PCI DSS 로그 관리

게시 됨: 2018-12-17

지불 징수와 관련된 서비스를 제공하는 모든 회사는 의료, 식품, 소매, 접객 또는 기타 산업 분야에서 고객 정보를 보호하기 위한 시스템을 갖추고 있어야 합니다. 결제 데이터 전송이 매우 민감하기 때문입니다.

카드 소지자 데이터(CD)에 대한 업계 표준을 설정하는 것 외에도 지불 카드 업계 데이터 보안 표준 또는 PCI-DSS는 위반에 대한 처벌과 함께 이러한 표준을 시행합니다.

PCI-DSS는 정확히 무엇을 수반합니까?

2000년대 초반에 American Express, MasterCard, Discover Financial Services, Visa Inc. 및 JCB International과 같은 지불 카드 거래의 글로벌 리더가 만나 지불 카드 산업 보안 표준 위원회 또는 PCI-SSC를 출범했습니다. 위원회는 두 가지 목표를 염두에 두고 결제 처리를 위한 정보 보안 표준을 마련했습니다.

  • 무단 신원 도용으로부터 고객을 보호하고,
  • 카드 업계가 피할 수 있는 데이터 침해에 대해 비용을 지불하지 않도록 돕습니다.

PCI-SSC의 심의를 통해 오늘날 우리가 카드 업계의 고객 지불 데이터 및 정보 보호를 위한 "모범 사례"로 알고 있는 것이 곧 PCI-DSS로 표준화되었습니다.

PCI-DSS 비준수에 대한 처벌

PCI-DSS는 규정이 아닌 '산업 표준'으로만 지정되어 있지만, 이를 준수하는 것은 선택 사항이 아닙니다. 규정을 준수하지 않으면 판매자로서의 비즈니스에 큰 타격을 줄 수 있습니다. 카드 회사와 인수 은행은 규정을 준수하지 않을 경우 매월 $5,000~$100,000의 벌금을 부과할 수 있습니다. 이러한 벌금은 중소기업에 사형선고가 될 수 있습니다.

그렇다면 PCI-DSS 준수는 의무 사항 입니까?

예, 그렇습니다! 회사 규모나 업종에 관계없이 카드 소유자 데이터를 수락, 전송 또는 저장하려면 PCI-DSS 준수가 필수입니다.

PCI-DSS 요구 사항 10: 무엇입니까?

이 요구 사항은 네트워크와 데이터에 대한 액세스 모니터링에 관한 것입니다. 내용: 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링합니다.

로깅 메커니즘 외에도 사용자 작업을 추적하고 모니터링하는 기능은 데이터 침해의 감지, 영향 감소 또는 전면적인 예방에 매우 중요합니다. 시스템 활동 로그를 사용하면 침해의 원인을 추적, 분석 및 결정하여 관련 당국에 조치를 취하는 것이 더 쉽습니다.

요구 사항을 설명하는 39개의 하위 부분이 있는 요구 사항 10에서는 환경에 대한 사용자 액세스 및 활동을 지속적으로 모니터링해야 한다고 강조합니다. 사용자 액세스 제어를 통해 보안 카드 소지자 데이터 환경(CDE)을 보장할 수 있습니다. 또한 PCI-DSS는 매우 규범적인 표준 세트이므로 요구 사항을 충족하는 데 필요한 단계, 프로세스 및 문서의 정교한 목록을 설정합니다.

요건 10 준수: 어떤 기록이 필요합니까?

요구 사항을 완전히 준수했는지 확인하는 데 도움이 되도록 PCI-DSS에는 많은 내장 메커니즘이 있습니다. 섹션, 하위 섹션 및 하위 섹션의 일부를 나열하는 것 외에도 표준에는 사용자가 효과적인 제어 검토를 이해하는 데 도움이 되는 지침 섹션도 포함되어 있습니다. 다음은 규정 준수 여부를 확인하는 데 필수적인 데이터를 기록하는 데 도움이 되는 단계 모음입니다.

