كارت اعتباری ايمنی و دادههای شخصی ديگر
نويسنده: Diana Kelley
Network World
مترجم: آزاده ارشدی
فرامينگهام- سعی شركت من بر اين مبنی است تا Payment Card (PCI) Data Security Standard (DSS) را انجام دهد. يعنی ما نمیتوانيم هيچ داده كارت اعتباری Track II را ذخيره نماييم و همچنين بدين معنی است كه بايد داده اكانت اصلی را كه ذخيره میكنيم، كدگذاری نماييم. مشكل اينجاست: سالهاست كه ما بعضی از آن اطلاعات را ذخيره كردهايم. چگونه میتوانيم مطمئن باشيم كه تمام داده مهم، كشف شده و حذف شده است يا كاملا كد گذاری گشته است؟
نخست، بايد به هر سازمانی كه اين سوال را پرسيده است تبريك گفت، كجاست جای غيرساختار شده يا اكانت شده داده پنهانی در شبكه و ميزبانیهای ما؟ هنگاميكه بعضی سازمانها در مورد اين پرسش به دنبال تداركات PCI فكر میكنند، در ماورای داده كارت اعتباری همه چيز خوب پيش میرود. هر سازمانی كه اطلاعات مهم را ذخيره مینمايد، چه داده حساب مالی باشد يا اطلاعات شخصی مثل تاريخ تولد يا شمارههای تامين اجتماعی و يا اموال هوشمند حفاظت شده، بايد سوال مشابهی در مورد آنان پرسيده شود.
البته، پرسيدن اين سوال هميشه جواب مشابه ندارد. در واقع كشف و سندسازی تمام نمونههای نوع داده میتواند به سختی اثبات گردد. به مثال PCI خود بازگرديم، بعضی از عناصر داده، كه با كارتهای اعتباری مرتبط هستند، كاملا به آسانی قابل تشخيص میباشند. Primary account numbers يا PAN طرح ويژهای را دنبال میكنند كه نسبتا تك است. ابزارهای تشخيص میتوانند به منظور جستجور PAN مخصوص مثل تشخيص و جستجوی اين شمارهها پيكربندی شوند، چه در سرورها، و پايگاههای اطلاعاتی و يا در ميزبانها در فايلهايی مثل ورد يا اسناد اكسل ذخيره شده باشند. داده با امضای كمتر قابل تشخيص را در مدت كشف مشكلتر میتوان تفاوت گذاشت. معمولا Personal Information Number يا PIN يك عدد چهار تا شش رقمی ديجيتال است.
بر طبق قوانين PIN، PCI DSSها مجاز به ذخيره شدن نمیباشند. اما چهار تا شش عدد ديجيتال به اندازه كافی واضح نيستند تا با سطح بالای اطمينان همانند يك PIN تشخيص داده شوند. چهار تا شش عدد ديجيتال میتوانند يك عدد تعيين هويت شخصی، ميزان صورت موجودی، ارزش طرح فروشها يا هر عدد ساير چيزهای غير از PIN باشند. استفاده از ابزار تشخيص به منظور جستجوی چهار عدد ديجيتال، بدون هيچ نوع كمك جستجوی واجد شرايط، منتج به سطح بالای پاسخهای مثبت اشتباه خواهد شد.
پس چه میتوان كرد؟ در يك جمله كوتاه، سازگاری ابزارهای تشخيص به منظور جستجوی رويدادهای دادهای كه نزديك میباشد، ساير شاخصها میتوانند به كاهش پاسخهای مثبت اشتباه كمك كند. برای مثال، اگر يك صفحه گسترده "داده كارت" را بر چسب زده باشد، چهار عدد ديجيتال ارزش رسيدگی دارند. اگر مسير پايگاه اطلاعاتی با عنوان "فهرست صورت موجودی Widget" باشد، چهار عدد ديجيتال كمتر شبيه PIN میباشند. سازگاری ابزارهای تشخيص به منظور جستجوی ارتباطات مشابه میباشد كه دلالت بر نوع دادهای كه كشف شده، میكند كه پاسخهای مثبت اشتباه را حذف نمینمايد، اما آنان مطمئنا میتوانند در تهيه نشانهها در جاييكه اولين بار ديده شدهاند، كمك كنند.
در يك جمله بلند میتوان گفت، موقع آن است كه در مورد طبقهبندی داده و برچسبهای meta-data فكر نماييم. عناصر داده میتوانند با تگهايی كه دلالت بر نوع داده میكنند، ايجاد شوند و سپس روشهای مربوط به اينكه داده چگونه بكار برده میشود، (يعنی ذخيره شده، پاك شده، ذخيره شده فقط با كدگذاری، غيره) میتوانند اجرا شوند. وقتی عناصر داده "كارتهای" تعيين هويت خود را (تگ meta-data) با آنان حمل میكنند، آنان به راحتی بيشتری از تاريكی، گوشههای پنهانی لپتاپها و سرورها خارج میشوند.
Copyright 1998-2007 PC World Iran All
rights reserved.
Copyright 1977-2007 Electronics and Computer
Magazine (GSRP). All rights reserved.
Copyright 2000-2007.
International Data Corp. Inc.. All right Reserved.