
Строка случайных данных, которая объединяется с исходными данными перед односторонним применяется хеш-функция. Входные переменные могут помочь снизить эффективность атак радужных таблиц. Смотрите также «Хеширование» и «Радужные таблицы».
Небезопасный протокол / Сервис / Порт
Протокол, служба или порт, которые вызывают проблемы с безопасностью из-за отсутствия контроля за конфиденциальностью и / или целостностью. Эти проблемы безопасности включают службы, протоколы или порты, которые передают данные или аутентификацию учетных данных (например, пароль / кодовая фраза) открытым текстом поверх Интернетf, или те, которые легко допускают эксплуатацию по умолчанию или при неправильной настройке.
Примеры небезопасных сервисов, протоколов или портов включают, но не ограничиваются на FTP, Telnet, POP3, IMAP и SNMP v1 и v2.
IP
Акроним от «интернет-протокол». Протокол сетевого уровня, содержащий адресную информация и некоторую управляющую информацию, которая позволяет маршрутизировать пакеты и доставляется от исходного хоста к целевому. IP является основным протоколом сетевого уровня в наборе Интернет-протоколов. Смотрите «TCP».
Айпи адрес
Также называется «адресом интернет-протокола». Цифровой код, который однозначно идентифицирует конкретный компьютер (хост) в Интернете.
Подмена IP-адреса
Техника атаки, используемая для получения несанкционированного доступа к сетям или компьютерам. Злоумышленник отправляет ложные сообщения на компьютер с IP-адресом, указывающим, что сообщение исходит от доверенного хоста.
IPS
Акроним от «система предотвращения вторжений». Помимо IDS, IPS берет на себя дополнительный шаг блокировки попытки вторжения.
IPSEC
Аббревиатура от «Internet Protocol Security». Стандарт защиты IP коммуникации на сетевом уровне путем шифрования и / или аутентификации всех IP-пакетов в сеансе связи.
ISO
В контексте отраслевых стандартов и лучших практик ISO, более известная поскольку «Международная организация по стандартизации» является неправительственной организацией, состоящей из сети национальных институтов стандартов.
Эмитент
Организация, которая выпускает платежные карты или выполняет, способствует или поддерживает выпуск услуги, включая, помимо прочего, банки-эмитенты и процессинговые компании-эмитенты.
Также называется «банк-эмитент» или «финансовое учреждение-эмитент».
Выпускающие услуги
Примеры услуг выдачи могут включать, но не ограничиваются, авторизацию и персонализацию карты.
LAN
Акроним от «локальной сети». Группа компьютеров и / или другие устройства, которые используют общую линию связи, часто в здании или группе зданий.
LDAP
Акроним от «Lightweight Directory Access Protocol». Аутентификация и хранилище данных авторизации, используемое для запроса и изменения разрешения пользователя и предоставление доступа к защищенным ресурсам.
Наименьшие привилегии
Имея минимальный доступ и / или привилегии, необходимые для выполнения роли и обязанности должностной функции.
Журнал
Смотрите «Журнал аудита».
LPAR
Аббревиатура от «логического раздела». Система подразделения, или разделения, общие ресурсы компьютера - процессоры, память и хранилище - на меньшие устройства, которые могут работать со своей собственной копией операционной системы и приложения. Логическое разделение обычно используется, чтобы разрешить использование различных операционных систем и приложений на одном устройстве. Перегородки могут или могут не быть настроены для связи друг с другом или обмена некоторыми ресурсами сервера, такие как сетевые интерфейсы.
MAC
В криптографии - аббревиатура от «кода аутентификации сообщения». Небольшая часть информации, используемая для аутентификации сообщения. Смотрите «Сильная криптография».
MAC-адрес
Аббревиатура от «адреса управления доступом к среде». Уникальное идентифицирующее значение назначается производителями сетевым адаптерам и сетевому интерфейсу открытки.
Данные с магнитной полосой
Смотрите «Данные отслеживания».
Мэйнфрейм
Компьютеры, которые предназначены для обработки очень больших объемов ввода данных и вывод и упор на вычисление пропускной способности. Мэйнфреймы способны запускать несколько операционных систем, создавая впечатление, что он работает как несколько компьютеров. Многие устаревшие системы имеют дизайн мэйнфреймов.
Вредоносное ПО
Программное обеспечение или прошивка, предназначенная для проникновения или повреждения компьютерной системы без ведома или согласия владельца с намерением поставить под угрозу конфиденциальность, целостность или доступность данных, приложений владельца, или операционной системы. Такое программное обеспечение обычно входит в сеть в течение многих одобренные бизнесом действий, результатом которых является использование уязвимости системы. Примеры включают вирусы, черви, трояны (или троянские кони), шпионское, рекламное и руткиты.
Маскировка
В контексте PCI DSS это метод сокрытия сегмента данных при отображении или печати. Маскировка используется, когда отсутствует требование для просмотра всей PAN. Маскировка относится к защите PAN при отображении или печати. Смотрите «Усечение» для защиты PAN, когда хранятся в файлах, базах данных и т.д.
Атака очистка памяти
Действия вредоносного ПО, которые исследуют и извлекают данные, которые хранятся в памяти когда они обрабатываются или не были должным образом сброшены или перезаписаны.
Мерчант (Мерч)
Для целей стандарта PCI DSS под мерчантом понимается любое лицо, которое принимает платежные карты с логотипами любого из пяти членов PCI SSC (American Express, Discover, JCB, MasterCard или Visa) в качестве оплаты для товаров и / или услуг. Обратите внимание, что продавец, принимающий платежные карты в качестве оплаты товаров и / или услуг также может выступать поставщик услуг, если проданные услуги приводят к хранению, обработке или передаче данных о держателях карт на от имени других мерчантов или поставщиков услуг. Например, интернет-провайдер - это мерчант, который принимает платежные карты для ежемесячного выставления счетов, но также является поставщиком услуг, если он принимает мерчанты в качестве клиентов.
MO / TO
Акроним от «Mail-Order / Telephone-Order».
Мониторинг
Использование систем или процессов, которые постоянно контролируют компьютер или сетевые ресурсы для оповещения персонала в случае отключений, аварийных сигналов, или другие предопределенные события.
MPLS
Акроним от «мультипротокольного переключения меток». Сеть или телекоммуникационный механизм, предназначенный для соединения группы сетей с коммутацией пакетов.
Многофакторная аутентификация
Метод аутентификации пользователя, при котором проверяются как минимум два фактора.
Эти факторы включают то, что есть у пользователя (например, смарт-карту или электронный ключ), что-то, что знает пользователь (например, пароль, кодовая фраза или PIN-код) или что-то, что пользователь делает или делает (например, отпечатки пальцев, другие формы биометрии и др.).
NAC (НАК)
Акроним от «контроль доступа к сети». Метод реализации безопасности на сетевом уровне путем ограничения доступности сетевых ресурсов для конечных устройств в соответствии с определенной политикой безопасности.
NAT
Акроним от «трансляции сетевых адресов». Также известен как сеть маскировки или маскировка IP. Изменение IP-адреса, используемого в одной сети на другой IP-адрес, известный в другой сети, позволяя организации иметь внутренние адреса, которые видны внутренние и внешние адреса, которые видны только извне.
Сеть
Два или более компьютера соединены вместе с помощью физических или беспроводных средств.
Сетевой администратор
Персонал, ответственный за управление сетью внутри организации.
Обязанности обычно включают, но не ограничиваются сетевой безопасностью, установки, обновления, обслуживание и мониторинг активности.
Сетевые компоненты
Включая, но не ограничиваясь, межсетевые экраны, коммутаторы, маршрутизаторы, беспроводной доступ точки, сетевые устройства и другие устройства безопасности.
Диаграмма сети
Схема, показывающая компоненты системы и соединения в сети окружающей среды.
Сканирование сетевой безопасности
Процесс удаленной проверки систем организации на предмет уязвимости с помощью ручных или автоматизированных инструментов. Сканирование безопасности, которое включает проверку внутренних и внешних систем и составление отчетов об услугах открытых для сети. Сканирование может выявить уязвимости в работе системы, службы и устройства, которые могут быть использованы злоумышленниками.
Сегментация сети
Также называется «сегментацией» или «изоляцией». Сегментация сети изолирует системные компоненты, которые хранят, обрабатывают или передают данные о держателях карт из систем, которые этого не делают. Адекватная сегментация сети может снизить объем среды данных о держателях карт и, таким образом, уменьшить объем оценки PCI DSS. Смотрите раздел «Сегментация сети» в PCI. Требования DSS и процедуры оценки безопасности для руководства с использованием сегментации сети. Сегментация сети не является стандартом PCI DSS.
Обнюхивание сети
Также называется «сниффингом пакетов» или «сниффингом». Техника, которая пассивно контролирует или собирает сетевые коммуникации, декодирует протоколы и исследует содержание для поиска интересующей информации.
NIST
Акроним от «Национальный институт стандартов и технологий». Не регулирующее федеральное агентство в области технологий Министерства торговли США.
NMAP
Программное обеспечение для сканирования безопасности, которое отображает сети и определяет открытые порты в сетевые ресурсы.
Неконсольный доступ
Относится к логическому доступу к системному компоненту, который происходит по сети через интерфейс, а не через прямое физическое подключение к системе составной части. Неконсольный доступ включает доступ изнутри локальной / внутренней сети, а также доступ из внешних или удаленных сетей.
Пользователи, не являющиеся потребителями
Физические лица, за исключением держателей карт, имеющие доступ к компонентам системы, включая, помимо прочего, сотрудников, администраторов и третьи стороны.
NTP
Акроним от Network Time Protocol. Протокол синхронизации часов компьютерных систем, сетевых устройств и других компонентов системы.
NVD
Акроним от «National Vulnerability Database».
Репозиторий стандартизированных данных по управлению уязвимостями Правительства США. NVD включает базу данных контрольных списков безопасности, недостатки программного обеспечения, связанные с безопасностью, неправильные конфигурации, названия продуктов и показатели воздействия.
OCTAVE ®
Акроним от «Оперативно критическая угроза, объект, уязвимость и оценка»
Набор инструментов, техник и методов для оценки рисков. Стратегическая оценка и планирование информационной безопасности.
С полки
Описание товаров на складе, которые не были специально настроены или разработаны для конкретного клиента или пользователя и легко доступны для использования.
Операционная система
Программное обеспечение компьютерной системы, отвечающее за управление и координацию всех действий и совместное использование компьютерных ресурсов.
Примеры операционных систем: Microsoft Windows, Mac OS, Linux и Unix.
Организационная независимость
Организационная структура, гарантирующая отсутствие конфликта интересов между лицом или отделом, выполняющим деятельность, и лицом или отделом оценки деятельности. Например, лица, выполняющие оценки организации отделены от управления оценки среды.
OWASP
Акроним от «Open Web Application Security Project». Некоммерческая организация, ориентированная на повышение безопасности прикладного программного обеспечения.
OWASP ведет список критических уязвимостей для веб-приложений. Смотрите http://www.owasp.org.
PA-DSS
Акроним от «Стандарт безопасности данных платежных приложений».
PA-QSA
Акроним от «Квалифицированный эксперт по безопасности платежных приложений». PA-QSA сертифицированы PCI SSC для оценки платежных приложений в соответствии с PA-DSS. Смотрите Руководство по программе PA-DSS и квалификацию PA-QSA. Требования для получения подробной информации о требованиях к компаниям PA-QSA и сотрудникам.
Pad
В криптографии одноразовый блокнот - это алгоритм шифрования с текстом в сочетании со случайным ключом или "блокнотом", длина которого равна длине обычного текста и использовался только один раз. Кроме того, если ключ действительно случайный, никогда не используется повторно и сохраняется секрет, одноразовый блокнот не ломается.
ПАН (PAN)
Акроним от «номера основного счета», также называемый «счет количество». Уникальный номер платежной карты (обычно для кредитной или дебетовой карты) который идентифицирует эмитента и конкретный счет держателя карты.
Параметризованный запросы
Средство структурирования SQL-запросов для ограничения экранирования и, таким образом, предотвращения инъекционных атак.
Пароль / кодовая фраза
Строка символов, которая служит аутентификатором пользователя.
PAT
Акроним от «преобразования адреса порта», также называемая «сеть преобразования порта адреса порта». Тип NAT, который также транслирует номера портов.
Патч
Обновление существующего программного обеспечения, чтобы добавить функциональность или исправить дефект.