  • 액세스 권한이 부여된 시스템 섹션에 대한 사용자 액세스를 연결하는 시스템/프로세스를 설계하고 의심스러운 활동을 소스에 추적할 수 있다고 확신하십시오.
  • 시스템 관리자가 의심스러운 활동에 대한 알림을 받고 그에 따라 대응할 수 있는 방법을 보여주는 감사 추적을 만듭니다.
  • CDE에 대한 모든 개별 액세스 항목을 기록하여 시스템, 네트워크 및 데이터에 대한 액세스 권한이 없는 사용자가 없음을 증명하십시오.
  • "admin/root" 계정이 수행한 모든 활동을 기록하여 권한의 오용 가능성을 명확하게 보여주고 위반을 특정 출처로 추적하십시오.
  • 감사 로그에 대한 변경, 추가 또는 삭제를 식별하는 방법을 구현하여 감사 로그의 파일 무결성을 유지합니다.
  • 암호 추측 및 무차별 대입 해킹 공격을 추적하기 위해 유효하지 않은/불법적인 로그인 시도를 기록합니다.
  • 제어를 우회하려는 인증 활동의 조작을 추적할 수 있는 문서입니다.
  • 시스템의 감사 로깅 프로세스에 대한 모든 일시 중지/재시작을 기록합니다.
  • 데이터베이스 또는 저장 프로시저와 같은 시스템 수준 개체가 무단 사용자 계정을 통해 생성/삭제되지 않았음을 입증하기 위해 기록을 유지합니다.
  • 사용자 ID, 이벤트 유형, 타임스탬프, 성공/실패 표시기, 이벤트 발생, 영향을 받는 데이터, 영향을 받는 시스템 구성 요소 및 리소스 ID/이름을 기록하는 이벤트 로그를 만듭니다.
  • 법의학 팀을 위한 정확한 이벤트 시퀀스 탭을 유지하기 위해 시스템 구성 요소 간에 시계를 동기화합니다.
  • 정보의 무결성과 보안을 보장하기 위해 감사 로그 액세스에서 "최소 권한 원칙"을 사용합니다.
  • 데이터 무결성을 보장하는 중앙 집중식 서버/미디어에 로그를 백업합니다.
  • 로그를 직접 작성하거나 외부 소스에서 안전한 내부 시스템으로 오프로드/복사합니다.
  • 파일 무결성 모니터링 및 변경 감지 메커니즘을 통합하여 날짜 위반 시 감사 로그 변경 사항을 감지합니다.
  • 수동으로 또는 로그 수집, 구문 분석 및 경고 도구를 통해 정기적으로 로그를 검토합니다.
  • 의심스러운 활동과 같은 중요한 시스템 구성 요소 로그에 대한 경고에 대해 매일 보안 제어를 검토합니다.
  • 덜 민감한 시스템을 통해 민감한 시스템에 대한 잠재적인 문제 또는 무단 액세스 시도를 드러내는 모든 시스템 구성 요소에 대한 정기 검토 일정을 잡습니다.
  • 예외/이상에 대한 조사 탭을 유지합니다.
  • 모든 기록을 최소 1년 동안 유지하십시오.
  • 직원들이 보안 정책과 모니터링을 인지하고 있는지 확인하십시오.

서비스 제공업체에 대한 추가 요구 사항

  • 중요한 보안 제어 실패(예: 방화벽 말소 규칙 또는 오프라인 전환)를 감지/경고하는 공식 절차를 구현합니다.
  • 관련된 절차와 책임 있는 절차를 포함하여 보안 실패에 대한 대응에 대한 증거를 유지합니다.

편집자 주: Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다. ReciprocityLabs.com에서 자세히 알아보십시오.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

  • SOC2 감사 범위 지정
  • 감사 요구 사항 – 미국 민간 기업
  • 위험 관리 계획 – 무엇을 위한 것입니까?
  • 내부 감사 효율성 데이터 분석 전략
  • 프로젝트 관리에서 위험 우선 순위 지정