Zarządzanie logami PCI DSS

Każda firma, której zakres usług obejmuje pobieranie płatności, musi posiadać systemy chroniące informacje o klientach, niezależnie od tego, czy chodzi o opiekę zdrowotną, żywność, handel detaliczny, hotelarstwo czy jakąkolwiek inną branżę. Dzieje się tak, ponieważ transmisja danych płatniczych jest bardzo wrażliwa.

Oprócz wyznaczania standardów branżowych dotyczących danych posiadaczy kart (CD), standard bezpieczeństwa danych kart płatniczych lub PCI-DSS egzekwuje te standardy za pomocą kar za naruszenie.

Co dokładnie oznacza PCI-DSS?

Na początku XXI wieku pięciu światowych liderów w transakcjach kartami płatniczymi: American Express, MasterCard, Discover Financial Services, Visa Inc. i JCB International spotkało się, aby założyć Payment Card Industry-Security Standards Council lub PCI-SSC. Rada opracowała standardy bezpieczeństwa informacji w przetwarzaniu płatności, mając na uwadze dwa cele:

• ochrona klientów przed nieuprawnioną kradzieżą tożsamości oraz
• pomaganie branży kartowej w unikaniu płacenia za możliwe do uniknięcia naruszenia danych.

Z obrad PCI-SSC, to, co znamy dzisiaj jako „najlepsze praktyki” branży kartowej w zakresie ochrony danych i informacji o płatnościach klientów, zostało wkrótce ustandaryzowane do standardu PCI-DSS.

Kary za niezgodność z PCI-DSS

Chociaż standard PCI-DSS jest oznaczony jedynie jako „standard branżowy”, a nie jako rozporządzenie, przestrzeganie go nie jest opcjonalne. Niezgodność może być poważnym problemem dla Twojej firmy jako sprzedawcy. Firmy wydające karty i banki przejmujące mogą nakładać kary w wysokości od 5 000 do 100 000 USD miesięcznie za nieprzestrzeganie przepisów. Takie grzywny mogą być wyrokiem śmierci dla MŚP.

Czy zgodność z PCI-DSS jest zatem obowiązkowa ?

Tak to jest! Niezależnie od wielkości firmy lub branży, w której działasz, jeśli akceptujesz, przesyłasz lub przechowujesz dane posiadaczy kart, zgodność ze standardem PCI-DSS jest koniecznością.

Wymagania PCI-DSS 10: Co to jest?

Wymóg ten dotyczy monitorowania dostępu zarówno do sieci, jak i danych. Stanowi: Śledź i monitoruj cały dostęp do zasobów sieciowych i danych posiadacza karty.

Oprócz mechanizmów rejestrowania, zdolność do śledzenia i monitorowania działań użytkowników ma kluczowe znaczenie w wykrywaniu, ograniczaniu wpływu lub całkowitym zapobieganiu naruszeniom danych. Dzięki dziennikom aktywności systemu łatwiej jest śledzić, analizować i określać źródło naruszenia, aby powiadomić zainteresowane organy o konieczności podjęcia działań.

Z 39 częściami podrzędnymi, które określają jego wymagania, wymaganie 10 podkreśla, że ​​stale monitorujesz dostęp użytkowników i działania w swoim środowisku. Kontrola dostępu użytkownika umożliwia zapewnienie bezpiecznego środowiska danych posiadacza karty (CDE). Ponadto, ponieważ PCI-DSS jest wysoce nakazowym zestawem standardów, określa szczegółową listę kroków, procesów i dokumentów niezbędnych do spełnienia jej wymagań.

Wymóg 10 Zgodność: jakie zapisy są potrzebne?

