Segmentazione della rete e conformità PCI

Il punto di partenza quando si formula l'ambito del percorso di conformità PCI DSS (Payment Card Industry Data Security Standard) inizia con la segmentazione della rete. Ciò comporta semplicemente la creazione di controlli incentrati sulle esigenze di sicurezza dei dati.

Per soddisfare gli standard di segmentazione della rete PCI, è necessario prima comprendere gli obiettivi e lo scopo dello standard.

Che cos'è il Cardholder Data Environment (CDE)?

PCI DSS definisce i dati del titolare della carta (CHD) come qualsiasi dato di identificazione personale, associato alla carta di debito o di credito di un individuo. Questa definizione include anche i numeri di conto primario (PAN), nonché il codice del servizio, il nome del titolare della carta, la data di scadenza e qualsiasi altro dato sensibile di autenticazione della carta. In poche parole, CDH comprende tutte le informazioni che possono essere utilizzate per effettuare addebiti fraudolenti sulla carta di un individuo o per rubare un'identità.

L'ambiente dei dati dei titolari di carta comprende computer o sistemi di rete coinvolti nell'elaborazione, archiviazione o trasmissione di queste informazioni. CDH include componenti di sistema correlati come server, dispositivi di rete, dispositivi informatici e applicazioni. Questi possono essere componenti virtuali, servizi di sicurezza, componenti di rete, applicazioni, tipi di server e qualsiasi altra cosa connessa al CDE. Se i sistemi oi dipendenti possono accedere a CHD, questo dovrebbe essere separato dagli altri aspetti della tua azienda.

PCI DSS e segmentazione della rete

La segmentazione della rete implica l'analisi del modo in cui le informazioni vengono trasmesse attraverso i tuoi sistemi. Dovresti vedere il tuo CDE come un fiume e i dati del titolare della carta come una canoa che naviga nelle rapide. I fiumi in genere hanno più punti di accesso per le barche. Allo stesso modo, la tua rete ha vari punti di accesso ai dati. Sono proprio come i fiumi, ai quali sono collegati affluenti. Finché il tuo CHD può fluttuare lungo un percorso all'interno della tua rete, è necessario costruire una diga o proteggere quell'affluente.

Ad esempio, la connettività è definita da PCI DSS come wireless, virtualizzata e fisica. In qualsiasi punto lungo quel fiume, CHD può entrare. La connettività wireless può includere connessioni Bluetooth e LAN. La connettività fisica può essere costituita da unità USB. La connettività virtualizzata in genere incorporava risorse condivise, comprese macchine virtuali e firewall virtuali. Si consiglia di proteggere questi punti di accesso ai dati in modo che CHD non venga compromesso.

In che modo le aziende considerano i sistemi

L'ambito PCI DSS dovrebbe comportare la valutazione critica di tutti i punti di accesso ai dati e gli affluenti trovati sul fiume CDE. La valutazione PCI DSS inizia con la classificazione di come e dove viene ricevuta la CHD. Mentre cammini su e giù per la riva del tuo fiume CDE, devi individuare tutti i canali di pagamento e i metodi per accettare i dati dei titolari di carta. Successivamente, segui il percorso informativo che inizia con la raccolta attraverso la distruzione, lo smaltimento e il trasferimento.

Dovresti anche individuare e contrassegnare i nostri luoghi sul tuo CDE in cui i dati vengono archiviati, elaborati o trasmessi. Questa identificazione può includere la comprensione non solo di chi gestisce i dati, ma anche di come vengono elaborate le informazioni. Devi anche documentare i processi e le tecnologie che hai messo in atto per proteggere il tuo ambiente di dati.

Dopo aver tracciato il flusso di informazioni attraverso la tua rete, assicurati di incorporare tutti i processi, le persone e i componenti di sistema che influenzano il CDE. Questo è un passaggio cruciale, che differisce dal precedente poiché richiede di guardare oltre coloro che interagiscono con CHD. Invece, devi concentrarti sulle persone e sui componenti di sistema che guidano il tuo ambiente di dati.

Una volta che il tuo fiume di dati è stato rivisto, devi quindi creare controlli per proteggere le informazioni. Questo è esattamente lo stesso modo in cui la maggior parte dei fiumi dispone di sbarchi, che hanno lo scopo di impedire ai diportisti di entrare in determinati punti. Per mettere questo in prospettiva, i controlli sono essenziali. Allo stesso modo, devi trovare un modo per limitare dove possono andare le informazioni cruciali e chi può avervi accesso.

Per fare ciò, è necessario configurare la versione di sicurezza dei dati di Dams. Ciò può includere l'impostazione di metodi di crittografia e firewall. Dopo aver stabilito il controllo, è necessario applicarlo per proteggere i processi, i componenti del sistema e il personale. Soprattutto, devi monitorare i controlli per assicurarti che tutte le modifiche apportate si evolvano insieme al tuo CDE.

Esistono sistemi fuori campo?

I sistemi fuori campo sono definiti dal Payment Card Industry Security Standard Council (PCI SSC) come quelli senza accesso ai sistemi CDE. In particolare, i sistemi fuori campo sono diventati rari. PCI SSC stabilisce che il componente di sistema non deve memorizzare, elaborare o addirittura trasmettere CHD. Allo stesso modo, non dovrebbe essere connesso a nessun segmento di rete che tocca CHD.

Terze parti e fornitori di servizi rientrano nell'ambito della conformità agli standard di sicurezza PCI. Sono simili alle guardie forestali del tuo fiume. Essendo i tuoi partner commerciali, ti forniscono servizi remoti. Poiché interagiscono continuamente con l'ambiente dei dati, possono introdurre rischi che possono compromettere la CHD. Ciò evidenzia l'importanza della partecipazione al monitoraggio di terze parti e della gestione dell'ecosistema dei fornitori.

Nota del redattore: Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo. Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT. Ulteriori informazioni su ReciprocityLabs.com.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• Gestione del registro PCI DSS
• Scoping di un audit SOC2
• Requisiti di audit – Società private statunitensi
• Piano di gestione del rischio: a cosa serve?
• Strategia di analisi dei dati sull'efficacia dell'audit interno