Платежное приложение
В контексте PA-DSS, программное приложение, которое хранит, обрабатывает или передает данные держателя карты как часть авторизации или расчета, если платежное приложение продается, распространяется или передается по лицензии третьим лицам.
Подробности в Руководстве по программе PA-DSS .
Платежные карты
Для целей PCI DSS любая платежная карта / устройство с логотипом члена-учредителя PCI SSC, которыми являются American Express, Discover Financial Services, JCB International, MasterCard Worldwide или Visa Inc.
Платежные системы
Иногда их называют «платежный шлюз» или «поставщик платежных услуг» «(PSP)».
Организация, привлеченная продавцом или другим лицом для обработки платежной карты для сделки от их имени. Хотя платежные системы обычно предоставляют услуги эквайринга, платежные системы не считаются эквайерами, если определяется как таковой бренд платежной карты. Смотрите также "Эквайер".
PCI
Акроним от «Индустрия платежных карт».
PCI DSS
Акроним от «Стандарт безопасности данных индустрии платежных карт».
КПК
Акроним от «помощник по работе с персональными данными» или «персональный цифровой помощник».
Карманные мобильные устройства с такими возможностями, как мобильные телефоны, электронная почта или веб-браузер.
PED
Устройство для ввода ПИН-кода.
Тест на проникновение
Тесты на проникновение пытаются определить способы использования уязвимостей обойти или нарушить функции безопасности компонентов системы.
Тестирование на проникновение включает в себя тестирование сети и приложений, а также контролирует и обрабатывает сети и приложения, и происходит как извне среды (внешнее тестирование), так и изнутри окружающей среды.
Персональный брандмауэр программного обеспечения
Программный брандмауэр, установленный на одном компьютере.
Лично идентифицируемый информация
Информация, которая может быть использована для идентификации или отслеживания личности человека включая, помимо прочего, имя, адрес, номер социального страхования, биометрические данные, дата рождения и др.
Персонал
Сотрудники, занятые полный и неполный рабочий день, временные сотрудники, подрядчики и консультанты, которые «проживают» на сайте организации или иным образом имеют доступ в среду данных о держателях карт.
ПИН (PIN)
Акроним от «личный идентификационный номер». Секретный цифровой пароль известный только пользователю и системе для аутентификации пользователя в системе.
Пользователю предоставляется доступ только в том случае, если введенный пользователем PIN-код совпадает с ПИНом в системе. Типичные PIN-коды используются в банкоматах для операции по выдаче наличных. Другой тип PIN-кода используется в чипе EMV карты, на которых PIN-код заменяет подпись держателя карты.
Блокировка ПИН-кода
Блок данных, используемый для инкапсуляции ПИН-кода во время обработки. Блок PIN формат определяет содержимое блока PIN и способ его обработки для получения ПИН-кода. Блок ПИН-кода состоит из ПИН-кода, длины ПИН-кода и может содержать подмножество PAN.
POI
Акроним от «Точка взаимодействия», начальная точка, в которой данные считываются из карты. Электронный продукт для приема транзакций, POI состоит из аппаратного и программного обеспечения и размещается в приемочном оборудовании, для выполнения операции с картой держателем. POI можно размещать без присмотра. Транзакции POI обычно представляют собой интегральную схему (чип) и / или платежные операции с использованием карт с магнитной полосой.
Политика
Общеорганизационные правила, регулирующие допустимое использование вычислительных ресурсов, методы обеспечения безопасности и руководство разработкой операционных процедур.
POP3
Акроним от Post Office Protocol v3. Протокол прикладного уровня, используемый электронными почтовыми клиентами для получения электронной почты с удаленного сервера по TCP/IP подключению.
Порт
Логические (виртуальные) точки подключения, связанные с конкретным протоколом связи для облегчения связи по сетям.
POS
Акроним «точка продажи». Аппаратное и / или программное обеспечение, используемое для обработки операции с платежными картами в точках продаж.
Частная сеть
Сеть, созданная организацией, которая использует пространство частных IP-адресов.
Частные сети обычно проектируются как локальные сети. Частный доступ к сети из общедоступных сетей должен быть надлежащим образом защищен
от использования межсетевых экранов и маршрутизаторов. Смотрите также «Публичная сеть».
Привилегированный пользователь
Любая учетная запись пользователя с более чем базовыми правами доступа. Обычно эти учетные записи имеют повышенные или повышенные привилегии с большим количеством прав, чем стандартная учетная запись пользователя. Однако степень привилегий по разным привилегированным учетным записям могут сильно различаться в зависимости от организации, должности, функции или роли, а так же используемой технологии.
Процедура
Описательное повествование о политике. Процедура описывающая как политика должна быть реализована.
Протокол
Согласованный метод связи, используемый в сетях. Технические характеристики описания правил и процедур, которым компьютерные продукты должны следовать, чтобы выполнять действия в сети.
Прокси сервер
Сервер, который действует как посредник между внутренней сетью и Интернетом. Например, одна из функций прокси-сервера - завершить работу или согласовывать соединения между внутренними и внешними соединениями таким образом, чтобы каждый общался только с прокси-сервером.
PTS
Аббревиатура от «PIN Transaction Security», PTS - это набор модульной оценки требований, регулируемые Советом по стандартам безопасности PCI, для PIN приемных POI терминалов.
Публичная сеть
Сеть, созданная и управляемая сторонней телекоммуникационной компанией провайдера с конкретной целью предоставления услуг передачи данных для общественности. Данные в общедоступных сетях могут быть перехвачены, изменены и / или перенаправлены во время транспортировки. Примеры общедоступных сетей включают, но не ограничивается Интернетом, беспроводными и мобильными технологиями. Смотрите также «Приватная сеть».
PVV (ПВВ)
Акроним от «Проверочное значение PIN-кода». Дискреционная ценность, закодированная в магнитной полосе платежной карты.
QIR
Акроним от «Квалифицированный интегратор или реселлер». Обратитесь к программе QIR следуя руководству на веб-сайте PCI SSC для получения дополнительной информации.
QSA
Акроним от «Квалифицированный оценщик безопасности». QSA сертифицированы PCI SSC для проведения оценки PCI DSS на месте. Смотрите Квалификацию QSA.
Требования для получения подробной информации о требованиях к QSA компаниям и сотрудникам.
РАДИУС
Аббревиатура от «Служба удаленной аутентификации пользователей с телефонным подключением».
Система аутентификации и учета. Проверяет наличие такой информации, как имя пользователя и пароль, переданные на сервер RADIUS, верны, а затем разрешает доступ к системе. Этот метод аутентификации может использоваться с токеном, смарт-картой и т.д. для обеспечения многофакторной аутентификации.
Атака по радужному столу
Метод атаки на данные с использованием предварительно вычисленной таблицы хеш-строк (фиксированный - дайджест сообщения длины) для идентификации исходного источника данных, обычно для взлома паролей или хэшей данных держателей карт.
Изменение ключей
Процесс смены криптографических ключей. Периодическое переключение ключей ограничивает количество данных, зашифрованных одним ключом.
Удаленный доступ
Доступ к компьютерным сетям из местоположения за пределами этой сети.
Подключения удаленного доступа могут происходить либо изнутри компании в собственной сети или из удаленного места за пределами сети компании.
Примером технологии удаленного доступа является VPN .
Удаленная лаборатория окружающей среды
Лаборатория, которая не поддерживается PA-QSA.
Съемный электронный носитель
Носители, на которых хранятся оцифрованные данные, которые можно легко удалить и / или перенести из одной компьютерной системы в другую. Примеры съемных электронных носителей включают CD-ROM, DVD-ROM, USB-накопители и внешние / переносные жесткие диски.
Реселлер / Интегратор
Организация, которая продает и / или интегрирует платежные приложения, но не развивает их.
RFC 1918
Стандарт, установленный Инженерной группой Интернета (IETF), который определяет использование и соответствующие диапазоны адресов для частных (не интернет-маршрутизируемые) сети.
Анализ рисков / Оценка риска
Процесс выявления ценных системных ресурсов и угроз; количественно оценивает риски убытков (то есть потенциальные убытки), основанные на оценочной частоте и издержки возникновения; и (необязательно) рекомендует, как распределять ресурсы к контрмерам, чтобы свести к минимуму общее воздействие.
Рейтинг рисков
Определенный критерий измерения, основанный на оценке риска и анализе рисков, проводимый в отношении данной организации.
ROC
Акроним «Отчет о соответствии». Отчет с подробными результатами из оценки организации по стандарту PCI DSS.
Руткит
Тип вредоносного ПО, которое при установке без авторизации может скрыть свое присутствие и получить административный контроль над системой компьютера.
Маршрутизатор
Аппаратное или программное обеспечение, соединяющее две или более сетей. Функционирует как сортировщик и интерпретатор, глядя на адреса и передавая биты информации по нужным направлениям. Программные маршрутизаторы иногда называют как шлюзы.
ROV
Акроним «Отчет о проверке». Отчет с подробными результатами из оценки PA-DSS для целей программы PA-DSS.
RSA
Алгоритм шифрования с открытым ключом, описанный в 1977 году Роном Ривестом, Ади Шамиром и Лен Адлеманом из Массачусетского технологического института (MIT). Буквы RSA являются инициалами их фамилий.
S-FTP
Акроним Secure-FTP. S-FTP имеет возможность шифровать аутентификацию файлов информации и данных в пути. См. FTP.
Отбор проб
Процесс выбора сечения группы, представляющей всю группу. Оценщики могут использовать выборку для уменьшения общего усилия по тестированию, когда подтверждается, что предприятие имеет стандартное централизованное обеспечение безопасности и операционных процессов и средств контроля PCI DSS.
Отбор проб не является требованием PCI DSS.
SANS
Акроним от «SysAdmin, Audit, Networking and Security», института, который обеспечивает обучение компьютерной безопасности и профессиональную сертификацию. Смотрите http://www.sans.org
SAQ
Акроним от «Анкета для самооценки». Инструмент отчетности, используемый для задокументирования результатов самооценки по результатам оценки PCI DSS организации.
Схема
Формальное описание построения базы данных, включая организацию элементов данных.
Определение объема
Процесс определения всех компонентов системы, людей и процессов, которые необходимо включить в оценку PCI DSS. Первый этап оценки PCI DSS заключается в том, чтобы точно определить объем обзора.
SDLC
Акроним для «жизненного цикла разработки системы» или «разработка программного обеспечения жизненного цикла". Этапы разработки программного обеспечения или компьютерной системы, которые включает планирование, анализ, проектирование, тестирование и внедрение.
Безопасное кодирование
Процесс создания и внедрения приложений, устойчивых к вмешательству и / или компрометации.
Устройство безопасной криптографии
Набор оборудования, программного обеспечения и прошивки, реализующий криптографические процессы (включая криптографические алгоритмы и генерацию ключей) и содержится в определенных криптографических границах. Примеры безопасных криптографических устройств включают в себя модули безопасности хоста / оборудования (HSM) и устройства точки взаимодействия (POI), которые прошли проверку на соответствие стандарту PCI PTS.
Безопасная очистка
Также называется «безопасное удаление», метод перезаписи данных, находящихся на жестком диске, компакт диске или другом цифровом носителе, делающий данные безвозвратными.
Событие безопасности
Событие, которое организация считает потенциально безопасным последствием для системы или ее среды. В контексте PCI DSS, события безопасности указывают на подозрительную или аномальную активность.
Сотрудник службы безопасности
Основное лицо, ответственное за вопросы, связанные с безопасностью организации.
Политика безопасности
Набор законов, правил и практик, регулирующих то, как организация управляет, защищает и распространяет конфиденциальную информацию.
Протоколы безопасности
Протоколы сетевых коммуникаций, предназначенные для защиты передачи данных. Примеры протоколов безопасности включают, но не ограничиваются TLS, IPSEC, SSH, HTTPS и др.
Чувствительная зона
Любой центр обработки данных, серверная комната или любое место, где находятся системы, в которых хранятся, обрабатывается или передаются данные держателей карт. Это исключает области, где присутствуют только кассовые терминалы, например, кассовые помещения в розничной торговле магазинов.
Чувствительные данные аутентификации
Информация, связанная с безопасностью (включая, помимо прочего, проверку карты) коды / значения, полные данные трека (с магнитной полосы или аналога на чип), ПИН-коды и блоки ПИН-кодов), используемых для аутентификации держателей карт и / или авторизовывать операции с платежными картами.
Разделение обязанностей
Практика разделения шагов в функции между разными людьми, чтобы не позволять одному человеку помешать процессу.
