菜单

打电话给我们 03450 21 21 51

禅宗和PCI维护的艺术
SRM.博客

禅宗和PCI维护的艺术

SRM.

写道 SRM.

2015年10月30日

分享这篇文章

由Paul Brennecker,PCI QSA,PCI PFI,PCIP,主QSA,安全风险管理有限公司

“难吗?’
如果你有正确的态度,那就没有。它具有正确的态度。“
罗伯特M. Pirsig,禅宗和摩托车维修艺术

是否符合PCI DSS符合符合的人?如果你有正确的态度。 PCI数据安全合规性不是关于在特定日期勾选框;这是关于展望和细致的持续维护的变化。

PCI DSS评估就像一个MOT;它仅适用于给定的时刻。图片:这是:你的车在早上经过它的运动,但在回家的路上 - 甚至发生了一些小的东西 - 发生在技术上的车辆上的速度。你知道,如果你在那同一天在5点到达同一车库的情况下,它不会通过测试,并不再遵守道路交通行为。虽然您将在手中持有MOT证书,但它不再反映您的车辆。持续维护需要保持安全。
以同样的方式,PCI DSS合规需要持续维护。当然,我们都知道,有一些人每年只勾选盒子是他们谦虚的野心。但是,就像司机的司机一样,他们几乎肯定朝着灾难迈进。它们可能只是远离不合规的控制请求的一个不合格的变化。

其他人一直在努力工作长期合规,并有几年全面映射的工作计划。对于这些公司来说,他们的QSA就像一个很好的机械师;它们不仅努力实现合规性,而且还提供安全最佳实践指导,并使用他们的经验帮助设计能够进行时间考验的政策和程序。
那么,一个好的PCI DSS机械师会给你带来什么指导?鉴于每个企业都不同的事实,他们肯定会根据您的特定需求定制活动计划。但是,良好做法的原则仍然是不变的,对这些人的意识将保持良好的替代。

首先,了解您的环境。为此,您应该维护信息资产寄存器,以便您知道您可以访问的数据以及它的位置。使用此信息来提供信息管理系统并设计付款策略,以确保以标准化方式接受和处理所有付款。如果您知道您的威胁性,您应该首先在这些领域发挥最大努力,但建立安全日记也很重要,以确保根据全年根据需要分配和执行任务。

遵守应该不能只是作为刻度箱锻炼。实际上,某些要求实际上可以有助于改善工作实践并为您的业务增加价值。例如:系统硬化配置文件可以在某些情况下自动化,以便可以快速和安全地部署新的服务器或设备;定期维护和修补可以提供更稳定的环境,失败风险越低,安全性更大;更好地了解数据安全的工作人员可能能够更有效地识别问题,然后在他们成为服务之前;在全年的审计任务时,日复一项的术语确保稳定性并及时识别问题,而不是在MOT时间内识别问题。

对于那些遇到PCI DSS标准的人,当然,有需要进行正在进行的重新评估。初始PCI DSS评估的要求与重新评估的要求之间存在一些差异,主要是需要提供证据,以证明在前期的12个月内展示活动。例如,有要求展示系统补丁如何评估和应用的风险以及如何在发现的情况下评估和排名安全漏洞。

重新评估还需要至少两个防火墙评论的证据以及加密密钥更改和更改控制日志如何用于支持全年合规性的许多方面。此外,您必须显示有关如何为用户授予,修改和删除访问的证据;提供3个月的录制数据进行审查,并且日志必须有证据证明在过去3个月内的所有访客。

为了重新评估,还需要日志来显示包含支付数据的所有媒体的信息的跟踪;对于日志记录数据,需要12个月的记录,并且对于系统审计过程,需要证明日志如何审核以及结果所采取的行动。还有其他结果和报告可用于审核与无线扫描,内部漏洞扫描,渗透测试,策略和文档审查和事件回顾以及响应相关的审核。

或许是不可避免的,当需要持续维护您的PCI DSS合规性的要求是如此规范,存在许多常见问题,如果未遵守努力计划的政策和程序,可能会危及重复评估。员工经常是不负责任的,因此,各种任务尚未完成。例如,如果六月的防火墙评论没有日复历,并且没有人专门分配任务,那么谁会记住?

来自QSA的指导将有助于许多常见问题。在推出支付程序的情况下,既有既定处理卡数据的既定方法,则定义的支付策略有用。当存在关键斑块的风险时,不在30天窗口内评估或应用的风险时,鲁棒修补程序对于限制风险至关重要。专家建议还将帮助简化漏洞扫描的流程和未加密的卡数据的存储,这通常可以在桌面和服务器上找到。

然而,PCI DSS合规不应被视为繁重或不必要的负担。如果被带到一个组织的核心,它可以在效率和员工士气方面带来无所不机的好处。然而,毫不奇怪,很少有人可以自信地通过PCI DSS合规性导航,而无论他们可能发挥多少努力,都没有偶尔滑倒。这是专业输入的位置是关键。正如我们少数人在我们的汽车(或摩托车)上就会在我们的汽车(或摩托车)上进行复杂的维护或修理工作,有时候最好在专家中致电。