Aby pomóc Ci upewnić się, że w pełni spełniasz jego wymagania, PCI-DSS ma wiele wbudowanych mechanizmów. Oprócz wyszczególnienia sekcji, podsekcji i części podsekcji, standard zawiera również sekcję Wytyczne, aby pomóc użytkownikom docenić skuteczny przegląd kontroli. Poniżej znajduje się zestawienie kroków, które mogą pomóc w rejestrowaniu danych niezbędnych do ustalenia, czy spełniasz wymagania, czy nie:

• Zaprojektuj system/proces łączący dostęp użytkownika do sekcji systemu, do których uzyskano dostęp i miej pewność, że możesz śledzić każdą podejrzaną aktywność do jej źródła.
• Twórz ścieżki audytu, które pokazują, w jaki sposób administrator systemu może otrzymywać powiadomienia o wszelkich podejrzanych działaniach i odpowiednio reagować.
• Rejestruj wszystkie indywidualne wpisy dostępu do CDE, aby udowodnić, że żaden nieupoważniony użytkownik nie uzyskał dostępu do systemów, sieci i danych.
• Upewnij się, że rejestrujesz wszystkie działania prowadzone przez konta „admin/root”, które wyraźnie pokazują wszelkie możliwe nadużycia uprawnień i śledzą naruszenie do konkretnego źródła.
• Dbaj o integralność plików dzienników kontroli, wdrażając metodę identyfikacji wszelkich zmian, uzupełnień lub usunięć w nich.
• Rejestruj nieprawidłowe/nielegalne próby logowania, aby śledzić odgadnięcia hasła i ataki hakerskie typu brute-force.
• Dokument, który umożliwia śledzenie wszelkich manipulacji czynnościami uwierzytelniania, które mają na celu ominięcie kontroli.
• Zapisz wszelkie przerwy/ponowne uruchomienia w procesach rejestrowania audytu systemu.
• Prowadź rejestry, aby wykazać, że obiekty na poziomie systemu, takie jak bazy danych lub procedury składowane, nie zostały utworzone/usunięte za pośrednictwem nieautoryzowanych kont użytkowników.
• Utwórz dziennik zdarzeń, aby rejestrować identyfikatory użytkowników, typy zdarzeń, sygnatury czasowe, wskaźniki sukcesu/porażki, pochodzenie zdarzenia, dane, których dotyczy problem, element systemu, którego dotyczy problem, oraz tożsamość/nazwę zasobu.
• Synchronizuj zegary między komponentami systemu, aby zachować zakładki dokładnych sekwencji zdarzeń dla zespołów medycyny sądowej.
• Korzystaj z „zasady najmniejszych uprawnień” w dostępie do dziennika audytu, aby zapewnić integralność i bezpieczeństwo informacji.
• Twórz kopie zapasowe logów na scentralizowanym serwerze/mediach, które gwarantują integralność danych.
• Zapisuj logi bezpośrednio lub przenoś/kopiuj ze źródeł zewnętrznych do bezpiecznego systemu wewnętrznego.
• Włącz monitorowanie integralności plików i mechanizmy wykrywania zmian, aby wykrywać zmiany w dzienniku audytu w przypadku naruszenia dat.
• Regularnie przeglądaj dzienniki, ręcznie lub za pomocą narzędzi do zbierania, analizowania i ostrzegania dzienników.
• Codziennie sprawdzaj kontrole bezpieczeństwa pod kątem alertów w dziennikach krytycznych komponentów systemu, np. wszelkiej podejrzanej aktywności.
• Zaplanuj regularne przeglądy wszystkich składników systemu, które ujawniają potencjalne problemy lub nieautoryzowane próby dostępu do wrażliwych systemów za pośrednictwem mniej wrażliwych systemów.
• Prowadź zakładki badań wyjątków/anomalii.
• Przechowuj wszystkie zapisy przez co najmniej rok.
• Upewnij się, że pracownicy są świadomi zasad bezpieczeństwa i ich monitorowania.

Dodatkowe wymagania dla dostawców usług

• Wdrażaj formalne procedury wykrywania/alertowania krytycznych błędów kontroli bezpieczeństwa, np. reguł niszczenia zapory lub przejścia w tryb offline.
• Utrzymuj dowody dotyczące reakcji na awarie bezpieczeństwa, w tym zastosowaną i odpowiedzialną procedurę.

Uwaga redaktora: Ken Lynch jest weteranem tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT. Dowiedz się więcej na ReciprocityLabs.com.

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

• Scoping audytu SOC2
• Wymogi audytu – prywatne firmy z USA
• Plan zarządzania ryzykiem – do czego służy?
• Strategia analizy danych efektywności audytu wewnętrznego
• Priorytetyzacja ryzyka w zarządzaniu projektami