Δημιουργήσαμε ένα νέο μοντέλο ψηφιακού μετασχηματισμού, Digital Entrepreneurship ecosystem, για την εκκίνηση, αναβάθμιση & χρηματοδότηση, Μικρομεσαίων Επιχειρήσεων & Startups.

Το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Καρτών Πληρωμής (PCI DSS) απαιτείται από τη σύμβαση για όσους χειρίζονται δεδομένα κατόχου κάρτας, είτε είστε νεοσύστατη επιχείρηση είτε παγκόσμια επιχείρηση. Η επιχείρησή σας πρέπει πάντα να είναι συμβατή και η συμμόρφωσή σας πρέπει να επικυρώνεται ετησίως. Γενικά απαιτείται από εταιρείες πιστωτικών καρτών και συζητείται σε συμφωνίες δικτύου πιστωτικών καρτών.

Σε αυτές τις δύσκολες στιγμές,
έχουμε κάνει τα άρθρα μας για τον μετασχηματισμό ελεύθερα περιορισμών για όλους τους αναγνώστες.
Για να λαμβάνετε όλο το περιεχόμενο του insTech στα εισερχόμενά σας,
εγγραφείτε στο ενημερωτικό δελτίο.

Το Συμβούλιο Προτύπων PCI (SSC) είναι υπεύθυνο για την ανάπτυξη των προτύπων για τη συμμόρφωση με το PCI. Σκοπός του είναι να συμβάλει στην ασφάλεια και την προστασία ολόκληρου του οικοσυστήματος των καρτών πληρωμών. Αυτά τα πρότυπα ισχύουν για εμπόρους, παρόχους υπηρεσιών που επεξεργάζονται συναλλαγές πληρωμής με πιστωτική/χρεωστική κάρτα.

Τί είναι η Συμμόρφωση PCI;

Η συμμόρφωση της βιομηχανίας καρτών πληρωμών (PCI) επιβάλλεται από τις εταιρείες πιστωτικών καρτών για να διασφαλιστεί η ασφάλεια των συναλλαγών με πιστωτικές κάρτες στον κλάδο πληρωμών. Η συμμόρφωση στον κλάδο των καρτών πληρωμών αναφέρεται στα τεχνικά και λειτουργικά πρότυπα που ακολουθούν οι επιχειρήσεις για την ασφάλεια και την προστασία των δεδομένων πιστωτικών καρτών που παρέχονται από τους κατόχους καρτών και μεταδίδονται μέσω συναλλαγών επεξεργασίας καρτών. Τα πρότυπα συμμόρφωσης PCI αναπτύσσονται και διαχειρίζονται από το Συμβούλιο Προτύπων Ασφαλείας PCI .

Οι 12 απαιτήσεις του PCI DSS

Οι απαιτήσεις που ορίζονται από το PCI SSC είναι λειτουργικές και τεχνικές, και ο βασικός στόχος αυτών των κανόνων είναι πάντα η προστασία των δεδομένων κατόχου της κάρτας.

Οι 12 απαιτήσεις του PCI DSS είναι:

    1. Εγκαταστήστε και διατηρήστε μια διαμόρφωση τείχους προστασίας για την προστασία των δεδομένων κατόχου κάρτας
    2. Μην χρησιμοποιείτε προεπιλογές που παρέχονται από τον προμηθευτή για κωδικούς πρόσβασης συστήματος και άλλες παραμέτρους ασφαλείας
    3. Προστατέψτε τα αποθηκευμένα δεδομένα κατόχου κάρτας
    4. Κρυπτογραφήστε τη μετάδοση δεδομένων κατόχου κάρτας σε ανοιχτά, δημόσια δίκτυα
    5. Χρησιμοποιείτε και ενημερώνετε τακτικά λογισμικό ή προγράμματα προστασίας από ιούς
    6. Ανάπτυξη και διατήρηση ασφαλών συστημάτων και εφαρμογών
    7. Περιορίστε την πρόσβαση στα δεδομένα κατόχου κάρτας από την επιχείρηση πρέπει να γνωρίζετε
    8. Εκχωρήστε ένα μοναδικό αναγνωριστικό σε κάθε άτομο με πρόσβαση στον υπολογιστή
    9. Περιορίστε τη φυσική πρόσβαση στα δεδομένα του κατόχου της κάρτας
    10. Παρακολουθήστε και παρακολουθήστε όλη την πρόσβαση σε πόρους δικτύου και δεδομένα κατόχου κάρτας
    11. Ελέγχετε τακτικά συστήματα και διαδικασίες ασφαλείας
    12. Διατηρήστε μια πολιτική που αφορά την ασφάλεια των πληροφοριών για όλο το προσωπικό