Сервер
Компьютер, который предоставляет услуги другим компьютерам, например обработку связи, хранение файлов или доступ к типографии. Серверы включают, но не ограничиваются Интернетом, базой данных, приложением, аутентификацией, DNS, почтой, прокси и NTP.
Сервисный код
Трехзначное или четырехзначное значение на магнитной полосе, следующей за датой истечения срока действия платежной карты в данных трека. Используется для определения атрибутов службы, различия между международным и национальным обменом или определение ограничений использования.
Поставщик услуг
Бизнес-субъект, не являющийся платежным брендом, непосредственно участвующий в обработка, хранение или передача данных о держателях карт от имени другой организации. Это также включает компании, которые предоставляют услуги, которые контролируют или может повлиять на безопасность данных держателей карт. Примеры включают управляемый поставщиков услуг, которые предоставляют управляемые межсетевые экраны, IDS и другие услуги, а также хостинг-провайдеры и другие организации. Если организация предоставляет услугу это включает в себя только предоставление доступа к общедоступной сети, например телекоммуникационная компания, предоставляющая только канал связи - организация не будет считаться поставщиком услуг для этой услуги (хотя они могут считаться поставщиками других услуг).
Токен сеанса
В контексте управления веб-сеансом маркер сеанса (также называемый в качестве «идентификатора сеанса» или «идентификатора сеанса»), является уникальным идентификатором (например, «Cookie»), используемый для отслеживания определенного сеанса между веб-браузером и веб сервером.
SHA-1 / SHA-2
Акроним от «Secure Hash Algorithm». Семья или группа родственных криптографические хеш-функции, включая SHA-1 и SHA-2. Смотрите "Сильная криптография".
Интеллектуальная карточка
Также называется «чип-карта» или «IC-карта (карта с интегральной схемой)». Тип платежной карты, в которую встроены интегральные схемы. Схемы, также называемый «чип», содержит данные платежной карты, включая, но не ограничено данными, эквивалентными данным с магнитной полосы.
SNMP
Акроним от «Simple Network Management Protocol». Поддерживает мониторинг подключенных к сети устройств для любых условий, требующих административного внимания.
Разделение знаний
Метод, при котором два или более объекта по отдельности имеют ключевые компоненты которые по отдельности не передают сведений о полученном криптографическом ключе.
Шпионское ПО
Тип вредоносного ПО, которое при установке перехватывает или частично захватывает управление компьютером пользователя без согласия пользователя.
SQL
Акроним от «Structured Query Language» (язык структурированных запросов). Компьютерный язык, используемый для создания, изменения и извлечения данных из управления реляционными базами данных системы.
SQL-инъекция
Форма атаки на веб-сайт, управляемый базой данных. Злоумышленник выполняет несанкционированные команды SQL, используя незащищенный код на системе подключена к Интернету. Атаки с использованием SQL-инъекций используются для кражи информация из базы данных, данные из которой обычно не доступны и / или получить доступ к хост-компьютерам организации через компьютер, на котором размещена база данных.
SSH
Аббревиатура от Secure Shell. Набор протоколов, обеспечивающий шифрование для сетевые службы, такие как удаленный вход или удаленная передача файлов.
SSL
Акроним от «Secure Sockets Layer». Промышленный стандарт, который шифрует канал между веб-браузером и веб-сервером. Теперь заменен TLS.
Смотрите «TLS».
Stateful Inspection
Также называется «динамической фильтрацией пакетов». Возможности межсетевого экрана, обеспечивающие повышенная безопасность за счет отслеживания состояния сетевых подключений.
Запрограммирован на распознавание легитимных пакетов для различных подключений, только пакеты, соответствующие установленному соединению, будут разрешены межсетевым экраном; все остальные будут отклонены.
Сильная криптография
Криптография на основе проверенных и принятых в отрасли алгоритмов, а также длина ключа, обеспечивающая минимум 112 бит эффективной силы ключа и правильные методы управления ключами. Криптография - это метод защиты данных и включает в себя как шифрование (которое обратимо), так и хеширование (которое является «односторонним», то есть необратимый). Смотрите «Хеширование».
На момент публикации примеры протестированных и принятых в отрасли стандарты и алгоритмы включают AES (128 бит и выше), TDES / TDEA (ключи тройной длины), RSA (2048 бит и выше), ECC (224 бит и выше), и DSA / DH (2048/224 бит и выше). Посмотрите текущую версию NIST в специальной публикации 800-57, часть 1 (http://csrc.nist.gov/publications/) для получения дополнительной информации по руководству по силе криптографических ключей и алгоритмам.
Примечание. Приведенные выше примеры подходят для постоянного хранения данных держателя карты. Минимальные требования криптографии для транзакции-операции, основанные на PCI PIN и PTS, более гибкие, поскольку дополнительные средства контроля для снижения уровня воздействия.
Рекомендуется, чтобы во всех новых реализациях использовалось минимум 128 битов для эффективной силы ключа.
Сисадмин
Аббревиатура от «системный администратор». Личность с повышенными привилегиями которая отвечает за управление компьютерной системой или сетью.
Системные компоненты
Любые сетевые устройства, серверы, вычислительные устройства или приложения включённые в среде данных о держателях карт или подключены к ней.
Объект системного уровня
Все, что требуется для работы системного компонента, включая но не ограничиваясь таблицами базы данных, хранимыми процедурами, приложением исполняемые файлы и файлы конфигурации, файлы конфигурации системы, статические и общие библиотеки и DLL, системные исполняемые файлы, драйверы устройств и устройства файлов конфигурации и сторонние компоненты.
TACACS
Акроним от «Terminal Access Controller Access Control System». Удаленный протокол аутентификации, обычно используемый в сетях, которые обмениваются данными между сервером удаленного доступа и сервером аутентификации для определения права доступа пользователей к сети. Этот метод аутентификации можно использовать с токеном, смарт-картой и т. д. для обеспечения многофакторной аутентификации.
TCP
Акроним «Протокол управления передачей». Один из основных транспортных-протоколов уровня пакета Интернет-протокола (IP), а также базовый язык общения или протокол Интернета. Смотрите «IP».
TDES
Акроним от «Triple Data Encryption Standard», также известный как «3DES» или «Тройной DES». Блочный шифр, сформированный из шифра DES с использованием трех раз. Смотрите «Надежная криптография».
ТЕЛНЕТ
Аббревиатура от «протокол телефонной сети». Обычно используется для предоставления ориентированные на пользователя сеансы входа в систему из командной строки для устройств в сети. Учетные данные пользователей передаются открытым текстом.
Угроза
Состояние или действие, которое может привести к появлению информации или умышленно или случайно потеряны ресурсы обработки информации, которые изменены, открыты, сделаны недоступным или иным образом затронут ущерб организации.
TLS
Акроним от «Transport Layer Security». Разработан с целью предоставления секретности и целостности данных между двумя взаимодействующими приложениями.
TLS является преемником SSL.
Токен
В контексте аутентификации и контроля доступа токен - это значение предоставляется аппаратным или программным обеспечением, которое работает с сервером аутентификации или VPN для выполнения динамической или многофакторной аутентификации. Смотрите РАДИУС, TACACS и VPN. См. Также токен сеанса.
Данные трека
Также называется «данными полного трека» или «данными магнитной полосы». Закодированные данные в магнитной полосе или чипе, используемом для аутентификации и / или авторизации во время платежных операций. Может быть изображение магнитной полосы на чипе или данные на дорожке 1 и / или дорожке 2 части магнитной полосы.
Данные транзакции
Данные, относящиеся к операции с электронной платежной картой.
Троян
Также называется «троянский конь». Тип вредоносного ПО, которое при установке, позволяет пользователю выполнять обычные функции, пока троян выполняет вредоносные функции в компьютерной системе без участия пользователя.
Усечение
Способ сделать полный PAN нечитаемым путем безвозвратного удаления сегмента данных PAN. Усечение относится к защите PAN при хранении
в файлах, базах данных и т. д. Смотрите «Маскирование» для защиты PAN при отображении на экранах, бумажных квитанциях и т. д.
Надежная сеть
Сеть организации, которая находится в пределах ее возможностей контролировать или управлять.
Ненадежная сеть
Сеть, которая является внешней по отношению к сетям, принадлежащим организации и что находится вне способности организации контролировать или управлять.
URL
Акроним от «Uniform Resource Locator». Форматированная текстовая строка, используемая веб-браузерами, клиенты электронной почтой и другим программным обеспечением для идентификации сети ресурсов в Интернете.
Управление версиями Методология
Процесс присвоения схем версий для однозначной идентификации конкретного состояния приложения или программного обеспечения. Эти схемы следуют за номером версии формат, использование номера версии и любой элемент подстановки, как определённого поставщика программного обеспечения. Номера версий обычно присваиваются по возрастанию порядка и соответствуют конкретному изменению в программном обеспечении.
Виртуальное устройство (VA)
VA использует концепцию предварительно настроенного устройства для выполнения определенного набора функций и запуска этого устройства как рабочую нагрузку. Часто существующее сетевое устройство виртуализировано для работы как виртуальное устройство, например маршрутизатор, коммутатор или брандмауэр.
Виртуальный гипервизор
Смотрите «Гипервизор».
Виртуальная машина
Автономная операционная среда, которая ведет себя как отдельный компьютер. Он также известен как «Гость» и работает поверх гипервизора.
Виртуальная машина Монитор (VMM)
VMM входит в состав гипервизора и представляет собой программное обеспечение, реализующее абстракцию оборудования виртуальных машин. Он управляет процессором системы, памятью и другими ресурсами для выделения того, что требует каждая гостевая операционная система.
Виртуальный платежный терминал
Это доступ к эквайеру через веб-браузер, веб-сайт процессора или стороннего поставщика услуг для авторизации платежной карты
транзакции, при которых продавец вручную вводит данные платежной карты через безопасно подключенный веб-браузер. В отличие от физических терминалов, виртуальные платежные терминалы не считывают данные напрямую с платежной карты. Потому что оплата карточных операции вводятся вручную, виртуальные платежные терминалы обычно используются вместо физических терминалов в торговом окружении с низкие объемы транзакций.
Виртуальный коммутатор или маршрутизатор
Это логический объект, который представляет сеть маршрутизация данных и коммутация на уровне инфраструктуры. Виртуальный коммутатор является неотъемлемой частью виртуализированной серверной платформы, такой как гипервизор, драйвер, модуль или плагин.
Виртуализация
Виртуализация относится к логической абстракции вычислительных ресурсов от физических ограничений. Одна общая абстракция называется виртуальными машинами или виртуальными машинами, которые принимают содержимое физической машины и позволяют работать на другом физическом оборудовании и / или вместе с другими виртуальными машинами на одном физическом оборудовании. Помимо виртуальных машин, виртуализация может выполняться на многих других вычислительных ресурсах, включая приложения, настольные компьютеры, сети и хранилище.
VLAN
Аббревиатура от «виртуальная локальная сеть» или «виртуальная локальная сеть». Логическая местная локальная сеть, выходящая за рамки одной традиционной физической локальной области сети.
VPN
Акроним от «виртуальной частной сети». Компьютерная сеть, в которой некоторые из соединения - это виртуальные цепи в более крупной сети, например Интернет, вместо прямого подключения по физическим проводам. Конечные точки говорят, что виртуальная сеть туннелируется через большую сеть.
В то время как обычное приложение состоит из безопасных связей через общедоступный Интернет, VPN может иметь или не иметь надежные функции безопасности, такие как аутентификация или шифрование контента.
VPN может использоваться с токеном, смарт-картой и т.д. для обеспечения двухфакторной аутентификации.
Уязвимость
Недостаток или слабость, использование которых может привести к преднамеренному или непреднамеренная компрометация системы.
WAN
Акроним от «глобальной сети». Компьютерная сеть, охватывающая большую территорию, часто это региональная или общекорпоративная компьютерная система.
Веб приложение
Приложение, доступ к которому обычно осуществляется через веб-браузер или через Интернет.
Сервисы и веб-приложения могут быть доступны через Интернет или частные, внутренние сети.
Веб сервер
Компьютер, содержащий программу, которая принимает HTTP-запросы клиентов из Интернета и обслуживает HTTP-ответы (обычно веб-страницы).
WEP
Акроним от «Wired Equivalent Privacy». Слабый алгоритм, используемый для шифрования беспроводных сетей. Несколько серьезных недостатков были выявлены отраслевыми экспертами, так что соединение WEP может быть легко взломано доступным программным обеспечением в течение нескольких минут. Смотрите «WPA».
