PCI DSS 日志管理

已发表: 2018-12-17

任何服务范围涉及收款的公司都需要有适当的系统来保护客户的信息,无论是在医疗保健、食品、零售、酒店还是任何其他行业。 这是因为支付数据的传输非常敏感。

除了为持卡人数据 (CD) 制定行业标准外,支付卡行业数据安全标准或 PCI-DSS 还强制执行这些标准,并对违规行为进行处罚。

PCI-DSS 究竟需要什么?

早在 2000 年代初期,支付卡交易领域的五家全球领导者:美国运通、万事达卡、Discover Financial Services、Visa Inc. 和 JCB International 开会成立了支付卡行业安全标准委员会或 PCI-SSC。 理事会提出了用于支付处理的信息安全标准,并考虑了两个目标:

  • 保护客户免遭未经授权的身份盗窃,以及
  • 帮助卡行业避免为可避免的数据泄露付费。

根据 PCI-SSC 的审议,我们今天所知的卡行业保护客户支付数据和信息的“最佳实践”很快就被标准化为 PCI-DSS。

PCI-DSS 违规处罚

尽管 PCI-DSS 仅被指定为“行业标准”而非法规,但遵守它远非可选。 不合规可能会严重破坏您作为商家的业务。 卡公司和收单银行可能会因违规而每月罚款 5,000 至 100,000 美元。 这样的罚款对中小企业来说可能是死刑。

那么,PCI-DSS 合规性是强制性的吗?

是的! 无论您的公司规模大小或所处行业如何,如果您接受、传输或存储持卡人数据,那么 PCI-DSS 合规性是必须的。

PCI-DSS 要求 10:它是什么?

该要求涉及对网络和数据访问的监控。 它指出:跟踪和监控对网络资源和持卡人数据的所有访问。

除了日志记录机制外,跟踪和监控用户行为的能力对于检测、减少影响或彻底预防数据泄露至关重要。 借助系统活动日志,可以更轻松地跟踪、分析和确定违规来源,以提醒有关当局采取行动。

要求 10 有 39 个子部分阐明了其要求,强调您持续监控用户对您环境的访问和活动。 用户访问控制使您能够确保安全的持卡人数据环境 (CDE)。 此外,由于 PCI-DSS 是一套高度规范的标准,它列出了满足其要求所需的步骤、流程和文档的详细列表。

要求 10 合规性:需要哪些记录?

为了帮助您确保完全符合其要求,PCI-DSS 具有许多内置机制。 除了列出部分、子部分和部分子部分之外,该标准还包括一个指导部分,以帮助其用户了解有效的控制审查。 以下是可以帮助您记录确定您是否合规所必需的数据的步骤汇编:

  • 设计一个系统/流程,将用户访问权限连接到获得访问权限的系统部分,并确信您可以跟踪任何可疑活动的来源。
  • 创建审计跟踪,展示系统管理员如何收到任何可疑活动的通知并做出相应的响应。
  • 记录对 CDE 的所有个人访问条目,以证明没有未经授权的用户访问过系统、网络和数据。
  • 确保记录由“admin/root”帐户进行的所有活动,这些活动清楚地显示任何可能的特权滥用,并将违规行为追溯到其特定来源。
  • 通过实施一种方法来识别对审计日志的任何更改、添加或删除,从而维护审计日志的文件完整性。
  • 记录无效/非法登录尝试以跟踪密码猜测和暴力破解攻击。
  • 使您能够跟踪任何试图绕过控制的身份验证活动操作的文档。
  • 将任何暂停/重新启动记录到系统的审核日志记录过程中。
  • 保留记录以证明没有通过未经授权的用户帐户创建/删除数据库或存储过程等系统级对象。
  • 创建事件日志以记录用户 ID、事件类型、时间戳、成功/失败指示符、事件起源、受影响的数据、受影响的系统组件和资源标识/名称。
  • 跨系统组件同步时钟,以便为取证团队保留准确事件序列的标签。
  • 在审计日志访问中利用“最小权限原则”,确保信息的完整性和安全性。
  • 将日志备份到保证数据完整性的集中式服务器/媒体。
  • 直接写入日志或从外部源卸载/复制到安全的内部系统。
  • 结合文件完整性监控和更改检测机制,以检测审计日志更改以防日期泄露。
  • 手动或通过日志收集、解析和警报工具定期查看日志。
  • 每天检查安全控制以获取有关关键系统组件日志的警报,例如任何可疑活动。
  • 为所有系统组件安排定期审查,这些组件揭示了潜在问题或通过不太敏感的系统对敏感系统进行未经授权的访问尝试。
  • 密切关注异常/异常情况的调查。
  • 将所有记录保存至少一年。
  • 确保员工了解安全策略及其监控。

对服务提供商的附加要求

  • 实施正式程序以检测/警告关键安全控制故障,例如防火墙清除规则或离线。
  • 保留有关安全故障响应的证据,包括所涉及和负责的程序。

编者按: Ken Lynch 是一位企业软件初创公司的资深人士,他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功,这一基于使命的目标是让员工参与公司的治理、风险和合规目标,以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。 在 ReciprocityLabs.com 上了解更多信息。

对此有什么想法吗? 在下面的评论中让我们知道,或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐:

  • 确定 SOC2 审计范围
  • 审计要求——美国私营公司
  • 风险管理计划——它的用途是什么?
  • 内部审计有效性数据分析策略
  • 在项目管理中优先考虑风险