Πριν ξεκινήσετε τις απαιτήσεις PCI DSS, θα θέλετε επίσης να μάθετε πώς να ορίσετε το εύρος του PCI DSS. Είναι ζωτικής σημασίας να μειώσετε το εύρος του ελέγχου PCI DSS, διότι θα συμβάλει στη μείωση του κόστους συμμόρφωσης, του κόστους λειτουργίας και του κινδύνου που σχετίζεται με την αλληλεπίδραση με τα δεδομένα της κάρτας πληρωμής.

Οι απαιτήσεις PCI DSS 12 είναι ένα σύνολο ελέγχων ασφαλείας που απαιτείται να εφαρμόζουν οι επιχειρήσεις για την προστασία των δεδομένων πιστωτικών καρτών και τη συμμόρφωση με το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Καρτών Πληρωμών (PCI DSS).

ΑΠΑΙΤΗΣΗ PCI DSS 1:

ΕΓΚΑΤΑΣΤΗΣΤΕ ΚΑΙ ΔΙΑΤΗΡΗΣΤΕ ΜΙΑ ΔΙΑΜΟΡΦΩΣΗ ΤΕΙΧΟΥΣ ΠΡΟΣΤΑΣΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΤΟΧΟΥ ΚΑΡΤΑΣ

Αυτή η πρώτη απαίτηση διασφαλίζει ότι οι πάροχοι υπηρεσιών και οι έμποροι διατηρούν ένα ασφαλές δίκτυο μέσω της κατάλληλης διαμόρφωσης ενός τείχους προστασίας καθώς και των δρομολογητών, εάν υπάρχουν. Τα σωστά διαμορφωμένα τείχη προστασίας προστατεύουν το περιβάλλον δεδομένων της κάρτας σας. Τα τείχη προστασίας περιορίζουν την εισερχόμενη και την εξερχόμενη κυκλοφορία δικτύου μέσω κανόνων και κριτηρίων που έχουν διαμορφωθεί από τον οργανισμό σας.

Τα τείχη προστασίας παρέχουν την πρώτη γραμμή προστασίας για το δίκτυό σας. Οι οργανισμοί θα πρέπει να δημιουργήσουν τείχη προστασίας και πρότυπα δρομολογητών, τα οποία επιτρέπουν μια τυποποιημένη διαδικασία για την άδεια ή την άρνηση κανόνων πρόσβασης στο δίκτυο. Οι κανόνες διαμόρφωσης θα πρέπει να αναθεωρούνται ανά διετία και να διασφαλίζουν ότι δεν υπάρχουν κανόνες ανασφαλούς πρόσβασης που να επιτρέπουν την πρόσβαση στο περιβάλλον δεδομένων της κάρτας.

ΑΠΑΙΤΗΣΗ PCI DSS 2:

ΜΗ ΧΡΗΣΙΜΟΠΟΙΕΙΤΕ ΠΡΟΕΠΙΛΟΓΕΣ ΠΟΥ ΠΑΡΕΧΟΝΤΑΙ ΑΠΟ ΤΟΝ ΠΡΟΜΗΘΕΥΤΗ ΓΙΑ ΚΩΔΙΚΟΥΣ ΠΡΟΣΒΑΣΗΣ ΣΥΣΤΗΜΑΤΟΣ ΚΑΙ ΑΛΛΕΣ ΠΑΡΑΜΕΤΡΟΥΣ ΑΣΦΑΛΕΙΑΣ

Επικεντρώνεται στη σκλήρυνση των συστημάτων του οργανισμού σας, όπως διακομιστές, συσκευές δικτύου, εφαρμογές, τείχη προστασίας, σημεία ασύρματης πρόσβασης κ.λπ. Τα περισσότερα λειτουργικά συστήματα και συσκευές διαθέτουν προεπιλεγμένες εργοστασιακές ρυθμίσεις, όπως ονόματα χρήστη, κωδικούς πρόσβασης και άλλες μη ασφαλείς παραμέτρους διαμόρφωσης. Αυτά τα προεπιλεγμένα ονόματα χρήστη και κωδικοί πρόσβασης είναι απλά να μαντέψει κανείς, και τα περισσότερα δημοσιεύονται ακόμη και στο Διαδίκτυο.

Τέτοιοι προεπιλεγμένοι κωδικοί πρόσβασης και άλλες παράμετροι ασφαλείας δεν επιτρέπονται σύμφωνα με αυτήν την απαίτηση. Αυτή η απαίτηση απαιτεί επίσης τη διατήρηση απογραφής όλων των συστημάτων, διαδικασιών διαμόρφωσης/σκλήρυνσης. Αυτές οι διαδικασίες πρέπει να ακολουθούνται κάθε φορά που εισάγεται ένα νέο σύστημα στην υποδομή πληροφορικής.

PCI DSS ΑΠΑΙΤΗΣΗ 3:

ΠΡΟΣΤΑΣΙΑ ΑΠΟΘΗΚΕΥΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ ΚΑΤΟΧΟΥ ΚΑΡΤΑΣ

Αυτή είναι η πιο σημαντική απαίτηση του προτύπου PCI. Σύμφωνα με την απαίτηση 3, πρέπει πρώτα να γνωρίζετε όλα τα δεδομένα που πρόκειται να αποθηκεύσετε μαζί με την τοποθεσία και την περίοδο διατήρησής τους. Όλα αυτά τα δεδομένα κατόχου κάρτας πρέπει είτε να είναι κρυπτογραφημένα με τη χρήση αλγορίθμων αποδεκτών από τον κλάδο (π.χ. AES-256, RSA 2048), είτε να περικοπούν, να γίνουν διακριτικά ή να κατακερματιστούν (π.χ. SHA 256, PBKDF2). Μαζί με την κρυπτογράφηση δεδομένων κάρτας, αυτή η απαίτηση μιλά επίσης για μια ισχυρή διαδικασία διαχείρισης κλειδιού κρυπτογράφησης PCI DSS .

Πολλές φορές οι πάροχοι υπηρεσιών ή οι έμποροι δεν γνωρίζουν ότι αποθηκεύουν μη κρυπτογραφημένους αριθμούς πρωτεύοντος λογαριασμού (PAN) και επομένως η εκτέλεση ενός εργαλείου όπως η ανακάλυψη δεδομένων καρτών είναι σημαντική. Θα πρέπει να σημειώσετε ότι οι συνήθεις τοποθεσίες όπου βρίσκονται τα δεδομένα της κάρτας είναι αρχεία καταγραφής, βάσεις δεδομένων, υπολογιστικά φύλλα κ.λπ. Αυτή η απαίτηση περιλαμβάνει επίσης κανόνες για τον τρόπο εμφάνισης των αρχικών αριθμών λογαριασμού, όπως η αποκάλυψη μόνο των πρώτων έξι και των τελευταίων τεσσάρων ψηφίων.

