การแบ่งส่วนเครือข่ายและการปฏิบัติตาม PCI

จุดเริ่มต้นเมื่อกำหนดขอบเขตการเดินทางการปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) เริ่มต้นด้วยการแบ่งส่วนเครือข่าย สิ่งนี้เกี่ยวข้องกับการสร้างการควบคุมที่เน้นความต้องการด้านความปลอดภัยของข้อมูลของคุณเท่านั้น

เพื่อให้เป็นไปตามมาตรฐานการแบ่งกลุ่มเครือข่าย PCI คุณต้องเข้าใจวัตถุประสงค์และวัตถุประสงค์ของมาตรฐานก่อน

สภาพแวดล้อมข้อมูลผู้ถือบัตร (CDE) คืออะไร?

PCI DSS กำหนดข้อมูลผู้ถือบัตร (CHD) เป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ซึ่งเชื่อมโยงกับบัตรเดบิตหรือบัตรเครดิตของบุคคล คำจำกัดความนี้ยังรวมถึงหมายเลขบัญชีหลัก (PAN's) ตลอดจนรหัสบริการ ชื่อผู้ถือบัตร วันหมดอายุ และข้อมูลการตรวจสอบสิทธิ์บัตรที่ละเอียดอ่อนอื่นๆ พูดง่ายๆ ก็คือ CDH ประกอบด้วยข้อมูลที่สามารถใช้เพื่อเรียกเก็บเงินจากบัตรของบุคคลหรือขโมยข้อมูลประจำตัวที่เป็นการฉ้อโกง

สภาพแวดล้อมข้อมูลผู้ถือบัตรประกอบด้วยคอมพิวเตอร์หรือระบบเครือข่ายที่เกี่ยวข้องกับการประมวลผล การจัดเก็บ หรือการส่งข้อมูลนี้ CDH รวมถึงส่วนประกอบของระบบที่เกี่ยวข้อง เช่น เซิร์ฟเวอร์ อุปกรณ์เครือข่าย อุปกรณ์คอมพิวเตอร์ และแอปพลิเคชัน สิ่งเหล่านี้อาจเป็นส่วนประกอบเสมือน บริการรักษาความปลอดภัย ส่วนประกอบเครือข่าย แอปพลิเคชัน ประเภทเซิร์ฟเวอร์ และอื่นๆ ที่เชื่อมต่อกับ CDE หากระบบหรือพนักงานสามารถเข้าถึง CHD ได้ สิ่งนี้ควรแยกออกจากส่วนอื่นๆ ของบริษัทของคุณ

PCI DSS และการแบ่งส่วนเครือข่าย

การแบ่งส่วนเครือข่ายเป็นการดูวิธีการส่งข้อมูลผ่านระบบของคุณ คุณควรเห็น CDE ของคุณเป็นแม่น้ำ และข้อมูลผู้ถือบัตรเป็นเรือแคนูที่ล่องไปตามแก่ง โดยทั่วไปแล้วแม่น้ำจะมีจุดเชื่อมต่อหลายจุดสำหรับเรือ เครือข่ายของคุณมีจุดเชื่อมต่อข้อมูลต่างๆ เช่นเดียวกัน พวกเขาเป็นเหมือนแม่น้ำที่มีแควเชื่อมต่อกับพวกเขา ตราบใดที่ CHD ของคุณสามารถลอยไปตามเส้นทางภายในเครือข่ายของคุณได้ จำเป็นต้องสร้างเขื่อนหรือปกป้องแม่น้ำสาขานั้น

ตัวอย่างเช่น การเชื่อมต่อถูกกำหนดโดย PCI DSS ว่าเป็นแบบไร้สาย ระบบเสมือน และทางกายภาพ ที่จุดใดก็ได้ตามแม่น้ำสายนั้น CHD สามารถเข้าไปได้ การเชื่อมต่อไร้สายอาจรวมถึงการเชื่อมต่อ Bluetooth และ LAN การเชื่อมต่อทางกายภาพอาจเป็นไดรฟ์ USB โดยทั่วไปแล้วการเชื่อมต่อเสมือนจริงจะรวมทรัพยากรที่ใช้ร่วมกันรวมถึงเครื่องเสมือนและไฟร์วอลล์เสมือน ขอแนะนำให้คุณรักษาความปลอดภัยจุดเชื่อมต่อข้อมูลเหล่านี้เพื่อไม่ให้ CHD ถูกบุกรุก

บริษัทกำหนดขอบเขตระบบอย่างไร

การกำหนดขอบเขต PCI DSS ควรนำมาซึ่งการประเมินที่สำคัญของจุดเข้าถึงข้อมูลและสาขาทั้งหมดที่พบในแม่น้ำ CDE ของคุณ การประเมิน PCI DSS เริ่มต้นด้วยการจำแนกว่า CHD จะได้รับอย่างไรและที่ไหน ขณะเดินขึ้นและลงริมฝั่งแม่น้ำ CDE คุณต้องระบุช่องทางการชำระเงินทั้งหมดรวมถึงวิธีการรับข้อมูลผู้ถือบัตร หลังจากนั้น ให้ติดตามการเดินทางของข้อมูลที่เริ่มต้นด้วยการรวบรวมผ่านการทำลาย การกำจัด และการถ่ายโอน

คุณควรระบุและทำเครื่องหมายสถานที่ของเราใน CDE ของคุณที่ข้อมูลถูกจัดเก็บ ประมวลผล หรือส่งข้อมูล การระบุนี้อาจรวมถึงความเข้าใจไม่เพียงแต่ว่าใครเป็นผู้จัดการข้อมูล แต่ยังรวมถึงวิธีการประมวลผลข้อมูลด้วย คุณต้องจัดทำเอกสารกระบวนการและเทคโนโลยีที่คุณได้จัดเตรียมไว้เพื่อรักษาความปลอดภัยสภาพแวดล้อมข้อมูลของคุณ

หลังจากติดตามกระแสข้อมูลผ่านเครือข่ายของคุณแล้ว อย่าลืมรวมกระบวนการ บุคลากร และส่วนประกอบระบบทั้งหมดที่มีอิทธิพลต่อ CDE นี่เป็นขั้นตอนสำคัญ ซึ่งแตกต่างจากขั้นตอนก่อนหน้านี้ เนื่องจากคุณต้องมองข้ามผู้ที่มีปฏิสัมพันธ์กับ CHD คุณต้องมุ่งเน้นที่บุคลากรและส่วนประกอบของระบบที่ขับเคลื่อนสภาพแวดล้อมข้อมูลของคุณแทน

เมื่อ Data River ของคุณได้รับการตรวจสอบแล้ว คุณต้องสร้างการควบคุมเพื่อปกป้องข้อมูล นี่เป็นเพียงวิธีเดียวกับที่แม่น้ำส่วนใหญ่มีการลงจอด ซึ่งมีวัตถุประสงค์เพื่อป้องกันไม่ให้ชาวเรือเข้ามาในบางจุด เพื่อให้สิ่งนี้เป็นมุมมอง การควบคุมเป็นสิ่งจำเป็น ในทำนองเดียวกัน คุณต้องหาวิธีจำกัดตำแหน่งที่ข้อมูลสำคัญสามารถไป และใครบ้างที่สามารถเข้าถึงได้

คุณจำเป็นต้องตั้งค่าเวอร์ชันความปลอดภัยของข้อมูลของเขื่อนก่อนจึงจะทำเช่นนี้ได้ ซึ่งอาจรวมถึงการตั้งค่าวิธีการเข้ารหัสและไฟร์วอลล์ หลังจากที่คุณได้สร้างการควบคุมแล้ว คุณจำเป็นต้องนำการควบคุมไปใช้ในการรักษาความปลอดภัยของกระบวนการ ส่วนประกอบระบบ และบุคลากรของคุณ สิ่งสำคัญที่สุดคือ คุณต้องตรวจสอบการควบคุมเพื่อให้แน่ใจว่าการเปลี่ยนแปลงใดๆ ที่คุณทำจะพัฒนาไปพร้อมกับ CDE ของคุณ

มีระบบนอกขอบเขตหรือไม่?

ระบบที่อยู่นอกขอบเขตถูกกำหนดโดย Payment Card Industry Security Standard Council (PCI SSC) ว่าเป็นระบบที่ไม่มีการเข้าถึงระบบ CDE น่าสังเกตว่าระบบนอกขอบเขตกลายเป็นสิ่งที่หายาก PCI SSC กำหนดว่าส่วนประกอบของระบบไม่ควรจัดเก็บ ประมวลผล หรือแม้แต่ส่ง CHD ในทำนองเดียวกัน ไม่ควรเชื่อมต่อกับส่วนเครือข่ายใดๆ ที่สัมผัสกับ CHD

บุคคลที่สามและผู้ให้บริการอยู่ในขอบเขตของการปฏิบัติตามมาตรฐานความปลอดภัย PCI ของคุณ พวกมันคล้ายกับพรานป่าในแม่น้ำของคุณ ด้วยการเป็นพันธมิตรทางธุรกิจของคุณ พวกเขาให้บริการระยะไกลแก่คุณ เนื่องจากพวกเขามีส่วนร่วมกับสภาพแวดล้อมข้อมูลของคุณอย่างต่อเนื่อง จึงสามารถทำให้เกิดความเสี่ยงที่อาจส่งผลต่อ CHD สิ่งนี้เน้นให้เห็นถึงความสำคัญของการมีส่วนร่วมในการตรวจสอบบุคคลที่สามรวมถึงการจัดการระบบนิเวศของผู้ขายของคุณ

หมายเหตุบรรณาธิการ: Ken Lynch เป็นผู้เชี่ยวชาญในการเริ่มต้นซอฟต์แวร์ระดับองค์กร ผู้ซึ่งหลงใหลในสิ่งที่ผลักดันให้พนักงานทำงานและวิธีทำให้งานมีส่วนร่วมมากขึ้น Ken ก่อตั้ง Reciprocity เพื่อไล่ตามสิ่งนั้น เขาได้ขับเคลื่อนความสำเร็จของ Reciprocity ด้วยเป้าหมายตามภารกิจในการมีส่วนร่วมกับพนักงานด้วยเป้าหมายด้านการกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนดของบริษัท เพื่อสร้างพลเมืององค์กรที่มีใจรักในสังคมมากขึ้น เคนสำเร็จการศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้าจาก MIT เรียนรู้เพิ่มเติมที่ ReciprocityLabs.com

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบด้านล่างในความคิดเห็นหรือดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

• การจัดการบันทึก PCI DSS
• กำหนดขอบเขตการตรวจสอบ SOC2
• ข้อกำหนดในการตรวจสอบ – บริษัทเอกชนในสหรัฐอเมริกา
• แผนการจัดการความเสี่ยง – มีไว้เพื่ออะไร?
• กลยุทธ์การวิเคราะห์ข้อมูลประสิทธิภาพการตรวจสอบภายใน