【问题标题】:ClickOnce verbose - PCI compliance loggingClickOnce 详细 - PCI 合规性日志记录
【发布时间】:2012-09-06 06:43:17
【问题描述】:

至少就其内容(要求 10.3)而言,verbose ClickOnce logging 是否被认为符合 PCI DSS 2.0 要求 10.2.7?

(10.2) 对所有系统组件实施自动审计跟踪,以重建以下内容 事件: (10.2.7) 系统级对象的创建和删除

此类日志记录的分析样本会特别有用。

【问题讨论】:

    标签: clickonce pci-dss pci-compliance


    【解决方案1】:

    不是。

    在咨询了一家 QSA 公司后,我们发现详细 ClickOnce 日志记录无法满足此要求的关键原因在于它没有列出所有更改的程序集,而只列出了主要的可执行文件。

    即使我们想将整个 ClickOnce 应用程序解释为在 ClickOnce 部署期间更新的系统级对象,也存在其他缺失的信息。

    详细日志示例here

    【讨论】: