Сегментация сети и соответствие PCI

Отправной точкой при формулировании вашего пути соответствия стандарту безопасности данных индустрии платежных карт (PCI DSS) является сегментация сети. Это влечет за собой просто создание элементов управления, ориентированных на ваши потребности в безопасности данных.

Чтобы соответствовать стандартам сегментации сети PCI, вы должны сначала понять цели и назначение стандарта.

Что такое среда данных держателей карт (CDE)?

PCI DSS описывает данные держателя карты (CHD) как любые личные данные, которые связаны с дебетовой или кредитной картой физического лица. Это определение также включает номера основных счетов (PAN), а также код услуги, имя держателя карты, дату истечения срока действия и любые другие конфиденциальные данные аутентификации карты. Проще говоря, CDH включает в себя любую информацию, которая может быть использована либо для мошеннических списаний с карты человека, либо для кражи личных данных.

Среда данных о держателях карт включает компьютеры или сетевые системы, которые участвуют в обработке, хранении или передаче этой информации. CDH включает связанные системные компоненты, такие как серверы, сетевые устройства, вычислительные устройства и приложения. Это могут быть виртуальные компоненты, службы безопасности, сетевые компоненты, приложения, типы серверов и все остальное, что подключено к CDE. Если системы или сотрудники могут получить доступ к CHD, это должно быть отделено от других аспектов вашей компании.

PCI DSS и сегментация сети

Сегментация сети предполагает рассмотрение того, как информация передается через ваши системы. Вы должны видеть свой CDE как реку, а данные о держателях карт — как каноэ, плывущее по порогам. Реки обычно имеют несколько точек доступа для лодок. Точно так же ваша сеть имеет различные точки доступа к данным. Они подобны рекам, имеющим притоки. Пока ваш CHD может плыть по пути в вашей сети, необходимо либо построить дамбу, либо защитить этот приток.

Например, подключение определяется PCI DSS как беспроводное, виртуализированное и физическое. В любой точке вниз по реке может войти ИБС. Беспроводная связь может включать соединения Bluetooth и локальные сети. Физическим подключением могут быть USB-накопители. Виртуализированные соединения обычно включают в себя общие ресурсы, включая виртуальные машины и виртуальные брандмауэры. Рекомендуется защитить эти точки доступа к данным, чтобы CHD не был скомпрометирован.

Как компании оценивают системы

Обзор PCI DSS должен включать в себя критическую оценку всех точек доступа к данным и притоков, обнаруженных в вашей реке CDE. Оценка PCI DSS начинается с классификации того, как и где получают ИБС. Прогуливаясь вверх и вниз по берегу реки CDE, вы должны точно определить все платежные каналы, а также методы приема данных держателей карт. После этого следуйте по пути информации, начиная со сбора и заканчивая уничтожением, утилизацией и передачей.

Вы также должны указать и отметить наши места на вашем CDE, где данные хранятся, обрабатываются или передаются. Эта идентификация может включать понимание не только того, кто обрабатывает данные, но и того, как обрабатывается информация. Вы также должны задокументировать процессы и технологии, которые вы внедрили для защиты своей среды данных.

После отслеживания потока информации в вашей сети убедитесь, что вы включили все процессы, людей и системные компоненты, влияющие на CDE. Это важный шаг, который отличается от предыдущего тем, что требует от вас смотреть не только на тех, кто взаимодействует с ИБС. Вместо этого вы должны сосредоточиться на людях и системных компонентах, которые управляют вашей средой данных.

После проверки вашего потока данных вы должны создать элементы управления для защиты информации. Точно так же на большинстве рек есть причалы, которые предназначены для предотвращения входа лодочников в определенные точки. Чтобы представить это в перспективе, элементы управления необходимы. Точно так же вы должны найти способ ограничить, куда может попасть важная информация и кто может иметь к ней доступ.

Чтобы сделать это, необходимо настроить версию защиты данных dams. Это может включать настройку методов шифрования и брандмауэров. После того, как вы установили контроль, необходимо применить его для защиты ваших процессов, компонентов системы и персонала. Самое главное, вы должны контролировать элементы управления, чтобы гарантировать, что любые изменения, которые вы вносите, развиваются вместе с вашей CDE.

Существуют ли какие-либо внесистемные системы?

Системы, не входящие в сферу охвата, определяются Советом по стандартам безопасности индустрии платежных карт (PCI SSC) как системы, не имеющие доступа к системам CDE. Примечательно, что системы, выходящие за рамки, стали редкостью. PCI SSC предусматривает, что компонент системы не должен хранить, обрабатывать или даже передавать CHD. Точно так же он не должен быть подключен к каким-либо сегментам сети, которые касаются CHD.

Третьи стороны и поставщики услуг находятся в пределах вашего соответствия стандартам безопасности PCI. Они похожи на лесничих вашей реки. Будучи вашими деловыми партнерами, они предоставляют вам удаленные услуги. Поскольку они постоянно взаимодействуют с вашей средой данных, они могут создавать риски, которые могут поставить под угрозу CHD. Это подчеркивает важность участия в стороннем мониторинге, а также управления экосистемой вашего поставщика.

Примечание редактора: Кен Линч — ветеран запуска корпоративного программного обеспечения, которого всегда интересовало, что побуждает сотрудников работать и как сделать работу более увлекательной. Кен основал Reciprocity именно для этого. Он способствовал успеху Reciprocity благодаря этой миссионерской цели, заключающейся в том, чтобы привлечь сотрудников к управлению, рискам и целям соблюдения требований их компании, чтобы создать более социально настроенных корпоративных граждан. Кен получил степень бакалавра компьютерных наук и электротехники в Массачусетском технологическом институте. Узнайте больше на ReciprocityLabs.com.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.

Рекомендации редакции:

• Управление журналом PCI DSS
• Объем аудита SOC2
• Требования к аудиту – частные компании США
• План управления рисками – для чего он нужен?
• Стратегия анализа данных об эффективности внутреннего аудита