Segmentacja sieci i zgodność z PCI

Punktem wyjścia podczas formułowania zakresu podróży w zakresie zgodności ze standardem Payment Card Industry Data Security Standard (PCI DSS) jest segmentacja sieci. Wiąże się to jedynie z tworzeniem kontroli, które koncentrują się na Twoich potrzebach w zakresie bezpieczeństwa danych.

Aby spełnić standardy segmentacji sieci PCI, musisz najpierw zrozumieć cele i przeznaczenie standardu.

Co to jest środowisko danych posiadacza karty (CDE)?

PCI DSS określa dane posiadacza karty (CHD) jako wszelkie dane umożliwiające identyfikację osoby, które są powiązane z kartą debetową lub kredytową danej osoby. Definicja ta obejmuje również podstawowe numery kont (PAN), a także kod usługi, imię i nazwisko posiadacza karty, datę wygaśnięcia i wszelkie inne poufne dane uwierzytelniające karty. Mówiąc najprościej, CDH obejmuje wszelkie informacje, które można wykorzystać do nieuczciwego obciążania karty danej osoby lub kradzieży tożsamości.

Środowisko danych posiadacza karty obejmuje komputery lub systemy sieciowe zaangażowane w przetwarzanie, przechowywanie lub przesyłanie tych informacji. CDH obejmuje powiązane komponenty systemu, takie jak serwery, urządzenia sieciowe, urządzenia komputerowe i aplikacje. Mogą to być komponenty wirtualne, usługi bezpieczeństwa, komponenty sieciowe, aplikacje, typy serwerów i wszystko inne, co jest połączone z CDE. Jeśli systemy lub pracownicy mogą uzyskać dostęp do CHD, należy to oddzielić od innych aspektów Twojej firmy.

PCI DSS i segmentacja sieci

Segmentacja sieci polega na sprawdzaniu, w jaki sposób informacje są przesyłane przez Twoje systemy. Powinieneś zobaczyć swoje CDE jako rzekę, a dane posiadacza karty jako kajak płynący po kaskadach. Rzeki zazwyczaj mają wiele punktów dostępu dla łodzi. Podobnie Twoja sieć ma różne punkty dostępu do danych. Są jak rzeki, z którymi łączą się dopływy. Dopóki Twój CHD może płynąć ścieżką w Twojej sieci, istnieje potrzeba zbudowania tamy lub ochrony tego dopływu.

Na przykład łączność jest zdefiniowana przez PCI DSS jako bezprzewodowa, zwirtualizowana i fizyczna. W dowolnym momencie w dół rzeki CHD może wejść. Łączność bezprzewodowa może obejmować połączenia Bluetooth i sieci LAN. Łącznością fizyczną mogą być dyski USB. Zwirtualizowana łączność zazwyczaj obejmuje współużytkowane zasoby, w tym maszyny wirtualne i wirtualne zapory. Zaleca się zabezpieczenie tych punktów dostępu do danych, tak aby CHD nie zostało naruszone.

Jak firmy zasięgają systemów

Zakres PCI DSS powinien obejmować krytyczną ocenę wszystkich punktów dostępu do danych i dopływów znajdujących się na twojej rzece CDE. Ocena PCI DSS rozpoczyna się od klasyfikacji sposobu i miejsca otrzymania CHD. Spacerując po brzegu rzeki CDE, musisz wskazać wszystkie kanały płatności, a także metody akceptowania danych posiadacza karty. Następnie podążaj drogą informacyjną, zaczynając od zbierania, poprzez niszczenie, usuwanie i przekazywanie.

Powinieneś również wskazać i zaznaczyć nasze miejsca na CDE, w których dane są przechowywane, przetwarzane lub przesyłane. Ta identyfikacja może obejmować zrozumienie nie tylko tego, kto przetwarza dane, ale także sposobu przetwarzania informacji. Musisz również udokumentować procesy i technologie, które wdrożyłeś w celu zabezpieczenia środowiska danych.

Po śledzeniu przepływu informacji w sieci upewnij się, że uwzględniasz wszystkie procesy, osoby i komponenty systemu, które mają wpływ na CDE. Jest to kluczowy krok, który różni się od poprzedniego, ponieważ wymaga spojrzenia poza osoby, które wchodzą w interakcje z CHD. Zamiast tego musisz skupić się na ludziach i komponentach systemu, które napędzają Twoje środowisko danych.

Po przejrzeniu rzeki danych musisz utworzyć kontrole w celu ochrony informacji. Jest to dokładnie ten sam sposób, w jaki większość rzek ma lądowania, które mają uniemożliwić żeglarzom wejście w niektórych miejscach. Aby spojrzeć na to z odpowiedniej perspektywy, niezbędne są kontrole. Podobnie musisz znaleźć sposób na ograniczenie tego, gdzie mogą trafić kluczowe informacje i kto może mieć do nich dostęp.

Aby to zrobić, musisz skonfigurować wersję zapory do zabezpieczania danych. Może to obejmować konfigurowanie metod szyfrowania i zapór. Po ustanowieniu kontroli istnieje potrzeba zastosowania jej w zabezpieczaniu procesów, komponentów systemu i personelu. Co najważniejsze, musisz monitorować kontrole, aby upewnić się, że wszelkie wprowadzane zmiany ewoluują wraz z CDE.

Czy są jakieś systemy poza zakresem?

Systemy poza zakresem są definiowane przez Payment Card Industry Security Standard Council (PCI SSC) jako te, które nie mają dostępu do systemów CDE. Warto zauważyć, że systemy poza zakresem stały się rzadkością. PCI SSC stanowi, że składnik systemu nie powinien przechowywać, przetwarzać ani nawet przesyłać CHD. Podobnie nie powinien być podłączony do żadnych segmentów sieci, które dotykają CHD.

Firmy zewnętrzne i dostawcy usług mieszczą się w zakresie zgodności ze standardami bezpieczeństwa PCI. Są podobni do strażników leśnych twojej rzeki. Będąc Twoimi partnerami biznesowymi, świadczą Ci usługi zdalne. Ponieważ stale kontaktują się ze środowiskiem danych, mogą wprowadzać ryzyko, które może zagrozić CHD. Podkreśla to znaczenie uczestnictwa w monitorowaniu stron trzecich, a także zarządzania ekosystemem dostawców.

Uwaga redaktora: Ken Lynch jest weteranem tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT. Dowiedz się więcej na ReciprocityLabs.com.

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

• Zarządzanie logami PCI DSS
• Scoping audytu SOC2
• Wymogi audytu – prywatne firmy z USA
• Plan zarządzania ryzykiem – do czego służy?
• Strategia analizy danych efektywności audytu wewnętrznego