支付卡行业数据安全标准(PCI DSS)提出了许多遵从性挑战, 特别是对于大的, 复杂的组织. 这些挑战包括各种周期性(e.g.(每月、每季度、每半年)控制要求贯穿于整个标准. 实现和维护PCI合规性需要一个持续的管理方法来成功地执行这些控制要求,然后在年度评估期间展示执行情况. 在一年的时间里, 哪一个是典型的评税期, 对于组织来说,忽略这些需求中的一个或多个的执行是很常见的. 这可能需要延长评估期,以弥补被忽视的任务或, 在最坏的情况下, 可能导致不合规的评估. 这些定期要求的执行往往由于指定人员的离开或其他组织因素而被忽视,而不是仅仅由于疏忽. 不管, PCI DSS要求这些定期任务按照规定的时间表执行,遗漏一个或多个实例将导致评估人员发现实体不合规.
而不是冒遗漏周期性控制要求的风险, 至关重要的是,各实体应主动监测这些要求的完成情况. 首先也是最重要的, 每个控件的所有权必须正式分配给负责的个人或团队. 第二个, 必须实现资源以提醒所有者执行控制, 记录执行结果, 便于管理监督. 通常利用的资源范围从简单的日历提醒到更复杂的治理, 风险, 和遵从性(GRC)应用程序套件. 实体必须负责确保这些任务成功执行,因为这些任务可能很少, 如果有任何, 在期限过后展示执行力的机会.
以下是PCI DSS版本3中周期性控制需求的摘要.2.1,以及执行和证明评估的每个要求的一些有用的指导. 取决于实体的合规范围和相关的报告义务, 有些要求可能不适用. 鼓励实体联系其收单银行,并咨询PCI合格安全评估员(QSA),以确认其报告和认证义务.
日常控制要求
要求10.6.1:执行日志审阅
- 这可以通过手动或自动的审查方法来满足.
- 必须为所有持卡人数据环境(CDE)系统组件审查规定的安全事件类型.
- 执行安全功能的服务器和系统组件的日志也必须进行检查.
每周控制要求
要求11.5:执行关键文件比较
- 这可以通过变更检测机制来满足,比如文件完整性监控(FIM)软件.
- 必须对所有CDE系统执行比较.
- 必须便于识别未经授权的修改(包括变更, 关键系统文件的添加和删除, 配置文件, 或者内容文件.
每月控制要求
要求6.2:安装关键安全补丁
- 这必须对所有CDE系统组件和软件应用程序执行.
- 实体必须有正式的漏洞管理程序来定义和识别关键的安全漏洞.
季度控制要求
要求3.1:识别和安全地删除存储的持卡人数据(CHD)
- 实体必须首先定义一个CHD保留期. 这通常是通过数据分类策略实现的.
- 然后,实体必须审查数据存储库,以确保存储的CHD不会超过定义的保留期限.
- 必须使用安全删除机制来确保数据不可恢复.
要求8.1.4:至少每90天删除/禁用不活跃的用户帐户
- 必须对所有帐户目录执行此操作, 无论是内部还是外部, 用于控制对CDE的访问.
- 这可以通过自动审查和禁用机制来完成.
要求11.1:测试无线接入点的存在
- 可以利用手动或自动机制来检测和识别所有授权和未经授权的无线接入点.
- 无论在CDE中使用任何无线网络和/或是否在合规范围内,此要求都适用.
要求11.2:执行内部和外部网络漏洞扫描
- 所有CDE系统都必须接受漏洞扫描.
- 用于外部ASV扫描, 漏洞必须修复并重新扫描,直到每个季度都通过扫描.
- 通过ASV报告的日期间隔不得超过90天.
- 扫描 报告,而不是原始扫描结果,必须为每个季度的内部漏洞扫描生成.
要求12.11:(仅限服务提供商)进行审查以确认人员是否遵守安全政策和操作程序
- 这一要求不取代其他定期要求, 而是作为监督下列程序的额外要求:
- 每日日志回顾
- 防火墙规则集审查
- 将配置标准应用于新系统
- 响应安全警报
- 变更管理流程
要求12.11.(仅限服务提供商)维护季度评审过程的文件
- 各实体应将监督活动的执行情况与活动本身分开记录.
- 必须包括由负责PCI DSS合规计划的人员对结果的审查和签字.
半年度控制要求
要求1.1.7:检查防火墙和路由器规则集
- 必须包括对所有CDE防火墙和路由器的规则集的审查吗.
- 记录应包括评审结果和任何由此产生的补救活动.
要求11.3.4.1:(仅限服务提供商)测试分段控制
- 如果使用分段将CDE与其他网络隔离,必须执行.
- 也必须执行任何变化后分割控制/方法.
- 此要求不取代年度渗透测试要求.
年度管制规定
识别范围 & 验证:如PCI DSS v第10页所述.3.2.1
- “至少每年一次,在年度评估之前, 被评估实体应通过识别持卡人数据的所有位置和流动来确认其PCI DSS范围的准确性, 识别所有与之相连的系统, 或者如果妥协了, 会影响CDE (e.g. 身份验证服务器),以确保它们包含在PCI DSS范围内.”
