https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security 安全なネットワークの構築と維持
1. カード所有者のデータを保護するために、ファイアウォール構成をインストールして維持します。
2. システム パスワードおよびその他のセキュリティ パラメータには、ベンダー提供のデフォルトを使用しないでください。
カード所有者のデータを保護する
3. 保存されているカード会員データを保護します。
4. オープンなパブリック ネットワーク上でのカード所有者データの送信を暗号化します。
脆弱性管理プログラムを維持する
5. ウイルス対策ソフトウェアまたはプログラムを使用し、定期的に更新します。
6. 安全なシステムとアプリケーションを開発および維持します。
強力なアクセス制御対策を実装する
7. カード会員データへのアクセスを、業務上必要な範囲に制限します。
8. コンピュータにアクセスできる各ユーザーに一意の ID を割り当てます。
9. カード会員データへの物理的アクセスを制限します。
ネットワークを定期的に監視およびテストする
10. ネットワーク リソースとカード所有者のデータへのすべてのアクセスを追跡および監視します。
11. セキュリティ システムとプロセスを定期的にテストします。
情報セキュリティポリシーの維持
12. 従業員および請負業者の情報セキュリティに対処するポリシーを維持します。

ミラー サイトは、その場所またはファイルを 1 か所から利用できるようにするために、別のコンピューター サーバーにコピーされたコンピューター サーバー上の Web サイトまたはファイルのセットである場合があります。ミラー サイトには独自の URL がありますが、それ以外はプリンシパル サイトと同様です。負荷分散デバイスを使用すると、大容量サイトを簡単に拡張でき、複数のミラー サイト間で作業を分割できます。ミラー サイトは通常、最初のサイトのコンテンツを確実に反映するために頻繁に更新されます。場合によっては、最初のサイトが、より高速な接続を備え、おそらくは大規模な視聴者に近い、より大きな場所にミラー サイトを手配することがあります。最初のサイトで過剰な量のトラフィックが生成された場合、ミラー サイトを使用すると、Web サイトまたはファイルの可用性が向上します。広く使用されているソフトウェアのコピーやアップデートを提供する Web サイトの場合、ミラー サイトを使用すると、より大きな需要に対応できるようになり、ダウンロードされたファイルをより早く到着できるようになります。Microsoft や Sun Microsystems などの企業にはミラー サイトがあり、そこからブラウザ ソフトウェアがダウンロードされることがよくあります。最初のサイトがアクセスするサイトから地理的に離れている場合、ミラー サイトによりサイト アクセスが高速化されるのはよくあることです。ミラー化された Web サーバーは通常、プリンシパル サイトから特別な大陸に配置され、ミラー サイトの手前にいるユーザーがより高速で信頼性の高いアクセスを促すことができます。インターネット サイトのミラーリングは、アクセスが信頼できない場所や検閲されている場所でも情報が利用できるようにするために行うこともできます。2013年、中国当局がウォール・ストリート・ジャーナルやロイターなどの外国メディアへのアクセスをブロックしたとき、アクセスを回復し、政府の検閲を回避するためにサイトミラーリングが常用されていた。

バグ報奨金プログラムでは、独立したセキュリティ研究者が企業にバグを報告し、報酬や報酬を受け取ることができます。これらのバグは、場合によってはセキュリティの悪用や脆弱性を意味しますが、さらにメソッドの問題やハードウェアの欠陥なども具体化します。
レポート領域ユニットは通常、準学位のフリーランスのサードパーティ (Bugcrowd や HackerOne など) によるプログラム旅行を通じて作成されます。企業は、組織の要望に合わせて厳選されたプログラムを入手（そして実行）できます。
また、エリア単位を組織または一般に報告する場合 (誰でもサインインして参加できる場合)、プログラムは非公開 (招待制) となります。収集期間中、または停止せずに発生します (ただし、2 番目の可能性がよくあります)。
バグ報奨金プログラムを使用するのは誰ですか?
多くの主要組織は、AOL、Android、Apple、Digital Ocean、Goldman Sachs とともに、セキュリティ プログラムの分野としてバグ報奨金を使用しています。これらのリンクで、主要なバグ報奨金サプライヤーである Bugcrowd と HackerOne が提供するすべてのプログラムの一覧を読むことができます。
なぜ企業はバグ報奨金プログラムを利用するのでしょうか?
