Jak zarządzanie dostępem uprzywilejowanym może pomóc w osiągnięciu zgodności z PCI DSS
Payment Card Industry Data Security Standard (PCI DSS) to globalny standard stanowiący podstawę wymagań technicznych i operacyjnych mających na celu ochronę danych płatniczych. Ma to na celu zapewnienie bezpiecznego środowiska wszystkim firmom, które akceptują, przetwarzają, przechowują lub przekazują dane kart kredytowych. PCI DSS jest wymagany przez główne marki kart kredytowych i zarządzany przez Radę ds. standardów bezpieczeństwa branży kart płatniczych (PCI SSC), niezależny organ utworzony przez te marki.
Notatka:Najnowsza wersja PCI DSS to wersja 4.0, która została wydana przez Radę ds. Standardów Bezpieczeństwa PCI 31 marca 2022 r. Oficjalnie zastąpi ona poprzednią wersję PCI DSS 3.2.1 31 marca 2024 r. |
Kto potrzebuje zgodności z PCI DSS?
Zgodność ze standardem Payment Card Industry Data Security Standard (PCI DSS) jest wymagana od każdej organizacji lub firmy przetwarzającej dane posiadaczy kart, niezależnie od ich wielkości i wielkości transakcji. Może to obejmować:
- Kupcy: Każda firma, która akceptuje karty kredytowe lub debetowe jako formę płatności, zarówno w Internecie, jak i w sklepie stacjonarnym. Dotyczy to wszystkich sprzedawców, niezależnie od ich wielkości i liczby przetwarzanych przez nich transakcji.
- Procesory płatności: Firmy przetwarzające transakcje kartami kredytowymi lub debetowymi w imieniu sprzedawców.
- Usługodawcy: Dowolny zewnętrzny dostawca usług, który obsługuje, przetwarza, przechowuje lub przesyła dane kart kredytowych w imieniu innego podmiotu. Dotyczy to firm oferujących usługi takie jak hosting, bramki płatnicze, przechowywanie danych i zarządzanie bezpieczeństwem.
- Instytucje finansowe: Banki, spółdzielcze kasy pożyczkowe i inne instytucje finansowe wydające karty debetowe i kredytowe lub zajmujące się przetwarzaniem płatności kartami.
- Sieci płatnicze i marki kart:Główne marki kart kredytowych (Visa, MasterCard, American Express, Discover i JCB), które są częścią Rady ds. Standardów Bezpieczeństwa PCI, również przestrzegają tych standardów.
Zakres wymagań PCI DSS
Zakres PCI DSS jest zarówno szczegółowy, jak i kompleksowy i obejmuje szeroką gamę podmiotów i systemów w organizacji. Centralnym elementem tego zakresu jest środowisko danych posiadaczy kart (CDE), który obejmuje wszystkie komponenty systemu, personel i procesy przechowujące, przetwarzające lub przesyłające dane posiadacza karty i wrażliwe dane uwierzytelniające. Zakres obejmuje nie tylko bezpośrednie interakcje dowolne elementy systemu z nieograniczonym dostępem do CDE niezależnie od tego, czy bezpośrednio przetwarzają dane posiadaczy kart. Obejmuje to różnorodne urządzenia sieciowe, serwery i urządzenia komputerowe, a także komponenty wirtualne i chmurowe, z których każdy odgrywa rolę w ogólnym bezpieczeństwie danych. Dodatkowo dotyczy PCI DSS dowolny komponent lub osoba, która mogłaby potencjalnie wpłynąć na bezpieczeństwo CDE. Ekspansywny charakter tego zakresu podkreśla całościowe podejście PCI DSS, zapewniające, że każdy aspekt związany z danymi posiadaczy kart jest bezpieczny i zgodny.
Warto wspomnieć, że zakres oceny PCI DSS można ograniczyć poprzez zastosowanie segmentacji, co można osiągnąć tworząc dedykowaną i wyizolowaną strefę sieciową specjalnie dla danych posiadaczy kart. To ukierunkowane podejście nie tylko upraszcza wysiłki związane z zapewnieniem zgodności, ale także zapewnia korzyści kosztowe, zmniejszając zarówno koszty oceny, jak i złożoność związaną z egzekwowaniem środków PCI DSS. Należy zauważyć, że każdy komponent systemu uznawany za wykraczający poza zakres PCI DSS musi być rygorystycznie oddzielony od środowiska danych posiadacza karty (CDE). Gwarantuje to, że nawet jeśli naruszenie nastąpi w obszarach poza zakresem,bezpieczeństwo CDE pozostaje bezkompromisowe.