- 评估员将验证作为评估一部分的定义范围.
要求6.5:发展培训
- 开发人员必须接受最新安全编码技术的培训, 包括如何避免常见的编码漏洞.
- 培训可以通过内部或外部项目提供.
- 应保留培训记录,最好是结业证书.
要求6.6 .审查面向公众的Web应用程序
- 这必须针对所有用于卡支付活动的面向公众的web应用程序进行.
- 可以使用手动或自动的应用程序漏洞安全评估工具或方法.
- 如果使用Web应用程序防火墙进行持续监控,则不适用此要求.
要求9.5.1:检查介质备份位置的安全性
- 这只适用于在场外设施储存CHD(以任何媒体格式).
- 亲自检查,虽然最有效,但没有规定.
要求9.7.1:正确维护所有媒体的盘点日志,进行媒体盘点
- 这只适用于储存CHD(以任何媒体格式).
- 盘点评审的结果应记录下来并提供给评估员.
要求11.3:执行外部和内部渗透测试
- 测试必须按照文档化的方法进行.
- 如果适用的话, 内部渗透测试人员必须能够证明通过教育等资格, 培训, 和/或认证记录.
- 测试记录必须证明后续测试,以验证初始发现的纠正.
要求11.3.4:执行分割验证测试
- 如果使用分段将CDE与其他网络隔离,必须执行.
- 也必须执行任何变化后分割控制/方法.
要求12.1.1:审核和更新安全策略
- 这可以通过一次性或持续审查CDE政策来完成.
- 记录应包括审查的结果,最好记录在每项政策的正文中.
要求12.2:进行风险评估
- 这必须是对组织风险的正式审查,包括那些影响CDE的风险.
- PCI DSS评估本身不具备风险评估的资格.
要求12.确保员工参加安全意识培训
- 培训可以通过内部或外部项目提供.
- 实体必须能够提供所有CDE人员成功完成的记录.
要求12.6.2:员工必须承认安全政策
- 致谢可以作为年度培训的一部分或单独征求.
- 致谢可以通过电子方式或签名方式获得.
要求12.8.维护监控服务提供商PCI DSS合规性状态的程序
- 这只适用于与之共享持卡人数据的服务提供商, 或者这可能会影响持卡人数据的安全性.
- 实体应审查服务提供者证明的适用性、完整性和有效性.
要求12.10.2:测试事件响应计划
- 这应该是正式的测试活动,例如活动模拟或桌面练习.
- 实体应能够向评估员提供测试记录.
杂项定期要求
一些要求包括定期执行的规定. 在每种情况下,都没有规定期限, 但是,实体应该在策略和程序中定义这些期间,并能够相应地证明执行情况.
要求3.6.4:加密密钥更改
- 实体应该为更改用于加密CHD的密钥定义一个加密周期.
- 政策还应要求在发生可疑的妥协时更改密钥.
要求5.1.2:不断发展的恶意软件威胁评估
- 实体必须审查威胁情况,以确定是否应该在CDE中使用的任何非windows系统上安装防病毒软件.
- 这些评审的记录应该提供给审核员.
要求5.2:防病毒扫描
- 防毒软件必须配置为定期扫描.
- 理想情况下,扫描应该是完整的系统扫描,而不仅仅是目标文件扫描.
要求9.8 .媒体破坏
- 此要求适用于存储CHD的所有媒体格式.
- 销毁记录应提供给评估员
要求9.9.2:支付设备篡改检查
- 理想情况下,检查应由负责任的人员或可信赖的支持供应商进行.
- 负责检查工作的人员必须接受培训.
- 审核员应备有检验记录.
要求12.10.4:安全漏洞响应培训
- 事件响应人员必须接受最新的违规响应技术培训, 包括事件分析和取证.
- 培训可以通过内部或外部项目提供.
- 应保留培训记录,最好是结业证书.
提供必要证据
这些周期性控制需求的主动管理可以消除组织在评估期间没有准备好证明遵从性的情况. 上面列出的每一项活动, 适用于该实体和CDE, 在PCI评估期间会被评估员审查吗. 所有组织都会经历员工流失和, 不幸的是, 这些离职可能会对安全操作和合规计划的连续性产生负面影响. 然而, 主体必须能够证明控制措施在整个评估期间得到维持和运行,并允许评估人验证控制措施的有效性. 另外, 虽然在大多数情况下,控制期和目标是明确的, 可能有不止一种方法来满足需求. 经验丰富且知识渊博的评估人员可以在实施控制策略和策略时对其进行审查,以验证需求的意图和定期执行义务都得到了满足.
无论您是希望加强您的整个网络安全计划还是您的PCI合规计划, 我们LBMC网络安全团队可以提供帮助. 请随时查看明升体育app下载资源和播客库, 哪些提供了您可以用来增强网络安全各个领域的具体见解. 与明升体育app下载团队联系,了解我们如何帮助制定有效的PCI合规计划.
参考资料:支付卡行业,安全标准委员会. 遵从性报告,v3.2.1. http://www.pcisecuritystandards.org/document_library.