PCIDSSログ管理

公開: 2018-12-17

支払いの回収を含むサービスを提供する企業は、ヘルスケア、食品、小売、ホスピタリティ、その他の業界を問わず、顧客の情報を保護するためのシステムを導入する必要があります。 これは、支払いデータの送信が非常に機密性が高いためです。

カード会員データ(CD)の業界標準を設定することに加えて、ペイメントカード業界データセキュリティ標準またはPCI-DSSは、違反に対する罰則を伴うこれらの標準も実施します。

PCI-DSSには正確に何が含まれますか?

2000年代初頭、ペイメントカード取引の世界的リーダーであるAmerican Express、MasterCard、Discover Financial Services、Visa Inc.、JCB Internationalが集まり、ペイメントカード業界-セキュリティ標準評議会またはPCI-SSCを立ち上げました。 評議会は、2つの目標を念頭に置いて支払い処理の情報セキュリティ基準を考案しました。

  • 不正な個人情報の盗難から顧客を保護し、
  • カード業界が回避可能なデータ侵害の支払いを回避するのを支援します。

PCI-SSCの審議から、顧客の支払いデータと情報を保護するためのカード業界の「ベストプラクティス」として今日私たちが知っていることは、すぐにPCI-DSSに標準化されました。

PCI-DSS違反に対するペナルティ

PCI-DSSは、規制ではなく「業界標準」としてのみ指定されていますが、PCI-DSSへの準拠はオプションではありません。 コンプライアンス違反は、マーチャントとしてのビジネスにとって重大な取り消しになる可能性があります。 カード会社と取得銀行は、コンプライアンス違反に対して月額5,000ドルから100,000ドルの罰金を科せられる場合があります。 このような罰金は中小企業にとって死刑になる可能性があります。

それでは、PCI-DSSコンプライアンスは必須ですか?

はい、そうです! 会社の規模や所属する業界に関係なく、カード会員データを受け入れる、送信する、または保存する場合は、PCI-DSSへの準拠が必須です。

PCI-DSS要件10:それは何ですか?

この要件は、ネットワークとデータの両方へのアクセスの監視に関係します。 ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視します。

ロギングメカニズムとは別に、ユーザーの行動を追跡および監視する能力は、データ侵害の検出、影響の軽減、または完全な防止において非常に重要です。 システムアクティビティログを使用すると、違反の原因を追跡、分析、および特定して、関係当局にアクションを警告することが容易になります。

要件10は、その要求を詳しく説明する39のサブパートであり、ユーザーのアクセスと環境内のアクティビティを継続的に監視することを強調しています。 ユーザーアクセス制御により、安全なカード会員データ環境(CDE)を確保できます。 さらに、PCI-DSSは非常に規範的な一連の標準であり、要件を満たすために必要な手順、プロセス、およびドキュメントの詳細なリストを示しています。

要件10コンプライアンス:どのような記録が必要ですか?

要件に完全に準拠していることを確認するために、PCI-DSSには多くのメカニズムが組み込まれています。 セクション、サブセクション、およびサブセクションの一部を一覧表示するほかに、この標準には、ユーザーが効果的なコントロールレビューを評価するのに役立つガイダンスセクションも含まれています。 以下は、準拠しているかどうかを確認するために不可欠なデータをログに記録するのに役立つ手順をまとめたものです。

  • アクセスを取得したシステムのセクションにユーザーアクセスを接続するシステム/プロセスを設計し、疑わしいアクティビティをそのソースに追跡できることを確信します。
  • システム管理者が疑わしいアクティビティの通知を受け取り、それに応じて対応する方法を示す監査証跡を作成します。
  • CDEへのすべての個々のアクセスエントリを記録して、許可されていないユーザーがシステム、ネットワーク、およびデータにアクセスしていないことを証明します。
  • 「admin / root」アカウントによって実行されたすべてのアクティビティを記録して、特権の誤用の可能性を明確に示し、違反を特定のソースまで追跡してください。
  • 監査ログへの変更、追加、または削除を識別する方法を実装することにより、監査ログのファイルの整合性を維持します。
  • 無効/違法なログイン試行の記録を取り、パスワードの推測とブルートフォースハッキング攻撃を追跡します。
  • 制御をバイパスしようとする認証アクティビティの操作を追跡できるようにするドキュメント。
  • 一時停止/再開をシステムの監査ログプロセスに記録します。
  • データベースやストアドプロシージャなどのシステムレベルのオブジェクトが、許可されていないユーザーアカウントを介して作成/削除されていないことを示すために、記録を保持します。
  • イベントログを作成して、ユーザーID、イベントタイプ、タイムスタンプ、成功/失敗インジケーター、イベントの発生、影響を受けるデータ、影響を受けるシステムコンポーネント、およびリソースID /名前を記録します。
  • システムコンポーネント間でクロックを同期して、フォレンジックチームの正確なイベントシーケンスのタブを保持します。
  • 情報の整合性とセキュリティを確保するために、監査ログアクセスで「最小特権の原則」を利用してください。
  • データの整合性を保証する一元化されたサーバー/メディアにログをバックアップします。
  • ログを直接書き込むか、外部ソースから安全な内部システムにオフロード/コピーします。
  • ファイルの整合性の監視と変更検出メカニズムを組み込んで、日付が違反した場合に監査ログの変更を検出します。
  • 手動で、またはログの収集、解析、およびアラートツールを介して、ログを定期的に確認します。
  • 疑わしいアクティビティなど、重要なシステムコンポーネントログのアラートについて、セキュリティ管理を毎日確認します。
  • 機密性の低いシステムを介した機密性の高いシステムへの潜在的な問題または不正アクセスの試みを明らかにするすべてのシステムコンポーネントの定期的なレビューをスケジュールします。
  • 例外/異常の調査を監視します。
  • すべての記録を最低1年間維持します。
  • 従業員がセキュリティポリシーとその監視を認識していることを確認してください。

サービスプロバイダーの追加要件

  • ファイアウォールの消去ルールやオフラインなど、重大なセキュリティ制御の障害を検出/警告するための正式な手順を実装します。
  • 関連する責任のある手順を含め、セキュリティ障害への対応に関する証拠を維持します。

編集者注: Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • SOC2監査の範囲
  • 監査要件–米国の民間企業
  • リスク管理計画–それは何のためですか?
  • 内部監査の有効性データ分析戦略
  • プロジェクト管理におけるリスクの優先順位付け