Подстановочный знак
Символ, который может быть заменен на определенное подмножество возможных символов в схеме версии приложения. В контексте PA-DSS, подстановочные знаки могут опционально использоваться для обозначения того, что не влияет на безопасность изменений. Подстановочный знак - единственный переменный элемент версии поставщика.
Схема, которая используется, чтобы указать, что есть только незначительные, не связанные с безопасностью влияние на изменения между каждой версией, представленной подстановочным знаком элементом.
Точка беспроводного доступа
Также называется «AP». Устройство, позволяющее использовать устройства беспроводной связи для подключения к беспроводной сети. Обычно он подключается к проводной сети и может передавать данные между беспроводными и проводными устройствами в сети.
Беспроводные сети
Сеть, которая соединяет компьютеры без физического подключения к проводам.
WLAN
Акроним от «беспроводной локальной сети». Локальная сеть, которая связывает два или более компьютеров или устройств без проводов.
WPA / WPA2
Акроним от «Защищенный доступ Wi-Fi». Протокол безопасности создан для защиты беспроводных сетей. WPA является преемником WEP. Также был выпущен WPA2 как следующее поколение WPA.
AAA
Акроним от «аутентификации, авторизации и учета». Протокол для аутентификации пользователя на основе его проверяемой личности, авторизация пользователя на основе их прав пользователя и с учетом потребления пользователем сетевых ресурсов.
Контроль доступа
Механизмы, ограничивающие доступность информации или обработку информации ресурсами только уполномоченным лицам или приложениям.
Данные аккаунта
Данные учетной записи состоят из данных держателя карты и / или данных конфиденциальной аутентификации.
Смотрите Данные о держателях карт и конфиденциальные данные аутентификации.
Номер счета
Смотрите «Основной номер счета (PAN)».
Эквайер
Также именуется «торговый банк», «банк-эквайер» или «эквайринговый финансовый банк».
Учреждение или организация, обычно финансовая организация, которая обрабатывает платеж транзакции по картам для продавцов и определяется платежным брендом как эквайер. Эквайеры подчиняются правилам и процедурам платежного бренда относительно соответствия мерчанта. Смотрите также «Платежный процессор».
Административный доступ
Повышенные или повышенные привилегии, предоставленные учетной записи для управления системами, сетями и / или приложениями.
Административный доступ может быть назначен отдельной учетной записи или встроенному в системном аккаунте. Учетные записи с административным доступом часто называют как «суперпользователь», «root», «администратор», «admin», «sysadmin» или «supervisor-state», в зависимости от конкретной операционной системы и организационной структуры.
Рекламное ПО
Тип вредоносного ПО, которое при установке заставляет компьютер автоматически отображать или загружать рекламные объявления.
AES
Аббревиатура от «Advanced Encryption Standard». Блочный шифр, используемый в криптография с симметричным ключом, принятая NIST в ноябре 2001 г.
FIPS PUB 197 (или «FIPS 197»). Смотрите «Надежная криптография».
ANSI
Акроним от «Американский национальный институт стандартов». Частная, некоммерческая организация, которая управляет и координирует добровольные
система стандартизации и оценки соответствия.
Антивирус
Программа или программное обеспечение, способное обнаруживать, удалять и защищать от различных форм вредоносного программного обеспечения (также называемого «вредоносным ПО»), включая вирусы, черви, трояны или троянские кони, шпионское ПО, рекламное ПО и руткиты.
AOC
Акроним от «подтверждение соответствия». AOC - это форма для продавцов и поставщиков услуг для подтверждения результатов оценки PCI DSS, задокументированной в анкете самооценки или отчете о соответствии.
AOV
Акроним от «attestation of validation». AOV - это форма для PA-QSA для засвидетельствования результатов оценки PA-DSS, как указано в PA-отчете DSS о валидации.
Приложение
Включает все приобретенные и заказные программы или группы программ, включая как внутренние, так и внешние (например, веб) приложения.
ASV
Акроним от «Утвержденный поставщик сканирования». Компания одобрена PCI SSC для проведения сервисов сканирования внешних уязвимостей.
Журнал аудита
Также называется «контрольным следом». Хронологическая запись деятельности системы.
Обеспечивает независимо проверяемый маршрут, достаточный для реконструкции, обзор и изучение последовательности сред и действий окружающих или ведущие к операции, процедуре или событию в транзакции от начала до конечных результатов.
Контрольный журнал
Смотрите «Журнал аудита».
Аутентификация
Процесс проверки личности человека, устройства или процесса.
Аутентификация обычно происходит с использованием одного или нескольких факторы аутентификации, такие как:
▪ Что-то, что вы знаете, например пароль или кодовую фразу.
▪ Что-то, что у вас есть, например токен-устройство или смарт-карту.
▪ Что-то, что у вас есть, например, биометрия
Полномочия аутентификации
Комбинация идентификатора пользователя или учетной записи плюс фактор (-ы) аутентификации используемые для аутентификации человека, устройства или процесса.
Авторизация
В контексте управления доступом авторизация - это предоставление доступа или другие права на пользователя, программу или процесс. Авторизация определяет, что человек или программа могут сделать это после успешной аутентификации.
В контексте транзакции по платежной карте авторизация происходит, когда продавец получает одобрение транзакции после того, как эквайер подтверждает сделку с эмитентом / процессором.
Резервный
Дублирующая копия данных, сделанная для целей архивирования или защиты от повреждение или потери.
BAU
Акроним от слова «бизнес как обычно». BAU - это обычная повседневная деловая операции.
Блютуз
Беспроводной протокол с использованием технологии связи ближнего действия для облегчения передачи данных на короткие расстояния.
Переполнение буфера
Уязвимость создается из-за небезопасных методов кодирования, когда программа выходит за границу буфера и записывает данные в соседнее пространство памяти.
Переполнение буфера используется злоумышленниками для получения несанкционированного доступа к системе или данным.
Карточный скиммер
Физическое устройство, часто подключенное к законному устройству для чтения карт, предназначенный для незаконного сбора и / или хранения информации платежных карт.
Код или значение проверки карты
Также известен как код подтверждения карты или значение или код безопасности карты.
Относится либо к: (1) данным на магнитной полосе, либо (2) к печатным элементам защиты.
(1) Элемент данных на магнитной полосе карты, использующий безопасные криптографические процессы для защиты целостности данных на полосе, и обнаруживает любые изменения или подделки. Именуется CAV, CVC, CVV или CSC в зависимости от марки платежной карты.
Следующий список содержит условия для каждой марки карты:
▪ CAV - Значение аутентификации карты (платежные карты JCB)
▪ PAN CVC - код подтверждения карты (платежные карты MasterCard)
▪ CVV - значение для проверки карты (платежные карты Visa и Discover)
▪ CSC - Код безопасности карты (American Express)
(2) Для платежных карт Discover, JCB, MasterCard и Visa второй тип верификационного значения карты или кода - крайнее правое трехзначное значение напечатан в области панели для подписи на обратной стороне карты. Для платежных карт American Express, код четырехзначный без тиснения.
Номер, напечатанный над PAN на лицевой стороне платежных карт. Код уникально связан с каждым отдельным кусочком пластика и привязывает PAN к пластику.
В следующем списке приведены условия для каждой марки карты:
▪ CID - идентификационный номер карты (падёжные карты American Express и Discover)
▪ CAV2 - значение аутентификации карты 2 (платежные карты JCB)
▪ PAN CVC2 - код подтверждения карты 2 (платежные карты MasterCard)
▪ CVV2 - значение проверки карты 2 (платежные карты Visa)
Картхолдер
Клиент, не являющийся потребителем или потребитель, которому выдана платежная карта или любое физическое лицо, уполномоченное использовать платежную карту.
Данные держателя карты
Как минимум, данные держателя карты состоят из полного PAN. Данные держателя карты также могут отображаться в виде полной PAN плюс любое из следующего:
имя держателя карты, срок действия и / или код услуги.
Смотрите «критичные аутентификационные данные» для дополнительных элементов данных, которые могут передаваться или обрабатываются (но не хранятся) как часть платежной транзакции.
CDE
Акроним от «среды данных о держателях карт». Люди, процессы и технологии, которые хранят, обрабатывают или передают данные держателей карт или конфиденциальные данные аутентификации.
Сотовые технологии
Мобильная связь через беспроводные телефонные сети, в том числе не ограничиваясь Глобальной системой мобильной связи (GSM), код множественного доступа с разделением каналов (CDMA) и пакетная радиосвязь общего назначения (GPRS).
CERT
Акроним от Университета Карнеги-Меллона «Computer Emergency Response Team». Программа CERT разрабатывает и продвигает использование соответствующих технологии и методы управления системами для защиты от атак на сетевые системы, чтобы ограничить ущерб и обеспечить непрерывность критически важных сервисов.
Смени управление
Процессы и процедуры для обзора, тестирования и утверждения изменений в системах и программное обеспечение для воздействия перед внедрением.
CIS
Акроним от «Центр интернет-безопасности». Некоммерческое предприятие с миссией чтобы помочь организациям снизить риски бизнеса и сбои электронной коммерции в результате ненадлежащего технического контроля безопасности.
Уровень столбца шифрования базы данных
Техника или технология (программная или аппаратная) для шифрования содержимое определенного столбца в базе данных по сравнению с полным содержимым всей база данных. Или смотрите «Шифрование диска» или «Шифрование на уровне файлов».
Компенсация управления
Компенсационные меры контроля могут быть рассмотрены, когда предприятие не может выполнить требование, прямо как указано, из-за законных технических или задокументированных бизнес-ограничений, но в достаточной степени снизил риск, связанный с требование путем реализации других средств управления.
Компенсация органов управления должна:
(1) Соответствовать цели и строгости исходного требования PCI DSS;
(2) Обеспечивать такой же уровень защиты, что и исходное требование PCI DSS;
(3) Быть «выше» других требований PCI DSS (не только в соответствие другим требованиям PCI DSS);
(4) Быть соразмерным дополнительному риску, связанному с несоблюдением требование PCI DSS.
Смотрите «Компенсационные меры» в приложениях B и C стандарта PCI DSS.
Требования и процедуры оценки безопасности для руководства по использованию компенсирующих средств управления.
Компромисс
Также называется «компрометация данных» или «утечка данных». Вторжение в компьютерную систему, в которой обнаружено несанкционированное раскрытие / кража, модификация или подозревается уничтожение данных держателя карты.
Консоль
Экран и клавиатура, обеспечивающие доступ к серверу и управление им, мэйнфрейм или другой тип системы в сетевой среде.
Потребитель
Индивидуальная покупатель товаров, услуг или того и другого.
Критические системы / критические технологии
Система или технология, которые организация считает особенными важность. Например, критическая система может иметь важное значение для выполнения бизнес-операции или для функции поддержки безопасности. Примеры критических систем часто включают системы безопасности, общедоступные устройства и системы, базы данных и системы, в которых хранятся, обрабатывается или передаются данные держателей карт. Рекомендации по определению конкретные системы и технологии имеют решающее значение, будут зависеть от среды организации и стратегия оценки рисков.
Межсайтовый запрос - подлог (CSRF)
Уязвимость, созданная из-за небезопасных методов кодирования, позволяет выполнение нежелательных действий через аутентифицированный сеанс. Часто используется вместе с XSS и / или SQL-инъекцией.
Межсайтовый скриптинг (XSS)
Уязвимость возникает из-за небезопасных методов кодирования, что приводит к неправильной проверке ввода. Часто используется вместе с CSRF и / или SQL инъекцией.
Криптографический ключ
Значение, определяющее результат работы алгоритма шифрования, когда преобразование простого текста в зашифрованный текст. Длина ключа в целом
определяет, насколько сложно будет расшифровать зашифрованный текст в заданном сообщение. Смотрите «Надежная криптография».
Генерация криптографических ключей
Генерация ключей - одна из функций управления ключами. В следующие документы содержат признанное руководство по правильной генерации ключей:
• Специальная публикация NIST 800-133: Рекомендации по криптографии
Генерация ключей
• ISO 11568-2 Финансовые услуги - Управление ключами (розничная торговля) - Часть 2:
Симметричные шифры, их управление ключами и жизненный цикл
4.3 Генерация ключей
• ISO 11568-4 Финансовые услуги - Управление ключами (розничная торговля) - Часть 4:
Асимметричные криптосистемы - управление ключами и жизненный цикл
6.2 Ключевые этапы жизненного цикла - Генерация
• Руководство по алгоритмам Европейского платежного совета EPC 342-08.
