Управление журналом PCI DSS

Опубликовано: 2018-12-17

Любая фирма, чья деятельность связана со сбором платежей, должна иметь системы для защиты информации о клиентах, будь то в сфере здравоохранения, продуктов питания, розничной торговли, гостиничного бизнеса или любой другой отрасли. Это связано с тем, что передача платежных данных очень чувствительна.

В дополнение к установлению отраслевых стандартов для данных о держателях карт (CD), стандарт безопасности данных индустрии платежных карт или PCI-DSS также обеспечивает соблюдение этих стандартов с санкциями за нарушение.

Что именно влечет за собой PCI-DSS?

Еще в начале 2000-х пять мировых лидеров в области транзакций с платежными картами: American Express, MasterCard, Discover Financial Services, Visa Inc. и JCB International встретились, чтобы создать Совет по стандартам безопасности индустрии платежных карт или PCI-SSC. Совет разработал стандарты информационной безопасности для обработки платежей с двумя целями:

защита клиентов от несанкционированной кражи личных данных и
помогая карточной индустрии не платить за предотвратимую утечку данных.

Из обсуждений PCI-SSC то, что мы сегодня знаем как «лучшие методы» индустрии карт для защиты платежных данных и информации клиентов, вскоре было стандартизировано в PCI-DSS.

Штрафы за несоблюдение PCI-DSS

Хотя PCI-DSS считается всего лишь «отраслевым стандартом», а не регламентом, его соблюдение далеко не обязательно. Несоблюдение может иметь серьезные последствия для вашего бизнеса как продавца. Карточные компании и банки-эквайеры могут оштрафовать на сумму от 5 000 до 100 000 долларов в месяц за несоблюдение требований. Такие штрафы могут стать смертным приговором для малого и среднего бизнеса.

Является ли соответствие PCI-DSS обязательным ?

Да это так! Независимо от размера вашей компании или отрасли, в которой вы работаете, если вы принимаете, передаете или храните данные о держателях карт, соответствие стандарту PCI-DSS является обязательным.

Требование PCI-DSS 10: что это такое?

Это требование касается мониторинга доступа как к сетям, так и к данным. В нем говорится: Отслеживайте и контролируйте весь доступ к сетевым ресурсам и данным держателей карт.

Помимо механизмов ведения журналов, способность отслеживать и контролировать действия пользователей имеет решающее значение для обнаружения, снижения воздействия или прямого предотвращения утечек данных. С помощью журналов системной активности легче отслеживать, анализировать и определять источник нарушения, чтобы предупредить соответствующие органы для принятия мер.

В Требовании 10, состоящем из 39 частей, излагающих свои требования, подчеркивается, что вы должны постоянно контролировать доступ пользователей к вашей среде и действия в ней. Контроль доступа пользователей позволяет обеспечить безопасную среду данных держателей карт (CDE). Кроме того, поскольку PCI-DSS представляет собой строго предписывающий набор стандартов, в нем излагается подробный список шагов, процессов и документов, необходимых для выполнения его требований.

Соответствие требованию 10: какие записи необходимы?

Чтобы помочь вам убедиться, что вы полностью соблюдаете его требования, PCI-DSS имеет множество встроенных механизмов. Помимо перечня разделов, подразделов и частей подразделов, стандарт также включает раздел «Руководство», чтобы помочь пользователям оценить эффективность проверки средств контроля. Ниже приведен список шагов, которые могут помочь вам зарегистрировать данные, необходимые для определения того, соответствуете ли вы требованиям или нет:

Разработайте систему/процесс, соединяющий пользовательский доступ с разделами системы, к которым получен доступ, и будьте уверены, что вы сможете отследить любую подозрительную активность до ее источника.
Создавайте контрольные журналы, демонстрирующие, как системный администратор может получать уведомления о любых подозрительных действиях и реагировать соответствующим образом.
Запишите все отдельные записи доступа к CDE, чтобы доказать, что ни один неавторизованный пользователь не получил доступ к системам, сетям и данным.
Убедитесь, что вы записываете все действия, выполняемые учетными записями «admin/root», которые ясно показывают любое возможное злоупотребление привилегиями и отслеживают нарушение до его конкретного источника.
Поддерживайте целостность файлов журналов аудита, реализуя метод для выявления любых изменений, добавлений или удалений в них.
Делайте записи о недействительных/незаконных попытках входа в систему, чтобы отслеживать попытки подбора пароля и хакерские атаки методом грубой силы.
Документ, который позволяет отслеживать любые манипуляции с действиями аутентификации, которые пытаются обойти элементы управления.
Записывайте любые приостановки/перезапуски процессов регистрации аудита вашей системы.
Ведите записи, чтобы продемонстрировать, что объекты системного уровня, такие как базы данных или хранимые процедуры, не были созданы или удалены с помощью неавторизованных учетных записей пользователей.
Создайте журнал событий для записи идентификаторов пользователей, типов событий, временных меток, индикаторов успеха/неудачи, происхождения события, затронутых данных, затронутого системного компонента и идентификатора/имени ресурса.
Синхронизируйте часы между компонентами системы, чтобы следить за точной последовательностью событий для групп криминалистов.
Используйте «принцип наименьших привилегий» при доступе к журналу аудита, чтобы обеспечить целостность и безопасность информации.
Резервное копирование журналов на централизованный сервер/носитель, что гарантирует целостность данных.
Записывайте журналы напрямую или выгружайте/копируйте из внешних источников в безопасную внутреннюю систему.
Внедрите механизмы мониторинга целостности файлов и обнаружения изменений для обнаружения изменений в журнале аудита в случае утечки данных.
Регулярно просматривайте журналы вручную или с помощью инструментов сбора, анализа и оповещения.
Ежедневно проверяйте элементы управления безопасностью на наличие предупреждений в журналах критических компонентов системы, например о любых подозрительных действиях.
Запланируйте регулярные проверки всех компонентов системы, которые выявляют потенциальные проблемы или попытки несанкционированного доступа к конфиденциальным системам через менее конфиденциальные системы.
Следите за расследованиями исключений/аномалий.
Хранить все записи не менее одного года.
Убедитесь, что сотрудники осведомлены о политиках безопасности и их мониторинге.

Дополнительные требования к поставщикам услуг

Внедрите формальные процедуры для обнаружения/оповещения о критических сбоях средств защиты, например, удаление правил брандмауэра или переход в автономный режим.
Сохраняйте данные о реагировании на сбои в системе безопасности, включая вовлеченные процедуры и ответственных.

Примечание редактора: Кен Линч — ветеран запуска корпоративного программного обеспечения, которого всегда интересовало, что побуждает сотрудников работать и как сделать работу более увлекательной. Кен основал Reciprocity именно для этого. Он способствовал успеху Reciprocity благодаря этой миссионерской цели, заключающейся в том, чтобы привлечь сотрудников к управлению, рискам и целям соблюдения требований их компании, чтобы создать более социально настроенных корпоративных граждан. Кен получил степень бакалавра компьютерных наук и электротехники в Массачусетском технологическом институте. Узнайте больше на ReciprocityLabs.com.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.