1.1과 1.2 두 버전간의 차이점에 대한 요약입니다.
모든 변경사항에 대한 비교 정보는
https://www.pcisecuritystandards.org/pdfs/pci_dss_summary_of_changes_v1-2.pdf
에서 확인가능합니다.
1.1.5~7까지의 requirements가 1.1.5 하나로 통합되었습니다.
실제 준비해나가다 보면 firewall configuration을 protocol 종류별로 따로 구분 관리하지는 않으므로 자연스러운 개선입니다.
1.1.8에서는 firewall ruleset 정기점검을 과거 분기 한번할것을 6개월에 한번 하면 되는것으로 완화되었습니다.
2.1.1에서는 WEP 무선보안 방식의 사용을 이제는 사실상 금지하도록 강화되었습니다. (WEP 사용금지는 4.1.1에서 다시한번 언급됩니다. 이미 WEP을 사용하고 있더라도 2010년 6월 30일까지는 폐기하도록 강요하는군요)
그리고 SSID broadcast가 다시 허용되는군요.
4.2에서는 예전 E-Mail Security만 언급하던데서 확장하여 End-User Messaging technologies로 정의하면서 여기에 E-Mail, Instant messaging, chat등이 포함되는군요.
6.5에서 최신 OWASP 10대 보안취약점에 대한 사항이 대폭 반영되었습니다.
버전 1.1에서는 OWASP 2004년도 버전을 기반으로 하였다면 1.2에서는 OWASP 2007년 버전으로 개편되었군요.
9.5 백업 미디어 체크는 최소한 1년에 한번 하도록 명시되었습니다.
11.1에서는 Wireless IDS/IPS 구현에 대한 옵션이 추가되었군요. 조만간 이것도 의무화될것으로 예상됩니다.
11.4 IDS/IPS적용 범위를 모든 네트웍 트래픽에서 카드정보저장 환경에 대한 트래픽으로 범위가 줄었습니다. (비용절감)
12.3에서는 근로자의 정보기기 사용통제에 대한 범위가 좀더 명확해졌습니다. (원격접근, 무선기기, 휴대용미디어, 이메일사용, 인터넷 사용, 랩탑, PDA등)
12.3.*의 모뎀 관련된 규정은 "Remote Access Technologies"로 변경되었군요. 모뎀은 사용하지 않아서 그냥 pass했었는데 챙겨봐야할 규정이 늘었습니다.
기타 다른 변경사항들도 많지만 Impact가 느껴지는 조항들은 앞서 언급한것들이군요.
댓글 없음:
댓글 쓰기