Использование и управление ключами
6.1.1 Генерация ключей [для симметричных алгоритмов]
6.2.1 Генерация ключей [для асимметричных алгоритмов]
Управление криптографическим ключом
Набор процессов и механизмов, поддерживающих установка и обслуживание криптографического ключа, включая замену старых ключей на новые ключи по мере необходимости.
Криптография
Дисциплина математики и информатики, связанная с информационной безопасностью, особенно шифрование и аутентификация. В приложениях и безопасности сети, это инструмент контроля доступа, конфиденциальности информации, и целостности.
Криптопериод
Период времени, в течение которого конкретный криптографический ключ может использоваться для определенной цели, основанной, например, на определенном периоде времени и / или количество созданного зашифрованного текста и в соответствии с отраслью передового опыта и рекомендации (например, Специальная публикация NIST 800-57 ).
CVSS
Акроним от «Common Vulnerability Scoring System». Независимый поставщик, отраслевой открытый стандарт, предназначенный для передачи серьезности компьютерной системы уязвимости безопасности и помогают определить срочность и приоритет ответа.
Смотрите Руководство по программе ASV для получения дополнительной информации.
Диаграмма потока данных
Диаграмма, показывающая, как данные проходят через приложение, систему или сеть.
База данных
Структурированный формат для организации и обслуживания легко извлекаемой информации. Простыми примерами баз данных являются таблицы и электронные таблицы.
Администратор базы данных
Также именуется «DBA». Лицо, ответственное за управление и администрирование баз данных.
Учетные записи по умолчанию
Учетная запись для входа, предопределенная в системе, приложении или устройстве, чтобы разрешить начальный доступ при первом запуске системы. Дополнительные учетные записи по умолчанию могут также могут быть созданы системой в процессе установки.
Пароль по умолчанию
Пароль для учетных записей системного администратора, пользователей или служб, предопределенных в системе, приложении или устройстве. Обычно ассоциируется с учетной записью по умолчанию.
Учетные записи и пароли по умолчанию опубликованы и хорошо известны, и поэтому легко подвергаются взлому.
Размагничивание
Также называется «размагничивание диска». Процесс или метод размагничивания диска таким образом, что все данные, хранящиеся на диске, навсегда уничтожаются.
Зависимость
В контексте PA-DSS зависимость - это конкретное программное обеспечение или оборудование компонента (например, аппаратный терминал, база данных, операционная система, API,
библиотека кодов и т.д.), что необходимо для того, чтобы платежное приложение соответствовало PA-требованиям DSS.
Шифрование диска
Техника или технология (программная или аппаратная) для шифрования всех сохраненных данных на устройстве (например, жестком диске или флэш-накопителе).
Кроме того, File-Level Encryption или Шифрование на уровне столбцов базы данных используется для шифрования содержимого определенных файлов или столбцов.
DMZ
Аббревиатура от «демилитаризованная зона». Физическая или логическая подсеть, которая обеспечивает дополнительный уровень безопасности для внутренней частной сети. DMZ добавляет дополнительный уровень сетевой безопасности между Интернетом и внутренней сетью организации, чтобы только внешние стороны имели прямые подключения к устройствам в DMZ, а не ко всему содержимому внутренней сети.
DNS
Акроним от «система доменных имен» или «сервер доменных имен». Система, которая хранит информацию, связанную с доменными именами, в распределенной базе данных для предоставления услуг разрешения имен пользователям в таких сетях, как Интернет.
DSS
Акроним от «Стандарт безопасности данных». Смотрите «PA-DSS» и «PCI DSS».
Двойное управление
Процесс использования двух или более отдельных субъектов (обычно лиц), работающих совместно для защиты конфиденциальных функций или информации. Обе организации в равной степени ответственны за физическую защиту материалов, используемых в уязвимых транзакциях. Ни одному человеку не разрешается доступ или использование материалов (например, криптографический ключ). Для генерации ключей вручную требуется транспортировка, погрузка, хранение и извлечение, двойное управление требует разделения знание ключа среди сущностей. Смотрите также «разделение знаний».
Динамический пакет фильтрации
Смотрите «Stateful Inspection».
ECC
Акроним от «Криптография с эллиптическими кривыми». Подход к публичному ключу криптографии на основе эллиптических кривых над конечными полями. Смотрите «Сильная криптография».
Выходная фильтрация
Метод фильтрации исходящего сетевого трафика, разрешенный только явному трафику покидать сеть.
Шифрование
Процесс преобразования информации в неразборчивую форму, кроме держателей определенного криптографического ключа. Использование шифрования защищает информацию между процессом шифрования и процессом дешифрования (инверсия шифрования) от несанкционированного раскрытия. Смотрите «Сильная криптография».
Алгоритм шифрования
Также называется «криптографическим алгоритмом». Последовательность математических инструкции, используемые для преобразования незашифрованного текста или данных в зашифрованный текст или данные, и обратно. Смотрите «Надежная криптография».
Entity
Термин, используемый для обозначения корпорации, организации или бизнеса, который проходят проверку PCI DSS.
Мониторинг целостности файлов
Техника или технология, с помощью которых отслеживаются определенные файлы или журналы для определения, изменены ли они. Когда критически важные файлы или журналы изменяются, предупреждения должны быть отправлены соответствующему персоналу службы безопасности.
Шифрование на уровне файлов
Техника или технология (программная или аппаратная) для полного шифрования содержимого определенных файлов. Смотрите «Шифрование диска» или «Уровень столбца. Шифрование базы данных».
FIPS
Акроним от «Федеральные стандарты обработки информации». Стандарты, которые публично признаны Федеральным правительством США для использования негосударственными агентствами и подрядчиками.
Брандмауэр
Аппаратные и / или программные технологии, защищающие сетевые ресурсы от несанкционированного доступа. Брандмауэр разрешает или запрещает компьютерный трафик между сетями с разными уровнями безопасности на основе набора правил и других критериев.
Криминалистика
Также называется «компьютерной криминалистикой». Что касается информационной безопасности, применение инструментов расследования и методов анализа для сбора доказательства из компьютерных ресурсов для определения причины данных компромиссов.
FTP
Акроним от «Протокол передачи файлов». Сетевой протокол, используемый для передачи данных с одного компьютера на другой через общедоступную сеть, например Интернет.
FTP широко рассматривается как небезопасный протокол, поскольку пароли и файлы содержимого отправляется незащищенным и открытым текстом. FTP может быть реализован безопасно через SSH или другую технологию. Смотрите «S-FTP».
GPRS
Акроним от General Packet Radio Service. Доступная услуга мобильной передачи данных пользователям мобильных телефонов GSM. Признана за эффективное использование ограниченной пропускной способности. Особенно подходит для отправки и получения небольших пакетов данных, таких как электронная почта и просмотр веб-страниц.
GSM
Акроним от «Глобальная система мобильной связи». Популярный стандарт для мобильных телефонов и сетей. Повсеместность стандарта GSM делает
международный роуминг очень распространен между операторами мобильной связи, позволяя абонентам использовать свои телефоны во многих частях мира.
Хеширование
Процесс предоставления данных о держателях карт нечитаемым путем преобразования данных в дайджест сообщения фиксированной длины. Хеширование - это односторонняя (математическая) функция в которой несекретный алгоритм принимает любое сообщение произвольной длины как вход и производит вывод фиксированной длины (обычно называемый «хеш-кодом» или «дайджест сообщения»).
Хеш-функция должна иметь следующие свойства:
(1) Вычислительно невозможно определить исходный ввод, заданный только хэш-кодом,
(2) Вычислительно невозможно найти два входа, которые дают одинаковые хэш-код.
В контексте PCI DSS хеширование должно применяться ко всей PAN для хэш-код считается нечитаемым. Рекомендуется, чтобы хешированные данные держателя карты включали входную переменную (например, «соль») для функции хеширования для уменьшения или снижения эффективности предварительно вычисленных атак радужной таблицы (смотрите «Входная переменная»).
Для получения дополнительных рекомендаций обратитесь к отраслевым стандартам, например к текущим версиям.
Специальные публикации NIST 800-107 и 800-106, Федеральная информация
Стандарт обработки (FIPS) 180-4 Стандарт безопасного хеширования (SHS) и FIPS 202 SHA-3 Standard: хеширование на основе перестановок и расширяемый вывод функции.
Хост
Основное компьютерное оборудование, на котором находится программное обеспечение.
Хостинг-провайдер
Предлагает различные услуги торговцам и другим поставщикам услуг. Сервисы варьируются от простых до сложных; от общего пространства на сервере до целого набор опций «корзины покупок»; от платежных приложений до подключений платежным системам и процессорам; и для хостинга, посвященного только одному клиенту на сервер. Хостинг-провайдер может быть провайдером виртуального хостинга, который размещает несколько объектов на одном сервере.
HSM
Акроним от «аппаратный модуль безопасности» или «модуль безопасности хоста». Физически и логически защищенное аппаратное устройство, обеспечивающее безопасный набор криптографических сервисов, используемых для криптографического управления ключами функции и / или расшифровка учетных данных.
HTTP
Акроним от «протокола передачи гипертекста». Открытый интернет-протокол для передачи информации во всемирной паутине.
HTTPS
Акроним от «протокола передачи гипертекста через уровень защищенных сокетов». Безопасный HTTP, который обеспечивает аутентификацию и шифрованную связь на World Wide Web, предназначенный для конфиденциальной связи, такой как Интернет-логины.
Гипервизор
Программное обеспечение или прошивка, отвечающая за хостинг и управление виртуальными машинами. Для целей стандарта PCI DSS системный компонент гипервизора также включает монитор виртуальных машин (VMM).
ID (ИД)
Идентификатор конкретного пользователя или приложения.
IDS
Акроним от «система обнаружения вторжений». Программное или аппаратное обеспечение, используемое для выявления и предупреждения о сетевых или системных аномалиях или попытках вторжения.
В состав входят: датчики, генерирующие события безопасности; консоль для мониторинга события и оповещения и контроль датчиков; и центральный двигатель, который записывает события, регистрируемые датчиками в базе данных. Использует систему правил для генерации предупреждения в ответ на обнаруженные события безопасности. См. «IPS»
IETF
Акроним от Internet Engineering Task Force. Большое, открытое международное Сообщество сетевых разработчиков, операторов, поставщиков и исследователей озабоченных развитием архитектуры Интернета и бесперебойной работой Интернет. IETF не имеет официального членства и открыта для всех заинтересованных физических лиц.
IMAP
Акроним от Internet Message Access Protocol. Уровень приложения Интернет-протокола, который позволяет клиенту электронной почты получать доступ к электронной почте на удаленном компьютере к почтовому серверу.
Индексный токен
Криптографический токен, заменяющий PAN на основе заданного индекса для непредсказуемой стоимости.
Информационной безопасности
Защита информации для обеспечения конфиденциальности, целостности и доступности.
Информационная система
Дискретный набор структурированных ресурсов данных, организованных для сбора, обработки, обслуживания, использования, совместного использования, распространения или распоряжения информацией.
Входящая фильтрация
Метод фильтрации входящего сетевого трафика, разрешенный только явному трафику вход в сеть.
Инъекционные недостатки
Уязвимость, создаваемая небезопасными методами кодирования, приводящая к неправильной проверке ввода, которая позволяет злоумышленникам передавать вредоносный код через веб-приложение в базовую систему. К этому классу уязвимости относится внедрение SQL, внедрение LDAP и внедрение XPath.
Входная переменная
Строка случайных данных, которая объединяется с исходными данными перед односторонним применяется хеш-функция. Входные переменные могут помочь снизить эффективность атак радужных таблиц. Смотрите также «Хеширование» и «Радужные таблицы».
Небезопасный протокол / Сервис / Порт
Протокол, служба или порт, которые вызывают проблемы с безопасностью из-за отсутствия контроля за конфиденциальностью и / или целостностью. Эти проблемы безопасности включают службы, протоколы или порты, которые передают данные или аутентификацию учетных данных (например, пароль / кодовая фраза) открытым текстом поверх Интернетf, или те, которые легко допускают эксплуатацию по умолчанию или при неправильной настройке.
Примеры небезопасных сервисов, протоколов или портов включают, но не ограничиваются на FTP, Telnet, POP3, IMAP и SNMP v1 и v2.
IP
Акроним от «интернет-протокол». Протокол сетевого уровня, содержащий адресную информация и некоторую управляющую информацию, которая позволяет маршрутизировать пакеты и доставляется от исходного хоста к целевому. IP является основным протоколом сетевого уровня в наборе Интернет-протоколов. Смотрите «TCP».
Айпи адрес
Также называется «адресом интернет-протокола». Цифровой код, который однозначно идентифицирует конкретный компьютер (хост) в Интернете.
Подмена IP-адреса
Техника атаки, используемая для получения несанкционированного доступа к сетям или компьютерам. Злоумышленник отправляет ложные сообщения на компьютер с IP-адресом, указывающим, что сообщение исходит от доверенного хоста.
IPS
Акроним от «система предотвращения вторжений». Помимо IDS, IPS берет на себя дополнительный шаг блокировки попытки вторжения.
IPSEC
Аббревиатура от «Internet Protocol Security». Стандарт защиты IP коммуникации на сетевом уровне путем шифрования и / или аутентификации всех IP-пакетов в сеансе связи.
ISO
В контексте отраслевых стандартов и лучших практик ISO, более известная поскольку «Международная организация по стандартизации» является неправительственной организацией, состоящей из сети национальных институтов стандартов.
Эмитент
Организация, которая выпускает платежные карты или выполняет, способствует или поддерживает выпуск услуги, включая, помимо прочего, банки-эмитенты и процессинговые компании-эмитенты.
Также называется «банк-эмитент» или «финансовое учреждение-эмитент».
Выпускающие услуги
Примеры услуг выдачи могут включать, но не ограничиваются, авторизацию и персонализацию карты.
LAN
Акроним от «локальной сети». Группа компьютеров и / или другие устройства, которые используют общую линию связи, часто в здании или группе зданий.
LDAP
Акроним от «Lightweight Directory Access Protocol». Аутентификация и хранилище данных авторизации, используемое для запроса и изменения разрешения пользователя и предоставление доступа к защищенным ресурсам.
Наименьшие привилегии
Имея минимальный доступ и / или привилегии, необходимые для выполнения роли и обязанности должностной функции.
Журнал
Смотрите «Журнал аудита».
LPAR
Аббревиатура от «логического раздела». Система подразделения, или разделения, общие ресурсы компьютера - процессоры, память и хранилище - на меньшие устройства, которые могут работать со своей собственной копией операционной системы и приложения. Логическое разделение обычно используется, чтобы разрешить использование различных операционных систем и приложений на одном устройстве. Перегородки могут или могут не быть настроены для связи друг с другом или обмена некоторыми ресурсами сервера, такие как сетевые интерфейсы.
MAC
В криптографии - аббревиатура от «кода аутентификации сообщения». Небольшая часть информации, используемая для аутентификации сообщения. Смотрите «Сильная криптография».
MAC-адрес
Аббревиатура от «адреса управления доступом к среде». Уникальное идентифицирующее значение назначается производителями сетевым адаптерам и сетевому интерфейсу открытки.
Данные с магнитной полосой
Смотрите «Данные отслеживания».
Мэйнфрейм
Компьютеры, которые предназначены для обработки очень больших объемов ввода данных и вывод и упор на вычисление пропускной способности. Мэйнфреймы способны запускать несколько операционных систем, создавая впечатление, что он работает как несколько компьютеров. Многие устаревшие системы имеют дизайн мэйнфреймов.
Вредоносное ПО
Программное обеспечение или прошивка, предназначенная для проникновения или повреждения компьютерной системы без ведома или согласия владельца с намерением поставить под угрозу конфиденциальность, целостность или доступность данных, приложений владельца, или операционной системы. Такое программное обеспечение обычно входит в сеть в течение многих одобренные бизнесом действий, результатом которых является использование уязвимости системы. Примеры включают вирусы, черви, трояны (или троянские кони), шпионское, рекламное и руткиты.
Маскировка
В контексте PCI DSS это метод сокрытия сегмента данных при отображении или печати. Маскировка используется, когда отсутствует требование для просмотра всей PAN. Маскировка относится к защите PAN при отображении или печати. Смотрите «Усечение» для защиты PAN, когда хранятся в файлах, базах данных и т.д.
Атака очистка памяти
Действия вредоносного ПО, которые исследуют и извлекают данные, которые хранятся в памяти когда они обрабатываются или не были должным образом сброшены или перезаписаны.
Мерчант (Мерч)
Для целей стандарта PCI DSS под мерчантом понимается любое лицо, которое принимает платежные карты с логотипами любого из пяти членов PCI SSC (American Express, Discover, JCB, MasterCard или Visa) в качестве оплаты для товаров и / или услуг. Обратите внимание, что продавец, принимающий платежные карты в качестве оплаты товаров и / или услуг также может выступать поставщик услуг, если проданные услуги приводят к хранению, обработке или передаче данных о держателях карт на от имени других мерчантов или поставщиков услуг. Например, интернет-провайдер - это мерчант, который принимает платежные карты для ежемесячного выставления счетов, но также является поставщиком услуг, если он принимает мерчанты в качестве клиентов.
MO / TO
Акроним от «Mail-Order / Telephone-Order».
Мониторинг
Использование систем или процессов, которые постоянно контролируют компьютер или сетевые ресурсы для оповещения персонала в случае отключений, аварийных сигналов, или другие предопределенные события.
MPLS
Акроним от «мультипротокольного переключения меток». Сеть или телекоммуникационный механизм, предназначенный для соединения группы сетей с коммутацией пакетов.
Многофакторная аутентификация
Метод аутентификации пользователя, при котором проверяются как минимум два фактора.
Эти факторы включают то, что есть у пользователя (например, смарт-карту или электронный ключ), что-то, что знает пользователь (например, пароль, кодовая фраза или PIN-код) или что-то, что пользователь делает или делает (например, отпечатки пальцев, другие формы биометрии и др.).
NAC (НАК)
Акроним от «контроль доступа к сети». Метод реализации безопасности на сетевом уровне путем ограничения доступности сетевых ресурсов для конечных устройств в соответствии с определенной политикой безопасности.
NAT
Акроним от «трансляции сетевых адресов». Также известен как сеть маскировки или маскировка IP. Изменение IP-адреса, используемого в одной сети на другой IP-адрес, известный в другой сети, позволяя организации иметь внутренние адреса, которые видны внутренние и внешние адреса, которые видны только извне.
Сеть
Два или более компьютера соединены вместе с помощью физических или беспроводных средств.
Сетевой администратор
Персонал, ответственный за управление сетью внутри организации.
Обязанности обычно включают, но не ограничиваются сетевой безопасностью, установки, обновления, обслуживание и мониторинг активности.
Сетевые компоненты
Включая, но не ограничиваясь, межсетевые экраны, коммутаторы, маршрутизаторы, беспроводной доступ точки, сетевые устройства и другие устройства безопасности.
Диаграмма сети
Схема, показывающая компоненты системы и соединения в сети окружающей среды.
Сканирование сетевой безопасности
Процесс удаленной проверки систем организации на предмет уязвимости с помощью ручных или автоматизированных инструментов. Сканирование безопасности, которое включает проверку внутренних и внешних систем и составление отчетов об услугах открытых для сети. Сканирование может выявить уязвимости в работе системы, службы и устройства, которые могут быть использованы злоумышленниками.
Сегментация сети
Также называется «сегментацией» или «изоляцией». Сегментация сети изолирует системные компоненты, которые хранят, обрабатывают или передают данные о держателях карт из систем, которые этого не делают. Адекватная сегментация сети может снизить объем среды данных о держателях карт и, таким образом, уменьшить объем оценки PCI DSS. Смотрите раздел «Сегментация сети» в PCI. Требования DSS и процедуры оценки безопасности для руководства с использованием сегментации сети. Сегментация сети не является стандартом PCI DSS.
Обнюхивание сети
Также называется «сниффингом пакетов» или «сниффингом». Техника, которая пассивно контролирует или собирает сетевые коммуникации, декодирует протоколы и исследует содержание для поиска интересующей информации.
NIST
Акроним от «Национальный институт стандартов и технологий». Не регулирующее федеральное агентство в области технологий Министерства торговли США.
NMAP
Программное обеспечение для сканирования безопасности, которое отображает сети и определяет открытые порты в сетевые ресурсы.
Неконсольный доступ
Относится к логическому доступу к системному компоненту, который происходит по сети через интерфейс, а не через прямое физическое подключение к системе составной части. Неконсольный доступ включает доступ изнутри локальной / внутренней сети, а также доступ из внешних или удаленных сетей.
Пользователи, не являющиеся потребителями
Физические лица, за исключением держателей карт, имеющие доступ к компонентам системы, включая, помимо прочего, сотрудников, администраторов и третьи стороны.
NTP
Акроним от Network Time Protocol. Протокол синхронизации часов компьютерных систем, сетевых устройств и других компонентов системы.
NVD
Акроним от «National Vulnerability Database».
Репозиторий стандартизированных данных по управлению уязвимостями Правительства США. NVD включает базу данных контрольных списков безопасности, недостатки программного обеспечения, связанные с безопасностью, неправильные конфигурации, названия продуктов и показатели воздействия.
OCTAVE ®
Акроним от «Оперативно критическая угроза, объект, уязвимость и оценка»
Набор инструментов, техник и методов для оценки рисков. Стратегическая оценка и планирование информационной безопасности.
С полки
Описание товаров на складе, которые не были специально настроены или разработаны для конкретного клиента или пользователя и легко доступны для использования.
Операционная система
Программное обеспечение компьютерной системы, отвечающее за управление и координацию всех действий и совместное использование компьютерных ресурсов.
Примеры операционных систем: Microsoft Windows, Mac OS, Linux и Unix.
Организационная независимость
Организационная структура, гарантирующая отсутствие конфликта интересов между лицом или отделом, выполняющим деятельность, и лицом или отделом оценки деятельности. Например, лица, выполняющие оценки организации отделены от управления оценки среды.
OWASP
Акроним от «Open Web Application Security Project». Некоммерческая организация, ориентированная на повышение безопасности прикладного программного обеспечения.
OWASP ведет список критических уязвимостей для веб-приложений. Смотрите http://www.owasp.org.
PA-DSS
Акроним от «Стандарт безопасности данных платежных приложений».
PA-QSA
Акроним от «Квалифицированный эксперт по безопасности платежных приложений». PA-QSA сертифицированы PCI SSC для оценки платежных приложений в соответствии с PA-DSS. Смотрите Руководство по программе PA-DSS и квалификацию PA-QSA. Требования для получения подробной информации о требованиях к компаниям PA-QSA и сотрудникам.
Pad
В криптографии одноразовый блокнот - это алгоритм шифрования с текстом в сочетании со случайным ключом или "блокнотом", длина которого равна длине обычного текста и использовался только один раз. Кроме того, если ключ действительно случайный, никогда не используется повторно и сохраняется секрет, одноразовый блокнот не ломается.
ПАН (PAN)
Акроним от «номера основного счета», также называемый «счет количество». Уникальный номер платежной карты (обычно для кредитной или дебетовой карты) который идентифицирует эмитента и конкретный счет держателя карты.
Параметризованный запросы
Средство структурирования SQL-запросов для ограничения экранирования и, таким образом, предотвращения инъекционных атак.
Пароль / кодовая фраза
Строка символов, которая служит аутентификатором пользователя.
PAT
Акроним от «преобразования адреса порта», также называемая «сеть преобразования порта адреса порта». Тип NAT, который также транслирует номера портов.
Патч
Обновление существующего программного обеспечения, чтобы добавить функциональность или исправить дефект.
Платежное приложение
В контексте PA-DSS, программное приложение, которое хранит, обрабатывает или передает данные держателя карты как часть авторизации или расчета, если платежное приложение продается, распространяется или передается по лицензии третьим лицам.
Подробности в Руководстве по программе PA-DSS .
Платежные карты
Для целей PCI DSS любая платежная карта / устройство с логотипом члена-учредителя PCI SSC, которыми являются American Express, Discover Financial Services, JCB International, MasterCard Worldwide или Visa Inc.
Платежные системы
Иногда их называют «платежный шлюз» или «поставщик платежных услуг» «(PSP)».
Организация, привлеченная продавцом или другим лицом для обработки платежной карты для сделки от их имени. Хотя платежные системы обычно предоставляют услуги эквайринга, платежные системы не считаются эквайерами, если определяется как таковой бренд платежной карты. Смотрите также "Эквайер".
PCI
Акроним от «Индустрия платежных карт».
PCI DSS
Акроним от «Стандарт безопасности данных индустрии платежных карт».
КПК
Акроним от «помощник по работе с персональными данными» или «персональный цифровой помощник».
Карманные мобильные устройства с такими возможностями, как мобильные телефоны, электронная почта или веб-браузер.