ΑΠΑΙΤΗΣΗ 4 PCI DSS:

ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΜΕΤΑΔΟΣΗΣ ΔΕΔΟΜΕΝΩΝ ΚΑΤΟΧΟΥ ΚΑΡΤΑΣ ΣΕ ΑΝΟΙΧΤΑ, ΔΗΜΟΣΙΑ ΔΙΚΤΥΑ

Παρόμοια με την απαίτηση 3, σε αυτήν την απαίτηση, πρέπει να ασφαλίσετε τα δεδομένα της κάρτας όταν μεταδίδονται μέσω ανοιχτού ή δημόσιου δικτύου (π.χ. Internet, 802.11, Bluetooth, GSM, CDMA, GPRS). Πρέπει να γνωρίζετε πού πρόκειται να στείλετε/λάβετε τα δεδομένα της κάρτας προς/από. Κυρίως, τα δεδομένα της κάρτας διαβιβάζονται στην πύλη πληρωμής, τον επεξεργαστή κ.λπ. για την επεξεργασία των συναλλαγών.

Οι εγκληματίες του κυβερνοχώρου μπορούν ενδεχομένως να έχουν πρόσβαση σε δεδομένα κατόχου κάρτας όταν μεταδίδονται σε δημόσια δίκτυα. Η κρυπτογράφηση των δεδομένων κατόχου κάρτας πριν από τη μετάδοση με χρήση ασφαλούς έκδοσης πρωτοκόλλων μετάδοσης όπως TLS, SSH κ.λπ. μπορεί να περιορίσει την πιθανότητα να παραβιαστούν τέτοια δεδομένα.

ΑΠΑΙΤΗΣΗ PCI DSS 5:

ΧΡΗΣΙΜΟΠΟΙΗΣΤΕ ΚΑΙ ΕΝΗΜΕΡΩΝΕΤΕ ΤΑΚΤΙΚΑ ΛΟΓΙΣΜΙΚΟ Ή ΠΡΟΓΡΑΜΜΑΤΑ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟ ΙΟΥΣ

Αυτή η απαίτηση επικεντρώνεται στην προστασία έναντι όλων των τύπων κακόβουλου λογισμικού που μπορεί να επηρεάσει τα συστήματα. Όλα τα συστήματα, συμπεριλαμβανομένων των σταθμών εργασίας, των φορητών υπολογιστών και των φορητών συσκευών που μπορούν να χρησιμοποιήσουν οι εργαζόμενοι για να έχουν πρόσβαση στο σύστημα τόσο τοπικά όσο και απομακρυσμένα, πρέπει να διαθέτουν μια λύση προστασίας από ιούς. Πρέπει να βεβαιωθείτε ότι τα προγράμματα προστασίας από ιούς ή κακόβουλο λογισμικό ενημερώνονται σε τακτική βάση για τον εντοπισμό γνωστών κακόβουλων προγραμμάτων. Η διατήρηση ενός ενημερωμένου προγράμματος κατά του κακόβουλου λογισμικού θα αποτρέψει το γνωστό κακόβουλο λογισμικό να μολύνει συστήματα.

Βεβαιωθείτε ότι οι μηχανισμοί προστασίας από ιούς είναι πάντα ενεργοί, χρησιμοποιώντας τις πιο πρόσφατες υπογραφές και δημιουργώντας αρχεία καταγραφής με δυνατότητα ελέγχου.

ΑΠΑΙΤΗΣΗ PCI DSS 6:

ΑΝΑΠΤΥΞΗ ΚΑΙ ΔΙΑΤΗΡΗΣΗ ΑΣΦΑΛΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ

Είναι σημαντικό να καθοριστεί και να εφαρμοστεί μια διαδικασία που επιτρέπει τον εντοπισμό και την ταξινόμηση του κινδύνου τρωτών σημείων ασφαλείας στο περιβάλλον PCI DSS μέσω αξιόπιστων εξωτερικών πηγών. Οι οργανισμοί πρέπει να περιορίσουν τις δυνατότητες για εκμεταλλεύσεις αναπτύσσοντας έγκαιρα κρίσιμα patches. Επιδιορθώστε όλα τα συστήματα στο περιβάλλον δεδομένων κάρτας, συμπεριλαμβανομένων:

  • Λειτουργικά συστήματα
  • Τείχη προστασίας, δρομολογητές, διακόπτες
  • Λογισμικό εφαρμογής
  • Βάσεις δεδομένων
  • Τερματικά POS

Εκτός από αυτό, απαιτεί από εσάς να ορίσετε και να εφαρμόσετε μια διαδικασία ανάπτυξης που περιλαμβάνει απαιτήσεις ασφάλειας σε όλες τις φάσεις ανάπτυξης.

