PCI DSS的名称来自创建它的机构: 支付卡行业 协会。该组织有一个部门,称为 支付卡行业安全标准委员会, 委托和赞助标准以帮助保护金融业及其客户。标准名称的“ DSS”部分代表 数据安全标准.
PCI DSS没有法律强制执行。但是,这是Visa,Mastercard,American Express,Discover和JCB的要求,因此,如果您不遵守该要求,则将无法处理这些系统的客户的卡付款。客户个人信息的保护是法律的强烈要求 通用数据保护条例(GDPR), 在整个欧盟(EU)中都适用.
如果您没有时间阅读整篇文章,请点击这里 我们列出的20种最佳PCI DSS合规性工具:
- SolarWinds访问权限管理器(免费试用) 监视Active Directory实现,包括Exchange Server和SharePoint权限。在Windows Server上运行.
- ManageEngine ADAudit Plus(免费试用) 产生证明符合PCI DSS和其他数据安全标准的报告.
- SolarWinds安全事件管理器(免费试用) 监视日志访问和传递数据以检测未经授权的数据访问尝试.
- ManageEngine EventLog Analyzer(免费试用) Syslog管理器,包括预写的PCI DSS合规性审核和报告,以及HIPAA和FISMA审核.
- OSSEC 一款备受推崇的日志分析工具,是开源的,可以免费使用。缺少用户界面.
- Splunk企业 在Windows或Linux上运行的实时流量分析器。提供免费和付费版本.
- 恶意软件端点保护和响应 具有PCI DSS要求5认证的反恶意软件系统。在Windows上运行.
- Mac的趋势科技安全管理 提供认证的PCI DSS要求5合规性并在Mac OS上运行.
- 塞恩 在Windows,Linux,Mac OS和Unix上运行的免费敏感数据定位器.
- PowerGREP 敏感的数据定位器,具有3个月的退款保证.
- OpenWIPS-NG 用于无线网络的入侵防御系统。该实用程序可在Linux上免费使用和安装.
- 阿鲁巴RFProtect 符合PCI DSS规范的无线入侵防御系统.
- KeePass密码安全 适用于Windows,Linux,Mac OS,Linux和记忆棒的免费密码保护系统.
- 密码大猩猩 广泛用于Windows,Linux,Mac OS和Unix的密码保护器.
- SolarWinds网络性能监视器(免费试用) 领先的网络性能监视器,具有在Windows Server上运行的基于SNMP的例程.
- Paessler PRTG网络性能监视器 涵盖网络,服务器和应用程序的多合一监视器。在Windows Server上运行.
- SolarWinds补丁程序经理(免费试用) 使软件保持最新状态,以关闭漏洞利用程序。在Windows Server上运行,并且符合PCI DSS.
- Automox操作系统和第三方修补程序 一个基于云的补丁程序管理器,可以访问运行Windows,Mac OS和Linux的设备.
- ManageEngine网络配置管理器 该工具可保护交换机,路由器和防火墙免遭未经授权的配置更改.
- SolarWinds网络配置管理器 (免费试用) 符合PCI DSS并与其他SolarWinds基础架构管理工具集成的配置管理器.
引入数据保护措施是一个明智的主意。它将保护您企业的敏感信息,并确保您不会因数据泄露而受到客户或员工的起诉.
为了保护系统上的安全性以保护客户数据和卡交易信息,您将需要许多类型的安全性工具。这些是:
- 访问权限管理
- 安全信息和事件管理工具
- 入侵防御系统
- 反恶意软件系统
- 持卡人数据环境保护
- 无线安全监控
- 密码保护柜
- 网络监控系统
- 软件补丁管理
- 配置管理
我们将解释每种类型的软件,并提出每种类别中的两种最佳工具.
访问权限管理
您需要控制谁有权访问持卡人数据。例如,在运营商需要查看交易和客户信息的情况下,例如退款和客户查询,您需要限制可以访问的数据类别.
授权用户的用户名和密码是一种称为“网络钓鱼”的黑客攻击的目标。这种黑客方法诱使员工泄露其登录帐户。如果您还允许外部访问网络,则用户凭据机密性方面的此类错误可能会威胁到数据的安全性.
