U zadnje vrijeme sve više standarda donosi smjernice kako podići sigurnost informacijskih sustava, a jedan od njih je i PCI-DSS (Payment Card Industry – Data Security Standard). Razvijen je od konzorcija vodećih kartičnih kuća (Visa, American Express, MasterCard…) u svrhu učinkovitije zaštite važnih kartičnih podataka, a s ciljem smanjivanja broja prevara i povećavanja sigurnosnih standarda u kompanijama koje u svom poslu procesiraju ili pohranjuju podatke s kreditnih kartica.
PCI DSS standard se sastoji od 12 sigurnosnih zahtjeva raspoređenih u 6 kontrolnih točaka prema sljedećoj tablici:
| PCI DSS kontrolna točka | PCI DSS zahtjev | SQL Server 2008 funkcionalnost |
| Izgradnja i održavanje sigurne računalne mreže | 1. Instalirati i održavati konfiguracije vatrozida s ciljem zaštite korisničkih podataka | N/A |
| 2. Ne koristiti predefinirane sigurnosne postavke i pristupne lozinke | Built-in | |
| Zaštita kartičnih podataka | 3. Zaštititi pohranjene kartične podatke | TDE & EKM |
| 4. Koristiti mehanizme enkripcije prilikom prijenosa kartičnih podataka putem javnih komunikacijskih mreža | SSL & Extended Protection feature | |
| Održavanje programa upravljanja ranjivostima | 5. Koristiti i redovno ažurirati antivirusni softver | N/A |
| 6. Razvijati i održavati sigurne sustave i aplikacije | N/A | |
| Implementacija snažnih kontrola pristupa | 7. Dozvoliti pristup kartičnim podacima po principu - samo onima koji moraju znati |
Role based access |
| 8. Dodijeliti jedinstveni identitet svakom korisniku računalnog sustava |
Windows authentication | |
| 9. Ograničiti fizički pristup kartičnim podacima | N/A | |
| Redovno nadgledanje i testiranje računalnih mreža |
10. Pratiti i registrirati svaki pristup mrežnim resursima i kartičnim podacima |
SQL Auditing |
| 11. Redovno testirati sigurnosne sustave i procese | N/A | |
| Održavanje politike informacijske sigurnosti | 12. Održavati politiku informacijske sigurnosti | N/A |
Microsoft SQL Server 2008 (R2) donosi nove funkcionalnosti:
• SQL server Auditing (server and database level)
• TDE (Transparent Data Encryption)
• EKM (Extensible Key Management)
Microsoft SQL server pravilnom implementacijom navedenih funkcionalnosti omogućava da zaštitite svoje podatke prema PCI DSS standardu ili prema opće prihvaćenim sigurnosnim standardima.
Tvrtka Safenet (http://www.safenet-inc.com/) svojim setom proizvoda LUNA HSM i DataSecure nadopunjuje set funkcionalnosti SQL servera i omogućuje:
• Eksternu pohranu kriptografskih ključeva
• FIPS 140-2 Level 3 standard
• Column level encryption (DataSecure)
IT Sistemi, kroz svoje konzultantske i sistem integracijske usluge, pomoći će Vam u stjecanju PCI DSS certifikata i povećanju sigurnosti vaše tvrtke.