ΑΠΑΙΤΗΣΗ PCI DSS 7:

ΠΕΡΙΟΡΙΣΜΟΣ ΤΗΣ ΠΡΟΣΒΑΣΗΣ ΣΤΑ ΔΕΔΟΜΕΝΑ ΚΑΤΟΧΟΥ ΚΑΡΤΑΣ ΑΠΟ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΓΝΩΡΙΖΟΥΝ

Για την εφαρμογή ισχυρών μέτρων ελέγχου πρόσβασης, οι πάροχοι υπηρεσιών και οι έμποροι πρέπει να μπορούν να επιτρέπουν ή να αρνούνται την πρόσβαση σε συστήματα δεδομένων κατόχων κάρτας. Αυτή η απαίτηση αφορά τον έλεγχο πρόσβασης βάσει ρόλου (RBAC), ο οποίος παρέχει πρόσβαση σε δεδομένα και συστήματα καρτών με βάση την ανάγκη γνώσης.

Η ανάγκη γνώσης είναι μια θεμελιώδης έννοια στο PCI DSS. Το σύστημα ελέγχου πρόσβασης (π.χ. Active Directory, LDAP) πρέπει να αξιολογεί κάθε αίτημα για να αποτρέπει την έκθεση ευαίσθητων δεδομένων σε όσους δεν χρειάζονται αυτές τις πληροφορίες. Πρέπει να έχετε τεκμηριωμένη λίστα με όλους τους χρήστες με τους ρόλους τους που πρέπει να έχουν πρόσβαση στο περιβάλλον δεδομένων της κάρτας. Αυτή η λίστα πρέπει να περιέχει κάθε ρόλο, ορισμό ρόλου, τρέχον επίπεδο προνομίων, αναμενόμενο επίπεδο προνομίων και πόρους δεδομένων για κάθε χρήστη για να εκτελεί λειτουργίες σε δεδομένα κάρτας.

ΑΠΑΙΤΗΣΗ PCI DSS 8:

ΕΚΧΩΡΗΣΤΕ ΕΝΑ ΜΟΝΑΔΙΚΟ ΑΝΑΓΝΩΡΙΣΤΙΚΟ ΣΕ ΚΑΘΕ ΑΤΟΜΟ ΜΕ ΠΡΟΣΒΑΣΗ ΣΕ ΥΠΟΛΟΓΙΣΤΗ

Σύμφωνα με την απαίτηση 8, δεν πρέπει να χρησιμοποιείτε κοινόχρηστους/ομαδικούς κωδικούς πρόσβασης χρηστών και κωδικών πρόσβασης. Κάθε εξουσιοδοτημένος χρήστης πρέπει να έχει ένα μοναδικό αναγνωριστικό και οι κωδικοί πρόσβασης πρέπει να είναι επαρκώς πολύπλοκοι. Αυτό διασφαλίζει ότι κάθε φορά που κάποιος αποκτά πρόσβαση σε δεδομένα κατόχου κάρτας, αυτή η δραστηριότητα μπορεί να εντοπιστεί σε έναν γνωστό χρήστη και να διατηρηθεί η λογοδοσία. Για όλες τις διαχειριστικές προσβάσεις εκτός κονσόλας (απομακρυσμένη πρόσβαση), απαιτείται εξουσιοδότηση δύο παραγόντων.

