PCI DSS 日誌管理

已發表: 2018-12-17

任何服務範圍涉及收款的公司都需要有適當的系統來保護客戶的信息,無論是在醫療保健、食品、零售、酒店還是任何其他行業。 這是因為支付數據的傳輸非常敏感。

除了為持卡人數據 (CD) 制定行業標準外,支付卡行業數據安全標准或 PCI-DSS 還強制執行這些標準,並對違規行為進行處罰。

PCI-DSS 究竟需要什麼?

早在 2000 年代初期,支付卡交易領域的五家全球領導者:美國運通、萬事達卡、Discover Financial Services、Visa Inc. 和 JCB International 開會成立了支付卡行業安全標準委員會或 PCI-SSC。 理事會提出了用於支付處理的信息安全標準,並考慮了兩個目標:

  • 保護客戶免遭未經授權的身份盜竊,以及
  • 幫助卡行業避免為可避免的數據洩露付費。

根據 PCI-SSC 的審議,我們今天所知的卡行業保護客戶支付數據和信息的“最佳實踐”很快就被標準化為 PCI-DSS。

PCI-DSS 違規處罰

儘管 PCI-DSS 僅被指定為“行業標準”而非法規,但遵守它遠非可選。 不合規可能會嚴重破壞您作為商家的業務。 卡公司和收單銀行可能會因違規而每月罰款 5,000 至 100,000 美元。 這樣的罰款對中小企業來說可能是死刑。

那麼,PCI-DSS 合規性是強制性的嗎?

是的! 無論您的公司規模大小或所處行業如何,如果您接受、傳輸或存儲持卡人數據,那麼 PCI-DSS 合規性是必須的。

PCI-DSS 要求 10:它是什麼?

該要求涉及對網絡和數據訪問的監控。 它指出:跟踪和監控對網絡資源和持卡人數據的所有訪問。

除了日誌記錄機制外,跟踪和監控用戶行為的能力對於檢測、減少影響或徹底預防數據洩露至關重要。 借助系統活動日誌,可以更輕鬆地跟踪、分析和確定違規來源,以提醒有關當局採取行動。

要求 10 有 39 個子部分闡明了其要求,強調您持續監控用戶對您環境的訪問和活動。 用戶訪問控制使您能夠確保安全的持卡人數據環境 (CDE)。 此外,由於 PCI-DSS 是一套高度規範的標準,它列出了滿足其要求所需的步驟、流程和文檔的詳細列表。

要求 10 合規性:需要哪些記錄?

為了幫助您確保完全符合其要求,PCI-DSS 具有許多內置機制。 除了列出部分、子部分和部分子部分之外,該標準還包括一個指導部分,以幫助其用戶了解有效的控制審查。 以下是可以幫助您記錄確定您是否合規所必需的數據的步驟彙編:

  • 設計一個系統/流程,將用戶訪問權限連接到獲得訪問權限的系統部分,並確信您可以跟踪任何可疑活動的來源。
  • 創建審計跟踪,展示系統管理員如何收到任何可疑活動的通知並做出相應的響應。
  • 記錄對 CDE 的所有個人訪問條目,以證明沒有未經授權的用戶訪問過系統、網絡和數據。
  • 確保記錄由“admin/root”帳戶進行的所有活動,這些活動清楚地顯示任何可能的特權濫用,並將違規行為追溯到其特定來源。
  • 通過實施一種方法來識別對審計日誌的任何更改、添加或刪除,從而維護審計日誌的文件完整性。
  • 記錄無效/非法登錄嘗試以跟踪密碼猜測和暴力破解攻擊。
  • 使您能夠跟踪任何試圖繞過控制的身份驗證活動操作的文檔。
  • 將任何暫停/重新啟動記錄到系統的審核日誌記錄過程中。
  • 保留記錄以證明沒有通過未經授權的用戶帳戶創建/刪除數據庫或存儲過程等系統級對象。
  • 創建事件日誌以記錄用戶 ID、事件類型、時間戳、成功/失敗指示符、事件起源、受影響的數據、受影響的系統組件和資源標識/名稱。
  • 跨系統組件同步時鐘,以便為取證團隊保留準確事件序列的標籤。
  • 在審計日誌訪問中利用“最小權限原則”,確保信息的完整性和安全性。
  • 將日誌備份到保證數據完整性的集中式服務器/媒體。
  • 直接寫入日誌或從外部源卸載/複製到安全的內部系統。
  • 結合文件完整性監控和更改檢測機制,以檢測審計日誌更改以防日期洩露。
  • 手動或通過日誌收集、解析和警報工具定期查看日誌。
  • 每天檢查安全控制以獲取有關關鍵系統組件日誌的警報,例如任何可疑活動。
  • 為所有系統組件安排定期審查,這些組件揭示了潛在問題或通過不太敏感的系統對敏感系統進行未經授權的訪問嘗試。
  • 密切關注異常/異常情況的調查。
  • 將所有記錄保存至少一年。
  • 確保員工了解安全策略及其監控。

對服務提供商的附加要求

  • 實施正式程序以檢測/警告關鍵安全控制故障,例如防火牆清除規則或離線。
  • 保留有關安全故障響應的證據,包括所涉及和負責的程序。

編者按: Ken Lynch 是一位企業軟件初創公司的資深人士,他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。 他推動了 Reciprocity 的成功,這一基於使命的目標是讓員工參與公司的治理、風險和合規目標,以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。 在 ReciprocityLabs.com 上了解更多信息。

對此有什麼想法嗎? 在下面的評論中讓我們知道,或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦:

  • 確定 SOC2 審計範圍
  • 審計要求——美國私營公司
  • 風險管理計劃——它的用途是什麼?
  • 內部審計有效性數據分析策略
  • 在項目管理中優先考慮風險