Manajemen log PCI DSS

Setiap perusahaan yang lini layanannya melibatkan pengumpulan pembayaran harus memiliki sistem untuk melindungi informasi pelanggan, baik dalam perawatan kesehatan, makanan, ritel, perhotelan, atau industri lainnya. Ini karena transmisi data pembayaran sangat sensitif.

Selain menetapkan standar industri untuk data pemegang kartu (CD), Standar Keamanan Data Industri Kartu Pembayaran atau PCI-DSS juga memberlakukan standar ini dengan hukuman terhadap pelanggaran.

Apa Sebenarnya Yang Dibutuhkan PCI-DSS?

Kembali di awal 2000-an, lima pemimpin global dalam transaksi kartu pembayaran: American Express, MasterCard, Discover Financial Services, Visa Inc. dan JCB International bertemu untuk meluncurkan Dewan Standar Keamanan Industri Kartu Pembayaran atau PCI-SSC. Dewan datang dengan standar keamanan informasi untuk pemrosesan pembayaran dengan dua tujuan:

• melindungi pelanggan dari pencurian identitas yang tidak sah, dan
• membantu industri kartu menghindari pembayaran untuk pelanggaran data yang dapat dihindari.

Dari pertimbangan PCI-SSC, apa yang kita kenal sekarang sebagai "praktik terbaik" industri kartu untuk menjaga data dan informasi pembayaran pelanggan segera distandarisasi ke dalam PCI-DSS.

Hukuman untuk Ketidakpatuhan PCI-DSS

Meskipun PCI-DSS hanya ditetapkan sebagai "standar industri" daripada peraturan, mematuhinya jauh dari opsional. Ketidakpatuhan dapat menjadi kehancuran yang signifikan bagi bisnis Anda sebagai pedagang. Perusahaan kartu dan bank yang mengakuisisi dapat mendenda antara $5.000 dan $100.000 setiap bulan untuk ketidakpatuhan. Denda semacam itu bisa menjadi hukuman mati bagi UKM.

Apakah Kepatuhan PCI-DSS, maka, Wajib ?

Ya itu! Terlepas dari ukuran perusahaan Anda atau industri tempat Anda berada, jika Anda menerima, mengirimkan, atau menyimpan data pemegang kartu, maka kepatuhan PCI-DSS adalah suatu keharusan.

Persyaratan PCI-DSS 10: Apa itu?

Persyaratan ini menyangkut pemantauan akses ke jaringan dan data. Ini menyatakan: Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu.

Selain mekanisme logging, kapasitas untuk melacak dan memantau tindakan pengguna sangat penting dalam pendeteksian, pengurangan dampak, atau pencegahan langsung terhadap pelanggaran data. Dengan log aktivitas sistem, lebih mudah untuk melacak, menganalisis, dan menentukan sumber pelanggaran untuk memperingatkan otoritas terkait untuk mengambil tindakan.

Dengan 39 sub-bagian yang menjelaskan tuntutannya, Persyaratan 10 menekankan bahwa Anda terus memantau akses pengguna ke dan aktivitas di lingkungan Anda. Kontrol akses pengguna memungkinkan Anda memastikan lingkungan data pemegang kartu (CDE) yang aman. Lebih lanjut, dengan PCI-DSS sebagai seperangkat standar yang sangat preskriptif, PCI-DSS menetapkan daftar langkah, proses, dan dokumen yang diperlukan untuk memenuhi persyaratannya.

Persyaratan 10 Kepatuhan: Catatan Apa yang Dibutuhkan?

