goldennet

➤    NIS 指令適用於基本服務 (OES) / 數位服務提供商 (DSP)

歐盟的 NIS 指令針對網路和資訊系統的安全性，要求基本服務 (OES) 運營商和關鍵數位服務提供商 (DSP) 向主管機關通報嚴重的安全事件。此外，他們還需要能夠提供：

• 存取控制政策，包括角色、群組、存取權限的描述，以及授予和撤銷存取權限的程序
• 特權帳戶使用的日誌
• 職責分離控制矩陣

➤    PCI DSS 持卡人資料合規

PCI DSS (支付卡行業資料安全標準) 設立了控制對寶貴持卡人資料 (CHD) 和持卡人資料環境 (CDE) 存取的標準。為了滿足 PCI DSS 的要求，您必須防範外部和內部威脅：

• 加密端點之間的流量，以保護在傳輸中的持卡人資料 (CHD)
• 為應用程式開發人員和管理員提供安全的 CDE 存取
• 驗證用戶和伺服器，以確保授權用戶存取 CHD
• 記錄所有存取行為的正確稽核追蹤
  

➤    SANS-CIS 安全控制

SANS CIS 重要安全控制 (CSCs) 是有關如何防止網路攻擊並保護關鍵資產、基礎設施和資訊的建議。主題包括：

• 資產清單、用途和擁有者：誰擁有您的數位密鑰，它們如何使用以及數量是多少？
• 資訊保護：控制根存取密鑰、共享憑證、惡意數位密鑰和任何未監控的存取
• 網路存取控制：對網路存取進行會話級控制，消除未管理的數位密鑰
• 漏洞掃描和安全分析：掃描 SSH 密鑰強度、年齡、作業系統版本、SSH 版本、已知漏洞和政策違規情況
  

➤    HIPAA 和 SSH 管理

HIPAA（健康保險攜帶和責任法案）安全規則針對保護個人電子受保護健康資訊 (ePHI) 的保障措施，包括電子病歷 (EMR) 和電子健康記錄 (EHR) 。核心組件包括：

• 勞動力安全：應監控、可稽核且防範職責分離違規的安全存取
• 資訊存取管理：企業身份和存取管理政策應防止 SSH 隧道
• IT 稽核控制：系統化的存取配置和監控應包括修復舊版 SSH 密鑰，並將 SSH 密鑰管理整合到安全營運中心 (SOC) 和風險系統中
• 傳輸安全：通過適當的 SSH 管理防止中間人攻擊