PCI DSS günlük yönetimi

Yayınlanan: 2018-12-17

Hizmet alanı, ödeme toplamayı içeren herhangi bir firmanın, sağlık, gıda, perakende, konaklama veya başka herhangi bir sektörde, müşteri bilgilerini korumak için sistemlere sahip olması gerekir. Bunun nedeni, ödeme verilerinin iletiminin çok hassas olmasıdır.

Kart sahibi verileri (CD) için endüstri standartlarını belirlemeye ek olarak, Payment Card Industry Data Security Standard veya PCI-DSS de bu standartları ihlale karşı cezalarla birlikte uygular.

PCI-DSS Tam Olarak Neleri Kapsar?

2000'lerin başında, ödeme kartı işlemlerinde beş küresel lider: American Express, MasterCard, Discover Financial Services, Visa Inc. ve JCB International, Ödeme Kartı Endüstrisi-Güvenlik Standartları Konseyi'ni veya PCI-SSC'yi başlatmak için bir araya geldi. Konsey, ödeme işlemleri için bilgi güvenliği standartlarını iki hedefi göz önünde bulundurarak buldu:

  • müşterileri yetkisiz kimlik hırsızlığından korumak ve
  • kart endüstrisinin önlenebilir veri ihlalleri için ödeme yapmaktan kaçınmasına yardımcı olur.

PCI-SSC müzakerelerinden, bugün kart endüstrisinin müşteri ödeme verilerini ve bilgilerini korumaya yönelik “en iyi uygulamaları” olarak bildiğimiz şey, kısa süre sonra PCI-DSS'de standart hale getirildi.

PCI-DSS Uyumsuzluğunun Cezaları

PCI-DSS, bir düzenlemeden ziyade yalnızca bir “endüstri standardı” olarak belirlenmiş olsa da, buna uymak isteğe bağlı olmaktan uzaktır. Uyumsuzluk, bir tüccar olarak işletmeniz için önemli bir geri dönüş olabilir. Kart firmaları ve edinen bankalar, uyumsuzluk nedeniyle aylık 5.000 ila 100.000 ABD Doları arasında para cezasına çarptırılabilir. Bu tür para cezaları KOBİ'ler için ölüm cezası olabilir.

O halde PCI-DSS Uyumluluğu Zorunlu mu?

Evet öyle! Firmanızın büyüklüğü veya içinde bulunduğunuz sektör ne olursa olsun, kart sahibi verilerini kabul ediyor, iletiyor veya saklıyorsanız, PCI-DSS uyumluluğu bir zorunluluktur.

PCI-DSS Gereksinimi 10: Nedir?

Bu gereklilik, hem ağlara hem de verilere erişimin izlenmesiyle ilgilidir. Şunu belirtir: Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin.

Günlüğe kaydetme mekanizmalarının yanı sıra, kullanıcı eylemlerini izleme ve izleme kapasitesi, veri ihlallerinin tespiti, etkisinin azaltılması veya doğrudan önlenmesi için çok önemlidir. Sistem etkinliği günlükleriyle, ilgili yetkilileri harekete geçmeleri için uyarmak için bir ihlalin kaynağını izlemek, analiz etmek ve belirlemek daha kolaydır.

Gereksinimlerini açıklayan 39 alt bölümle Gereksinim 10, ortamınızdaki kullanıcı erişimini ve etkinlikleri sürekli olarak izlemenizi vurgular. Kullanıcı erişim kontrolleri, güvenli bir kart sahibi veri ortamı (CDE) sağlamanızı sağlar. Ayrıca, PCI-DSS oldukça kuralcı bir standartlar dizisi olduğundan, gereksinimlerini karşılamak için gerekli olan adımların, süreçlerin ve belgelerin ayrıntılı bir listesini ortaya koyar.

Gereklilik 10 Uygunluk: Hangi Kayıtlar Gereklidir?