访问权限管理软件将帮助您跟踪公司授权用户的活动,并确保他们不参与未经授权的活动. 用户活动跟踪 是PCI DSS的要求。您需要保留每个用户会话的日志以进行任何PCI DSS审核.
您应该研究的两个最佳访问权限管理系统是:
1. SolarWinds访问权限管理器 (免费试用)
的 SolarWinds访问权限管理器 有助于 符合PCI DSS. 该工具监视Active Directory,Exchange Server,SharePoint和文件服务器。它生成详细记录用户,访问的系统和访问时间的日志。仪表板链接到用户信息,不仅显示用户名,还显示帐户持有人的真实姓名.
ARM还集成了用户管理功能,包括一个自助服务门户,该门户使用户可以检查其帐户并执行简单的管理任务,例如更改密码。该工具使您能够从一个仪表板监视大量用户。这是一个可运行的付费工具 Windows服务器 您可以免费试用30天.
SolarWinds访问权限管理器下载30天免费试用版
2. ManageEngine ADAudit Plus(免费试用)
ManageEngine ADAudit Plus 对于实现PCI DSS遵从性和运行审核报告以自动证明您的价值非常有用。该工具专注于 活动目录, 监视和记录对AD中记录的权限的任何更改。它将记录进入和退出不同系统的用户操作。它跟踪对审核文件和文件夹权限的更改,这将提醒您入侵者的活动。您最多可以将警报数据存档三年并生成审核报告.
该软件可在Windows上运行,并提供免费和付费版本。您可以免费获得专业版的30天试用版.
ManageEngine ADAudit Plus下载30天免费试用
安全信息和事件管理工具
安全信息和事件管理(西门子)提供了两种跟踪方法,使您能够跟踪系统上的活动。这些是监视日志文件和检查通过网络的活动.
日志文件的保护对于PCI DSS合规性尤其重要。您需要能够展示所有内容的完整跟踪 数据访问事件. 这些应该记录在日志文件中,但是想要破坏或窃取您的数据的黑客知道这一点,并且可以删除或更改这些文件。 SIEM工具备份日志文件以检查更改并恢复原始版本。它们还使您能够在所有事件日志中搜索相关记录,因为任何系统生成的事件记录的数量都可能是巨大的。 SIEM还跟踪网络流量以查找可疑活动.
3. SolarWinds安全事件管理器 (免费试用)
的 SolarWinds安全事件管理器 保护日志文件,并在检测到篡改时发出警报。您可以实时查看仪表板上的日志消息,并将数据从文件读取到分析仪。该工具随附 预先编写的报告 证明符合PCI DSS.
安全事件管理器在 Windows服务器 但可以从任何操作系统收集日志消息,并且还可以管理记忆棒上的日志文件存储。它也有能力 自动响应检测到的入侵. 这些措施包括暂停或阻止对特定地址的访问,关闭程序和进程,禁用用户帐户以及阻止USB存储设备的能力。.
安全事件管理器是适用于大型网络的付费工具。您可以免费试用30天.
SolarWinds Security Event Manager下载30天免费试用版
4. ManageEngine EventLog分析器(免费试用)
的 ManageEngine EventLog分析器 通过使用SNMP程序来跟踪Syslog消息并查找网络上的异常活动。数据查看器可以在 实时数据和归档消息 进行数据操作,例如排序,搜索,过滤和分组实用程序.
该工具通过压缩和加密来保护日志文件,从而对访问内容进行身份验证。它还监视日志文件上的校验和,并在它们更改时生成警报。 EventLog Analyzer包括针对以下方面的合规性审核: PCI DSS. 它还具有流程和报告,可帮助您遵守FISMA和HIPAA标准.
该软件可在Windows或Linux上运行,您可以免费试用30天.
ManageEngine EventLog Analyzer下载30天免费试用版
入侵防御系统
入侵防御系统与SIEM系统非常相似。他们记录网络上的标准流量模式,然后查找该基准的变化。他们还将检查传递数据包的行为,并在数据包头中查找标识符以获取警告标志。 IPS系统的主要特征是它不仅可以检测到入侵,还可以采取自动步骤来关闭该活动。如上所述,OSSEC具有入侵防御功能。我们推荐以下两种其他IPS工具:
5. OSSEC
OSSEC是基于主机的免费入侵检测系统,具有日志文件分析和实时日志消息处理功能。该工具具有强大的分析引擎,但前端却很糟糕。但是,有许多与OSSEC兼容的免费数据查看工具,例如 Graylog, Splunk, 和 基巴纳.
该系统由 趋势科技, 这是一家著名的网络安全公司。该软件安装在 视窗, 的Linux, Unix系统, 和 苹果系统. 它能够从任何操作系统发出的网络中收集日志消息,无论安装在哪个操作系统上.
该工具会在每次更改日志文件时将其存档,从而可以在受到干扰的情况下进行回滚。它使用规则库来检测网络上的异常行为。 OSSEC的日志监控功能满足以下要求 PCI DSS要求10 该工具的文件完整性强制功能符合PCI DSS第10.5.5和11.5节的要求.
6. Splunk企业
Splunk是免费和付费版本的网络流量分析器。更高版本的Splunk Enterprise和Splunk Cloud具有IPS功能。较低的版本是Splunk Free和Splunk Light。该工具的检测过程包括网络流量监视和日志文件分析。该检测方法搜索异常,这是意外行为的模式.
要使用Splunk获得基于AI的异常检测和强大的自动化预防系统,您需要对它进行补充 Splunk企业安全 附加组件,可在7天的免费试用期内使用。赛门铁克选择与Splunk进行交易,以将Splunk Enterprise集成到其安全产品中并获得PCI DSS合规性功能.
Splunk Enterprise可安装在Windows或Linux上。您可以免费试用60天。如果您更喜欢Cloud Edition,则可以免费试用15天.
反恶意软件系统
恶意软件对系统上保存的客户信息和卡交易数据的威胁着眼于破坏或删除数据,甚至是窃取数据。. 间谍软件 和 远程访问木马 (RAT)可帮助黑客窃取您的数据,而勒索软件和破坏性恶意软件将删除或扰乱您的数据,使其无法使用。在您的系统上安装反恶意软件是 PCI DSS的要求5.
7.恶意软件端点保护和响应
恶意软件字节已被验证为可提供 PCI DSS要求5 保护数据。该公司未将其产品Malwarebytes Endpoint Protection归类为防病毒系统。相反,它称其为“防毒替代品.”系统运行 视窗 并以与网络IPS非常相似的方式进行操作,但其域是工作站。该软件无需依赖像传统AV这样的威胁数据库,而可以在计算机上运行的进程中搜索异常签名。然后实施自动修复程序以消除威胁.
该软件能够检测授权用户执行的不正常活动– 凭证被盗. 它通过保存更改文件的备份来防止勒索软件的侵害,因此,如果所有文件都经过恶意加密,则可以将其还原.
8. Mac的趋势科技安全管理
趋势科技是拥有OSSEC的公司。它将Security for Mac分类为家庭用户的产品。但是,该系统完全符合 PCI DSS要求5, 因此对于企业来说也是一个不错的选择.
它不仅可以阻止病毒,还可以保护浏览器免受各种互联网攻击,并防止入侵者软件控制Mac的摄像头和麦克风。该检测系统基于AI,这意味着它能够阻止新病毒。它还包括电子邮件保护和密码管理.
顾名思义,该软件可在Mac上运行。但是,适用于Windows,Mac OS,iOS和Android的更高安全性产品称为“最高安全性”。可以购买带有10个设备的许可证的软件包.
持卡人数据环境保护
PCI DSS的要求1要求您定义 持卡人数据环境. 这意味着处理持卡人数据的所有设备和流程以及支持该基础架构的IT元素。您应该绘制此系统的持卡人数据环境图.
跟踪所有这些详细信息的一个技巧是,从存储持卡人数据的位置开始,然后跟踪放置在其中的所有软件。然后,您需要查看支持将数据放入其中的过程的服务和硬件。这是两个可用于跟踪持卡人数据的工具.
