数据安全标准(DSS)与支付应用程序数据安全标准(PA-D

支付卡行业(PCI)数据安全标准(DSS)与支付应用程序数据安全标准(PA-DSS)术语、缩略语1.2版2008年10月PCI数据安全标准与支付应用程序数据安全标准2008年10月术语、缩略语第2页术语定义AAA“验证、授权和记帐”的缩略语。根据可验证的身份验证用户、根据用户权限授权用户以及为用户的网络资源消费记帐的协议。AES“高级加密标准”的缩略语。NIST于2001年11月采用的称为U.S.FIPSPUB197（或“FIPS197”）的对称密钥加密法中使用的块密码。请参阅“强效加密法”。ANSI“美国国家标准协会”的缩略语。管理和协调美国自愿标准化和合格评估体系的私有非赢利性组织。ASV“授权扫描供应商”的缩略语。PCISSC批准的提供外部漏洞扫描服务的公司。CIS“互联网安全中心”的缩略语。非赢利性企业，旨在帮助公司减少技术性安全控制不足导致的业务风险和电子商务中断。DMZ“隔离区”的缩略语。为公司的内部专用网络提供额外安全层的物理或逻辑子网络或计算机主机。DMZ在互联网和公司的内部网络间添加了另外一个网络安全层，这样从外部只能直接访问DMZ中的设备，而不能访问所有的内部网络。DNS“域名系统”或“域名服务器”的缩略语。将和域名有关的信息存储在网络（如互联网）分布式数据库中的系统。DSS“数据安全标准”的缩略语，也称为“PCIDSS”。ECC“椭圆曲线加密法”的缩略语。基于有限域上的椭圆曲线的公共密钥加密法。请参阅“强效加密法”。FIPS“联邦信息处理标准”的缩略语。美国联邦政府公开认可的标准，也供非政府机构和承包商使用。FTP“文件传输协议”的缩略语。通过公共网络（如互联网）在计算机间传输数据的网络协议。FTP被广泛认为是不安全的协议，因为密码和文件内容在发送期间未受保护，并且以纯文本的形式发送。FTP可以通过SSH或其他技术安全实施。GPRS“通用无线分组业务”的缩略语。GSM手机用户可以使用的移动数据业务。因为能高效地使用有限的带宽而被认可。特别适合用于发送和接收小型数据流，如电子邮件和网页浏览。GSM“全球移动通信系统”的缩略语。它是手机和网络的常用标准。GSM标准的普及使手机用户之间的国际漫游非常普遍，订户能在全世界的许多地方使用手机。HTTP“超文本传输协议”的缩略语。在万维网中传输信息的开放式互联网协议。HTTPS“安全套接层超文本传输协议”的缩略语。提供万维网验证和加密通信、用于安全敏感通信的安全HTTP，如基于Web的登录。ID用于特定用户或应用程序的标识符。IDS“入侵检测系统”的缩略语。用来识别和提醒有人试图入侵网络或系统的软件或硬件。组成部分包括：生成安全事件的传感器，监控事件和警报并控制传感器的控制台，以及将传感器记录的事件记录至数据库的中心引擎。使用规则系统生成警报，对检测到的安全事件做出反应。PCI数据安全标准与支付应用程序数据安全标准2008年10月术语、缩略语第3页术语定义IETF“互联网工程任务组”的缩略语。网络设计师、运营商、供应商和研究者的大型开放式国际机构，主要关注互联网体系结构发展和互联网的顺畅运作。IETF没有正式成员，并且对任何感兴趣的人开放。IP“互联网协议”的缩略语。包含使包能找到路径的地址信息和某些控制信息的网络层协议。IP是互联网协议套件中的主要网络层协议。IP地址也称为“互联网协议地址”。唯一识别互联网中特定计算机的数字代码。IP地址假冒恶意个人为了对计算机进行未授权访问而使用的攻击技术。通过使用表明消息来自受信任主机的IP地址，恶意个人可向计算机发送欺骗消息。IPS“入侵防御系统”的缩略语。若超出IDS，IPS将采取其他措施阻止入侵企图。IPSEC“互联网协议安全”的缩略语。通过加密和/或验证所有IP包保护IP通信的标准。IPSEC在网络层提供安全性。ISO通常称为“国际标准化组织”。由150多个国家/地区的国家标准机构网络组成的非政府组织，每个国家/地区有一名成员，中央秘书处设在瑞士日内瓦，由它协调整个系统。LAN“局域网”的缩略语。覆盖通常为一个建筑物或一组建筑物的小范围面积的计算机网络。LDAP“轻量级目录访问协议”的缩略语。用于查询和修改用户权限和授权访问受保护资源的验证和授权数据的存储库。LPAR“逻辑分区”的缩略语。将计算机总资源（即处理器、内存和存储）细分成更小单元的系统，这些单元能使用自身的、操作系统和应用程序的不同副本独立运行。逻辑分区通常用来允许在一个设备上使用不同的操作系统和应用程序。分区可以设置成是否允许互相通信或共享服务器的某些资源（如网络界面）。MAC“消息验证代码”的缩略语。在加密法中，它是用来验证消息的一小条信息。请参阅“强效加密法”。MAC地址“媒体访问控制地址”的缩略语。制造商分配给网络适配器和网络界面卡的唯一识别值。MPLS“多协议标签交换”的缩略语。旨在连接包转换网络组的网络或电信机制。NAT“网络地址转译”的缩略语。也称为网络伪装或IP伪装。将某个网络中使用的IP地址转换成其他网络中已知的不同IP地址。NIST“国家标准和技术研究所”的缩略语。美国商务部技术管理局的非限制性联邦机构。其任务是通过发展度量科学、标准和技术来改善经济安全和提高生活质量，以促进美国的创新和行业竞争。NMAP映射网络并识别网络资源中的开放端口的安全扫描软件。NTP“网络时间协议”的缩略语。在包切换、等待时间可变的数据网络上同步计算机系统时钟的协议。OWASP“开放式网络应用程序安全项目”的缩略语。2004年成立的致力于提高应用程序软件安全性的非赢利性组织。OWASP发布了OWASP前十位的漏洞，列出了昀重要的网络应用程序漏洞。（请参阅）。PCI数据安全标准与支付应用程序数据安全标准2008年10月术语、缩略语第4页术语定义PAN“主要账户号码”的缩略语，也称为“账号”。它是识别发卡机构和特定持卡人账户的唯一支付卡号码（通常用于信用卡或借记卡）。PA-QSA“支付应用程序合格安全性评估商”的缩略语，指PCISSC批准的、根据PA-DSS评估支付应用程序的公司。PAT“端口地址转译”的缩略语，也称为“网络地址端口转译”。它是也转译端口号的NAT类型。PCI支付卡行业。PDA“个人数据助理”或“个人数字助理”的缩略语。具有手机、电子邮件或网络浏览器功能的手持式移动设备。PIN“个人识别码”的缩略语。只有用户和验证用户的系统知道的机密数字密码。只有用户提供的PIN和系统中的PIN相符才允许用户访问。通常，PIN用于针对现金垫款交易的自动提款机。另外一种PIN类型是PIN代替持卡人签名的EMV芯片卡使用的PIN。POS“销售点”的缩略语。用来处理商户所在地的支付卡交易的硬件和/或软件。PVV“PIN验证值”的缩略语。编码在支付卡磁条中的任意值。QSA“合格安全性评估商”的缩略语，是指PCISSC批准的从事PCISSC现场评估的公司。RADIUS“远程拨入用户验证服务”的缩略语。验证和记帐系统。先检查通过RADIUS服务器的用户名和密码等信息是否正确，然后再授权访问系统。RBAC“基于角色的访问控制”的缩略语。特定授权用户基于工作职责用来限制访问的控制方式。RSARonRivest、AdiShamir和LenAdleman于1977年在曼彻斯特技术研究所(MIT)阐述的公共密钥加密算法，RSA是他们的姓氏的首字母。SANS“系统管理和网络安全审计委员会”的缩略语，是提供计算机安全培训和专业认证的机构。（请参阅）。SAQ“自行评估调查问卷”的缩略语。机构用来验证其PCIDSS合规性的工具。SDLC“系统开发生命周期”的缩略语。软件或计算机系统开发的各个阶段，包括规划、分析、设计、测试和实施。SHA-1/SHA-2“安全散列算法”的缩略语。与加密法散列相关的一系列或一组函数，包括SHA-1和SHA-2。请参阅“强效加密法”。SNMP“简单网络管理协议”的缩略语。针对要求管理员注意的任何情况，支持对网络附加设备进行监控。SQL“结构化查询语言”的缩略语。用来从关系数据库管理系统中创建、修改和检索数据的计算机语言。SQL注入攻击数据库驱动型网站的一种形式。恶意个人通过利用连接到互联网的系统中的不安全代码执行未授权的SQL命令。SQL注入攻击用来从数据通常不可用的数据库窃取信息和通过托管数据库的计算机获得对公司主机的访问权限。PCI数据安全标准与支付应用程序数据安全标准2008年10月术语、缩略语第5页术语定义SSH“安全接壳”的缩略语。为网络服务（如远程登录或远程文件传输）提供加密的协议套件。SSL“安全套接层”的缩略语。为网络浏览器和网络服务器间的通道进行加密而制定的行业标准，目的是确保数据在该通道中传输的隐秘性和可靠性。SysAdmin“系统管理员”的缩略语。负责管理计算机系统或网络的具有高级权限的个人。TACACS“终端访问控制器访问控制系统”的缩略语。通常用于远程访问服务器和验证服务器间决定用户访问网络权限的通信网络的远程验证协议。TCP“传输控制协议”的缩略语。互联网基础通信语言或协议。TDES“三重数据加密标准”的缩略语，也称为“3DES”或“三重DES”。通过使用三次DES密码而形成的块密码。请参阅“强效加密法”。TELNET“电话网络协议”的缩略语。通常用来给网络设备提供面向用户的命令行登录会话。用户证书以纯文本格式进行传输。TLS“传输层安全”的缩略语。目的是确保两个正在通信的应用程序间的数据安全性和完整性。TLS是SSL的后续。VLAN“虚拟LAN”或“虚拟局域网”的缩略语。超过单个传统物理局域网的逻辑局域网。VPN“虚拟专用网”的缩略语。这种计算机网络内的某些连接是更大网络（如互联网）内的虚拟线路，而不是使用物理电线直接连接。虚拟网的终点据说是通过隧道扩展的更大的现实网络。普通应用程序通过公共互联网实现安全通信，但VPN可能有或没有强大的安全功能（如验证或内容加密）。WAN“广域网”的缩略语。覆盖较大区域（通常是地区或公司范围）的计算机系统的计算机网络。Web服务器包含从Web客户端接受HTTP请求并提供HTTP响应（通常是网页）的程序的计算机。WEP“有线等效加密”的缩略语。用来加密无线网络的薄弱算法。行业专家已确认多个严重漏洞，以便在数分钟内用容易获得的软件断开WEP连接。请参阅“WPA”。WLAN“无线局域网”的缩略语。不用电线连接两台或多台计算机或设备的局域网。WPA/WPA2“WiFi访问保护”的缩略语。为保护无线网络安全而制定的安全协议。WPA是WEP的后续，被认为能比WEP提供更好的安全性。WPA2也是作为WPA的下一代协议而发布。安全擦除也称为“安全删除”，是用来从计算机系统永久删除特定文件的实用程序。安全政策规范公司管理、保护和分配敏感信息的一套法律、规则和惯例。安全执行官公司安全相关性事务的主要负责人。备份为了归档目的或防止损坏或丢失而复制数据副本。PCI数据安全标准与支付应用程序数据安全标准2008年10月术语、缩略语第6页术语定义补偿性控制当机构由于合法的技术限制或记录的业务限制，无法满足明确指定的要求，但已通过实施其他控制充分减轻了与此要求相关的风险时，可考虑补偿性控制。补偿性控制必须：(1)符合昀初PCIDSS要求的主旨和严格程度；(2)提供和昀初PCIDSS要求类似级别的防御机制；(3)“超越”其他PCIDSS要求（不仅仅是符合其他PCIDSS要求）；以及(4)与不遵循PCIDSS要求而引发的其他风险相对应。请参阅《PCIDSS要求和安全评估程序》中的补偿性控制附录B和C，获得使用补偿性控制的指导说明。补丁对现有软件的更新，以增加功能或纠正缺陷。不安全协议/服务/端口由于缺少对机密性和/或完整性的控制而引入安全问题的协议、服务或端口。这些安全问题包括传输数据和验证凭据（例如，互联网上的纯文本密码/密码短语）或在默认或配置不当的情况下容易允许利用数据的服务、协议或端口。不安全协议、服务或端口的一个例子就是FTP。不受信任的网络公司网络