Stampa il nostro pratico glossario della terminologia essenziale PCI DSS (Payment Card Industry Data Security Standard) per una rapida consultazione. In linea, ogni termine si collega a una definizione completa che include anche risorse per l'apprendimento ulteriore.
Server AAA: un programma server che gestisce le richieste degli utenti di accesso alle risorse del computer e, per un'azienda, fornisce servizi di autenticazione, autorizzazione e contabilità (AAA).
controllo degli accessi: una tecnica di sicurezza che può essere utilizzata per regolare chi o cosa può visualizzare o utilizzare le risorse in un ambiente informatico.
adware: software che visualizza pubblicità mentre è in esecuzione; spesso tiene traccia delle informazioni dell'utente e condivide con terze parti.
AES (Advanced Encryption Standard): una crittografia a blocchi simmetrica utilizzata dal governo degli Stati Uniti per proteggere le informazioni classificate che viene implementata nel software e nell'hardware di tutto il mondo per crittografare i dati sensibili.
ANSI (American National Standards Institute) - l'organizzazione principale per promuovere lo sviluppo di standard tecnologici negli Stati Uniti.
software antivirus: una classe di programmi in grado di prevenire, rilevare e riparare le infezioni da malware sui singoli dispositivi informatici e sistemi IT.
vettore di attacco: un percorso o un mezzo mediante il quale un hacker può accedere a un computer o a un server di rete per fornire un payload o un risultato dannoso.
audit trail - noto anche come audit log, la sequenza di documenti che convalida o invalida le voci contabili.
autenticazione: il processo per determinare se qualcuno o qualcosa è, in effetti, chi o cosa si dichiara essere, come mezzo per garantire l'accesso a una data risorsa.
autorizzazione - è il processo per dare a qualcuno il permesso di fare o avere qualcosa. Nei sistemi di computer multiutente, un amministratore di sistema definisce per il sistema a quali utenti è consentito l'accesso al sistema e per quali privilegi di utilizzo sono autorizzati.
autenticazione, autorizzazione e contabilità (AAA): un framework per controllare in modo intelligente l'accesso alle risorse del computer, applicare le politiche, controllare l'utilizzo e fornire le informazioni necessarie per fatturare i servizi.
fattore di autenticazione: una categoria di credenziali utilizzata per verificare l'identità. Le tre categorie principali sono fattori di conoscenza (cose che l'utente sa), fattori di possesso (cose che l'utente possiede) e fattori di inerenza (cose che l'utente è intrinsecamente).
backup: l'attività di copia di file o database in modo che vengano conservati in caso di guasto dell'apparecchiatura o altra catastrofe.
autenticazione biometrica: un tipo di sistema di sicurezza che utilizza le caratteristiche biologiche uniche degli individui per verificare l'identità per accessi sicuri ai sistemi elettronici.
California Security Breach Information Act - Legislazione statale della California che richiede alle organizzazioni che conservano le informazioni personali sugli individui di informare tali individui se la sicurezza delle loro informazioni è compromessa.
valore di verifica della carta (CVV): una combinazione di funzioni utilizzate nelle carte di credito, debito e sportello automatico (ATM) allo scopo di stabilire l'identità del proprietario e ridurre al minimo il rischio di frode.
Chief Compliance Officer (COO): un funzionario aziendale incaricato di supervisionare e gestire i problemi di conformità all'interno di un'organizzazione, assicurando, ad esempio, che un'azienda rispetti i requisiti normativi e che l'azienda ei suoi dipendenti rispettino le politiche e le procedure interne .
dati del titolare della carta (CD): il numero di conto principale (PAN) di una carta di pagamento appartenente a un titolare della carta, insieme a uno dei seguenti tipi di dati: nome del titolare della carta, data di scadenza o codice di servizio (un numero codificato a tre o quattro cifre sulla banda magnetica che specifica i requisiti di accettazione e le limitazioni per una transazione di lettura della banda magnetica).
ambiente dei dati dei titolari di carta (CDE): è un sistema informatico o un gruppo di sistemi IT in rete che elabora, archivia e / o trasmette i dati dei titolari di carta o i dati sensibili di autenticazione dei pagamenti, nonché qualsiasi componente che si connetta direttamente o supporti questa rete.
