实施应用程序安全计划时,PCIDSS是否是充分的指导?组织是否应该超越托管PCI合规性清单?支付卡行业数据安全标准(PCIDSS)清单是一个良好的开端,但它无法涵盖现代企业中的所有应用程序安全问题。今天从事安全工作的项目经理将希望查阅PCIDSS指南,以及一些专门针对深度应用程序安全的相关安全标准。请记住,PCIDSS仅专注于信用卡,可能并不适用于所有信息安全组合。PCIDSS是信息安全的规范框架,它不一定特定于应用程序安全。PCIDSS12项标准的本质是要有一个安全的环境来保护敏感的持卡人数据。这些标准由安全策略强制执行,并由持续的漏洞管理和安全测试提供支持。在某种程度上,这正是组织的应用程序安全程序所需要的。然而,应用程序安全需要比一般信息风险管理建议更多的细节。改进应用程序安全计划的一个好方法是查看并遵循PCI安全标准委员会的支付应用程序数据安全标准(PA-DSS)。PA-DSS比PCIDSS更以应用程序安全为中心。它深入到应用程序安全架构,特别是PA-DSS要求概述了创建和维护安全应用程序的特定安全控制。总体而言,PCIDSS为管理信息安全提供了很好的指导。PA-DSS创建了一个整体安全计划以及特定的PCIDSS要求。如果您正在寻找另一个通用应用程序安全框架,我推荐OWASP的Top10及其相关项目。足够的应用程序安全性对不同的人和企业意味着不同的事情。最终,您需要将应用程序安全视为信息安全的一个子集,确保适当的流程和人员持续参与。