ΑΠΑΙΤΗΣΗ PCI DSS 9:

ΠΕΡΙΟΡΙΣΜΟΣ ΤΗΣ ΦΥΣΙΚΗΣ ΠΡΟΣΒΑΣΗΣ ΣΤΑ ΔΕΔΟΜΕΝΑ ΚΑΤΟΧΟΥ ΚΑΡΤΑΣ

Αυτή η απαίτηση επικεντρώνεται στην προστασία της φυσικής πρόσβασης σε συστήματα με δεδομένα κατόχου κάρτας. Χωρίς φυσικούς ελέγχους πρόσβασης, μη εξουσιοδοτημένα άτομα θα μπορούσαν να αποκτήσουν πρόσβαση στην εγκατάσταση για να κλέψουν, να απενεργοποιήσουν, να διακόψουν ή να καταστρέψουν κρίσιμα συστήματα και τα δεδομένα του κατόχου της κάρτας.

Απαιτεί τη χρήση βιντεοκάμερων/ηλεκτρονικού ελέγχου πρόσβασης για την παρακολούθηση των θυρών εισόδου και εξόδου φυσικών τοποθεσιών, όπως το κέντρο δεδομένων. Οι καταγραφές ή τα ημερολόγια πρόσβασης της κίνησης του προσωπικού θα πρέπει να διατίθενται στο λιανικό εμπόριο για τουλάχιστον 90 ημέρες. Πρέπει να εφαρμόσετε μια διαδικασία πρόσβασης που επιτρέπει τη διάκριση μεταξύ εξουσιοδοτημένων επισκεπτών και υπαλλήλων. Όλα τα αφαιρούμενα ή φορητά μέσα που περιέχουν τα δεδομένα του κατόχου της κάρτας πρέπει να προστατεύονται φυσικά. Είναι απαραίτητο να καταστραφούν όλα τα μέσα, όταν η επιχείρηση δεν χρειάζεται πλέον.

ΑΠΑΙΤΗΣΗ PCI DSS 10:

ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΚΑΙ ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΟΛΗΣ ΤΗΣ ΠΡΟΣΒΑΣΗΣ ΣΕ ΠΟΡΟΥΣ ΔΙΚΤΥΟΥ ΚΑΙ ΔΕΔΟΜΕΝΑ ΚΑΤΟΧΟΥ ΚΑΡΤΑΣ

Τα τρωτά σημεία στα φυσικά και ασύρματα δίκτυα διευκολύνουν τους εγκληματίες του κυβερνοχώρου να κλέψουν δεδομένα καρτών. Αυτή η απαίτηση απαιτεί ότι όλα τα συστήματα πρέπει να έχουν σωστή ρύθμιση πολιτικής ελέγχου και να στέλνουν τα αρχεία καταγραφής στον κεντρικό διακομιστή syslog. Αυτά τα αρχεία καταγραφής πρέπει να ελέγχονται τουλάχιστον καθημερινά για την αναζήτηση ανωμαλιών και ύποπτων δραστηριοτήτων.

Τα εργαλεία ασφαλείας πληροφοριών και παρακολούθησης συμβάντων (SIEM), μπορούν να σας βοηθήσουν να καταγράψετε τις δραστηριότητες του συστήματος και του δικτύου, να παρακολουθήσετε αρχεία καταγραφής και να ειδοποιήσετε για ύποπτη δραστηριότητα. Το PCI DSS απαιτεί επίσης ότι τα αρχεία διαδρομής ελέγχου πρέπει να πληρούν ένα συγκεκριμένο πρότυπο όσον αφορά τις πληροφορίες που περιέχονται. Απαιτείται συγχρονισμός χρόνου. Τα δεδομένα ελέγχου πρέπει να είναι ασφαλή και τα δεδομένα αυτά πρέπει να διατηρούνται για περίοδο όχι μικρότερη από ένα έτος.