identità basata sulle attestazioni: un mezzo per autenticare un utente finale, un'applicazione o un dispositivo su un altro sistema in modo da astrarre le informazioni specifiche dell'entità fornendo allo stesso tempo dati che le autorizzano per interazioni appropriate e pertinenti.
crittografia a livello di colonna: un metodo di crittografia del database in cui le informazioni in ogni cella (o campo dati) in una particolare colonna hanno la stessa password per scopi di accesso, lettura e scrittura.
controllo compensativo: una misura di sicurezza dei dati progettata per soddisfare il requisito di qualche altra misura di sicurezza ritenuta troppo difficile o impraticabile da implementare.
conformità - uno stato in cui qualcuno o qualcosa è conforme alle linee guida, alle specifiche o alla legislazione stabilite.
audit di conformità: una revisione completa dell'aderenza di un'organizzazione alle linee guida normative. Consulenti indipendenti di contabilità, sicurezza o IT valutano la forza e la completezza dei preparativi per la conformità.
informatica forense - l'applicazione di tecniche di indagine e analisi per raccogliere e conservare prove da un particolare dispositivo informatico in un modo adatto per la presentazione in tribunale.
quadro di controllo: una struttura di dati che organizza e classifica i controlli interni di un'organizzazione, che sono pratiche e procedure stabilite per creare valore aziendale e ridurre al minimo il rischio.
cross-site scripting (XSS): un exploit di sicurezza in cui l'autore dell'attacco inserisce codice dannoso in un collegamento che sembra provenire da una fonte affidabile.
cross-site tracing (XST): una forma sofisticata di cross-site scripting (XSS) che può aggirare le contromisure di sicurezza già messe in atto per proteggersi da XSS.
chiave crittografica: un valore variabile che viene applicato utilizzando un algoritmo a una stringa o un blocco di testo non crittografato per produrre testo crittografato o per decrittografare testo crittografato.
cryptoperiod: a volte chiamato durata della chiave o periodo di validità, un intervallo di tempo specifico durante il quale rimane in vigore un'impostazione della chiave crittografica.
dati a riposo: dati nella memoria del computer anziché attraversare una rete o risiedere temporaneamente nella memoria del computer per essere letti o aggiornati.
violazione dei dati: un incidente in cui dati sensibili, protetti o riservati sono stati potenzialmente visualizzati, rubati o utilizzati da una persona non autorizzata a farlo.
distruzione dei dati: il processo di distruzione dei dati memorizzati su nastri, dischi rigidi e altre forme di supporti elettronici in modo che siano completamente illeggibili e non sia possibile accedervi o utilizzarli per scopi non autorizzati.
mascheramento dei dati: un metodo per creare una versione strutturalmente simile ma non autentica dei dati di un'organizzazione che può essere utilizzata per scopi quali il test del software e la formazione degli utenti. Lo scopo è proteggere i dati effettivi pur avendo un sostituto funzionale per le occasioni in cui i dati reali non sono richiesti.
DMZ (zona demilitarizzata) - un host di computer o una piccola rete inserita come "zona neutra" tra la rete privata di un'azienda e la rete pubblica esterna.
filtro in uscita: un processo in cui i dati in uscita vengono monitorati o limitati, di solito tramite un firewall che blocca i pacchetti che non soddisfano determinati requisiti di sicurezza.
crittografia: la conversione di dati elettronici in un'altra forma, chiamata testo cifrato, che non può essere facilmente compresa da nessuno tranne che dalle parti autorizzate.
Electronic Industries Association (EIA) - consorzio che prende decisioni sugli standard di trasmissione dei dati.
FIPS (Federal Information Processing Standards) - un insieme di standard che descrivono l'elaborazione dei documenti, algoritmi di crittografia e altri standard di tecnologia dell'informazione per l'uso all'interno di agenzie governative non militari e da appaltatori e fornitori governativi che lavorano con le agenzie.
firewall: un sistema di sicurezza di rete, basato su hardware o software, che controlla il traffico di rete in entrata e in uscita in base a una serie di regole.
autenticazione a quattro fattori (4FA): l'uso di quattro tipi di credenziali di conferma dell'identità per autenticare l'utente, in genere i tre fattori di conoscenza comune, possesso e inerenza più la posizione, sebbene il tempo a volte sia considerato il quarto fattore.
