提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
翻译|行业资讯|编辑:李显亮|2020-07-09 11:02:25.640|阅读 193 次
概述:为了促进“无联系常态”,PCI安全标准委员会(PCI SSC)包括针对商业部署和软件应用程序的指南,以帮助解决潜在的支付安全漏洞。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
冠状病毒危机正在改变人类的行为。从对社会疏远的持续需求到可能永久采用在家工作的任务,“新常态”是未知的领域。
为了促进“无接触常态”,PCI安全标准委员会(PCI SSC)包括针对商业部署和软件应用程序的指南,以帮助解决潜在的支付安全漏洞。这是您需要知道的。
商用现货(COTS)设备通常是零售商接受非接触式付款的最简单方法。通过使用嵌入式近场通信(NFC)读取器,COTS解决方案可以轻松地与现有POS技术集成,并允许商家使用支持NFC的卡或受支持的智能手机应用程序立即接受来自客户的非接触式付款。
PCI COTS非接触式支付(CPoC)标准为这些设备定义了关键的安全要求,以确保安全地捕获,处理和处理消费者支付卡信息。符合CPoC的解决方案包括三个关键要素:
具有嵌入式NFC接口的COTS设备,能够读取支付卡或支付设备数据。根据CPoC标准,COTS设备必须具有在线连接以支持后端系统交互,并且PCI SSC建议使用受信任的执行环境(TEE)或安全元素(SE),该环境可提供基于硬件的保护以及加密功能操作,密钥管理和受信任的应用程序托管。
在商家COTS系统上运行的经过PCI DSS验证的付款接受软件。该应用程序必须提供一个通往嵌入式NFC设备的通道,执行初始数据加密并包含软件保护机制,以保持其完整性以防恶意攻击。此外,组织必须能够证明该应用程序是“在整个软件生命周期中都具有安全性概念和活动”开发的。
此外,“假定攻击者拥有在任何未知或不受信任的平台上执行的软件的完全访问权限,其中该软件可以是二进制可执行文件,解释的字节码或加载到平台上的其他形式。因此,该软件应提供固有的保护措施,以抵抗代码执行流程的逆向工程和篡改。这些保护可能包括但不限于使用代码混淆,对代码和处理流程的内部完整性检查以及代码段加密。”
简单地说,孤立地部署COTS解决方案以满足新兴的非接触式支付需求是不够的-它必须满足可信赖的数字环境,强大的软件保护以及独立的后端处理和监控控制的CPoC标准。
除了针对供应商和零售商的COTS指南之外,PCI DSS安全要求还详细说明了创建满足理事会3-D安全(3DS)标准的软件开发套件(SDK )的要求。为了使3DS SDK产品获得PCI DSS批准,它们必须满足三个安全目标:
保护3DS SDK的完整性
该目标包括定期的安全检查,以确定所使用的设备是否已生根或越狱,正在使用模拟器运行3DS SDK,已对该应用进行了篡改或已连接调试器。该软件还必须检查以确保其安装来自经批准的来源,并监视其运行时完整性以识别潜在的篡改,以及部署字符串和代码混淆工具和技术以防止反向工程。
维护敏感的3DS SDK元素
安全的3DS SDK软件还必须收集并清除敏感数据元素,并确保所使用的任何第三方元素都具有充分的文档记录和合理性。此外,软件必须包括针对UI和HTML呈现的保护,以及针对外部代码或脚本执行的有效防御。
有效且适当地使用密码术
最后,3DS SDK必须使用EMV 3-D Secure SDK规范中列出的认可的加密算法和方法,并确保随机数生成器满足不可预测性的行业标准。
随着非接触式支付成为全国范围内的标准操作程序,供应商和零售商需要满足或超过CPoC对软硬件防御的期望的COTS解决方案,以确保保护消费者支付数据。同时,致力于满足对符合PCI DSS的SDK的日益增长的需求的开发人员必须确保他们满足3DS的完整性,元素安全性和加密标准。
在这两种情况下,远程防御都始于软件。通过围绕应用程序的屏蔽,强化和模糊处理部署先进的工具和技术,开发人员和设备制造商不仅可以提高消费者的安全感,还可以确保新兴的COTS和SDK解决方案能够阻止攻击者打击非接触式网络安全的努力。
当前的危机状况已在零售和软件开发行业中产生连锁反应,因为没有任何联系成为信贷支付的新常态。但是随着支付指令的变更,潜在的安全漏洞–通过将新的PCI DSS标准与先进的应用程序内保护解决方案结合使用,组织可以主动采取行动,缩短无接触支付与有效保护之间的距离。
说到应用程序的保护以及代码混淆,小编为大家推荐两款实力派软件保护工具——Dotfuscator和DashO Pro。
Dotfuscator是一个.NET的Obfuscator。它提供企业级的应用程序保护,大大降低了盗版、知识产权盗窃和篡改的风险。Dotfuscator的分层混淆、加密、水印、自动失效、防调试、防篡改、报警和防御技术,为世界各地成千上万的应用程序提供保护。
DashO是一个Java和Android的混用程序,它提供企业级应用的加固和屏蔽,大大降低了知识产权盗窃、数据盗窃、盗版和篡改的风险。分层混淆,加密,水印,自动失效,反调试,反篡改,反仿真器,反挂钩,反根设备解决方案,为世界各地的应用程序提供保护。
下表突出显示了在过去20年中以各种形式包含在PreEmptive Protection产品Dotfuscator和DashO Pro的应用程序内保护模式,其客户已成功将其集成到几乎每个行业,地理和设备的应用程序中。
【点击下载Dotfuscator最新版】 【点击下载DashO最新版】
接受的模式 | 减少时间 | 最少的培训 | 简化的SDLC | 平台支援 | 合规 | 性能与质量 |
邮政编码处理 | √ | √ | √ |
|
√ |
|
IDE DevOps集成 | √ | √ | √ |
|
√ |
|
更新了侦探控制 | √ | √ |
|
√ | √ | √ |
交钥匙侦探反应 | √ | √ | √ | √ | √ | √ |
以应用程序为中心的响应 | √ |
|
|
|
√ | √ |
100%标准混淆 |
|
√ |
|
√ | √ | √ |
自动检测框架 | √ | √ | √ | √ | √ | √ |
Wizards | √ | √ | √ | √ | √ | √ |
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@capbkgr.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
Dotfuscator是一款.NET混淆器和压缩器,防止您的应用程序被反编译。
DashO for Android and JavaDashO-Pro是第三代的Java混淆器(obfuscator)、压缩机(compactor)、优化工具和水印工具(watermarker)。
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@capbkgr.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