Untuk membantu Anda memastikan bahwa Anda telah memenuhi persyaratannya sepenuhnya, PCI-DSS memiliki banyak mekanisme bawaan. Selain bagian daftar, sub-bagian, dan bagian dari sub-bagian, standar juga mencakup bagian Panduan untuk membantu penggunanya menghargai tinjauan kontrol yang efektif. Di bawah ini adalah kompilasi langkah-langkah yang dapat membantu Anda mencatat data penting untuk memastikan apakah Anda patuh atau tidak:

• Rancang sistem/proses yang menghubungkan akses pengguna ke bagian sistem yang mendapatkan akses dan yakinlah bahwa Anda dapat melacak aktivitas mencurigakan apa pun ke sumbernya.
• Buat jejak audit yang menunjukkan bagaimana admin sistem dapat menerima pemberitahuan tentang aktivitas mencurigakan apa pun dan meresponsnya dengan tepat.
• Catat semua entri akses individu ke CDE untuk membuktikan bahwa tidak ada pengguna yang tidak sah yang mendapatkan akses ke sistem, jaringan, dan data.
• Pastikan Anda mencatat semua aktivitas yang dilakukan oleh akun “admin/root” yang secara jelas menunjukkan kemungkinan penyalahgunaan hak istimewa dan melacak pelanggaran ke sumber spesifiknya.
• Menjunjung tinggi integritas file log audit dengan menerapkan metode untuk mengidentifikasi perubahan, penambahan, atau penghapusan apa pun.
• Catat upaya login yang tidak valid/ilegal untuk melacak tebakan kata sandi dan serangan peretasan paksa.
• Sebuah dokumen yang memungkinkan Anda untuk melacak manipulasi aktivitas otentikasi yang mencoba untuk melewati kontrol.
• Catat setiap jeda/restart ke proses logging audit sistem Anda.
• Simpan catatan untuk menunjukkan bahwa objek tingkat sistem seperti database atau prosedur tersimpan belum dibuat/dihapus melalui akun pengguna yang tidak sah.
• Buat log peristiwa untuk merekam ID pengguna, jenis peristiwa, stempel waktu, indikator keberhasilan/kegagalan, asal peristiwa, data yang terpengaruh, komponen sistem yang terpengaruh, dan identitas/nama sumber daya.
• Sinkronkan jam di seluruh komponen sistem untuk mengawasi urutan kejadian yang tepat untuk tim forensik.
• Manfaatkan "prinsip hak istimewa terkecil" dalam akses log audit untuk memastikan integritas dan keamanan informasi.
• Cadangkan log ke server/media terpusat yang menjamin integritas data.
• Tulis log secara langsung atau bongkar/salin dari sumber eksternal ke sistem internal yang aman.
• Menggabungkan mekanisme pemantauan integritas file dan deteksi perubahan untuk mendeteksi perubahan log audit jika terjadi kesalahan tanggal.
• Tinjau log secara teratur, baik secara manual atau melalui alat pemanenan, penguraian, dan peringatan log.
• Tinjau kontrol keamanan setiap hari untuk peringatan tentang log komponen sistem yang penting, misalnya aktivitas yang mencurigakan.
• Jadwalkan tinjauan rutin untuk semua komponen sistem yang mengungkapkan potensi masalah atau upaya akses tidak sah ke sistem sensitif melalui sistem yang kurang sensitif.
• Awasi investigasi pengecualian/anomali.
• Menyimpan semua catatan selama minimal satu tahun.
• Pastikan karyawan mengetahui kebijakan keamanan dan pemantauannya.

Persyaratan Tambahan untuk Penyedia Layanan

• Menerapkan prosedur formal untuk mendeteksi/memperingatkan kegagalan kontrol keamanan kritis, misalnya firewall menghapus aturan atau offline.
• Pertahankan bukti tentang respons terhadap kegagalan keamanan, termasuk prosedur yang terlibat dan bertanggung jawab.

Catatan Editor: Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT. Pelajari lebih lanjut di ReciprocityLabs.com.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Mencakup audit SOC2
• Persyaratan audit – Perusahaan swasta AS
• Rencana manajemen risiko – Untuk apa?
• Strategi analitik data efektivitas audit internal
• Memprioritaskan risiko dalam manajemen proyek