Gramm-Leach-Bliley Act (GLB): legislazione federale emanata negli Stati Uniti per controllare il modo in cui le istituzioni finanziarie trattano le informazioni private degli individui.
crittografia del disco rigido: una tecnologia che crittografa i dati archiviati su un disco rigido utilizzando sofisticate funzioni matematiche.
hashing: la trasformazione di una stringa di caratteri in un valore o chiave di lunghezza fissa solitamente più breve che rappresenta la stringa originale. Utilizzato per indicizzare e recuperare gli elementi in un database perché è più veloce trovare l'elemento utilizzando la chiave hash più breve che trovarlo utilizzando il valore originale, utilizzato anche in molti algoritmi di crittografia.
HTTPS (HTTP su SSL o HTTP Secure): l'uso di Secure Socket Layer (SSL) o Transport Layer Security (TLS) come sottolivello sotto la normale stratificazione dell'applicazione HTTP.
sistema IAM (Identity Access Management): un framework per i processi aziendali che facilita la gestione delle identità elettroniche.
filtro in ingresso: un metodo per verificare che i pacchetti in ingresso che arrivano a una rete provengano dal computer di origine che dichiarano di essere prima che venga concesso l'ingresso (o l'ingresso).
rilevamento delle intrusioni (ID): un tipo di sistema di gestione della sicurezza per computer e reti che raccoglie e analizza le informazioni da varie aree all'interno di un computer o di una rete per identificare possibili violazioni della sicurezza.
Indirizzo IP: la sequenza di numeri che identifica in modo univoco un computer su Internet o all'interno di una rete.
IPsec (Internet Protocol Security): un framework per un set di protocolli per la sicurezza a livello di rete o di elaborazione dei pacchetti della comunicazione di rete.
IP spoofing, noto anche come contraffazione di indirizzi IP, una tecnica di dirottamento in cui l'attaccante si maschera da host affidabile per nascondere la propria identità, dirottare i browser o ottenere l'accesso a una rete.
token a più fattori: un token di sicurezza che utilizza più di una categoria di credenziali per confermare l'autenticazione dell'utente. Un esempio comune è l'uso di un'app token software per smartphone che consente al telefono di fungere da token hardware; questo esempio produce un token a due fattori.
National Computer Security Center (NCSC): un'organizzazione governativa degli Stati Uniti all'interno della National Security Agency (NSA) che valuta le apparecchiature informatiche per applicazioni ad alta sicurezza per garantire che le strutture che elaborano materiale classificato o altro materiale sensibile utilizzino sistemi e componenti informatici affidabili.
National Vulnerability Database (NVD): un archivio governativo di informazioni sulla vulnerabilità basate su standard.
NAT (Network Address Translation o Network Address Translator): la traduzione di un indirizzo IP utilizzato all'interno di una rete in un diverso indirizzo IP noto all'interno di un'altra rete. In genere, un'azienda mappa i suoi indirizzi di rete interni locali su uno o più indirizzi IP esterni globali e annulla la mappatura degli indirizzi IP globali sui pacchetti in arrivo negli indirizzi IP locali.
NIST (National Institute of Standards and Technology) - un'unità del Dipartimento del Commercio degli Stati Uniti che promuove e mantiene gli standard di misurazione.
One-time password (OTP): una stringa di caratteri numerici o alfanumerici generata automaticamente che autenticherà l'utente per una singola transazione o sessione.
Token OTP: un dispositivo di sicurezza o un programma software che produce nuove password o codici di accesso monouso a intervalli di tempo preimpostati.
autenticazione fuori banda: un tipo di autenticazione a due fattori che richiede un metodo di verifica secondario attraverso un canale di comunicazione separato insieme all'ID e alla password tipici.
Payment Card Industry Data Security Standard (PCI DSS): un insieme di politiche e procedure ampiamente accettato inteso a ottimizzare la sicurezza delle transazioni con carte di credito, debito e bancomat e proteggere i titolari delle carte dall'abuso delle loro informazioni personali.
PA-DSS (Payment Application Data Security Standard): una serie di requisiti destinati ad aiutare i fornitori di software a sviluppare applicazioni di pagamento sicure che supportano la conformità PCI DSS.
Valutazione PCI: un audit per convalidare la conformità con il PCI DSS. Durante la valutazione, un PCI Qualified Security Assessor (QSA) determina se l'azienda ha soddisfatto i requisiti PCI DSS 12, direttamente o tramite un controllo di compensazione.
Conformità PCI: rispetto di una serie di standard di sicurezza sviluppati per proteggere le informazioni della carta durante e dopo una transazione finanziaria.
Requisiti PCI DSS 12: un insieme di controlli di sicurezza che le aziende devono implementare per proteggere i dati delle carte di credito e conformarsi allo standard PCI DSS. I requisiti sono stati sviluppati e vengono mantenuti dal PCI Security Standards Council.
PCI DSS 2.0: la seconda versione del PCI DSS, che rafforza la necessità di una valutazione approfondita prima di una valutazione e promuove una gestione dei registri più efficace.
PCI DSS 3.0: la terza importante iterazione del PCI DSS. Le aggiunte includono test di penetrazione per verificare i metodi utilizzati per segmentare l'ambiente dei dati dei titolari di carta del commerciante da un'altra infrastruttura IT, un inventario di tutti i componenti hardware e software all'interno dell'ambiente dei dati dei titolari di carta e la documentazione che specifica quali requisiti sono gestiti da fornitori di terze parti.
Gruppo utenti PCI DSS: un gruppo di utenti con sede a Londra per commercianti e rivenditori che devono soddisfare i 12 requisiti dello standard PCI DSS (Payment Card Industry Data Security Standard).
Programma investigativo forense PCI: un processo di certificazione per le aziende che desiderano diventare idonee a svolgere indagini sulle violazioni dei dati sulle reti del settore delle carte di pagamento (PCI).
Politica PCI: un tipo di politica di sicurezza che copre il modo in cui un'organizzazione soddisfa i 12 requisiti dello standard PCI DSS. È richiesta una politica PCI a tutti i commercianti e fornitori di servizi che archiviano, elaborano o trasmettono i dati dei titolari di carte di credito
PCI QSA (Payment Card Industry Qualified Security Assessor) - una designazione conferita dal PCI Security Standards Council alle persone che ritiene qualificate per eseguire valutazioni PCI e servizi di consulenza.
PCI Security Standards Council - un'organizzazione creata dalle principali società di carte di credito nel tentativo di proteggere meglio i dati dei titolari di carte di credito. Il PCI SSC è stato creato in risposta a un aumento delle violazioni della sicurezza dei dati, che non solo mettono a rischio i clienti, ma aumentano anche i costi delle società di carte di credito.
PII (informazioni di identificazione personale): tutti i dati che potrebbero potenzialmente identificare un individuo specifico. Le informazioni personali possono essere sensibili o non sensibili. Le informazioni personali non sensibili sono informazioni che possono essere trasmesse in forma non crittografata.
PIFI (informazioni finanziarie di identificazione personale): qualsiasi tipo di informazione di identificazione personale collegata alle finanze di quella persona. Un numero di carta di credito è un ottimo esempio di PIFI.
principio del privilegio minimo (POLP) - la pratica di limitare l'accesso al livello minimo che consentirà il normale funzionamento. Applicato ai dipendenti, il principio del privilegio minimo si traduce nel fornire alle persone il livello più basso di diritti utente che possono avere e continuano a svolgere il proprio lavoro.
privacy: una garanzia che le informazioni non verranno condivise in modo inappropriato, che parti non autorizzate non saranno in grado di vedere le comunicazioni e / o che i messaggi possano essere inviati in modo anonimo.
Qualified Security Assessor (QSA): una persona che è stata certificata dal PCI Security Standards Council per controllare i commercianti per la conformità PCI DSS.
conformità normativa: l'adesione di un'organizzazione a leggi, regolamenti, linee guida e specifiche rilevanti per la propria attività.
Report on Compliance (ROC): un modulo che deve essere compilato da tutti i commercianti Visa di livello 1 sottoposti a un audit PCI DSS. In generale, un commerciante di livello 1 è colui che elabora oltre 6 milioni di transazioni Visa in un anno.
Request for Comment 1918 (RFC 1918) - "Address Allocation for Private Internets", il memorandum IETF (Internet Engineering Task Force) sui metodi di assegnazione di indirizzi IP privati su reti TCP / IP.
