应用安全项目实施时,PCI DSS这是一个充分的指南吗?组织是否应采取托管措施?PCI除合规清单外的措施
支付卡行业数据安全标准(PCI DSS)列表是一个很好的开始,但它不能涵盖现代企业的所有应用安全问题。现在努力安全的项目经理想咨询PCI DSS本指南及一些相关安全标准,专门研究应用安全。PCI DSS只关注信用卡,可能不适合所有组合的信息安全。
PCI DSS它是信息安全的标准框架,不必具体于应用安全。PCI DSS12个标准的本质是有一个安全的环境来保护敏感的持卡人数据。这些标准是由安全策略执行的,并由不断的漏洞管理和安全测试支持。在某种程度上,这是组织应用安全项目所需要的。然而,应用程序安全需要更多的细节,而不是一般的信息风险管理建议。
并改进应用安全项目***做法是审查并遵循PCI安全标准委员会的付款应用数据数据安全标准(PA-DSS)。PA-DSS比PCI DSS以应用安全为中心。它深入应用安全架构,尤其是一个PA-DSS需求总结了创建和维护安全应用 的特殊安全控制。
总的来说,PCI DSS为管理信息安全提供了良好的指导。PA-DSS与特定的PCI DSS需求一起创建了整个安全项目。如果你正在寻找另外通用的应用安全框架,我建议OWASP与之相关的十大项目。
充分利用安全对不同的人和企业有不同的意义。***,您需要将应用安全视为信息安全的子集,以确保适当的流程和人员能够持续参与。