PED
Устройство для ввода ПИН-кода.
Тест на проникновение
Тесты на проникновение пытаются определить способы использования уязвимостей обойти или нарушить функции безопасности компонентов системы.
Тестирование на проникновение включает в себя тестирование сети и приложений, а также контролирует и обрабатывает сети и приложения, и происходит как извне среды (внешнее тестирование), так и изнутри окружающей среды.
Персональный брандмауэр программного обеспечения
Программный брандмауэр, установленный на одном компьютере.
Лично идентифицируемый информация
Информация, которая может быть использована для идентификации или отслеживания личности человека включая, помимо прочего, имя, адрес, номер социального страхования, биометрические данные, дата рождения и др.
Персонал
Сотрудники, занятые полный и неполный рабочий день, временные сотрудники, подрядчики и консультанты, которые «проживают» на сайте организации или иным образом имеют доступ в среду данных о держателях карт.
ПИН (PIN)
Акроним от «личный идентификационный номер». Секретный цифровой пароль известный только пользователю и системе для аутентификации пользователя в системе.
Пользователю предоставляется доступ только в том случае, если введенный пользователем PIN-код совпадает с ПИНом в системе. Типичные PIN-коды используются в банкоматах для операции по выдаче наличных. Другой тип PIN-кода используется в чипе EMV карты, на которых PIN-код заменяет подпись держателя карты.
Блокировка ПИН-кода
Блок данных, используемый для инкапсуляции ПИН-кода во время обработки. Блок PIN формат определяет содержимое блока PIN и способ его обработки для получения ПИН-кода. Блок ПИН-кода состоит из ПИН-кода, длины ПИН-кода и может содержать подмножество PAN.
POI
Акроним от «Точка взаимодействия», начальная точка, в которой данные считываются из карты. Электронный продукт для приема транзакций, POI состоит из аппаратного и программного обеспечения и размещается в приемочном оборудовании, для выполнения операции с картой держателем. POI можно размещать без присмотра. Транзакции POI обычно представляют собой интегральную схему (чип) и / или платежные операции с использованием карт с магнитной полосой.
Политика
Общеорганизационные правила, регулирующие допустимое использование вычислительных ресурсов, методы обеспечения безопасности и руководство разработкой операционных процедур.
POP3
Акроним от Post Office Protocol v3. Протокол прикладного уровня, используемый электронными почтовыми клиентами для получения электронной почты с удаленного сервера по TCP/IP подключению.
Порт
Логические (виртуальные) точки подключения, связанные с конкретным протоколом связи для облегчения связи по сетям.
POS
Акроним «точка продажи». Аппаратное и / или программное обеспечение, используемое для обработки операции с платежными картами в точках продаж.
Частная сеть
Сеть, созданная организацией, которая использует пространство частных IP-адресов.
Частные сети обычно проектируются как локальные сети. Частный доступ к сети из общедоступных сетей должен быть надлежащим образом защищен
от использования межсетевых экранов и маршрутизаторов. Смотрите также «Публичная сеть».
Привилегированный пользователь
Любая учетная запись пользователя с более чем базовыми правами доступа. Обычно эти учетные записи имеют повышенные или повышенные привилегии с большим количеством прав, чем стандартная учетная запись пользователя. Однако степень привилегий по разным привилегированным учетным записям могут сильно различаться в зависимости от организации, должности, функции или роли, а так же используемой технологии.
Процедура
Описательное повествование о политике. Процедура описывающая как политика должна быть реализована.
Протокол
Согласованный метод связи, используемый в сетях. Технические характеристики описания правил и процедур, которым компьютерные продукты должны следовать, чтобы выполнять действия в сети.
Прокси сервер
Сервер, который действует как посредник между внутренней сетью и Интернетом. Например, одна из функций прокси-сервера - завершить работу или согласовывать соединения между внутренними и внешними соединениями таким образом, чтобы каждый общался только с прокси-сервером.
PTS
Аббревиатура от «PIN Transaction Security», PTS - это набор модульной оценки требований, регулируемые Советом по стандартам безопасности PCI, для PIN приемных POI терминалов.
Публичная сеть
Сеть, созданная и управляемая сторонней телекоммуникационной компанией провайдера с конкретной целью предоставления услуг передачи данных для общественности. Данные в общедоступных сетях могут быть перехвачены, изменены и / или перенаправлены во время транспортировки. Примеры общедоступных сетей включают, но не ограничивается Интернетом, беспроводными и мобильными технологиями. Смотрите также «Приватная сеть».
PVV (ПВВ)
Акроним от «Проверочное значение PIN-кода». Дискреционная ценность, закодированная в магнитной полосе платежной карты.
QIR
Акроним от «Квалифицированный интегратор или реселлер». Обратитесь к программе QIR следуя руководству на веб-сайте PCI SSC для получения дополнительной информации.
QSA
Акроним от «Квалифицированный оценщик безопасности». QSA сертифицированы PCI SSC для проведения оценки PCI DSS на месте. Смотрите Квалификацию QSA.
Требования для получения подробной информации о требованиях к QSA компаниям и сотрудникам.
РАДИУС
Аббревиатура от «Служба удаленной аутентификации пользователей с телефонным подключением».
Система аутентификации и учета. Проверяет наличие такой информации, как имя пользователя и пароль, переданные на сервер RADIUS, верны, а затем разрешает доступ к системе. Этот метод аутентификации может использоваться с токеном, смарт-картой и т.д. для обеспечения многофакторной аутентификации.
Атака по радужному столу
Метод атаки на данные с использованием предварительно вычисленной таблицы хеш-строк (фиксированный - дайджест сообщения длины) для идентификации исходного источника данных, обычно для взлома паролей или хэшей данных держателей карт.
Изменение ключей
Процесс смены криптографических ключей. Периодическое переключение ключей ограничивает количество данных, зашифрованных одним ключом.
Удаленный доступ
Доступ к компьютерным сетям из местоположения за пределами этой сети.
Подключения удаленного доступа могут происходить либо изнутри компании в собственной сети или из удаленного места за пределами сети компании.
Примером технологии удаленного доступа является VPN .
Удаленная лаборатория окружающей среды
Лаборатория, которая не поддерживается PA-QSA.
Съемный электронный носитель
Носители, на которых хранятся оцифрованные данные, которые можно легко удалить и / или перенести из одной компьютерной системы в другую. Примеры съемных электронных носителей включают CD-ROM, DVD-ROM, USB-накопители и внешние / переносные жесткие диски.
Реселлер / Интегратор
Организация, которая продает и / или интегрирует платежные приложения, но не развивает их.
RFC 1918
Стандарт, установленный Инженерной группой Интернета (IETF), который определяет использование и соответствующие диапазоны адресов для частных (не интернет-маршрутизируемые) сети.
Анализ рисков / Оценка риска
Процесс выявления ценных системных ресурсов и угроз; количественно оценивает риски убытков (то есть потенциальные убытки), основанные на оценочной частоте и издержки возникновения; и (необязательно) рекомендует, как распределять ресурсы к контрмерам, чтобы свести к минимуму общее воздействие.
Рейтинг рисков
Определенный критерий измерения, основанный на оценке риска и анализе рисков, проводимый в отношении данной организации.
ROC
Акроним «Отчет о соответствии». Отчет с подробными результатами из оценки организации по стандарту PCI DSS.
Руткит
Тип вредоносного ПО, которое при установке без авторизации может скрыть свое присутствие и получить административный контроль над системой компьютера.
Маршрутизатор
Аппаратное или программное обеспечение, соединяющее две или более сетей. Функционирует как сортировщик и интерпретатор, глядя на адреса и передавая биты информации по нужным направлениям. Программные маршрутизаторы иногда называют как шлюзы.
ROV
Акроним «Отчет о проверке». Отчет с подробными результатами из оценки PA-DSS для целей программы PA-DSS.
RSA
Алгоритм шифрования с открытым ключом, описанный в 1977 году Роном Ривестом, Ади Шамиром и Лен Адлеманом из Массачусетского технологического института (MIT). Буквы RSA являются инициалами их фамилий.
S-FTP
Акроним Secure-FTP. S-FTP имеет возможность шифровать аутентификацию файлов информации и данных в пути. См. FTP.
Отбор проб
Процесс выбора сечения группы, представляющей всю группу. Оценщики могут использовать выборку для уменьшения общего усилия по тестированию, когда подтверждается, что предприятие имеет стандартное централизованное обеспечение безопасности и операционных процессов и средств контроля PCI DSS.
Отбор проб не является требованием PCI DSS.
SANS
Акроним от «SysAdmin, Audit, Networking and Security», института, который обеспечивает обучение компьютерной безопасности и профессиональную сертификацию. Смотрите http://www.sans.org
SAQ
Акроним от «Анкета для самооценки». Инструмент отчетности, используемый для задокументирования результатов самооценки по результатам оценки PCI DSS организации.
Схема
Формальное описание построения базы данных, включая организацию элементов данных.
Определение объема
Процесс определения всех компонентов системы, людей и процессов, которые необходимо включить в оценку PCI DSS. Первый этап оценки PCI DSS заключается в том, чтобы точно определить объем обзора.
SDLC
Акроним для «жизненного цикла разработки системы» или «разработка программного обеспечения жизненного цикла". Этапы разработки программного обеспечения или компьютерной системы, которые включает планирование, анализ, проектирование, тестирование и внедрение.
Безопасное кодирование
Процесс создания и внедрения приложений, устойчивых к вмешательству и / или компрометации.
Устройство безопасной криптографии
Набор оборудования, программного обеспечения и прошивки, реализующий криптографические процессы (включая криптографические алгоритмы и генерацию ключей) и содержится в определенных криптографических границах. Примеры безопасных криптографических устройств включают в себя модули безопасности хоста / оборудования (HSM) и устройства точки взаимодействия (POI), которые прошли проверку на соответствие стандарту PCI PTS.
Безопасная очистка
Также называется «безопасное удаление», метод перезаписи данных, находящихся на жестком диске, компакт диске или другом цифровом носителе, делающий данные безвозвратными.
Событие безопасности
Событие, которое организация считает потенциально безопасным последствием для системы или ее среды. В контексте PCI DSS, события безопасности указывают на подозрительную или аномальную активность.
Сотрудник службы безопасности
Основное лицо, ответственное за вопросы, связанные с безопасностью организации.
Политика безопасности
Набор законов, правил и практик, регулирующих то, как организация управляет, защищает и распространяет конфиденциальную информацию.
Протоколы безопасности
Протоколы сетевых коммуникаций, предназначенные для защиты передачи данных. Примеры протоколов безопасности включают, но не ограничиваются TLS, IPSEC, SSH, HTTPS и др.
Чувствительная зона
Любой центр обработки данных, серверная комната или любое место, где находятся системы, в которых хранятся, обрабатывается или передаются данные держателей карт. Это исключает области, где присутствуют только кассовые терминалы, например, кассовые помещения в розничной торговле магазинов.
Чувствительные данные аутентификации
Информация, связанная с безопасностью (включая, помимо прочего, проверку карты) коды / значения, полные данные трека (с магнитной полосы или аналога на чип), ПИН-коды и блоки ПИН-кодов), используемых для аутентификации держателей карт и / или авторизовывать операции с платежными картами.
Разделение обязанностей
Практика разделения шагов в функции между разными людьми, чтобы не позволять одному человеку помешать процессу.
Сервер
Компьютер, который предоставляет услуги другим компьютерам, например обработку связи, хранение файлов или доступ к типографии. Серверы включают, но не ограничиваются Интернетом, базой данных, приложением, аутентификацией, DNS, почтой, прокси и NTP.
Сервисный код
Трехзначное или четырехзначное значение на магнитной полосе, следующей за датой истечения срока действия платежной карты в данных трека. Используется для определения атрибутов службы, различия между международным и национальным обменом или определение ограничений использования.
Поставщик услуг
Бизнес-субъект, не являющийся платежным брендом, непосредственно участвующий в обработка, хранение или передача данных о держателях карт от имени другой организации. Это также включает компании, которые предоставляют услуги, которые контролируют или может повлиять на безопасность данных держателей карт. Примеры включают управляемый поставщиков услуг, которые предоставляют управляемые межсетевые экраны, IDS и другие услуги, а также хостинг-провайдеры и другие организации. Если организация предоставляет услугу это включает в себя только предоставление доступа к общедоступной сети, например телекоммуникационная компания, предоставляющая только канал связи - организация не будет считаться поставщиком услуг для этой услуги (хотя они могут считаться поставщиками других услуг).
Токен сеанса
В контексте управления веб-сеансом маркер сеанса (также называемый в качестве «идентификатора сеанса» или «идентификатора сеанса»), является уникальным идентификатором (например, «Cookie»), используемый для отслеживания определенного сеанса между веб-браузером и веб сервером.
SHA-1 / SHA-2
Акроним от «Secure Hash Algorithm». Семья или группа родственных криптографические хеш-функции, включая SHA-1 и SHA-2. Смотрите "Сильная криптография".
Интеллектуальная карточка
Также называется «чип-карта» или «IC-карта (карта с интегральной схемой)». Тип платежной карты, в которую встроены интегральные схемы. Схемы, также называемый «чип», содержит данные платежной карты, включая, но не ограничено данными, эквивалентными данным с магнитной полосы.
SNMP
Акроним от «Simple Network Management Protocol». Поддерживает мониторинг подключенных к сети устройств для любых условий, требующих административного внимания.
Разделение знаний
Метод, при котором два или более объекта по отдельности имеют ключевые компоненты которые по отдельности не передают сведений о полученном криптографическом ключе.
Шпионское ПО
Тип вредоносного ПО, которое при установке перехватывает или частично захватывает управление компьютером пользователя без согласия пользователя.
SQL
Акроним от «Structured Query Language» (язык структурированных запросов). Компьютерный язык, используемый для создания, изменения и извлечения данных из управления реляционными базами данных системы.
SQL-инъекция
Форма атаки на веб-сайт, управляемый базой данных. Злоумышленник выполняет несанкционированные команды SQL, используя незащищенный код на системе подключена к Интернету. Атаки с использованием SQL-инъекций используются для кражи информация из базы данных, данные из которой обычно не доступны и / или получить доступ к хост-компьютерам организации через компьютер, на котором размещена база данных.
SSH
Аббревиатура от Secure Shell. Набор протоколов, обеспечивающий шифрование для сетевые службы, такие как удаленный вход или удаленная передача файлов.
SSL
Акроним от «Secure Sockets Layer». Промышленный стандарт, который шифрует канал между веб-браузером и веб-сервером. Теперь заменен TLS.
Смотрите «TLS».
Stateful Inspection
Также называется «динамической фильтрацией пакетов». Возможности межсетевого экрана, обеспечивающие повышенная безопасность за счет отслеживания состояния сетевых подключений.
Запрограммирован на распознавание легитимных пакетов для различных подключений, только пакеты, соответствующие установленному соединению, будут разрешены межсетевым экраном; все остальные будут отклонены.
Сильная криптография
Криптография на основе проверенных и принятых в отрасли алгоритмов, а также длина ключа, обеспечивающая минимум 112 бит эффективной силы ключа и правильные методы управления ключами. Криптография - это метод защиты данных и включает в себя как шифрование (которое обратимо), так и хеширование (которое является «односторонним», то есть необратимый). Смотрите «Хеширование».
На момент публикации примеры протестированных и принятых в отрасли стандарты и алгоритмы включают AES (128 бит и выше), TDES / TDEA (ключи тройной длины), RSA (2048 бит и выше), ECC (224 бит и выше), и DSA / DH (2048/224 бит и выше). Посмотрите текущую версию NIST в специальной публикации 800-57, часть 1 (http://csrc.nist.gov/publications/) для получения дополнительной информации по руководству по силе криптографических ключей и алгоритмам.
Примечание. Приведенные выше примеры подходят для постоянного хранения данных держателя карты. Минимальные требования криптографии для транзакции-операции, основанные на PCI PIN и PTS, более гибкие, поскольку дополнительные средства контроля для снижения уровня воздействия.
Рекомендуется, чтобы во всех новых реализациях использовалось минимум 128 битов для эффективной силы ключа.
Сисадмин
Аббревиатура от «системный администратор». Личность с повышенными привилегиями которая отвечает за управление компьютерной системой или сетью.
Системные компоненты
Любые сетевые устройства, серверы, вычислительные устройства или приложения включённые в среде данных о держателях карт или подключены к ней.
Объект системного уровня
Все, что требуется для работы системного компонента, включая но не ограничиваясь таблицами базы данных, хранимыми процедурами, приложением исполняемые файлы и файлы конфигурации, файлы конфигурации системы, статические и общие библиотеки и DLL, системные исполняемые файлы, драйверы устройств и устройства файлов конфигурации и сторонние компоненты.
TACACS
Акроним от «Terminal Access Controller Access Control System». Удаленный протокол аутентификации, обычно используемый в сетях, которые обмениваются данными между сервером удаленного доступа и сервером аутентификации для определения права доступа пользователей к сети. Этот метод аутентификации можно использовать с токеном, смарт-картой и т. д. для обеспечения многофакторной аутентификации.
TCP
Акроним «Протокол управления передачей». Один из основных транспортных-протоколов уровня пакета Интернет-протокола (IP), а также базовый язык общения или протокол Интернета. Смотрите «IP».
TDES
Акроним от «Triple Data Encryption Standard», также известный как «3DES» или «Тройной DES». Блочный шифр, сформированный из шифра DES с использованием трех раз. Смотрите «Надежная криптография».
ТЕЛНЕТ
Аббревиатура от «протокол телефонной сети». Обычно используется для предоставления ориентированные на пользователя сеансы входа в систему из командной строки для устройств в сети. Учетные данные пользователей передаются открытым текстом.
Угроза
Состояние или действие, которое может привести к появлению информации или умышленно или случайно потеряны ресурсы обработки информации, которые изменены, открыты, сделаны недоступным или иным образом затронут ущерб организации.
TLS
Акроним от «Transport Layer Security». Разработан с целью предоставления секретности и целостности данных между двумя взаимодействующими приложениями.
TLS является преемником SSL.
Токен
В контексте аутентификации и контроля доступа токен - это значение предоставляется аппаратным или программным обеспечением, которое работает с сервером аутентификации или VPN для выполнения динамической или многофакторной аутентификации. Смотрите РАДИУС, TACACS и VPN. См. Также токен сеанса.
Данные трека
Также называется «данными полного трека» или «данными магнитной полосы». Закодированные данные в магнитной полосе или чипе, используемом для аутентификации и / или авторизации во время платежных операций. Может быть изображение магнитной полосы на чипе или данные на дорожке 1 и / или дорожке 2 части магнитной полосы.
Данные транзакции
Данные, относящиеся к операции с электронной платежной картой.
Троян
Также называется «троянский конь». Тип вредоносного ПО, которое при установке, позволяет пользователю выполнять обычные функции, пока троян выполняет вредоносные функции в компьютерной системе без участия пользователя.
Усечение
Способ сделать полный PAN нечитаемым путем безвозвратного удаления сегмента данных PAN. Усечение относится к защите PAN при хранении
в файлах, базах данных и т. д. Смотрите «Маскирование» для защиты PAN при отображении на экранах, бумажных квитанциях и т. д.
Надежная сеть
Сеть организации, которая находится в пределах ее возможностей контролировать или управлять.
Ненадежная сеть
Сеть, которая является внешней по отношению к сетям, принадлежащим организации и что находится вне способности организации контролировать или управлять.
URL
Акроним от «Uniform Resource Locator». Форматированная текстовая строка, используемая веб-браузерами, клиенты электронной почтой и другим программным обеспечением для идентификации сети ресурсов в Интернете.
Управление версиями Методология
Процесс присвоения схем версий для однозначной идентификации конкретного состояния приложения или программного обеспечения. Эти схемы следуют за номером версии формат, использование номера версии и любой элемент подстановки, как определённого поставщика программного обеспечения. Номера версий обычно присваиваются по возрастанию порядка и соответствуют конкретному изменению в программном обеспечении.
Виртуальное устройство (VA)
VA использует концепцию предварительно настроенного устройства для выполнения определенного набора функций и запуска этого устройства как рабочую нагрузку. Часто существующее сетевое устройство виртуализировано для работы как виртуальное устройство, например маршрутизатор, коммутатор или брандмауэр.
Виртуальный гипервизор
Смотрите «Гипервизор».
Виртуальная машина
Автономная операционная среда, которая ведет себя как отдельный компьютер. Он также известен как «Гость» и работает поверх гипервизора.
Виртуальная машина Монитор (VMM)
VMM входит в состав гипервизора и представляет собой программное обеспечение, реализующее абстракцию оборудования виртуальных машин. Он управляет процессором системы, памятью и другими ресурсами для выделения того, что требует каждая гостевая операционная система.
Виртуальный платежный терминал
Это доступ к эквайеру через веб-браузер, веб-сайт процессора или стороннего поставщика услуг для авторизации платежной карты
транзакции, при которых продавец вручную вводит данные платежной карты через безопасно подключенный веб-браузер. В отличие от физических терминалов, виртуальные платежные терминалы не считывают данные напрямую с платежной карты. Потому что оплата карточных операции вводятся вручную, виртуальные платежные терминалы обычно используются вместо физических терминалов в торговом окружении с низкие объемы транзакций.
Виртуальный коммутатор или маршрутизатор
Это логический объект, который представляет сеть маршрутизация данных и коммутация на уровне инфраструктуры. Виртуальный коммутатор является неотъемлемой частью виртуализированной серверной платформы, такой как гипервизор, драйвер, модуль или плагин.
Виртуализация
Виртуализация относится к логической абстракции вычислительных ресурсов от физических ограничений. Одна общая абстракция называется виртуальными машинами или виртуальными машинами, которые принимают содержимое физической машины и позволяют работать на другом физическом оборудовании и / или вместе с другими виртуальными машинами на одном физическом оборудовании. Помимо виртуальных машин, виртуализация может выполняться на многих других вычислительных ресурсах, включая приложения, настольные компьютеры, сети и хранилище.
VLAN
Аббревиатура от «виртуальная локальная сеть» или «виртуальная локальная сеть». Логическая местная локальная сеть, выходящая за рамки одной традиционной физической локальной области сети.
VPN
Акроним от «виртуальной частной сети». Компьютерная сеть, в которой некоторые из соединения - это виртуальные цепи в более крупной сети, например Интернет, вместо прямого подключения по физическим проводам. Конечные точки говорят, что виртуальная сеть туннелируется через большую сеть.
В то время как обычное приложение состоит из безопасных связей через общедоступный Интернет, VPN может иметь или не иметь надежные функции безопасности, такие как аутентификация или шифрование контента.
VPN может использоваться с токеном, смарт-картой и т.д. для обеспечения двухфакторной аутентификации.
Уязвимость
Недостаток или слабость, использование которых может привести к преднамеренному или непреднамеренная компрометация системы.
WAN
Акроним от «глобальной сети». Компьютерная сеть, охватывающая большую территорию, часто это региональная или общекорпоративная компьютерная система.
Веб приложение
Приложение, доступ к которому обычно осуществляется через веб-браузер или через Интернет.
Сервисы и веб-приложения могут быть доступны через Интернет или частные, внутренние сети.
Веб сервер
Компьютер, содержащий программу, которая принимает HTTP-запросы клиентов из Интернета и обслуживает HTTP-ответы (обычно веб-страницы).
WEP
Акроним от «Wired Equivalent Privacy». Слабый алгоритм, используемый для шифрования беспроводных сетей. Несколько серьезных недостатков были выявлены отраслевыми экспертами, так что соединение WEP может быть легко взломано доступным программным обеспечением в течение нескольких минут. Смотрите «WPA».
Подстановочный знак
Символ, который может быть заменен на определенное подмножество возможных символов в схеме версии приложения. В контексте PA-DSS, подстановочные знаки могут опционально использоваться для обозначения того, что не влияет на безопасность изменений. Подстановочный знак - единственный переменный элемент версии поставщика.
Схема, которая используется, чтобы указать, что есть только незначительные, не связанные с безопасностью влияние на изменения между каждой версией, представленной подстановочным знаком элементом.
Точка беспроводного доступа
Также называется «AP». Устройство, позволяющее использовать устройства беспроводной связи для подключения к беспроводной сети. Обычно он подключается к проводной сети и может передавать данные между беспроводными и проводными устройствами в сети.
Беспроводные сети
Сеть, которая соединяет компьютеры без физического подключения к проводам.
WLAN
Акроним от «беспроводной локальной сети». Локальная сеть, которая связывает два или более компьютеров или устройств без проводов.
WPA / WPA2
Акроним от «Защищенный доступ Wi-Fi». Протокол безопасности создан для защиты беспроводных сетей. WPA является преемником WEP. Также был выпущен WPA2 как следующее поколение WPA.
Last edited by a moderator:
