2009/9/25 Rissone Ruggero: [...] > Per citare un esempio abbastanza in auge di best pratices relative alla > cifratura dei dati, > guarda i requisiti PCI-DSS relativi al rendere illeggibili i PAN delle carte > di credito. [...]
Solo per la precisione: i requisiti PCI-DSS non sono "legalmente" vincolanti. Se si ritiene che certe misure non siano appropriate, è sempre possibile non applicarle e documentare la motivazione. Gli strumenti tecnici che "automaticamente" verificano le configurazioni PCI possono non essere contenti, ma se sono buoni abbastanza ti lasceranno fare un "override" delle configurazioni di default per il report... Noi lo abbiamo fatto per esempio perché in certi casi, per via di necessità di routing, non usiamo IP "privati" con NAT come PCI-DSS richiederebbe Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