9. SENF
SENF是敏感数字查找器。它是由德克萨斯大学奥斯汀市信息安全办公室开发的,可以免费使用。该软件用Java编写,可在Windows,Linux,Mac OS和Unix上运行。它将在整个设备中搜索存储在其中的敏感号码,包括信用卡号和社会保险号。该软件可从GitHub存储库中获得.
10. PowerGREP
PowerGREP是一种付费工具,但供应商提供 三个月退款保证. 它在计算机上的文件中搜索指定的数据格式。您可以使用此功能搜索信用卡号,并建立所有持有持卡人数据的位置。该工具可以搜索所有类型的文件,包括文本,二进制文件和压缩文件.
无线安全监控
11. OpenWIPS-NG
OpenWIPS-NG是由产生 空袭NG, 这是著名的黑客工具。这是一个 自由 无线IPS 的Linux. 系统具有三个模块: 一个传感器, 一台服务器, 和 接口. 传感器是一个数据包嗅探器,它将网络流量传递到服务器,在该服务器上执行流量分析.
该传感器还能够将流量注入通道或修改通过的无线流量。当服务器检测到入侵时,可以自动命令该操作。也可以手动启动。用户通过包中的第三个元素(即接口)访问数据流.
12. Aruba RFProtect
Aruba RFProtect是一种无线IPS。阿鲁巴公司是 惠普 它生产包括无线接入点在内的网络设备。 Aruba RFProtect在AP内运行。该程序扫描所有通道的异常传输,还可以防止对AP配置进行未经授权的更改.
该工具包含 防御措施 阻止来自似乎参与恶意活动的IP的传输。它包括符合以下要求的审核和报告模块: PCI DSS 要求,也可以针对HIPAA,DoD 8100.2和GLBA合规性报告要求进行量身定制.
密码保护柜
如果您想符合PCI DSS的标准, 密码管理器不是一个选择 –它们是标准的要求。创建由随机字符组成的长密码并将其存储以供重复使用,因为无法记住它们会为网络带来额外的安全性。一方面,用户无法公开无法记住的密码,并且密码管理器的访问过程在外界与您的资源之间设置了额外的障碍。我们建议使用以下两种密码保护系统:
13. KeePass密码安全
这是一个 自由 Windows,Linux,Mac OS和Unix的密码保护系统。还有一个可以通过USB记忆棒运行的版本.
密码系统有一个 GUI界面 列出了存储在其内部数据库中的所有密码。数据库被锁定 AES 要么 fish鱼 加密,您需要创建一个密码才能访问该界面。一旦启动,该程序将在后台运行,并为您在计算机屏幕上填写所有密码。它还具有强大的密码生成器.
14.密码大猩猩
密码大猩猩是另一个 自由 密码管理器,可用于Windows,Linux,Mac OS和Unix。还有一个独立版本,可以通过USB记忆棒运行.
该储物柜通过剪贴板传递密码,因此您必须将密码粘贴到您访问的每个站点和应用程序中。密码受 SHA256 整个数据库被加密 fish鱼. 该程序包括一个密码生成器,该生成器无法记住每个密码的随机字符串.
网络监控系统
尽管PCI DSS的要求没有特别要求网络监视系统,但是只能通过稳定性来保证系统的安全性。您将需要密切注意网络的性能,因为部分故障会降低上述安全系统的有效性。我们推荐以下两个网络监控系统.
15. SolarWinds网络性能监视器 (免费试用)
的 SolarWinds网络性能监视器 是使用 SNMP协议 不断检查网络设备状态的过程。受监视的设备能够在紧急情况出现时向监视器发送警报消息。该监视器能够保护无线系统和虚拟化以及标准LAN。该工具会自动发现所有网络设备并生成网络拓扑图。该软件安装在 Windows服务器 您可以免费试用30天.
SolarWinds网络性能监视器下载30天免费试用版
16. Paessler PRTG网络监视器 (免费试用)
Paessler的PRTG网络监视器 是一个统一的网络,服务器和应用程序监视器,其中包含大量的“感应器.”每个传感器都是一个单独的监视器,您可以选择要激活的大型传感器库中的哪个。系统安装在 Windows服务器 如果您最多只激活100个传感器,则可以免费使用。该监视器使用SNMP程序来监视LAN,无线网络和虚拟化。您可以免费使用此系统30天.