バグ報奨金プログラムにより、企業はコード内のバグを探すために大規模なハッカー集団を活用する柔軟性が得られます。
これにより、1 対 1 でアクセスできるよりもはるかに多様なハッカーやテスターに​​アクセスできるようになります。悪意のあるハッカーが悪用する前に、バグエリアユニットが発見して報告する確率が{可能性も高くなります|可能性も|可能性も|可能性があります}。
また、企業にとっては誠実な宣伝手段となる可能性もあります。バグ報奨金が非常に一般的になったため、バグ報奨金プログラムを導入することは、企業が成熟したセキュリティ プログラムを組み込んでいることを一般大衆だけでなく規制当局にも知らせることになります。
一部の人々は、バグ報奨金プログラムをすべての企業が投資すべきビジネスの常態と見なし始めているため、この傾向は今後も続くと思われます。
研究者やハッカーがバグ報奨金プログラムに参加するのはなぜですか?
バグ報奨金プログラムを通じてバグを見つけて報告すると、最終的にそれぞれの賞金と表彰が得られる場合があります。場合によっては、仕事を探しているときに現実世界の専門知識を示すことが良い感謝となり、企業内の保護チームの保護者にあなたを紹介しやすくなる場合もあります。
これは、一部の人にとってはフルタイムの収入であったり、雇用を補う収入であったり、自分のスキルを評価してフルタイムの仕事を見つける方法であったりします。
それも楽しいかもしれません！大企業や政府機関と比較して自分のスキルを試すには、（法的に）良い機会です。
独立した研究者やハッカーに対するバグ報奨金プログラムの欠点はどの部分にあるのでしょうか?
多くのハッカーがこのようなさまざまなプログラムに参加しているため、プラットフォーム上で多額の現金を形成するのは難しいでしょう。
報酬を得るには、ハッカーがプログラムにバグを最初に提出する必要があります。つまり、適用する場合、使用するバグを探すために何週間も支払う必要がありますが、それを報告する人になるためだけに、お金を稼ぐことはできません。
主要なバグ報奨金プラットフォームの参加者のうち、およそ 97 人はバグを売り切っていません。
実際、HackerOne の 2019 年のレポートでは、約 30,000 人の登録ユーザーのうち、プラットフォーム上で報奨金を受け取ったのはわずか約 2.5% であることが確認されています。
基本的に、ほとんどのハッカーはこれらのプラットフォームで多額の現金を生み出しているわけではなく、フルタイムの賃金を切り替えるのに十分な額の現金を生み出すのは本当にわずかです（さらに、彼らには休暇、保険、退職金計画などの利点がありません）。
組織にとってのバグ報奨金プログラムのデメリットをどのような尺度で測るのでしょうか?
これらのプログラムは、プログラムが最終的に企業自身では発見できなかった問題に気づくことになった場合 (そして企業がそれらの問題を解決する場合) にのみ役に立ちます。
企業が既知の問題を迅速に修正できるほど成熟していない場合、バグ報奨金プログラムはその企業にとって適切な代替手段ではありません。
また、バグ報奨金プログラムにはおそらく膨大な範囲の提出が集まり、そのうちのいくつかは高品質の提出とは言えません。企業は、誇張された量のアラートに対処する準備ができていなければなりません。また、コーヒーの信号とノイズの大きさの関係のリスクにも対処する準備ができていなければなりません (基本的に、有益なレポートごとに役に立たないレポートはかなり少数しか受信しないでしょう)。
さらに、プログラムに十分な参加者が集まらない場合（または、不適切な人材セットを持った参加者が集まり、参加者がバグを特定できない場合）、そのプログラムは企業にとって役に立ちません。
バグ報奨金参加者の圧倒的多数は Web サイトの脆弱性を考慮しています (HackerOn によると 72%) が、パッケージの脆弱性をより高く評価しているのはほんの一部 (3.5%) です。
これはおそらく、オペレーティング システム (ネットワーク ハードウェアやメモリなど) のハッキングには、非常に専門的な大量の経験が必要であるという実際の事実によるものです。これは、企業が代替アプリケーション、特に専門的な経験を必要とするアプリケーションではなく、Web サイトのバグ報奨金への投資が重要であると考えている可能性があることを意味します。
これは同時に、選択した期間内にアプリケーションや Web サイトを確認する必要がある組織は、レポートを一度に受け取るかどうかの保証がないため、バグ報奨金に依存する必要がない可能性があることを意味します。
最後に、フリーランスの研究者がネットワークに侵入しようとすることを許可することは、多くの場合おそらく危険です。これは、公衆の場でのバグの言論行為、脚光の中で名誉毀損を引き起こす可能性があります（個人が組織の製品やサービスを購入することに消極的になる可能性があります）、または追加の悪意のある第三者に対するバグの言論行為が国連機関によって使用される可能性がありますこのデータは組織に焦点を当てるために使用されます。