Gestionarea jurnalelor PCI DSS

Orice firmă a cărei linie de servicii implică colectarea plăților trebuie să aibă sisteme pentru a proteja informațiile clienților, fie în domeniul sănătății, al alimentației, al comerțului cu amănuntul, al ospitalității sau în orice altă industrie. Acest lucru se datorează faptului că transmiterea datelor de plată este foarte sensibilă.

Pe lângă stabilirea standardelor din industrie pentru datele deținătorilor de card (CD), Standardul de securitate a datelor din industria cardurilor de plată sau PCI-DSS aplică, de asemenea, aceste standarde cu sancțiuni împotriva încălcării.

Ce implică exact PCI-DSS?

La începutul anilor 2000, cei cinci lideri mondiali în tranzacțiile cu carduri de plată: American Express, MasterCard, Discover Financial Services, Visa Inc. și JCB International s-au întâlnit pentru a lansa Payment Card Industry-Security Standards Council sau PCI-SSC. Consiliul a elaborat standarde de securitate a informațiilor pentru procesarea plăților având în vedere două obiective:

• protejarea clienților de furtul neautorizat de identitate și
• ajutând industria cardurilor să evite plata pentru încălcări de date care pot fi evitate.

Din deliberările PCI-SSC, ceea ce știm astăzi drept „cele mai bune practici” ale industriei cardurilor pentru protejarea datelor și informațiilor de plată ale clienților au fost în curând standardizate în PCI-DSS.

Sancțiuni pentru neconformitatea PCI-DSS

Deși PCI-DSS este desemnat doar ca un „standard industrial” mai degrabă decât o reglementare, respectarea acestuia este departe de a fi opțională. Nerespectarea poate fi o distrugere semnificativă pentru afacerea dvs. ca comerciant. Firmele de carduri și băncile care achiziționează pot amenzi între 5.000 USD și 100.000 USD lunar pentru neconformitate. Astfel de amenzi pot constitui o condamnare la moarte pentru IMM-uri.

Este, atunci, conformitatea PCI-DSS obligatorie ?

Da, este! Indiferent de dimensiunea firmei dumneavoastră sau de industria în care vă aflați, dacă acceptați, transmiteți sau stocați datele deținătorilor de carduri, atunci conformitatea PCI-DSS este o necesitate.

Cerința 10 PCI-DSS: Ce este?

Această cerință se referă la monitorizarea accesului atât la rețele, cât și la date. Se menționează: Urmăriți și monitorizați toate accesul la resursele de rețea și datele deținătorilor de card.

Pe lângă mecanismele de înregistrare, capacitatea de a urmări și monitoriza acțiunile utilizatorilor este crucială în detectarea, reducerea impactului sau prevenirea totală a încălcării datelor. Cu jurnalele de activitate ale sistemului, este mai ușor să urmăriți, să analizați și să determinați sursa unei încălcări pentru a alerta autoritățile în cauză pentru a lua măsuri.

Cu 39 de subpărți care explică cerințele sale, Cerința 10 subliniază faptul că monitorizați continuu accesul utilizatorilor și activitățile din mediul dumneavoastră. Controalele de acces ale utilizatorilor vă permit să asigurați un mediu securizat de date ale titularului de card (CDE). În plus, PCI-DSS fiind un set de standarde foarte prescriptiv, acesta stabilește o listă elaborată a pașilor, proceselor și documentelor necesare pentru a îndeplini cerințele sale.

Cerința 10 Conformitatea: Ce înregistrări sunt necesare?

