'PCI DSS'에 해당되는 글 2건

  1. 2011.01.03 PCI DSS 2.0 출간 안내 (1)
  2. 2009.10.20 WASC, 웹애플리케이션 보안 통계 2008 발간
PCI DSS(Payment Card Industry Data Security Standard)는 카드 소유자의 정보 저장, 처리 및 전송을 담당하는 카드사 가맹점 및 서비스 업체에 대한 보안 조건에 대한 세부사항을 정의한 문서로 PCI SSC(PCI Security Standards Council)이 발간하고 있습니다.

이 기술문서는 미국의 전자상거래시에 적용되기 때문에 국내 상황과는 비교할 수는 없지만, 네트워크라든지 보안에 대한 부분에서는 참조할 만한 부분이 매우 많습니다.

2008년 10월달에 PCI DSS v1.2 버전이 출시되었으며 그 이후인 2009년 7월달에 v1.2.1 버전으로 보완되었으며, 가장 최신 버전인 v2.0은 2010년 10월달에 발표되었습니다.

2011년 1월 1일부터 유효하게 적용됩니다.

전문은 아래 링크를 참고하십시오.

기존 버전(v1.2.1)에서 변경된 사항은 아래 링크를 참고하십시오.

그외에 PCI SSC에서 발표된 자료는 아래 링크를 참고하십시오.

감사합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    웹보안에 대한 연구를 진행해 오고 있는 WASC(Web Application Securtiy Consortium)에서는 웹애플리케이션 보안 통계 프로젝트 2008 보고서를 발표했습니다. 이 보고서는 웹사이트의 취약점을 공동으로 해결하기 위한 노력의 일환으로 웹애플리케이션의 취약점에 대해 보다 쉽게 이해하기 위함입니다.

    통계 보고서에는 약 12,186 개의 웹 애플리케이션에서 97,554 개의 취약점이 진단되었습니다. 다음은 통계 데이터를 분석한 결과를 요약한 것입니다.

    • 가장 널리 퍼진 취약점은 XSS(cross site scripting)입니다. 그 뒤를 정보 누출, SQL 인젝션, HTTP Response Splitting이 차지하고 있습니다.

    • 자동화된 진단 도구에서 웹애프리케이션을 검사한 결과 긴급 또는 치명적인 오류를 포함할 가능성은 49%입니다. 전문가가 분석한 경우에는 96%에 이릅니다.
    • 관리에 따른 문제점은 시스템 개발의 오류에 비해 약 20% 이상 발생할 가능성이 높습니다.
    • 99% 이상의 웹애플리케이션이 PCI DDS 표준 요구사항과 맞지 않습니다. 또한 PCI DSS가 정한 ASV 검사 범주에 맞지 않는 웹애플리케이션이 48%에 이릅니다.
    • 자동화된 진단도구에서는 웹사이트당 3개의 취약점이 발견되었지만 화이트박스 방식(신뢰할 수 있는 전문가의 소스 분석 및 실행파일 분석 방식)의 분석을 통해서는 91개의 취약점이 발견되었습니다.
    • 2007년도와 비교할 때에 SQL 인젝션 취약점은 13%, XSS 취약점은 20% 감소했습니다만, 정보 누출은 24% 증가했습니다. 하지만 호스트가 자동으로 감염될 수 있는 가능성은 7%에서 13%로 증가했습니다.
    통계 정보는 WASC가 주관하는 웹애플리케이션 보안 평가 프로젝트를 통해 만들어졌으며 다음의 회사들이 참여했습니다. Blueinfy, Cenzic with Hailstorm, DNS with WebInspect, Encription Limited, HP Application Security Center with WebInspect, Positive Technologies with MaxPatrol, Veracode with Veracode Security Review, WhiteHat Security with WhiteHat Sentinel.

    보다 자세한 사항은 아래 링크에서 다운로드받을 수 있습니다.

    다운로드 링크
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory