Être une entreprise socialement responsable et un membre de la communauté locale fait partie des opérations quotidiennes de Control Gap. Nous croyons que le travail doit être une expérience qui apporte de la satisfaction et pour ce faire, nous incorporons des activités d’équipe amusantes dans notre culture d’entreprise, et nous appuyons les organisations locales et liées à des bonnes causes.

Blogue

WP_Query Object ( [query] => Array ( [post_type] => post [post_status] => publish [orderby] => date [order] => desc [posts_per_page] => 3 [paged] => 2 [ignore_sticky_posts] => 1 ) [query_vars] => Array ( [post_type] => post [post_status] => publish [orderby] => date [order] => DESC [posts_per_page] => 3 [paged] => 2 [ignore_sticky_posts] => 1 [error] => [m] => [p] => 0 [post_parent] => [subpost] => [subpost_id] => [attachment] => [attachment_id] => 0 [name] => [static] => [pagename] => [page_id] => 0 [second] => [minute] => [hour] => [day] => 0 [monthnum] => 0 [year] => 0 [w] => 0 [category_name] => [tag] => [cat] => [tag_id] => [author] => [author_name] => [feed] => [tb] => [meta_key] => [meta_value] => [preview] => [s] => [sentence] => [title] => [fields] => [menu_order] => [embed] => [category__in] => Array ( ) [category__not_in] => Array ( ) [category__and] => Array ( ) [post__in] => Array ( ) [post__not_in] => Array ( ) [post_name__in] => Array ( ) [tag__in] => Array ( ) [tag__not_in] => Array ( ) [tag__and] => Array ( ) [tag_slug__in] => Array ( ) [tag_slug__and] => Array ( ) [post_parent__in] => Array ( ) [post_parent__not_in] => Array ( ) [author__in] => Array ( ) [author__not_in] => Array ( ) [tax_query] => Array ( [0] => Array ( [taxonomy] => language [field] => term_taxonomy_id [terms] => 27 [operator] => IN ) ) [update_post_term_cache] => 1 [suppress_filters] => [cache_results] => [lazy_load_term_meta] => 1 [update_post_meta_cache] => 1 [nopaging] => [comments_per_page] => 50 [no_found_rows] => [taxonomy] => language [term_id] => 27 ) [tax_query] => WP_Tax_Query Object ( [queries] => Array ( [0] => Array ( [taxonomy] => language [terms] => Array ( [0] => 27 ) [field] => term_taxonomy_id [operator] => IN [include_children] => 1 ) ) [relation] => AND [table_aliases:protected] => Array ( [0] => wpcm_term_relationships ) [queried_terms] => Array ( [language] => Array ( [terms] => Array ( [0] => 27 ) [field] => term_taxonomy_id ) ) [primary_table] => wpcm_posts [primary_id_column] => ID ) [meta_query] => WP_Meta_Query Object ( [queries] => Array ( ) [relation] => [meta_table] => [meta_id_column] => [primary_table] => [primary_id_column] => [table_aliases:protected] => Array ( ) [clauses:protected] => Array ( ) [has_or_relation:protected] => ) [date_query] => [request] => SELECT SQL_CALC_FOUND_ROWS wpcm_posts.ID FROM wpcm_posts LEFT JOIN wpcm_term_relationships ON (wpcm_posts.ID = wpcm_term_relationships.object_id) WHERE 1=1 AND ( wpcm_term_relationships.term_taxonomy_id IN (27) ) AND wpcm_posts.post_type = 'post' AND ((wpcm_posts.post_status = 'publish')) GROUP BY wpcm_posts.ID ORDER BY wpcm_posts.menu_order, wpcm_posts.post_date DESC LIMIT 3, 3 [posts] => Array ( [0] => WP_Post Object ( [ID] => 1371 [post_author] => 7 [post_date] => 2017-03-02 18:07:53 [post_date_gmt] => 2017-03-02 18:07:53 [post_content] => Toute personne qui s'appuie sur le site FAQ PCI pour obtenir des conseils peut avoir remarqué quelques changements au cours des derniers mois. En fait, si vous avez bookmarked certains des liens que vous aurez découvert que plusieurs sont complètement disparus. Le conseil révise et clarifie périodiquement le contenu des FAQ; Cependant, cette fois, ils ont modifié plusieurs des questions qui ont changé les permalinks. L'objectif principal du changement était de s'éloigner du terme trompeur "Réduction de la portée". Vous pouvez toujours rechercher sur le "numéro d'article" pour trouver votre FAQ préféré, ou vous devrez peut-être utiliser les options de la page de recherche pour "Mis à jour le plus récemment" dans les articles FAQ fréquents. Par notre compte, il ya environ 248 FAQs qui ont été publiés depuis 2008 quand le Conseil a lancé le site FAQ. Seulement un petit nombre a été changé, et seulement 4 ont été rebaptisés: Si vous avez toujours voulu voir toutes les FAQ dans un seul endroit, vous pouvez être intéressé par notre Index des PCI Foire aux questions. Si vous souhaitez en savoir plus sur les moyens de simplifier votre conformité, nous vous recommandons "PCI Empreintes: 7 façons de simplifier la conformité, de réduire les risques et d'économiser de l'argent." _______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.   [post_title] => 4 FAQ Le Conseil des normes de sécurité PCI renommé en 2016 [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => 4-faq-le-conseil-des-normes-de-securite-pci-renomme-en-2016 [to_ping] => [pinged] => http://controlgap.com/blog/blog/pci-empreintes/ [post_modified] => 2017-03-02 18:08:20 [post_modified_gmt] => 2017-03-02 18:08:20 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1371 [menu_order] => 67 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [1] => WP_Post Object ( [ID] => 1370 [post_author] => 7 [post_date] => 2017-03-02 18:01:39 [post_date_gmt] => 2017-03-02 18:01:39 [post_content] => Plus tôt ce mois-ci, le PCI Security Standards Council a publié un nouveau document dans le cadre du programme Point-to-Point Encryption (P2PE). Ce guide initial d'évaluation pour les solutions de chiffrement non répertoriées introduit un nouveau chemin dans l'espace de la solution P2PE. Cette nouvelle initiative introduit l'idée d'une manière normalisée de rendre compte des forces et des faiblesses des solutions qui ne répondent pas pleinement aux exigences P2PE. Le conseil devrait fournir plus d'information au cours des 3-4 prochains mois, y compris un modèle de rapport standardisé qui sera appelé une évaluation de solution de chiffrement non cotée ou NESA.

Le besoin actuel pour NESA

  • Le potentiel et le désir de réduire les empreintes de conformité est extrêmement impérieux. Alors que les organisations le font depuis un certain temps, les processus dans une perspective industrielle ont été incohérents. Bien qu'il y ait d'excellents exemples, il ya eu aussi des faux pas et même des brouillages à cause de solutions trop zélées et inadéquatement validées. L'orientation du conseil (voir ci-dessous) a évolué avec des mises à jour importantes en 2009, 2012 et 2016.
  • Les solutions P2PE n'ont pas décollé aussi rapidement ou aussi bien que les gens l'avaient espéré. Les premières solutions répertoriées apparaissent presque deux ans après la création de la norme. A ce jour, il n'existe que 25 solutions dans le monde entier. Beaucoup de ceux-ci sont spécifiques de la région ou de fonctionnalité limitée (par exemple non-EMV). Les projets P2PE peuvent également être importants et coûteux. L'assainissement pour passer d'être «presque là» à «traverser la ligne d'arrivée» et obtenir la liste peut exiger un investissement important de temps et d'argent. Par conséquent, il existe beaucoup plus de solutions de cryptage disponibles que celles qui sont répertoriées.
  • Il y a des aspects du processus P2PE qui se sont révélés plus difficiles que prévu. Par exemple, obtenir les informations nécessaires sur la mise en œuvre SRED de certains fournisseurs a été dans le passé un défi.
  • Qui et comment les solutions non cotées sont validées et ce qui constitue une validation acceptable sont ouvertes au débat. Parfois, les acquéreurs le font. D'autres fois, les commerçants peuvent avoir besoin d'effectuer certains travaux.
  • Enfin, les commerçants qui restent sur des solutions non cryptées ne bénéficient pas à l'industrie. Comme une analogie, si vous êtes dans un navire fuyant long sous le siège avec toutes les mains de rattraper follement alors votre décision sage pourrait être de passer à une frégate doucement utilisé plutôt que d'attendre le lancement d'un nouveau cuirassé brillant.

Quels sont les avantages de NESA?

  • Pour les fournisseurs de solutions qui envisagent ou qui sont sur la voie du P2PE, NESA leur permettra d'acquérir une traction plus rapide et fournira un moyen de démontrer des progrès partiels dans un format standardisé pouvant être exploité par leurs clients pour faciliter la conformité.
  • Pour les autres parties prenantes telles que les acquéreurs, les transformateurs, les négociants et leurs QSA, un rapport standardisé sera la confiance en soutenant les décisions éclairées sur les endroits où la conformité peut ou non être simplifiée.
  • Flexibilité, parce que ce n'est pas une approche stricte pass / fail, l'absence d'une fonction P2PE comme SRED n'est pas nécessairement un bouchon show.
  • En outre, cette approche offre plus de choix et d'options sur le marché et devrait aider à accélérer le mouvement à long terme vers P2PE. En particulier, il fournira des domaines comme les paiements mobiles ajouté légitimité lors de l'utilisation de solutions qui dé-scope consommateur final des appareils tels que les tablettes et les téléphones.
  • Il tire parti de l'expertise de P2PE QSA qui ont une formation et une expérience supplémentaires en cryptage au-delà des compétences d'un QSA
  • NESA est facultative et si une organisation utilise NESA pour évaluer leurs solutions, il sera probablement montrer les meilleures pratiques et de permettre la flexibilité. Il peut avoir besoin de quelques ajustements et des conseils supplémentaires à mesure qu'il évolue. Les organisations qui évaluent différemment auront de plus en plus besoin d'examiner ce qu'il comprend. La seule existence de NESA soulèvera éventuellement la barre des solutions de cryptage.

Comment fonctionne NESA?

  • Un fournisseur de solutions prenant en compte P2PE engage une entreprise P2PE-QSA à effectuer une évaluation de l'écart en utilisant le modèle d'évaluation P2PE (P-ROV)
  • Un document supplémentaire appelé NESA (Non-Listed Encryption Solution Assessment) est utilisé pour documenter l'état d'un client confronté à des parties prenantes cibles livrables
  • Les clients peuvent utiliser le document NESA pour évaluer les risques et les options pour simplifier la conformité et réduire leur empreinte PCI
  • Le fournisseur de solutions peut procéder dans le chemin P2PE avec l'assainissement et la réévaluation ayant obtenu à mi-chemin là

Les Inconnus

  • Il ya certainement un grand nombre d'entre eux et de nombreuses questions seront soulevées. Nous savons que nous en avons quelques-uns. Comme le conseil tient des consultations et que le programme se déroule nous fournirons des mises à jour. Si vous avez des questions, nous serons heureux de les entendre. Vous pouvez nous contacter au 1.866.644.8808.

Apprendre encore plus

Consultez la page FAQ pour plus d'informations. _______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI. [post_title] => PCI annonce NESA - Un tremplin vers P2PE [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => pci-annonce-nesa-un-tremplin-vers-p2pe [to_ping] => [pinged] => [post_modified] => 2017-03-02 18:01:39 [post_modified_gmt] => 2017-03-02 18:01:39 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1370 [menu_order] => 68 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [2] => WP_Post Object ( [ID] => 1374 [post_author] => 7 [post_date] => 2017-02-23 13:28:08 [post_date_gmt] => 2017-02-23 13:28:08 [post_content] =>

Histoire

La fonction de hachage cryptographique SHA-1 a été introduite en 1995. Les faiblesses ont commencé à être découvertes en 2005, et en 2011, le NIST a déconseillé SHA-1. L'utilisation des certificats de site Web SHA-1 a été arrêtée. Et maintenant une attaque de collision pratique contre SHA-1 a été démontrée par les chercheurs qui ont été en mesure de créer deux fichiers PDF différents de la même longueur qui a produit un hachage SHA-1 identiques. L'attaque tout en étant pratique est encore un peu cher, mais je m'attends à des améliorations de vitesse à émerger. Les fonctions Hash comme SHA-1 sont utilisées pour valider l'intégrité des messages, des mises à jour logicielles et des signatures uniques pour les données. L'existence d'une attaque de collision pratique jette le doute sur ces applications.

Conformité SHA-1 et PCI aujourd'hui

Dans le domaine de la conformité PCI, les fonctions de hachage sont utilisées pour rendre illisibles les données des titulaires de carte (PCI DSS 3.4) et pour valider l'intégrité des bibliothèques de source logicielle et des mises à jour (PA-DSS et DSS). L'utilisation de hachages dans PCI pour rendre les données de titulaire de carte illisibles est déjà soumise à un certain nombre de restrictions et de mises en garde pour empêcher les attaquants de corréler le PAN tronqué (partiel) avec le hachage. Comment l'attaque Shattered affecte-t-elle ces utilisations du SHA-1?
  • Validation de l'intégrité des mises à jour logicielles d'un fournisseur - clairement en danger
  • Détecter les changements dans les systèmes de contrôle du code source - peu susceptibles d'être à risque car l'application est la détection de changement / erreur et la source est encore disponible
  • Rendre les données des titulaires de carte illisibles - peu susceptibles d'être en danger car le hachage n'est pas utilisé pour la validation
  •  L'utilisation de HMAC-SHA-1 dans les suites de chiffrement TLS n'est pas encore considérée comme étant à risque
Si vous utilisez SHA-1, devriez-vous être inquiet de votre conformité? La réponse, bien sûr, dépend de la façon dont vous l'utilisez (voir ci-dessus). Je m'attends à ce que le PCI Security Standards Council fasse quelques annonces et émet des éclaircissements à la suite de cela. Les organisations qui dépendent de SHA-1 qui n'ont pas encore opté pour un hachage plus sécurisé comme SHA-256 (ou mieux SHA-3 normalisé par le NIST en 2012) devraient accélérer ce processus et élaborer une stratégie pour y remédier. Une des premières choses que vous devriez obtenir auprès de vos fournisseurs de logiciels pour savoir ce qu'ils font à ce sujet.

Apprendre encore plus

_______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI. [post_title] => SHA-1 est mort! [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => sha-1-est-mort [to_ping] => [pinged] => [post_modified] => 2017-03-28 14:48:18 [post_modified_gmt] => 2017-03-28 14:48:18 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1374 [menu_order] => 69 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) ) [post_count] => 3 [current_post] => -1 [in_the_loop] => [post] => WP_Post Object ( [ID] => 1371 [post_author] => 7 [post_date] => 2017-03-02 18:07:53 [post_date_gmt] => 2017-03-02 18:07:53 [post_content] => Toute personne qui s'appuie sur le site FAQ PCI pour obtenir des conseils peut avoir remarqué quelques changements au cours des derniers mois. En fait, si vous avez bookmarked certains des liens que vous aurez découvert que plusieurs sont complètement disparus. Le conseil révise et clarifie périodiquement le contenu des FAQ; Cependant, cette fois, ils ont modifié plusieurs des questions qui ont changé les permalinks. L'objectif principal du changement était de s'éloigner du terme trompeur "Réduction de la portée". Vous pouvez toujours rechercher sur le "numéro d'article" pour trouver votre FAQ préféré, ou vous devrez peut-être utiliser les options de la page de recherche pour "Mis à jour le plus récemment" dans les articles FAQ fréquents. Par notre compte, il ya environ 248 FAQs qui ont été publiés depuis 2008 quand le Conseil a lancé le site FAQ. Seulement un petit nombre a été changé, et seulement 4 ont été rebaptisés: Si vous avez toujours voulu voir toutes les FAQ dans un seul endroit, vous pouvez être intéressé par notre Index des PCI Foire aux questions. Si vous souhaitez en savoir plus sur les moyens de simplifier votre conformité, nous vous recommandons "PCI Empreintes: 7 façons de simplifier la conformité, de réduire les risques et d'économiser de l'argent." _______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.   [post_title] => 4 FAQ Le Conseil des normes de sécurité PCI renommé en 2016 [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => 4-faq-le-conseil-des-normes-de-securite-pci-renomme-en-2016 [to_ping] => [pinged] => http://controlgap.com/blog/blog/pci-empreintes/ [post_modified] => 2017-03-02 18:08:20 [post_modified_gmt] => 2017-03-02 18:08:20 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1371 [menu_order] => 67 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [comment_count] => 0 [current_comment] => -1 [found_posts] => 28 [max_num_pages] => 10 [max_num_comment_pages] => 0 [is_single] => [is_preview] => [is_page] => [is_archive] => [is_date] => [is_year] => [is_month] => [is_day] => [is_time] => [is_author] => [is_category] => [is_tag] => [is_tax] => [is_search] => [is_feed] => [is_comment_feed] => [is_trackback] => [is_home] => 1 [is_404] => [is_embed] => [is_paged] => 1 [is_admin] => [is_attachment] => [is_singular] => [is_robots] => [is_posts_page] => [is_post_type_archive] => [query_vars_hash:WP_Query:private] => 1d736b798e61bbf3e04fa64d6a2132ed [query_vars_changed:WP_Query:private] => 1 [thumbnails_cached] => [stopwords:WP_Query:private] => [compat_fields:WP_Query:private] => Array ( [0] => query_vars_hash [1] => query_vars_changed ) [compat_methods:WP_Query:private] => Array ( [0] => init_query_flags [1] => parse_tax_query ) )
WP_Query Object ( [query] => Array ( [post_type] => post [post_status] => publish [orderby] => date [order] => desc [posts_per_page] => 3 [paged] => 2 [ignore_sticky_posts] => 1 ) [query_vars] => Array ( [post_type] => post [post_status] => publish [orderby] => date [order] => DESC [posts_per_page] => 3 [paged] => 2 [ignore_sticky_posts] => 1 [error] => [m] => [p] => 0 [post_parent] => [subpost] => [subpost_id] => [attachment] => [attachment_id] => 0 [name] => [static] => [pagename] => [page_id] => 0 [second] => [minute] => [hour] => [day] => 0 [monthnum] => 0 [year] => 0 [w] => 0 [category_name] => [tag] => [cat] => [tag_id] => [author] => [author_name] => [feed] => [tb] => [meta_key] => [meta_value] => [preview] => [s] => [sentence] => [title] => [fields] => [menu_order] => [embed] => [category__in] => Array ( ) [category__not_in] => Array ( ) [category__and] => Array ( ) [post__in] => Array ( ) [post__not_in] => Array ( ) [post_name__in] => Array ( ) [tag__in] => Array ( ) [tag__not_in] => Array ( ) [tag__and] => Array ( ) [tag_slug__in] => Array ( ) [tag_slug__and] => Array ( ) [post_parent__in] => Array ( ) [post_parent__not_in] => Array ( ) [author__in] => Array ( ) [author__not_in] => Array ( ) [tax_query] => Array ( [0] => Array ( [taxonomy] => language [field] => term_taxonomy_id [terms] => 27 [operator] => IN ) ) [update_post_term_cache] => 1 [suppress_filters] => [cache_results] => [lazy_load_term_meta] => 1 [update_post_meta_cache] => 1 [nopaging] => [comments_per_page] => 50 [no_found_rows] => [taxonomy] => language [term_id] => 27 ) [tax_query] => WP_Tax_Query Object ( [queries] => Array ( [0] => Array ( [taxonomy] => language [terms] => Array ( [0] => 27 ) [field] => term_taxonomy_id [operator] => IN [include_children] => 1 ) ) [relation] => AND [table_aliases:protected] => Array ( [0] => wpcm_term_relationships ) [queried_terms] => Array ( [language] => Array ( [terms] => Array ( [0] => 27 ) [field] => term_taxonomy_id ) ) [primary_table] => wpcm_posts [primary_id_column] => ID ) [meta_query] => WP_Meta_Query Object ( [queries] => Array ( ) [relation] => [meta_table] => [meta_id_column] => [primary_table] => [primary_id_column] => [table_aliases:protected] => Array ( ) [clauses:protected] => Array ( ) [has_or_relation:protected] => ) [date_query] => [request] => SELECT SQL_CALC_FOUND_ROWS wpcm_posts.ID FROM wpcm_posts LEFT JOIN wpcm_term_relationships ON (wpcm_posts.ID = wpcm_term_relationships.object_id) WHERE 1=1 AND ( wpcm_term_relationships.term_taxonomy_id IN (27) ) AND wpcm_posts.post_type = 'post' AND ((wpcm_posts.post_status = 'publish')) GROUP BY wpcm_posts.ID ORDER BY wpcm_posts.menu_order, wpcm_posts.post_date DESC LIMIT 3, 3 [posts] => Array ( [0] => WP_Post Object ( [ID] => 1371 [post_author] => 7 [post_date] => 2017-03-02 18:07:53 [post_date_gmt] => 2017-03-02 18:07:53 [post_content] => Toute personne qui s'appuie sur le site FAQ PCI pour obtenir des conseils peut avoir remarqué quelques changements au cours des derniers mois. En fait, si vous avez bookmarked certains des liens que vous aurez découvert que plusieurs sont complètement disparus. Le conseil révise et clarifie périodiquement le contenu des FAQ; Cependant, cette fois, ils ont modifié plusieurs des questions qui ont changé les permalinks. L'objectif principal du changement était de s'éloigner du terme trompeur "Réduction de la portée". Vous pouvez toujours rechercher sur le "numéro d'article" pour trouver votre FAQ préféré, ou vous devrez peut-être utiliser les options de la page de recherche pour "Mis à jour le plus récemment" dans les articles FAQ fréquents. Par notre compte, il ya environ 248 FAQs qui ont été publiés depuis 2008 quand le Conseil a lancé le site FAQ. Seulement un petit nombre a été changé, et seulement 4 ont été rebaptisés: Si vous avez toujours voulu voir toutes les FAQ dans un seul endroit, vous pouvez être intéressé par notre Index des PCI Foire aux questions. Si vous souhaitez en savoir plus sur les moyens de simplifier votre conformité, nous vous recommandons "PCI Empreintes: 7 façons de simplifier la conformité, de réduire les risques et d'économiser de l'argent." _______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.   [post_title] => 4 FAQ Le Conseil des normes de sécurité PCI renommé en 2016 [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => 4-faq-le-conseil-des-normes-de-securite-pci-renomme-en-2016 [to_ping] => [pinged] => http://controlgap.com/blog/blog/pci-empreintes/ [post_modified] => 2017-03-02 18:08:20 [post_modified_gmt] => 2017-03-02 18:08:20 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1371 [menu_order] => 67 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [1] => WP_Post Object ( [ID] => 1370 [post_author] => 7 [post_date] => 2017-03-02 18:01:39 [post_date_gmt] => 2017-03-02 18:01:39 [post_content] => Plus tôt ce mois-ci, le PCI Security Standards Council a publié un nouveau document dans le cadre du programme Point-to-Point Encryption (P2PE). Ce guide initial d'évaluation pour les solutions de chiffrement non répertoriées introduit un nouveau chemin dans l'espace de la solution P2PE. Cette nouvelle initiative introduit l'idée d'une manière normalisée de rendre compte des forces et des faiblesses des solutions qui ne répondent pas pleinement aux exigences P2PE. Le conseil devrait fournir plus d'information au cours des 3-4 prochains mois, y compris un modèle de rapport standardisé qui sera appelé une évaluation de solution de chiffrement non cotée ou NESA.

Le besoin actuel pour NESA

  • Le potentiel et le désir de réduire les empreintes de conformité est extrêmement impérieux. Alors que les organisations le font depuis un certain temps, les processus dans une perspective industrielle ont été incohérents. Bien qu'il y ait d'excellents exemples, il ya eu aussi des faux pas et même des brouillages à cause de solutions trop zélées et inadéquatement validées. L'orientation du conseil (voir ci-dessous) a évolué avec des mises à jour importantes en 2009, 2012 et 2016.
  • Les solutions P2PE n'ont pas décollé aussi rapidement ou aussi bien que les gens l'avaient espéré. Les premières solutions répertoriées apparaissent presque deux ans après la création de la norme. A ce jour, il n'existe que 25 solutions dans le monde entier. Beaucoup de ceux-ci sont spécifiques de la région ou de fonctionnalité limitée (par exemple non-EMV). Les projets P2PE peuvent également être importants et coûteux. L'assainissement pour passer d'être «presque là» à «traverser la ligne d'arrivée» et obtenir la liste peut exiger un investissement important de temps et d'argent. Par conséquent, il existe beaucoup plus de solutions de cryptage disponibles que celles qui sont répertoriées.
  • Il y a des aspects du processus P2PE qui se sont révélés plus difficiles que prévu. Par exemple, obtenir les informations nécessaires sur la mise en œuvre SRED de certains fournisseurs a été dans le passé un défi.
  • Qui et comment les solutions non cotées sont validées et ce qui constitue une validation acceptable sont ouvertes au débat. Parfois, les acquéreurs le font. D'autres fois, les commerçants peuvent avoir besoin d'effectuer certains travaux.
  • Enfin, les commerçants qui restent sur des solutions non cryptées ne bénéficient pas à l'industrie. Comme une analogie, si vous êtes dans un navire fuyant long sous le siège avec toutes les mains de rattraper follement alors votre décision sage pourrait être de passer à une frégate doucement utilisé plutôt que d'attendre le lancement d'un nouveau cuirassé brillant.

Quels sont les avantages de NESA?

  • Pour les fournisseurs de solutions qui envisagent ou qui sont sur la voie du P2PE, NESA leur permettra d'acquérir une traction plus rapide et fournira un moyen de démontrer des progrès partiels dans un format standardisé pouvant être exploité par leurs clients pour faciliter la conformité.
  • Pour les autres parties prenantes telles que les acquéreurs, les transformateurs, les négociants et leurs QSA, un rapport standardisé sera la confiance en soutenant les décisions éclairées sur les endroits où la conformité peut ou non être simplifiée.
  • Flexibilité, parce que ce n'est pas une approche stricte pass / fail, l'absence d'une fonction P2PE comme SRED n'est pas nécessairement un bouchon show.
  • En outre, cette approche offre plus de choix et d'options sur le marché et devrait aider à accélérer le mouvement à long terme vers P2PE. En particulier, il fournira des domaines comme les paiements mobiles ajouté légitimité lors de l'utilisation de solutions qui dé-scope consommateur final des appareils tels que les tablettes et les téléphones.
  • Il tire parti de l'expertise de P2PE QSA qui ont une formation et une expérience supplémentaires en cryptage au-delà des compétences d'un QSA
  • NESA est facultative et si une organisation utilise NESA pour évaluer leurs solutions, il sera probablement montrer les meilleures pratiques et de permettre la flexibilité. Il peut avoir besoin de quelques ajustements et des conseils supplémentaires à mesure qu'il évolue. Les organisations qui évaluent différemment auront de plus en plus besoin d'examiner ce qu'il comprend. La seule existence de NESA soulèvera éventuellement la barre des solutions de cryptage.

Comment fonctionne NESA?