Paessler PRTG Network Monitor下载30天免费试用版
软件补丁管理
无法使应用程序软件保持最新状态会造成安全漏洞。仅当在现有系统中发现新漏洞时,才会产生许多软件更新。提供这些程序的软件仓库可以快速编写更新以结束漏洞利用。使所有软件保持最新是非常困难的,因此用于补丁程序管理的自动化工具有助于保持网络的安全性并与之兼容。 PCI DSS要求6. 我们推荐两个补丁管理器.
17. SolarWinds补丁管理器 (免费试用)
的 SolarWinds补丁管理器 在Windows Server上运行并集成Microsoft 华硕 补丁管理和 SCCM. 这是一个漏洞管理系统,它记录您站点上运行的所有软件,并针对那些软件包可用的任何更新保持警报状态。仪表板列出了可用的修补程序,并将在批准后自动推出。该系统还产生 审核报告 以帮助表明符合PCI DSS。可以免费下载30天.
SolarWinds Patch Manager下载30天免费试用版
18. Automox操作系统和第三方修补程序
该补丁管理器从 云端. 它会创建所有现场软件的清单,并与软件公司保持联系,以获取每个软件补丁程序的可用性列表。该服务能够为运行于 视窗, 苹果系统, 和 的Linux 并且还将更新操作系统。您可以获得此软件的15天免费试用.
配置管理
如果入侵者能够更改网络设备(即交换机和路由器)上的设置,则它们可以更广泛地访问您的网络。为您的设备创建标准配置,备份它们并将其安装在新设备上有助于您遵循 PCI DSS要求6. 这是我们的两个建议.
19. ManageEngine网络配置管理器
网络配置管理器能够管理 开关配置, 路由器, 和 防火墙. 该服务将备份配置,然后监视设备设置的任何更改,如果发生未经授权的更改,请重新安装原始映像。系统记录所有更改和操作,并生成审核报告以帮助PCI DSS合规。您可以获得此软件的30天试用期.
20. SolarWinds网络配置管理器 (免费试用)
的 SolarWinds网络配置管理器 与SolarWinds网络性能监视器集成。其报告模块有助于 符合PCI DSS. 安装后,该工具将扫描网络,记录所有交换机,路由器和防火墙,并备份其配置。随后需要通过管理器界面进行配置更改,因为它将用其存储的映像覆盖所有直接更改.
该工具会定期检查 思科国家漏洞数据库 并在必要时更新固件。与计算机接口时也具有强大的功能 思科自适应安全设备 防火墙.
该工具安装在Windows Server上,您可以免费试用30天.
SolarWinds网络配置管理器下载30天免费试用版
dows和Linux上运行,并提供免费和付费版本。您可以免费获得专业版的30天试用版. ManageEngine EventLog Analyzer下载30天免费试用版
(Translation: The name PCI DSS comes from the organization that created it: the Payment Card Industry Association. The organization has a department called the Payment Card Industry Security Standards Committee, which is responsible for commissioning and sponsoring standards to help protect the financial industry and its customers. The “DSS” part of the standard name stands for Data Security Standard. While PCI DSS is not legally enforceable, it is required by Visa, Mastercard, American Express, Discover, and JCB, so failure to comply with the standard means you cannot process card payments from customers using these systems. Protecting customer personal information is a strong legal requirement under the General Data Protection Regulation (GDPR), which applies throughout the European Union (EU). The article lists 20 best PCI DSS compliance tools, including access management, security information and event management, intrusion prevention systems, anti-malware systems, cardholder data environment protection, wireless security monitoring, password vaults, network monitoring systems, software patch management, and configuration management. It is wise to introduce data protection measures to protect sensitive information and ensure that you are not sued by customers or employees for data breaches. To protect the security of the system and customer data and card transaction information, you will need many types of security tools. The article explains each type of software and presents the two best tools in each category.)