Gestione del registro PCI DSS

Qualsiasi azienda la cui linea di servizio prevede la riscossione dei pagamenti deve disporre di sistemi in atto per salvaguardare le informazioni dei clienti, sia nel settore sanitario, alimentare, del commercio al dettaglio, dell'ospitalità o di qualsiasi altro settore. Questo perché la trasmissione dei dati di pagamento è molto sensibile.

Oltre a definire gli standard del settore per i dati dei titolari di carta (CD), il Payment Card Industry Data Security Standard o PCI-DSS applica anche questi standard con sanzioni contro la violazione.

Cosa comporta esattamente PCI-DSS?

All'inizio degli anni 2000, i cinque leader mondiali nelle transazioni con carte di pagamento: American Express, MasterCard, Discover Financial Services, Visa Inc. e JCB International si sono incontrati per lanciare il Payment Card Industry-Security Standards Council o PCI-SSC. Il consiglio ha elaborato standard di sicurezza delle informazioni per l'elaborazione dei pagamenti con due obiettivi in ​​mente:

• proteggere i clienti dal furto di identità non autorizzato e
• aiutare il settore delle carte a evitare di pagare per violazioni dei dati evitabili.

Dalle deliberazioni del PCI-SSC, quelle che oggi conosciamo come le "migliori pratiche" del settore delle carte per la protezione dei dati e delle informazioni sui pagamenti dei clienti sono state presto standardizzate in PCI-DSS.

Sanzioni per non conformità PCI-DSS

Sebbene PCI-DSS sia designato solo come uno "standard di settore" piuttosto che come un regolamento, rispettarlo è tutt'altro che opzionale. La non conformità può essere una rovina significativa per la tua attività di commerciante. Le società di carte e le banche acquirenti possono multare tra $ 5.000 e $ 100.000 al mese per non conformità. Tali multe possono essere una condanna a morte per le PMI.

La conformità PCI-DSS, quindi, è obbligatoria ?

Sì! Indipendentemente dalle dimensioni della tua azienda o dal settore in cui ti trovi, se accetti, trasmetti o memorizzi i dati dei titolari di carta, la conformità PCI-DSS è un must.

Requisito 10 PCI-DSS: che cos'è?

Questo requisito riguarda il monitoraggio dell'accesso sia alle reti che ai dati. Afferma: Tieni traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta.

Oltre ai meccanismi di registrazione, la capacità di tracciare e monitorare le azioni degli utenti è fondamentale per il rilevamento, la riduzione dell'impatto o la prevenzione totale delle violazioni dei dati. Con i registri delle attività di sistema, è più facile tracciare, analizzare e determinare l'origine di una violazione per avvisare le autorità interessate per un'azione.

Con 39 sottoparti che esplicitano le sue richieste, il Requisito 10 sottolinea che si monitora continuamente l'accesso degli utenti e le attività nel proprio ambiente. I controlli di accesso degli utenti consentono di garantire un ambiente protetto dei dati dei titolari di carta (CDE). Inoltre, essendo PCI-DSS un insieme di standard altamente prescrittivi, stabilisce un elenco elaborato dei passaggi, dei processi e dei documenti necessari per soddisfare i suoi requisiti.

Requisito 10 Conformità: quali registrazioni sono necessarie?

Per aiutarti ad assicurarti di aver soddisfatto pienamente i suoi requisiti, PCI-DSS ha molti meccanismi integrati. Oltre a elencare sezioni, sottosezioni e parti di sottosezioni, lo standard include anche una sezione Guida per aiutare i suoi utenti ad apprezzare un'efficace revisione del controllo. Di seguito è riportata una raccolta di passaggi che possono aiutarti a registrare i dati essenziali per accertare se sei conforme o meno:

• Progetta un sistema/processo che colleghi l'accesso dell'utente alle sezioni del sistema a cui è stato consentito l'accesso e assicurati di poter tracciare qualsiasi attività sospetta alla sua fonte.
• Crea audit trail che dimostrino come l'amministratore di sistema può essere informato di qualsiasi attività sospetta e rispondere di conseguenza.
• Registra tutte le voci di accesso individuali al CDE per dimostrare che nessun utente non autorizzato ha avuto accesso ai sistemi, alle reti e ai dati.
• Assicurati di registrare tutte le attività condotte da account "admin/root" che mostrino chiaramente qualsiasi possibile uso improprio dei privilegi e riconducano la violazione alla sua fonte specifica.
• Mantieni l'integrità dei file dei registri di controllo implementando un metodo per identificare eventuali modifiche, aggiunte o eliminazioni agli stessi.
• Registra i tentativi di accesso non validi/illegali per tracciare le ipotesi di password e gli attacchi di hacking a forza bruta.
• Un documento che consente di tracciare qualsiasi manipolazione delle attività di autenticazione che tenta di aggirare i controlli.
• Registra eventuali pause/riavvii dei processi di registrazione degli audit del tuo sistema.
• Conserva i record per dimostrare che gli oggetti a livello di sistema come database o stored procedure non sono stati creati/eliminati tramite account utente non autorizzati.
• Creare un registro eventi per registrare gli ID utente, i tipi di eventi, i timestamp, gli indicatori di successo/fallimento, l'origine degli eventi, i dati interessati, il componente di sistema interessato e l'identità/nome della risorsa.
• Sincronizza gli orologi tra i componenti del sistema per tenere sotto controllo le esatte sequenze di eventi per i team forensi.
• Utilizzare il "principio del privilegio minimo" nell'accesso al registro di controllo per garantire l'integrità e la sicurezza delle informazioni.
• Backup dei registri su server/supporto centralizzato che garantisce l'integrità dei dati.
• Scrivi i log direttamente o scaricali/copiali da fonti esterne su un sistema interno protetto.
• Incorpora il monitoraggio dell'integrità dei file e i meccanismi di rilevamento delle modifiche per rilevare le modifiche del registro di controllo in caso di errori di data.
• Esaminare regolarmente i registri, manualmente o tramite strumenti di raccolta, analisi e avviso dei registri.
• Esaminare i controlli di sicurezza quotidianamente per gli avvisi sui registri dei componenti di sistema critici, ad esempio qualsiasi attività sospetta.
• Pianifica revisioni regolari per tutti i componenti del sistema che rivelano potenziali problemi o tentativi di accesso non autorizzati a sistemi sensibili tramite sistemi meno sensibili.
• Tieni sotto controllo le indagini su eccezioni/anomalie.
• Conserva tutti i record per un minimo di un anno.
• Assicurati che i dipendenti siano a conoscenza delle politiche di sicurezza e del loro monitoraggio.

Requisiti aggiuntivi per i fornitori di servizi

• Implementare procedure formali per rilevare/avvisare errori critici di controllo della sicurezza, ad esempio l'eliminazione delle regole del firewall o la disconnessione.
• Conservare le prove sulla risposta ai fallimenti della sicurezza, inclusa la procedura coinvolta e responsabile.

Nota del redattore: Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo. Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT. Ulteriori informazioni su ReciprocityLabs.com.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• Scoping di un audit SOC2
• Requisiti di audit – Società private statunitensi
• Piano di gestione del rischio: a cosa serve?
• Strategia di analisi dei dati sull'efficacia dell'audit interno
• Dare priorità al rischio nella gestione del progetto