Pentru a vă ajuta să vă asigurați că ați respectat pe deplin cerințele sale, PCI-DSS are multe mecanisme încorporate. Pe lângă enumerarea secțiunilor, sub-secțiunilor și părților sub-secțiunilor, standardul include și o secțiune de îndrumare pentru a-i ajuta pe utilizatori să aprecieze revizuirea eficientă a controlului. Mai jos este o compilație de pași care vă pot ajuta să înregistrați datele esențiale pentru a afla dacă sunteți conform sau nu:

• Proiectați un sistem/proces care conectează accesul utilizatorului la secțiunile sistemului la care a avut acces și fiți sigur că puteți urmări orice activitate suspectă până la sursa acesteia.
• Creați piste de audit care să demonstreze modul în care administratorul de sistem poate fi notificat cu privire la orice activitate suspectă și poate răspunde în consecință.
• Înregistrați toate intrările individuale de acces la CDE pentru a dovedi că niciun utilizator neautorizat nu a avut acces la sisteme, rețele și date.
• Asigurați-vă că înregistrați toate activitățile desfășurate de conturile „admin/root” care arată în mod clar orice posibilă utilizare greșită a privilegiilor și urmăriți încălcarea până la sursa sa specifică.
• Mențineți integritatea fișierelor jurnalelor de audit prin implementarea unei metode de identificare a oricăror modificări, completări sau ștergeri ale acestora.
• Înregistrați încercările de conectare nevalide/ilegale pentru a urmări ghicirile de parole și atacurile de hacking cu forță brută.
• Un document care vă permite să urmăriți orice manipulare a activităților de autentificare care încearcă să ocolească controalele.
• Înregistrați orice pauze/reporniri ale proceselor de înregistrare a auditului sistemului dumneavoastră.
• Păstrați înregistrări pentru a demonstra că obiectele la nivel de sistem, cum ar fi bazele de date sau procedurile stocate, nu au fost create/șterse prin conturi de utilizator neautorizate.
• Creați un jurnal de evenimente pentru a înregistra ID-urile utilizatorului, tipurile de evenimente, marcajele de timp, indicatorii de succes/eșec, originea evenimentului, datele afectate, componenta sistemului afectată și identitatea/numele resursei.
• Sincronizați ceasurile între componentele sistemului pentru a urmări secvențele exacte de evenimente pentru echipele de criminalistică.
• Utilizați „principiul celui mai mic privilegiu” în accesul la jurnalul de audit pentru a asigura integritatea și securitatea informațiilor.
• Copiere de rezervă a jurnalelor pe server/media centralizat care garantează integritatea datelor.
• Scrieți jurnalele direct sau descărcați/copiați din surse externe într-un sistem intern securizat.
• Încorporați mecanisme de monitorizare a integrității fișierelor și de detectare a modificărilor pentru a detecta modificările jurnalului de audit în cazul încălcării datei.
• Examinați în mod regulat jurnalele, fie manual, fie prin intermediul instrumentelor de recoltare, analizare și alertare a jurnalelor.
• Revizuiți zilnic controalele de securitate pentru alerte privind jurnalele componentelor critice ale sistemului, de exemplu orice activitate suspectă.
• Programați revizuiri regulate pentru toate componentele sistemului care dezvăluie probleme potențiale sau încercări de acces neautorizat la sisteme sensibile prin sisteme mai puțin sensibile.
• Păstrați evidența investigațiilor privind excepțiile/anomaliile.
• Păstrați toate înregistrările timp de cel puțin un an.
• Asigurați-vă că angajații sunt conștienți de politicile de securitate și de monitorizarea acestora.

Cerințe suplimentare pentru furnizorii de servicii

• Implementați proceduri formale pentru a detecta/alerta eșecurile critice ale controlului de securitate, de exemplu, regulile de ștergere a firewall-ului sau deconectarea.
• Mențineți dovezi privind răspunsul la defecțiunile de securitate, inclusiv procedura implicată și responsabilă.

Nota editorului: Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și de cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a angaja angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT. Aflați mai multe la ReciprocityLabs.com.

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Definirea domeniului unui audit SOC2
• Cerințe de audit – companii private din SUA
• Planul de management al riscului – Pentru ce este?
• Strategia de analiză a datelor eficacității auditului intern
• Prioritizarea riscului în managementul proiectelor