  • Un fournisseur de solutions prenant en compte P2PE engage une entreprise P2PE-QSA à effectuer une évaluation de l'écart en utilisant le modèle d'évaluation P2PE (P-ROV)
  • Un document supplémentaire appelé NESA (Non-Listed Encryption Solution Assessment) est utilisé pour documenter l'état d'un client confronté à des parties prenantes cibles livrables
  • Les clients peuvent utiliser le document NESA pour évaluer les risques et les options pour simplifier la conformité et réduire leur empreinte PCI
  • Le fournisseur de solutions peut procéder dans le chemin P2PE avec l'assainissement et la réévaluation ayant obtenu à mi-chemin là

Les Inconnus

  • Il ya certainement un grand nombre d'entre eux et de nombreuses questions seront soulevées. Nous savons que nous en avons quelques-uns. Comme le conseil tient des consultations et que le programme se déroule nous fournirons des mises à jour. Si vous avez des questions, nous serons heureux de les entendre. Vous pouvez nous contacter au 1.866.644.8808.

Apprendre encore plus

Consultez la page FAQ pour plus d'informations. _______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI. [post_title] => PCI annonce NESA - Un tremplin vers P2PE [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => pci-annonce-nesa-un-tremplin-vers-p2pe [to_ping] => [pinged] => [post_modified] => 2017-03-02 18:01:39 [post_modified_gmt] => 2017-03-02 18:01:39 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1370 [menu_order] => 68 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [2] => WP_Post Object ( [ID] => 1374 [post_author] => 7 [post_date] => 2017-02-23 13:28:08 [post_date_gmt] => 2017-02-23 13:28:08 [post_content] =>

Histoire

La fonction de hachage cryptographique SHA-1 a été introduite en 1995. Les faiblesses ont commencé à être découvertes en 2005, et en 2011, le NIST a déconseillé SHA-1. L'utilisation des certificats de site Web SHA-1 a été arrêtée. Et maintenant une attaque de collision pratique contre SHA-1 a été démontrée par les chercheurs qui ont été en mesure de créer deux fichiers PDF différents de la même longueur qui a produit un hachage SHA-1 identiques. L'attaque tout en étant pratique est encore un peu cher, mais je m'attends à des améliorations de vitesse à émerger. Les fonctions Hash comme SHA-1 sont utilisées pour valider l'intégrité des messages, des mises à jour logicielles et des signatures uniques pour les données. L'existence d'une attaque de collision pratique jette le doute sur ces applications.

Conformité SHA-1 et PCI aujourd'hui

Dans le domaine de la conformité PCI, les fonctions de hachage sont utilisées pour rendre illisibles les données des titulaires de carte (PCI DSS 3.4) et pour valider l'intégrité des bibliothèques de source logicielle et des mises à jour (PA-DSS et DSS). L'utilisation de hachages dans PCI pour rendre les données de titulaire de carte illisibles est déjà soumise à un certain nombre de restrictions et de mises en garde pour empêcher les attaquants de corréler le PAN tronqué (partiel) avec le hachage. Comment l'attaque Shattered affecte-t-elle ces utilisations du SHA-1?
  • Validation de l'intégrité des mises à jour logicielles d'un fournisseur - clairement en danger
  • Détecter les changements dans les systèmes de contrôle du code source - peu susceptibles d'être à risque car l'application est la détection de changement / erreur et la source est encore disponible
  • Rendre les données des titulaires de carte illisibles - peu susceptibles d'être en danger car le hachage n'est pas utilisé pour la validation
  •  L'utilisation de HMAC-SHA-1 dans les suites de chiffrement TLS n'est pas encore considérée comme étant à risque
Si vous utilisez SHA-1, devriez-vous être inquiet de votre conformité? La réponse, bien sûr, dépend de la façon dont vous l'utilisez (voir ci-dessus). Je m'attends à ce que le PCI Security Standards Council fasse quelques annonces et émet des éclaircissements à la suite de cela. Les organisations qui dépendent de SHA-1 qui n'ont pas encore opté pour un hachage plus sécurisé comme SHA-256 (ou mieux SHA-3 normalisé par le NIST en 2012) devraient accélérer ce processus et élaborer une stratégie pour y remédier. Une des premières choses que vous devriez obtenir auprès de vos fournisseurs de logiciels pour savoir ce qu'ils font à ce sujet.

Apprendre encore plus

_______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI. [post_title] => SHA-1 est mort! [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => sha-1-est-mort [to_ping] => [pinged] => [post_modified] => 2017-03-28 14:48:18 [post_modified_gmt] => 2017-03-28 14:48:18 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1374 [menu_order] => 69 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) ) [post_count] => 3 [current_post] => -1 [in_the_loop] => [post] => WP_Post Object ( [ID] => 1371 [post_author] => 7 [post_date] => 2017-03-02 18:07:53 [post_date_gmt] => 2017-03-02 18:07:53 [post_content] => Toute personne qui s'appuie sur le site FAQ PCI pour obtenir des conseils peut avoir remarqué quelques changements au cours des derniers mois. En fait, si vous avez bookmarked certains des liens que vous aurez découvert que plusieurs sont complètement disparus. Le conseil révise et clarifie périodiquement le contenu des FAQ; Cependant, cette fois, ils ont modifié plusieurs des questions qui ont changé les permalinks. L'objectif principal du changement était de s'éloigner du terme trompeur "Réduction de la portée". Vous pouvez toujours rechercher sur le "numéro d'article" pour trouver votre FAQ préféré, ou vous devrez peut-être utiliser les options de la page de recherche pour "Mis à jour le plus récemment" dans les articles FAQ fréquents. Par notre compte, il ya environ 248 FAQs qui ont été publiés depuis 2008 quand le Conseil a lancé le site FAQ. Seulement un petit nombre a été changé, et seulement 4 ont été rebaptisés: Si vous avez toujours voulu voir toutes les FAQ dans un seul endroit, vous pouvez être intéressé par notre Index des PCI Foire aux questions. Si vous souhaitez en savoir plus sur les moyens de simplifier votre conformité, nous vous recommandons "PCI Empreintes: 7 façons de simplifier la conformité, de réduire les risques et d'économiser de l'argent." _______________________________________________________________ Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd'hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.   [post_title] => 4 FAQ Le Conseil des normes de sécurité PCI renommé en 2016 [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => 4-faq-le-conseil-des-normes-de-securite-pci-renomme-en-2016 [to_ping] => [pinged] => http://controlgap.com/blog/blog/pci-empreintes/ [post_modified] => 2017-03-02 18:08:20 [post_modified_gmt] => 2017-03-02 18:08:20 [post_content_filtered] => [post_parent] => 0 [guid] => http://controlgap.com/?p=1371 [menu_order] => 67 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [comment_count] => 0 [current_comment] => -1 [found_posts] => 28 [max_num_pages] => 10 [max_num_comment_pages] => 0 [is_single] => [is_preview] => [is_page] => [is_archive] => [is_date] => [is_year] => [is_month] => [is_day] => [is_time] => [is_author] => [is_category] => [is_tag] => [is_tax] => [is_search] => [is_feed] => [is_comment_feed] => [is_trackback] => [is_home] => 1 [is_404] => [is_embed] => [is_paged] => 1 [is_admin] => [is_attachment] => [is_singular] => [is_robots] => [is_posts_page] => [is_post_type_archive] => [query_vars_hash:WP_Query:private] => 1d736b798e61bbf3e04fa64d6a2132ed [query_vars_changed:WP_Query:private] => 1 [thumbnails_cached] => [stopwords:WP_Query:private] => [compat_fields:WP_Query:private] => Array ( [0] => query_vars_hash [1] => query_vars_changed ) [compat_methods:WP_Query:private] => Array ( [0] => init_query_flags [1] => parse_tax_query ) )
4 FAQ Le Conseil des normes de sécurité PCI renommé en 2016
mars 2 2017

Toute personne qui s’appuie sur le site FAQ PCI pour obtenir des conseils peut avoir remarqué quelques changements au cours des derniers mois. En fait, si vous avez bookmarked certains des liens que vous aurez découvert que plusieurs sont complètement disparus. Le conseil révise et clarifie périodiquement le contenu des FAQ; Cependant, cette fois, ils

Voir plus
PCI annonce NESA – Un tremplin vers P2PE
mars 2 2017

Plus tôt ce mois-ci, le PCI Security Standards Council a publié un nouveau document dans le cadre du programme Point-to-Point Encryption (P2PE). Ce guide initial d’évaluation pour les solutions de chiffrement non répertoriées introduit un nouveau chemin dans l’espace de la solution P2PE. Cette nouvelle initiative introduit l’idée d’une manière normalisée de rendre compte des

Voir plus
SHA-1 est mort!
février 23 2017

Histoire La fonction de hachage cryptographique SHA-1 a été introduite en 1995. Les faiblesses ont commencé à être découvertes en 2005, et en 2011, le NIST a déconseillé SHA-1. L’utilisation des certificats de site Web SHA-1 a été arrêtée. Et maintenant une attaque de collision pratique contre SHA-1 a été démontrée par les chercheurs qui

Voir plus
×

Contact

×

PCI Pilot™ sera disponible bientôt!

Notre très attendu outil en ligne sera lancé très bientôt pour accélérer et simplifier le processus de réponse au SAQ.

Inscrivez-vous dès aujourd’hui et soyez parmi les premiers à être informés lorsque PCI Pilot™ sera en ligne!