12 wymagań PCI DSS
Wymagania PCI DSS to szczegółowe wytyczne i środki bezpieczeństwa, których organizacje muszą przestrzegać, aby chronić dane posiadaczy kart. Wymagania te obejmują utrzymywanie bezpiecznej sieci, ochronę danych konta, utrzymywanie programu zarządzania lukami w zabezpieczeniach, wdrażanie silnych środków kontroli dostępu, regularne monitorowanie i testowanie sieci oraz ustanowienie polityki bezpieczeństwa informacji. Tam są 12 wymagań technicznych i operacyjnych, zorganizowanych w ramach sześciu głównych celów:
Bramka | Wymóg |
Twórz i utrzymuj bezpieczną sieć i systemy | Wymóg 1: Zainstaluj i utrzymuj kontrolę bezpieczeństwa sieci. Wymóg 2:Zastosuj bezpieczne konfiguracje do wszystkich komponentów systemu. |
Chroń dane konta | Wymóg 3:Chroń zapisane dane konta. Wymóg 4: Chroń dane posiadaczy kart za pomocą silnego kryptografii podczas transmisji w otwartych sieciach publicznych. |
Utrzymuj program zarządzania lukami w zabezpieczeniach | Wymóg 5:Chroń wszystkie systemy i sieci przed złośliwym oprogramowaniem. Wymóg 6: Rozwijaj i utrzymuj bezpieczne systemy i oprogramowanie. |
Wdrożyć silne środki kontroli dostępu | Wymóg 7: Ogranicz dostęp do komponentów systemu i danych posiadaczy kart zgodnie z potrzebą biznesową. Wymóg 8: Identyfikuj użytkowników i uwierzytelniaj dostęp do komponentów systemu. Wymóg 9: Ogranicz fizyczny dostęp do danych posiadacza karty. |
Regularnie monitoruj i testuj sieci | Wymóg 10:Rejestruj i monitoruj cały dostęp do komponentów systemu i danych posiadaczy kart. Wymaganie 11:Regularnie testuj bezpieczeństwo systemów i sieci. |
Utrzymuj Politykę bezpieczeństwa informacji | Wymóg 12: Wspieraj bezpieczeństwo informacji za pomocą zasad i programów organizacyjnych. |
Ten podstawowy zestaw wymagań dotyczących zabezpieczania danych konta można uzupełnić dodatkowymi kontrolami i praktykami w celu dodatkowego ograniczenia ryzyka, w tym zgodności z lokalnymi, regionalnymi i sektorowymi przepisami i regulacjami. Ponadto niektóre wymogi prawne lub regulacyjne mogą wymagać szczególnych zabezpieczeń danych osobowych lub innych typów danych, takich jak imię i nazwisko posiadacza karty.
Podejścia do wdrażania i walidacji PCI DSS
Przy wdrażaniu i walidacji PCI DSS istnieją przede wszystkim dwa podejścia:
- Podejście standardowe: Ta metoda polega na przestrzeganiu określonych wymagań PCI DSS w ich formie. Jest prosty i powszechnie stosowany, szczególnie przez organizacje, które wolą jasną strategię opartą na wytycznych, aby zapewnić zgodność.
- Indywidualne podejście: Takie podejście jest bardziej elastyczne i pozwala organizacjom dostosować mechanizmy zabezpieczeń do ich unikalnych środowisk, ale wymaga również znacznego wstępnego planowania i szczegółowej dokumentacji. Najlepiej nadaje się dla organizacji o dojrzałych procesach zarządzania ryzykiem, wykazujących wysoki poziom bezpieczeństwa i możliwości zarządzania ryzykiem. Takie podmioty są przygotowane do skutecznego tworzenia, dokumentowania, testowania i utrzymywania kompleksowych kontroli bezpieczeństwa, które są zgodne z zamierzonymi celami. To podejście nie jest rozwiązaniem uniwersalnym, ale jest dostosowane do potrzeb organizacji, które mają już solidne podstawy bezpieczeństwa i mogą opracowywać zaawansowane środki bezpieczeństwa i zarządzać nimi
Wybór pomiędzy tymi podejściami zależy od konkretnych potrzeb, możliwości i złożoności środowisk przetwarzania płatności organizacji. Podejście standardowe oferuje bardziej bezpośrednią ścieżkę do zgodności, natomiast podejście niestandardowe pozwala na bardziej dostosowane środki bezpieczeństwa, pod warunkiem, że organizacja posiada niezbędną wiedzę i zasoby.
