Fem + tips for å sikre PCI DSS-samsvar

Noen ganger hjelper jeg en venn som eier flere virksomheter. Hans siste virksomhet er påkrevd for å overholde Payment Card Industry Data Security Standard (PCI DSS). Vennen min er datamaskinkyndig. Så mellom oss to antok jeg at nettverket var i ferd med å snu. Så gikk gjennom en samsvarsrevisjon.

Tilsynet var øyeåpning. Vi gikk ut på et krasjkurs i PCI DSS-samsvar med hjelp av en konsulent. Min venn trodde konsulenten kunne være med på å forberede seg til den obligatoriske adopsjonen av PCI DSS 2.0 innen 1. januar 2011.

PCI Security Standards Council definerer PCI DSS på denne måten:

"Målet med PCI Data Security Standard er å beskytte kortholderdata som behandles, lagres eller overføres av selgere. Sikkerhetskontrollene og prosessene som kreves av PCI DSS er avgjørende for å beskytte kortholderkontodata, inkludert PAN - den primære kontoen nummer trykt på forsiden av et betalingskort. "

Konsulentens første skritt var å bli kjent med nettverket. Etter hvert forkynte han at det var i anstendig form, sikkerhetsmessig. Likevel utseendet på ansiktet hans fortalte at det var mer. Selvfølgelig fortsatte han med å forklare at mer oppmerksomhet må rettes mot beskyttelse av kortholderdata.

Tilbake til skolen

Konsulenten påpekte at PCI DSS består av 12 krav. Disse kravene er organisert i seks guider. Selv om kravene er for PCI DSS-samsvar, tør jeg påstå at veiledningene er en god grunner for ethvert forretningsnettverk, uavhengig av om PCI DSS er en faktor. Med det i tankene har jeg brukt guidene som grunnlag for disse tipsene.

1: Bygg og vedlikehold et sikkert nettverk

I guide 1 fremgår det åpenbare, og det er skrevet bøker om hvordan du sikrer et nettverk. Heldigvis ga konsulenten oss litt fokus ved å nevne at PCI DSS legger stor vekt på følgende:

  • Velholdte brannmurer er påkrevd, spesielt for å beskytte kortholderdata.
  • Alle sikkerhetsinnstillinger må endres, spesielt brukernavn og passord.

Konsulenten vår spurte da om vennen min hadde ansatte på stedet som koblet seg til virksomhetens nettverk. Jeg visste umiddelbart hvor han skulle. PCI DSS gjelder også for dem - noe vi ikke hadde vurdert, men trenger å gjøre.

2: Beskytt kortholderdata

Kortholderdata refererer til all informasjon som er tilgjengelig på betalingskortet. PCI DSS anbefaler at ingen data lagres med mindre det er absolutt nødvendig. Lysbildet i figur A (med tillatelse fra PCI Security Standards Council) gir retningslinjer for lagring av kortholdere data.

Figur A

En ting konsulenten understreket: Etter at en forretningstransaksjon er fullført, må alle data hentet fra magnetstripen slettes.

PCI DSS understreker også at kortholderdata som sendes over åpne eller offentlige nettverk må krypteres. Minste nødvendige kryptering er SSL / TLS eller IPSEC. Noe annet å huske: WEP er ikke tillatt siden juli 2010. Jeg nevner dette som noen maskinvare, som gamle PoS-skannere, bare kan bruke WEP. Hvis det er din situasjon, flytter du skannerne til et nettverkssegment som ikke har sensitiv trafikk.

3: Oppretthold et sårbarhetsstyringsprogram

Det er ikke åpenbart, men denne PCI DSS-guiden antyder subtilt at alle datamaskiner har antivirusprogramvare og en sporbar oppdateringsprosedyre. Konsulenten anbefalte å sørge for at antivirusprogrammet har revisjonslogging og at det er slått på.

PCI DSS krever at alle systemkomponenter og programvare har de nyeste leverandøroppdateringene installert innen 30 dager etter utgivelsen. Det krever også at selskapet har en tjeneste eller programvare som vil varsle de aktuelle personene når nye sikkerhetsproblemer blir funnet.

4: Gjennomfør sterke tilgangskontrolltiltak

PCI DSS deler tilgangskontroll inn i tre forskjellige kriterier: digital tilgang, fysisk tilgang og identifisering av hver bruker:

  • Digital tilgang : Bare ansatte hvis arbeid krever det, får tilgang til systemer som inneholder kortholderdata.
  • Fysisk tilgang : Det bør utvikles prosedyrer for å forhindre enhver mulighet for at uvedkommende innhenter data om kortholdere.
  • Unik ID : Alle brukere må ha et identifiserbart brukernavn. Sterk passordpraksis bør brukes, helst to-faktor.

5: Overvåke og test nettverk regelmessig

Guiden krever logging av alle hendelser relatert til kortholderdata. Det er her unik ID kommer inn i bildet. Loggoppføringen skal bestå av følgende:

  • bruker-ID
  • Type hendelse, dato og klokkeslett
  • Datamaskin og identitet på de tilgjengelige dataene

Konsulenten har gitt noen råd om det andre kravet. Når det gjelder å sjekke nettverket for sårbarheter, kan du utføre pennprøver og skanne nettverket etter useriøse enheter, for eksempel uautorisert Wi-Fi-utstyr. Det er vel verdt pengene å ha en uavhengig kilde til å gjøre arbeidet. Hvis du gjør det, fjernes alle skjevheter fra selskapets personell.

6: Oppretthold en policy for informasjonssikkerhet

Revisoren understreket at denne veiledningen er viktig. Med en politikk på plass, vet alle ansatte hva som forventes av dem når det gjelder å beskytte kortholderdata. Konsulenten var enig med revisor og la til følgende detaljer:

  • Lag en plan for hendelsesrespons, siden det er galt på så mange måter å finne ut hva du skal gjøre etter faktum.
  • Hvis kortholderdata blir delt med entreprenører og andre virksomheter, må du kreve at tredjeparter samtykker i informasjonssikkerhetspolitikken.
  • Forsikre deg om at retningslinjene gjenspeiler hvordan du tar vare på utrullingsutstyr, spesielt harddisker.

Siste tanker

Det finnes et vell av informasjon på PCI Security Standards Councils nettsted. Men hvis du er ny på PCI DSS, eller er minst opptatt av å oppgradere til 2.0, vil jeg anbefale å jobbe med en konsulent.

© Copyright 2021 | pepebotifarra.com