Sarbanes-Oxley Act (SOX) - legislazione emanata in risposta agli scandali finanziari di alto profilo Enron e WorldCom per proteggere gli azionisti e il pubblico in generale da errori contabili e pratiche fraudolente nell'impresa (amministrato dalla Securities and Exchange Commission).
Sezione 508 - un emendamento al United States Workforce Rehabilitation Act del 1973, è una legge federale che impone che tutta la tecnologia elettronica e informatica sviluppata, acquistata, mantenuta o utilizzata dal governo federale sia accessibile alle persone con disabilità.
Security Information and Event Management (SIEM): un approccio alla gestione della sicurezza che cerca di fornire una visione olistica della sicurezza informatica (IT) di un'organizzazione.
token di sicurezza (a volte chiamato token di autenticazione): un piccolo dispositivo hardware che il proprietario trasporta per autorizzare l'accesso a un servizio di rete.
informazioni sensibili: dati che devono essere protetti dall'accesso non autorizzato per salvaguardare la privacy o la sicurezza di un individuo o di un'organizzazione.
segreto condiviso: dati noti solo alle due entità coinvolte in una comunicazione in modo che il possesso di tali dati da una delle parti possa essere fornito come prova di identità per l'autenticazione.
surf sulle spalle - utilizzando tecniche di osservazione diretta, come guardare sopra le spalle di qualcuno, per ottenere informazioni.
Autenticazione a fattore singolo (SFA): un metodo di autenticazione che coinvolge solo una categoria di credenziali. Il nome utente familiare / password di accesso è la forma più comune di SFA, ma alcuni metodi di autenticazione forte vengono utilizzati anche in modo indipendente.
soft token: un token di sicurezza basato su software che genera un PIN di accesso monouso. I token software sono spesso componenti delle app utilizzate per proteggere l'autenticazione mobile.
terza parte: un'entità coinvolta in qualche modo in un'interazione che è principalmente tra due altre entità.
autenticazione a tre fattori (3FA) - l'uso di credenziali di conferma dell'identità da tre categorie separate di fattori di autenticazione - in genere, il come, possesso e inerenza Categorie.
autenticazione a due fattori (2FA): un processo in cui l'utente fornisce due mezzi di identificazione da fattori di autenticazione separati. Spesso una credenziale è un token fisico, come una carta, e l'altra è qualcosa di memorizzato, come un codice di sicurezza.
verifica in due passaggi: un processo che coinvolge due metodi di autenticazione, non necessariamente da fattori di autenticazione separati, eseguito uno dopo l'altro per verificare che qualcuno o qualcosa che richiede l'accesso sia chi o cosa si dichiara essere.
identificatore univoco (UID): una stringa numerica o alfanumerica associata a una singola entità all'interno di un dato sistema.
autenticazione universale: un metodo di verifica dell'identità di rete che consente agli utenti di spostarsi da un sito all'altro in modo sicuro senza dover inserire più volte le informazioni di identificazione.
autenticazione dell'utente - la verifica di un trasferimento attivo da uomo a macchina delle credenziali richieste per la conferma dell'autenticità di un utente; il termine contrasta con l'autenticazione della macchina, che implica processi automatizzati che non richiedono l'input dell'utente.
vendor risk management (VRM): un piano completo per identificare e ridurre le potenziali incertezze aziendali e le responsabilità legali relative all'assunzione di fornitori di terze parti per prodotti e servizi IT.
terminale di pagamento virtuale: una versione basata sul Web di un dispositivo di scorrimento della carta di credito che consente ai commercianti di elaborare gli ordini effettuati tramite posta, telefono o online.
vulnerabilità: un difetto nel codice o nella progettazione che crea un potenziale punto di compromissione della sicurezza per un endpoint o una rete.
divulgazione delle vulnerabilità: la pratica di pubblicare informazioni su un problema di sicurezza del computer e un tipo di politica che stabilisce le linee guida per farlo.
wipe - per rendere illeggibili tutti i dati su un disco rigido. Il termine è spesso utilizzato in riferimento a rendere inaccessibili i dati memorizzati su un computer, smartphone o tablet prima dello smaltimento del dispositivo.