Segmentarea rețelei și conformitatea PCI

Punctul de pornire atunci când formulați domeniul de aplicare al călătoriei dvs. de conformitate cu standardul de securitate a datelor din industria cardurilor de plată (PCI DSS) începe cu segmentarea rețelei. Aceasta presupune doar crearea de controale care se concentrează pe nevoile dvs. de securitate a datelor.

Pentru a îndeplini standardele de segmentare a rețelei PCI, trebuie mai întâi să înțelegeți obiectivele și scopul standardului.

Ce este mediul de date al titularului de card (CDE)?

PCI DSS prezintă datele deținătorului de card (CHD) ca orice date de identificare personală, care sunt asociate cu cardul de debit sau de credit al unei persoane. Această definiție include, de asemenea, numerele de cont primare (PAN), precum și codul de serviciu, numele titularului cardului, data de expirare și orice alte date sensibile de autentificare a cardului. Mai simplu spus, CDH cuprinde orice informație care poate fi folosită fie pentru a efectua taxe frauduloase pe cardul unei persoane, fie pentru a fura o identitate.

Mediul de date al deținătorului de card cuprinde computere sau sisteme de rețea care sunt implicate în procesarea, stocarea sau transmiterea acestor informații. CDH include componente ale sistemului, cum ar fi servere, dispozitive de rețea, dispozitive de calcul și aplicații. Acestea pot fi componente virtuale, servicii de securitate, componente de rețea, aplicații, tipuri de server și orice altceva care este conectat la CDE. Dacă sistemele sau angajații pot accesa CHD, acesta ar trebui separat de celelalte aspecte ale companiei dumneavoastră.

PCI DSS și segmentarea rețelei

Segmentarea rețelei presupune analizarea modului în care informațiile sunt transmise prin sistemele dumneavoastră. Ar trebui să vedeți CDE-ul dvs. ca pe un râu, iar datele deținătorilor de card ca pe o canoe care navighează pe rapid. Râurile au de obicei mai multe puncte de acces pentru bărci. De asemenea, rețeaua dumneavoastră are diferite puncte de acces la date. Sunt la fel ca râurile, care au afluenți legați de ele. Atâta timp cât CHD poate pluti pe o cale în interiorul rețelei dvs., este nevoie fie să construiți un baraj, fie să protejați acel afluent.

De exemplu, conectivitatea este definită de PCI DSS ca fiind wireless, virtualizată și fizică. În orice punct în josul acelui râu, CHD poate intra. Conectivitatea wireless poate include conexiuni Bluetooth și rețele LAN. Conectivitatea fizică poate fi unități USB. Conectivitatea virtualizată includea de obicei resurse partajate, inclusiv mașini virtuale și firewall-uri virtuale. Se recomandă să securizați aceste puncte de acces la date, astfel încât CHD să nu fie compromis.

Cum companiile descoperă sistemele

Scoping PCI DSS ar trebui să implice evaluarea critică a tuturor punctelor de acces la date și afluenților aflați pe râul dvs. CDE. Evaluarea PCI DSS începe cu clasificarea modului în care și unde este primită CHD. În timp ce mergeți în sus și în jos pe malul râului dvs. CDE, trebuie să identificați toate canalele de plată, precum și metodele de acceptare a datelor deținătorului cardului. După aceea, urmați călătoria informațională începând cu colectarea, până la distrugere, eliminare și transfer.

De asemenea, ar trebui să identificați și să marcați locurile noastre pe CDE-ul dvs. unde datele sunt stocate, procesate sau transmise. Această identificare poate include înțelegerea nu numai a cine manipulează datele, ci și a modului în care sunt procesate informațiile. De asemenea, trebuie să documentați procesele și tehnologiile pe care le-ați pus în aplicare pentru a vă securiza mediul de date.

După ce urmăriți fluxul de informații prin rețea, asigurați-vă că includeți toate procesele, oamenii și componentele sistemului care influențează CDE. Acesta este un pas crucial, care diferă de cel anterior, deoarece necesită să priviți dincolo de cei care interacționează cu CHD. În schimb, trebuie să vă concentrați asupra oamenilor și componentelor sistemului care vă conduc mediul de date.

Odată ce râul dvs. de date a fost revizuit, trebuie să creați controale pentru protejarea informațiilor. Acesta este exact în același mod în care majoritatea râurilor au aterizări, care sunt menite să împiedice navigatorii să aibă intrare în anumite puncte. Pentru a pune acest lucru în perspectivă, controalele sunt esențiale. În mod similar, trebuie să găsiți o modalitate de a limita unde pot ajunge informațiile esențiale și cine poate avea acces la ele.

Pentru a face acest lucru, este necesar să configurați versiunea de securitate a datelor a barajului. Aceasta poate include configurarea metodelor de criptare și a paravanelor de protecție. După ce ați stabilit controlul, este necesar să îl aplicați în securizarea proceselor, componentelor sistemului și a personalului. Cel mai important, trebuie să monitorizați controalele pentru a vă asigura că orice modificări pe care le faceți evoluează odată cu CDE.

Există sisteme în afara domeniului de aplicare?

Sistemele din afara domeniului de aplicare sunt definite de Consiliul standard de securitate al industriei cardurilor de plată (PCI SSC) ca fiind cele fără acces la sistemele CDE. În special, sistemele în afara domeniului de aplicare au devenit rare. PCI SSC stipulează că componenta sistemului nu ar trebui să stocheze, să proceseze sau chiar să transmită CHD. În mod similar, nu ar trebui să fie conectat la niciun segment de rețea care atinge CHD.

Terții și furnizorii de servicii se încadrează în domeniul de aplicare al standardelor dumneavoastră de securitate PCI. Sunt asemănători pădurii râului tău. Fiind partenerii tăi de afaceri, ei vă oferă servicii de la distanță. Deoarece interacționează continuu cu mediul dvs. de date, pot introduce riscuri care pot compromite CHD. Acest lucru evidențiază importanța participării la monitorizarea terților, precum și a gestionării ecosistemului dvs. de furnizor.

Nota editorului: Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și de cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a angaja angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT. Aflați mai multe la ReciprocityLabs.com.

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Gestionarea jurnalelor PCI DSS
• Definirea domeniului unui audit SOC2
• Cerințe de audit – companii private din SUA
• Planul de management al riscului – Pentru ce este?
• Strategia de analiză a datelor eficacității auditului intern