Mida on vaja teada PCI DSSi kohta

Kuue nõude komplekt

Standardi aluseks on kuue nõude komplekt. Ühel või teisel määral on need infoturbe maailmas üldiselt tunnustatud parimad tavad. Vastavalt PCI DSS-ile peab ettevõte:

  1. Kaitske võrgu infrastruktuuri. Kogu sissetulevat ja väljaminevat liiklust filtreerivad tulemüürid. Samal ajal peab kliendiandmete töötlemise eest vastutav võrguosa olema segmenteeritud – see tähendab, et see on jagatud mitmeks sõltumatuks klastriks. See võimaldab teil piirata võimalikku kahju, kui häkkeritel õnnestub siiski võrku "tungida".

Samal ajal peavad kõik virtuaalmasinad täitma ainult ühte funktsiooni. See lähenemine tagab, et serveri häkkimine ei võimalda ründajatel saada kontrolli mitme andmetöötlusprotsessi etapi üle.

Infrastruktuuri komponentidele juurdepääsuks kasutatavad paroolid peavad erinema tehase vaikeseadetest ja need ei tohi sisalduda kõige sagedamini kasutatavate paroolide loendis. Vastasel juhul on oht häkkida lihtsa sõnastiku loetelu . Näiteks 2017. aastal oli Equifaxi krediidibüroos lekke üheks põhjuseks lihtsalt nõrk parool. Organisatsioon Andmebaasi juurdepääsuks kasutati sisselogimist ja parooli admin.

  1. Kasutage krüptimist. Andmete krüptimiseks peate kasutama tugevat krüptograafiat (vähemalt 128-bitiste võtmetega). PCI DSS-dokumendi uusim versioon, 1. jaanuaril 2019, nõuab ettevõtetelt TLS 1.2 kasutamist. See meede võeti kasutusele protokolli eelkäija SSL 3.0 haavatavuse tõttu, mis annab ründaja võimalus krüpteeritud sidekanalist tundlikku teavet eraldada.

Samal ajal sisaldab PCI DSS dokument nimekirja krüptolahenduste pakkujatest, kelle tooteid soovitatakse edukaks sertifitseerimiseks. See hõlmab 886 maksetarkvara pakkujat ja enam kui 200 erinevate krüpteerimissüsteemide arendajat.

  1. Installige viirusetõrjetarkvara. Haavatava tarkvara värskendamise protsess peaks olema reguleeritud, et vältida kõiki võimalikke haavatavusi.
  2. Seadistage andmetele juurdepääsu eeskirjad. Üks nõuetest on mitmefaktorilise autentimise kasutamine kriitilise infrastruktuuri komponentide ja isikuandmetega ühenduse loomiseks. Samas on vaja piirata ligipääsu kliendiandmete füüsilise säilitamise kohtadele. Neid eeskirju kohandatakse iga kord, kui ettevõttes toimub personalivahetus.
  3. Korraldage infrastruktuuri jälgimist. Häkkimiste kiireks tuvastamiseks on oluline logida kõik andmetega tehtud toimingud. Turvasüsteeme ennast tuleks regulaarselt testida, et kiiresti tuvastada IT-infrastruktuuri nõrkused.
  4. Formuleerige ettevõtte infoturbepoliitika. Oluline on ette näha IT-taristu turvalisuse tagamise üldpõhimõtted, kasutajate isikuandmetele juurdepääsu võimaldamise algoritm ja sammud, mida tehakse, kui need andmed on ohus. Dokumente tuleb uuendada igal aastal vastavalt IT-struktuuris tehtud muudatustele.

Auditeerimisprotsess

Ettevõtted, kes töötlevad vähem kui 20 000 makset aastas, saavad end auditeerida. Teised organisatsioonid peavad kasutama sertifitseeritud audiitorite abi.

Audit algab teoreetilisest osast. Siin kontrollitakse sisejulgeolekupoliitika asjakohasust ja personali pädevust. Ettevõte pakub infoturbe kohta väljatöötatud juhiseid, määrusi ja muid norm- ja haldusdokumente.

Seejärel hinnatakse IT-infrastruktuuri töökindlust. Selleks viivad audiitorid läbi penetratsioonitest — simuleeritud rünnak ettevõtte võrkude vastu. Nii kontrollitakse kaardiomanike andmete kaitsmisele suunatud lahenduste toimimist ja tuvastatakse võimalikud turvaaugud.

Kui kõik õnnestub, jääb üle taristu tehnilised omadused audiitoritega kokku leppida. Spetsialistid hindavad tarkvara, riistvara parameetreid, võrgu topoloogiat, operatsioonisüsteemi konfiguratsiooni jne. Pange tähele, et kui auditi käigus avastatakse väiksemaid PCI DSS nõuete rikkumisi, saab need kohapeal kõrvaldada.

Kuidas sertifitseerimist lihtsustada

PCI DSS-i sertifikaat võtab palju vaeva ja aega. See protsess võttis meil aega üle aasta. IT-GRAD-i meeskond pidi suure osa meie hostimise infrastruktuurist uuesti üles ehitama. Oleme loonud ESX-il, vSphere'il ja vCenteril põhineva isoleeritud võrgu, millele pääseb ligi kahefaktorilise autentimisega VPN-i kaudu. Selles võrgus me juurutatud jälgimis-, logimis- ja andmete terviklikkuse kontrollisüsteemid ning viirusetõrjetarkvara.

Auditi läbimiseks peate mõnikord oma IT-infrastruktuuri täielikult ümber mõtlema. Ja mida suurem on ettevõte, seda pikem on see protsess. Selgub, et ettevõtted, kes vajavad PCI DSS-i infrastruktuuri rohkem kui teised – pangad ja suured jaemüüjad – Kõige raskem on nende standardite järgimist ise korraldada.

IaaS-i pakkujad saavad sertifitseerimisprotsessi lihtsustada. Näiteks pakume IT-GRADis teenust -5758&roistat_visit=2331">PCI DSS-i hostimine. See annab ettevõtetele võimaluse lükata osa vastutusest standardi nõuete täitmise eest pilvepakkuja õlule. Näiteks IT-GRADi spetsialistid vastutavad võrgu kaitsmise ja seadmetele füüsilise juurdepääsu kontrollimise eest. Meie andmekeskused Moskvas ja Peterburis vastavad kõrgeimatele turvanõuetele. Lisaks aitame seadistada serverikeskkonda ja korraldada sertifitseerimiseks vajalikku monitooringut.

Seega, kasutades PCI DSS-i hostimisteenust, säästab klient oma raha ja vähendab sertifitseerimiseks kuluvat aega. Selline lähenemine võimaldab keskenduda põhitegevuse arendamisele.

Link artiklile< /p>