ΑΠΑΙΤΗΣΗ 11 PCI DSS:

ΕΛΕΓΧΕΤΕ ΤΑΚΤΙΚΑ ΣΥΣΤΗΜΑΤΑ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΑΣΦΑΛΕΙΑΣ

Τα τρωτά σημεία ανακαλύπτονται συνεχώς από κακόβουλα άτομα και ερευνητές. Επομένως, όλα τα συστήματα και οι διαδικασίες πρέπει να ελέγχονται σε συχνή βάση για να διασφαλιστεί ότι διατηρείται η ασφάλεια.

Απαιτούνται οι ακόλουθες περιοδικές δραστηριότητες:

  1. Σάρωση ασύρματου αναλυτή για να ανιχνεύσει και να εντοπίσει όλα τα εξουσιοδοτημένα και μη εξουσιοδοτημένα σημεία ασύρματης πρόσβασης σε τριμηνιαία βάση.
  2. Όλες οι εξωτερικές IP και οι τομείς που εκτίθενται στο CDE απαιτείται να σαρώνονται από έναν εγκεκριμένο προμηθευτή σάρωσης PCI ( ASV ) τουλάχιστον ανά τρίμηνο.
  3. Η εσωτερική σάρωση ευπάθειας πρέπει να διεξάγεται τουλάχιστον ανά τρίμηνο.
  4. Όλες οι εξωτερικές IP και τομείς πρέπει να υποβάλλονται σε εξαντλητική δοκιμή διείσδυσης εφαρμογής και δοκιμή διείσδυσης δικτύου τουλάχιστον ετησίως ή μετά από οποιαδήποτε σημαντική αλλαγή.

Η παρακολούθηση αρχείων είναι επίσης μια αναγκαιότητα. Το σύστημα θα πρέπει να πραγματοποιεί συγκρίσεις αρχείων κάθε εβδομάδα για να εντοπίσει αλλαγές που διαφορετικά μπορεί να περνούσαν απαρατήρητες.

ΑΠΑΙΤΗΣΗ 12 PCI DSS:

ΔΙΑΤΗΡΗΣΤΕ ΜΙΑ ΠΟΛΙΤΙΚΗ ΠΟΥ ΑΦΟΡΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΓΙΑ ΟΛΟ ΤΟ ΠΡΟΣΩΠΙΚΟ

Αυτή η τελική απαίτηση συμμόρφωσης PCI και είναι αφιερωμένη στον βασικό στόχο PCI DSS της εφαρμογής και διατήρησης μιας πολιτικής ασφάλειας πληροφοριών για όλους τους υπαλλήλους και άλλα σχετικά μέρη. Η πολιτική ασφάλειας πληροφοριών πρέπει να αναθεωρείται τουλάχιστον ετησίως και να διαδίδεται σε όλους τους υπαλλήλους, πωλητές/εργολάβους. Οι χρήστες πρέπει να διαβάσουν την πολιτική και να το αναγνωρίσουν.

Αυτή η απαίτηση απαιτεί επίσης να εκτελέσετε:

  1. Μια ετήσια, επίσημη αξιολόγηση κινδύνου που προσδιορίζει κρίσιμα περιουσιακά στοιχεία, απειλές και τρωτά σημεία.
  2. Εκπαίδευση ευαισθητοποίησης των χρηστών
  3. Έλεγχοι ιστορικού εργαζομένων
  4. Διαχείριση συμβάντων

 

Όλες αυτές οι απαιτήσεις εξετάζονται από την QSA και επαληθεύεται ότι εφαρμόζονται επαρκώς.

Η συμμόρφωση με το PCI DSS δεν είναι εύκολη, ακόμη και για εταιρείες με τις καλύτερες προθέσεις. Αν και είναι δύσκολο να διατηρηθεί, τα οφέλη αξίζουν τον κόπο. Παρά τις δυσκολίες, οι εταιρείες θα πρέπει να προσπαθήσουν να συμμορφωθούν με το PCI DSS, επειδή η μη συμμόρφωση μπορεί να έχει σημαντικές συνέπειες.

by:

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *