বাড়ি Securitywatch সম্মতি সত্যিকারের সুরক্ষা নয়। আমাদের ক্রেডিট কার্ড আরও ভাল প্রাপ্য

সম্মতি সত্যিকারের সুরক্ষা নয়। আমাদের ক্রেডিট কার্ড আরও ভাল প্রাপ্য

ভিডিও: Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाठ(নভেম্বর 2024)

ভিডিও: Devar Bhabhi hot romance video देवर à¤à¤¾à¤à¥€ की साथ हॉट रोमाठ(নভেম্বর 2024)
Anonim

টার্গেট, নেইমান মার্কাস এবং অন্যান্য খুচরা বিক্রয় কেন্দ্রগুলিতে সাম্প্রতিক ডেটা লঙ্ঘন প্রমাণ করেছে যে শিল্পের মান মেনে চললে ভাল সুরক্ষায় অনুবাদ হয় না। তাহলে আমরা কেন আমাদের চেকলিস্ট দিয়ে সময় নষ্ট করছি?

কার্ডগুলি সোয়েপ করা এবং তথ্য এনক্রিপ্ট করার আগে আক্রমণকারীরা পেমেন্ট কার্ডের বিশদটি বাধা দেয়, টার্গেট এবং নেইমন মার্কাসের আধিকারিকরা 5 ফেব্রুয়ারী হাউস এনার্জি অ্যান্ড কমার্স কমিটির বাণিজ্য, উত্পাদন এবং বাণিজ্য শুনানির জন্য সাব কমিটিতে সাক্ষ্য দিয়েছিলেন। "নিমানমান মার্কাসের সিনিয়র সহ-সভাপতি এবং সিআইও মাইকেল কিংস্টন বলেছেন, " প্রক্রিয়াজাতকরণের জন্য এনক্রিপ্ট করা টানেলের মাধ্যমে প্রেরণ করার আগে সোয়াইপ-মিলিসেকেন্ডের পরে অবিলম্বে এই তথ্যগুলি স্ক্র্যাপ করা হয়েছিল।"

কার্ডগুলি সোয়েপ করা হলে চৌম্বকীয় স্ট্রিপ থেকে তথ্য এনক্রিপ্ট করা হয় না। তথ্য দখল থেকে খুচরা বিক্রেতাদের পয়েন্ট-অফ-বিক্রয় টার্মিনালগুলিতে ম্যালওয়্যারকে ব্যর্থ করার একমাত্র উপায় হ'ল শুরু থেকেই ডেটা এনক্রিপ্ট করা। জিনিসটি হ'ল, শেষ থেকে শেষের এনক্রিপশনটি বর্তমানে শিল্প বিধিমালা দ্বারা বাধ্যতামূলক করা হয়নি, যার অর্থ এই ফাঁকটি যে কোনও সময়ই খুব শীঘ্রই সরে যাচ্ছে না।

এমনকি চৌম্বকীয় স্ট্রাইপ কার্ডগুলি থেকে EMV চিপ কার্ডে স্থানান্তর করা প্রান্ত-থেকে-শেষ এনক্রিপশন সমস্যার সমাধান করতে পারে না, যেহেতু তথ্যটি সোয়াইপ করা হচ্ছে এমন সময়ে স্পষ্ট পাঠ্যে প্রেরণ করা হয়েছে। ইএমভি কার্ডগুলি গ্রহণ করা প্রয়োজনীয়, তবে সংস্থাগুলি যদি তাদের সুরক্ষা প্রতিরক্ষার সমস্ত দিকগুলি বীফিংয়ের বিষয়ে চিন্তা না করে তবে এটি যথেষ্ট হবে না।