Jak zarządzanie dostępem uprzywilejowanym może pomóc w osiągnięciu zgodności z PCI DSS
Nadszedł czas na analizę obszarów, w których rozwiązania do zarządzania dostępem uprzywilejowanym zazwyczaj mogą pomóc w osiągnięciu zgodności ze standardem PCI DSS. Poniżej znajdziesz główne wymagania, na które może mieć wpływ PAM, oraz krótki opis tego, w jaki sposób może pomóc:
Cel: wdrożenie silnych środków kontroli dostępu
- Wymóg 7: Ogranicz dostęp do danych posiadaczy kart zgodnie z potrzebą biznesową
Jak PAM pomaga: PAM zapewnia, że dostęp do krytycznych danych jest przyznawany ściśle w oparciu o zasadę najmniejszych uprawnień, umożliwiając dostęp do wrażliwych danych wyłącznie niezbędnemu personelowi, w zależności od jego roli.
- Wymaganie 8: Identyfikacja użytkowników i uwierzytelnianie dostępu do komponentów systemu
Jak PAM pomaga: Rozwiązania PAM zarządzają i monitorują dostęp użytkowników poprzez unikalną identyfikację i mechanizmy silnego uwierzytelniania, w tym uwierzytelnianie wieloskładnikowe. Dzięki temu tylko autoryzowani użytkownicy mają dostęp do komponentów systemu, a wszystkie działania podejmowane na krytycznych danych i systemach mogą być śledzone, co zmniejsza ryzyko nieautoryzowanego dostępu.
Cel: Regularne monitorowanie i testowanie sieci
- Wymóg 10: Rejestruj i monitoruj cały dostęp do komponentów systemu i danych posiadaczy kart
Jak PAM pomaga: Rozwiązania PAM doskonale nadają się do rejestrowania i monitorowania wszystkich działań użytkowników, zwłaszcza w przypadku kont uprzywilejowanych. Doskonale sprawdzają się w śledzeniu i kontrolowaniu dostępu do zasobów sieciowych i wrażliwych danych. Rejestruje i monitoruje wszystkie działania użytkowników uprzywilejowanych, co jest niezbędne do wykrywania anomalii, badań bezpieczeństwa i zapewniania przestrzegania zasad dostępu.
- Wymaganie 11: Regularnie testuj bezpieczeństwo systemów i sieci
Jak PAM pomaga: Rozwiązania PAM mogą również pośrednio pomóc w spełnieniu tego wymagania, ponieważ można je wykorzystać do wykrywania włamań do sieci i reagowania na nie. PAM może odgrywać rolę w regularnych audytach i testach bezpieczeństwa, aby zapewnić skuteczność.
Cel: Utrzymanie polityki bezpieczeństwa informacji
- Wymaganie 12: Wspieranie bezpieczeństwa informacji za pomocą polityk i programów organizacyjnych
Jak PAM pomaga: PAM może Ci pomóc wdrażać i egzekwować zasady bezpieczeństwa dotyczące tego, kto może uzyskać dostęp do jakich danych i na jakich warunkach. Zarządzając kontami uprzywilejowanymi i kontrolując je, PAM gwarantuje, że tylko upoważniony personel będzie miał dostęp do wrażliwych systemów i danych, zgodnie z polityką kontroli dostępu organizacji.
Kompleksowa specyfikacja PCI DSS obejmuje szeroką gamę aspektów bezpieczeństwa kart płatniczych, wykraczając poza możliwości samego zarządzania dostępem uprzywilejowanym (PAM). Jednak dobrze wdrożone rozwiązanie PAM odgrywa kluczową rolę w spełnieniu wielu krytycznych wymagań określonych przez PCI DSS. Dlatego też prawdziwa wartość PAM polega nie tylko na ułatwianiu przestrzegania przepisów, ale także na tworzeniu bezpiecznego, czujnego i elastycznego środowiska biznesowego. Należy pamiętać, że przestrzeganie standardu Payment Card Industry Data Security Standard (PCI DSS) nie jest pojedynczym zadaniem, ale ciągłym procesem mającym na celu utrzymanie i zapewnienie bezpieczeństwa danych posiadaczy kart.
Jeśli potrzebujesz dodatkowych wskazówek lub chcesz dowiedzieć się więcej o wszystkich naszych produktach, zapoznaj się ze stroną internetową Fudo Security lub umów się z nami na demonstrację przez wypełnienie formularza.