Gereksinimlerine tam olarak uyduğunuzdan emin olmanıza yardımcı olmak için PCI-DSS'nin birçok yerleşik mekanizması vardır. Standart, bölümlerin, alt bölümlerin ve alt bölümlerin bölümlerinin listelenmesinin yanı sıra, kullanıcılarının etkili kontrol incelemesini takdir etmesine yardımcı olmak için bir Kılavuz bölümü de içerir. Aşağıda, uyumlu olup olmadığınızı belirlemek için gerekli olan verileri günlüğe kaydetmenize yardımcı olabilecek adımların bir derlemesi verilmiştir:

  • Kullanıcı erişimini, sistemin erişilen bölümlerine bağlayan bir sistem/süreç tasarlayın ve herhangi bir şüpheli etkinliği kaynağına kadar izleyebileceğinizden emin olun.
  • Sistem yöneticisinin herhangi bir şüpheli etkinlikten nasıl haberdar olabileceğini ve buna göre yanıt verebileceğini gösteren denetim izleri oluşturun.
  • Yetkisiz kullanıcıların sistemlere, ağlara ve verilere erişim sağlamadığını kanıtlamak için CDE'ye yapılan tüm bireysel erişim girişlerinin kaydını alın.
  • "Yönetici/kök" hesapları tarafından yürütülen ve olası ayrıcalıkların kötüye kullanımını açıkça gösteren tüm etkinlikleri kaydettiğinizden ve ihlali belirli kaynağına kadar izlediğinizden emin olun.
  • Bunlarda yapılan değişiklikleri, eklemeleri veya silmeleri belirlemek için bir yöntem uygulayarak denetim günlüklerinin dosya bütünlüğünü koruyun.
  • Parola tahminlerini ve kaba kuvvet korsanlığı saldırılarını izlemek için geçersiz/yasadışı oturum açma girişimlerinin kayıtlarını alın.
  • Denetimleri atlamaya çalışan kimlik doğrulama etkinliklerinin herhangi bir manipülasyonunu izlemenizi sağlayan bir belge.
  • Sisteminizin denetim günlüğü süreçlerindeki tüm duraklamaları/yeniden başlatmaları kaydedin.
  • Veritabanları veya saklı yordamlar gibi sistem düzeyindeki nesnelerin yetkisiz kullanıcı hesapları aracılığıyla oluşturulmadığını/silinmediğini göstermek için kayıtlar tutun.
  • Kullanıcı kimliklerini, olay türlerini, zaman damgalarını, başarı/başarısızlık göstergelerini, olay oluşumunu, etkilenen verileri, etkilenen sistem bileşenini ve kaynak kimliğini/adını kaydetmek için bir olay günlüğü oluşturun.
  • Adli tıp ekipleri için kesin olay dizilerinin sekmelerini tutmak için saatleri sistem bileşenleri arasında senkronize edin.
  • Bilgilerin bütünlüğünü ve güvenliğini sağlamak için denetim günlüğü erişiminde "en az ayrıcalık ilkesinden" yararlanın.
  • Günlükleri, veri bütünlüğünü garanti eden merkezi sunucuya/ortama yedekleyin.
  • Günlükleri doğrudan yazın veya harici kaynaklardan güvenli bir dahili sisteme aktarın/kopyalayın.
  • Tarih ihlalleri durumunda denetim günlüğü değişikliklerini algılamak için dosya bütünlüğü izleme ve değişiklik algılama mekanizmalarını birleştirin.
  • Günlükleri manuel olarak veya günlük toplama, ayrıştırma ve uyarı araçları aracılığıyla düzenli olarak gözden geçirin.
  • Herhangi bir şüpheli etkinlik gibi kritik sistem bileşeni günlüklerindeki uyarılar için güvenlik kontrollerini günlük olarak gözden geçirin.
  • Potansiyel sorunları veya daha az hassas sistemler aracılığıyla hassas sistemlere yetkisiz erişim girişimlerini ortaya çıkaran tüm sistem bileşenleri için düzenli incelemeler planlayın.
  • İstisnalar/anomaliler araştırmalarının sekmelerini tutun.
  • Tüm kayıtları en az bir yıl süreyle saklayın.
  • Çalışanların güvenlik politikalarından ve bunların izlenmesinden haberdar olduğundan emin olun.

Servis Sağlayıcılar için Ek Gereksinimler

  • Kritik güvenlik kontrol hatalarını tespit etmek/uyarmak için resmi prosedürleri uygulayın, örneğin güvenlik duvarı silme kuralları veya çevrimdışı olma.
  • İlgili ve sorumlu prosedür de dahil olmak üzere, güvenlik arızalarına verilen yanıtla ilgili kanıtları koruyun.

Editörün Notu: Ken Lynch, çalışanları neyin çalışmaya ittiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır. ReciprocityLabs.com'da daha fazla bilgi edinin.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

  • SOC2 denetiminin kapsamını belirleme
  • Denetim gereksinimleri – Özel ABD şirketleri
  • Risk yönetim planı – Ne için?
  • İç denetim etkinliği veri analitiği stratejisi
  • Proje yönetiminde riskin önceliklendirilmesi