পিসিআই-ডিএসএস কাজ করে না

খুচরা বিক্রেতারা - যে কোনও সংস্থা যা অর্থ প্রদানের ডেটা পরিচালনা করে, সত্যই consumer তাদের ভোক্তাদের তথ্য সুরক্ষিতভাবে সঞ্চিত এবং সংক্রমণিত হয় তা নিশ্চিত করার জন্য পেমেন্ট কার্ড ইন্ডাস্ট্রি-ডেটা সিকিউরিটি স্ট্যান্ডার্ড (পিসিআই-ডিএসএস) মেনে চলতে হয়। পিসিআই-ডিএসএসের অনেকগুলি বিধি রয়েছে যেমন ডেটা এনক্রিপ্ট করা হয়েছে তা নিশ্চিত করা, ফায়ারওয়াল ইনস্টল করা এবং অন্যদের মধ্যে ডিফল্ট পাসওয়ার্ড ব্যবহার না করা। এটি কাগজে একটি ভাল ধারণা বলে মনে হচ্ছে, তবে বেশ কয়েকটি সাম্প্রতিক ডেটা লঙ্ঘন যেমন দেখিয়েছে, এই সুরক্ষা আদেশগুলি মেনে চলার অর্থ এই নয় যে সংস্থাটি কখনও লঙ্ঘন করবে না।

"স্পষ্টতই, পিসিআই সম্মতি খুব ভালভাবে কাজ করছে না - এটি অর্জনের প্রয়াসে ব্যবসায়ী এবং কার্ড প্রসেসরদের কোটি কোটি ডলার ব্যয় করার পরেও, " গার্টনারের সহ-সভাপতি এবং বিশিষ্ট বিশ্লেষক আভিভা লিটন গত মাসে একটি ব্লগ পোস্টে লিখেছিলেন।

মানটি প্রচলিত প্রতিরক্ষামূলক পদক্ষেপগুলিতে মনোনিবেশ করে এবং সর্বশেষ আক্রমণকারী ভেক্টরগুলির সাথে রক্ষা করে না। খুচরা বিক্রেতা লঙ্ঘনের সর্বশেষতম রাউন্ডে আক্রমণকারীরা ম্যালওয়্যার ব্যবহার করেছিল যা এন্টিভাইরাস সনাক্তকরণ থেকে বিরত ছিল এবং এটি বাহ্যিক সার্ভারে স্থানান্তর করার আগে এনক্রিপ্ট করা ডেটা। লিটন বলেছিলেন, "পিসিআই স্ট্যান্ডার্ডে আমি যা জানি না তা এই জিনিসটি ধরতে পারত।"

কার্ড বিতরণকারী ব্যাংক এবং কার্ড নেটওয়ার্কগুলিতে (ভিসা, মাস্টারকার্ড, অ্যামেক্স, ডিসকভার) লাইটান ভঙ্গকারীদের জন্য দোষ চাপিয়ে দিয়েছিল "" দেউলিয়া প্রতিরোধে আরও কিছু না করার জন্য "। লিটন বলেছে যে কার্ডের ডেটাগুলির জন্য এনক্রিপশনকে শেষ-টু-এন্ড (ইস্যুকারীকে খুচরা বিক্রেতা) সমর্থন করার জন্য তাদের অর্থ প্রদানের সিস্টেমের অবকাঠামোগত উন্নত করা উচিত ছিল, লিটন বলেছিল।

কমপ্লায়েন্ট ইজ নট সিকিউরিটি

পিসিআই-কমপ্লায়েন্ট স্টিকারটিকে কেউ গুরুত্বের সাথে নিবে বলে মনে হয় না। সবেমাত্র প্রকাশিত ভেরিজন 2014 পিসিআই কমপ্লায়েন্স রিপোর্টে দেখা গেছে যে কেবলমাত্র 11 শতাংশ সংস্থাগুলি পেমেন্ট কার্ড শিল্পের মানগুলির সাথে পুরোপুরি অনুগত ছিল। প্রতিবেদনে দেখা গেছে যে অনেক সংস্থা মূল্যায়নটি পাস করতে প্রচুর সময় এবং শক্তি ব্যয় করে, তবে একবার হয়ে যায়, মেনে চলার জন্য রক্ষণাবেক্ষণের কাজগুলি চালিয়ে যায় - বা করতে পারে না।

আসলে, ট্রেন্ড মাইক্রো এর পাবলিক টেকনোলজি এবং সলিউশনগুলির পরিচালক জেডি শেরি মাইকেল এবং নীমন মার্কাসকে "পুনরাবৃত্তি অপরাধী" হিসাবে ডেকেছিলেন।

আরও উদ্বেগজনক, সংস্থাগুলির প্রায় ৮০ শতাংশ ২০১৩ সালে কমপ্লেক্স বিধিগুলির "কমপক্ষে ৮০%" পূরণ করেছিলেন। "বেশিরভাগ" অনুগত বলে মনে হয় সন্দেহজনকভাবে "আসলেই নয়" অনুগত, কারণ অবকাঠামোতে কোথাও ফাঁক গর্ত রয়েছে।

"একটি সাধারণ ভুল ধারণাটি হ'ল পিসিআই সুরক্ষার জন্য ক্যাচ-অল হওয়ার জন্য তৈরি করা হয়েছিল, " ট্রাস্টউভের সিনিয়র সহ-সভাপতি ফিলিপ স্মিথ হাউসের শুনানিতে সাক্ষ্য দিয়েছেন।

তাহলে আমরা এখনও পিসিআইয়ের সাথে লেগে থাকব কেন? এটির মাধ্যমে ব্যাংকগুলি এবং ভিসা / মাস্টারকার্ডকে আমাদের সামগ্রিক সুরক্ষা উন্নত করতে কিছু করার দরকার নেই get

প্রকৃত সুরক্ষায় ফোকাস করুন

সুরক্ষার বিশেষজ্ঞরা বারবার হুঁশিয়ারি দিয়েছিলেন যে প্রয়োজনীয়তার তালিকায় ফোকাস করার অর্থ সংস্থাগুলি ফাঁকগুলি লক্ষ্য করে না এবং আক্রমণ বিবর্তনের পদ্ধতিগুলির সাথে সামঞ্জস্য করতে সক্ষম হয় না। "মেনে চলা এবং সুরক্ষিত হওয়ার মধ্যে পার্থক্য রয়েছে, " রেপ। মার্শা ব্ল্যাকবার্ন (আর-টেন) হাউসের শুনানিতে উল্লেখ করেছেন।

আমরা জানি যে লক্ষ্যটি প্রযুক্তি এবং একটি ভাল সুরক্ষা দলে বিনিয়োগ করেছে। সংস্থাটি সম্মতি অর্জন ও প্রমাণ করতে প্রচুর সময় এবং অর্থ ব্যয় করেছে। যদি এর পরিবর্তে, পিসিআই-তে উল্লিখিত না হওয়া সুরক্ষা ব্যবস্থা, যেমন স্যান্ডবক্সিং প্রযুক্তি গ্রহণ করা বা এমনকি সংক্ষেপে সংবেদনশীল সিস্টেমগুলি বন্ধ করে দেওয়া হয়েছে এমন নেটওয়ার্ককে বিভাগকরণের মতো লক্ষ্যগুলি যদি সমস্ত প্রচেষ্টা ব্যয় করতে পারে?

কী হবে, যদি পরবর্তী কয়েক মাস ডকুমেন্টিং ব্যয় করার পরিবর্তে এবং কীভাবে তাদের ক্রিয়াকলাপগুলি পিসিআইয়ের চেকলিস্টে ম্যাপ করে, খুচরা বিক্রেতারা সুরক্ষার একাধিক স্তর গ্রহণের দিকে মনোনিবেশ করতে পারে যেগুলি চলাচল করে এবং বিকশিত আক্রমণগুলিকে মানিয়ে নিতে পারে?

পিসিআই নিয়ে চিন্তিত খুচরা বিক্রেতারা এবং পৃথক সংস্থাগুলি পরিবর্তে, আমরা কী ব্যাংক এবং কার্ড নেটওয়ার্ককে জবাবদিহি করি? ততক্ষণে, আমরা এই লঙ্ঘনগুলি আরও দেখতে চলেছি।

সম্মতি সত্যিকারের সুরক্ষা নয়। আমাদের ক্রেডিট কার্ড আরও ভাল প্রাপ্য