Segmentasi jaringan dan kepatuhan PCI

Titik awal ketika merumuskan cakupan perjalanan kepatuhan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) Anda dimulai dengan segmentasi jaringan. Ini hanya memerlukan pembuatan kontrol yang berfokus pada kebutuhan keamanan data Anda.

Agar Anda dapat memenuhi standar segmentasi jaringan PCI, Anda harus terlebih dahulu memahami maksud dan tujuan standar tersebut.

Apa itu Lingkungan Data Pemegang Kartu (CDE)?

PCI DSS menguraikan data pemegang kartu (CHD) sebagai data yang dapat diidentifikasi secara pribadi, yang terkait dengan kartu debit atau kredit individu. Definisi ini juga mencakup Nomor Rekening Utama (PAN) serta kode layanan, nama pemegang kartu, tanggal kedaluwarsa, dan data otentikasi kartu sensitif lainnya. Sederhananya, CDH terdiri dari informasi apa pun yang dapat digunakan untuk membuat tuduhan penipuan pada kartu individu atau mencuri identitas.

Lingkungan data pemegang kartu terdiri dari komputer atau sistem jaringan yang terlibat dalam pemrosesan, penyimpanan, atau transmisi informasi ini. CDH mencakup komponen sistem terkait seperti server, perangkat jaringan, perangkat komputasi, dan aplikasi. Ini mungkin komponen virtual, layanan keamanan, komponen jaringan, aplikasi, jenis server, dan apa pun yang terhubung ke CDE. Jika sistem atau karyawan dapat mengakses PJK, ini harus dipisahkan dari aspek lain dari perusahaan Anda.

PCI DSS dan Segmentasi Jaringan

Segmentasi jaringan memerlukan melihat cara informasi ditransmisikan melalui sistem Anda. Anda akan melihat CDE Anda sebagai sungai, dan data pemegang kartu sebagai kano yang menavigasi jeram. Sungai biasanya memiliki beberapa titik akses untuk kapal. Demikian juga, jaringan Anda memiliki berbagai titik akses data. Mereka seperti sungai, yang memiliki anak-anak sungai yang terhubung dengannya. Selama PJK Anda dapat mengapung di jalur dalam jaringan Anda, ada kebutuhan untuk membangun bendungan atau melindungi anak sungai itu.

Misalnya, konektivitas didefinisikan oleh PCI DSS sebagai nirkabel, virtual, dan fisik. Pada titik mana pun di sungai itu, PJK bisa masuk. Konektivitas nirkabel dapat mencakup koneksi Bluetooth dan LAN. Konektivitas fisik dapat berupa drive USB. Konektivitas virtual biasanya menggabungkan sumber daya bersama termasuk mesin virtual dan firewall virtual. Direkomendasikan agar Anda mengamankan jalur akses data ini sehingga PJK tidak terganggu.

Bagaimana Sistem Cakupan Perusahaan

Lingkup PCI DSS harus mencakup evaluasi kritis dari semua titik akses data dan anak sungai yang ditemukan di sungai CDE Anda. Penilaian PCI DSS dimulai dengan klasifikasi bagaimana dan di mana PJK diterima. Saat berjalan naik dan turun di tepi sungai CDE Anda, Anda harus menunjukkan dengan tepat semua saluran pembayaran serta metode untuk menerima data pemegang kartu. Setelah itu, ikuti perjalanan informasi yang dimulai dari pengumpulan hingga pemusnahan, pembuangan, dan pemindahan.

Anda juga harus menunjukkan dengan tepat dan menandai tempat kami di CDE Anda di mana data disimpan, diproses, atau dikirim. Identifikasi ini dapat mencakup pemahaman tidak hanya siapa yang menangani data, tetapi juga bagaimana informasi diproses. Anda juga harus mendokumentasikan proses dan teknologi yang telah Anda terapkan untuk mengamankan lingkungan data Anda.

Setelah melacak aliran informasi melalui jaringan Anda, pastikan Anda memasukkan semua proses, orang, dan komponen sistem yang memengaruhi CDE. Ini adalah langkah penting, yang berbeda dari yang sebelumnya karena mengharuskan Anda untuk melihat melampaui mereka yang berinteraksi dengan PJK. Sebaliknya, Anda harus fokus pada orang dan komponen sistem yang mendorong lingkungan data Anda.

Setelah sungai data Anda ditinjau, Anda harus membuat kontrol untuk melindungi informasi tersebut. Ini adalah cara yang sama seperti kebanyakan sungai memiliki tempat pendaratan, yang dimaksudkan untuk mencegah pelaut mendapatkan pintu masuk di titik-titik tertentu. Untuk menempatkan ini ke dalam perspektif, kontrol sangat penting. Demikian pula, Anda harus menemukan cara untuk membatasi ke mana informasi penting dapat pergi, dan siapa yang dapat mengaksesnya.

Untuk melakukan ini, ada kebutuhan untuk mengatur versi keamanan data bendungan. Ini mungkin termasuk menyiapkan metode enkripsi dan firewall. Setelah Anda menetapkan kontrol, ada kebutuhan untuk menerapkannya dalam mengamankan proses, komponen sistem, dan personel Anda. Yang terpenting, Anda harus memantau kontrol untuk memastikan bahwa setiap perubahan yang Anda buat berkembang bersama CDE Anda.

Apakah Ada Sistem di Luar Cakupan?

Sistem di luar ruang lingkup didefinisikan oleh Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC) sebagai sistem yang tidak memiliki akses ke sistem CDE. Khususnya, sistem di luar ruang lingkup menjadi langka. PCI SSC menetapkan bahwa komponen sistem tidak boleh menyimpan, memproses, atau bahkan mengirimkan PJK. Demikian pula, itu tidak boleh terhubung ke segmen jaringan apa pun yang menyentuh PJK.

Pihak ketiga dan penyedia layanan berada dalam cakupan kepatuhan standar keamanan PCI Anda. Mereka mirip dengan penjaga hutan sungai Anda. Dengan menjadi mitra bisnis Anda, mereka menyediakan layanan jarak jauh kepada Anda. Karena mereka terus-menerus terlibat dengan lingkungan data Anda, mereka dapat menimbulkan risiko yang dapat membahayakan PJK. Ini menyoroti pentingnya berpartisipasi dalam pemantauan pihak ketiga serta mengelola ekosistem vendor Anda.

Catatan Editor: Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT. Pelajari lebih lanjut di ReciprocityLabs.com.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Manajemen log PCI DSS
• Mencakup audit SOC2
• Persyaratan audit – Perusahaan swasta AS
• Rencana manajemen risiko – Untuk apa?
• Strategi analitik data efektivitas audit internal