PCI DSS當前對於數據庫要求有下述明確的控制措施:
• 對訪問任意數據庫的所有用戶進行認證。
• 所有用戶訪問任何數據庫時,用戶的查詢和操作(例如移動、拷貝和刪除)只能通過編程性事務(例如存儲過程)。
• 數據庫和應用的配置設置爲只限於給DBA(數據庫管理員)的直接用戶訪問或是查詢。
• 對於數據庫應用和相關的應用ID,應用ID只能被應用使用,而不能被單獨的用戶或是其它進程使用。
就運行數據庫的主機的操作系統來說,以下的最佳實踐應該到位:
1. 系統管理員和其他相關的IT人員應該擁有充分的知識、技能並理解所有關鍵操作系統的安全要求。
2. 當部署操作系統到受管理的服務環境中時,應採用行業領先的配置標準和配套的內部文檔。
3. 在操作系統上應該只啓用那些必需的和安全的服務、協議、守護進程和其它必要的功能。
4. 操作系統上所有不需要的功能和不安全的服務及協議應該有效地禁用。
5. Root帳戶應該選擇唯一的密碼進行恰當地防護並定期更換。
6. Root帳戶應只限於需要的最少的人知道。
7. 應該將Syslog配置爲文件發送和syslog數據複製到一臺集中的syslog服務器,從而用來評審日誌信息。
8. “最小權限”的準則,即聲明只應賦予用戶能夠有效地和正常地完成他們工作所需的權限,在考慮操作系統的訪問權限時應當考慮。
9. 應該保證操作系統應用了所有相關的和關鍵的安全補丁。
對於實際的數據庫本身,推薦以下的最佳實踐:
1. 應當有恰當的人員維護和更新用戶名單,其中這些用戶可以訪問受管理的應用服務環境中數據庫。
2. 系統管理員和其他相關的IT人員應該有充分的知識、技能並理解所有的關鍵的數據庫安全要求。
3. 當部署數據庫到受管服務環境中時,應該採用行業領先的配置標準和配套的內部文檔。
4. 對於數據庫功能不需要的默認用戶帳戶,應該鎖定或是做過期處理。
5. 對於所有仍在使用中的默認用戶帳戶,應該主動地變更密碼以採用強密碼措施。
6. 應該給數據庫內的管理員帳戶分配不同的密碼,這些帳戶不應使用共享密碼或組密碼。
7. 措施要到位,用於保護數據字典以及描述數據庫中所有對象的支持性元數據。
8. 對於任何訪問數據庫的基於主機的認證措施,應當有足夠的適當的過程來確保這種訪問類型的整體安全。
9. 數據庫監控應到位,由能夠根據需要對相關的人員進行告警的工具組成。
10. 保證數據庫應用了所有相關的和關鍵的安全補丁。