Awareness

Хронология PCI DSS 4.0: Третье требование и защита хранимых данных

by Альянс Лазаря 0 комментарий
Специализированная программа аудита PCI DSS от Lazarus Alliance  

Хотя наличие всего 12 требований может заставить PCI DSS казаться простым стандартом, каждое требование невероятно важно и, если вы не обращаете внимания, может указывать на практики, которые вы не внедряете. В случае третьего требования это может означать, что вы на самом деле не защищаете самые важные данные, которыми владеете, то есть личную и финансовую информацию ваших клиентов. 

Поэтому, если вы хотите избежать скандала, мошенничества и потери доверия клиентов, вам необходимо соблюдать третье требование PCI DSS. С продолжением запуска PCI DSS 4.0, теперь мы переходим к обсуждению третьего требования PCI DSS.

 

Что означает защита хранимых данных в PCI DSS?

«Сохраненные» данные — это любые данные, которые считаются «находящимися в состоянии покоя». Любые данные, сохраненные на жестком диске, в облачной системе хранения данных, на съемном носителе или мобильном устройстве. 

Это важное отличие от защиты передаваемых (или «транзитных») данных, поскольку хранимые данные размещаются таким образом, что могут произойти злонамеренные или случайные нарушения. 

 

Каковы наиболее распространенные угрозы для хранимых данных?

Поскольку хранимые данные являются «стационарными» или доступны (в идеале только авторизованным пользователям), они остаются уязвимыми без надлежащих мер защиты. 

К наиболее распространенным угрозам для хранящихся данных относятся:

  • Атаки грубой силы: Некоторые простые и необычные атаки используют атаки методом подбора паролей, уязвимости нулевого дня или неисправленные уязвимости для доступа к конфиденциальным системам и данным держателей карт.
  • Внутренние угрозы: Если кто-то внутри компании представляет потенциальную угрозу (из-за намеренной преступной деятельности или тактики мести, вытекающей из дисциплинарного взыскания или увольнения), он может иметь неограниченный доступ к данным держателей карт или, по крайней мере, возможность повысить свои разрешения для просмотра данных держателей карт.
  • Фишинговые атаки: Наиболее распространенной атакой сегодня является фишинговая атака, когда хакер обманывает сотрудника, заставляя его передать учетные данные аутентификации по электронной почте, SMS или с помощью других коммуникационных технологий. Имея такой доступ, хакер может получить доступ к любой информации, доступной этому пользователю, часто без ведома администраторов.
  • Случайное раскрытие: Иногда люди просто видят то, что им не положено видеть. Незамаскированный номер карты может отображаться на мониторе рабочей станции, и любой честный сотрудник может его свободно просматривать. И хотя несчастные случаи случаются, небезопасно и недопустимо отказываться от предотвращения случайного раскрытия информации.

 

Каково третье требование PCI DSS 4.0?

PCI DSS 4.0

Третье требование PCI DSS явно ориентирован на защиту хранимых данных в состоянии покоя. Для устранения потенциальных угроз и уязвимостей потребительских данных, хранящихся в корпоративных системах, это требование включает положения о надлежащей обработке данных, сокрытии данных, а также сохранении и удалении данных. 

Эти практики, возможно, являются одними из самых важных для оценки и управления рисками, поскольку они требуют от вашей организации полного понимания всей степени необходимости обработки информации о держателях карт, того, какие системы будут обрабатывать и хранить эту информацию, и как исключить хранение лишних данных.

 

3.1 – Процессы и механизмы защиты хранимых данных учетной записи

  • Процедуры, роли и обязанности: Как и в случае с любым другим требованием, первым аспектом третьего требования является четкое понимание иерархии ролей, политик и процессов, которые будут поддерживать ответственность за перечисленные ниже практики. Это включает в себя наличие четкой документации и аудита этих практик.

 

3.2 – Хранение данных учетной записи 

  • Минимизация хранения данных: Чтобы сократить количество атак и риски кражи или потери данных, компании, соответствующие стандарту PCI DSS, должны строго минимизировать объем хранимых ими данных для удовлетворения потребностей бизнеса.
  • Хранение и удаление данных: Чтобы минимизировать воздействие данных, ваша организация должна включить четкие правила хранения и утилизации данных. Это включает создание политик, которые точно определяют, какие данные необходимо хранить, где их хранить, как их защищать и что делать после того, как они больше не нужны. Кроме того, методы удаления должны быть четко определены, а их применение, включая процессы, которые делают такие данные невосстановимыми.
  • Аудит удержания: Ваша организация должна проводить аудит хранимых данных не реже одного раза в три месяца, чтобы убедиться, что вся информация, срок хранения которой превышает установленные правила, была надлежащим образом уничтожена. 

 

3.3 – Конфиденциальные данные аутентификации (SAD)

  • Устранение задержки SAD: Никакие конфиденциальные данные аутентификации не будут сохранены после их использования для авторизации, даже в зашифрованном виде. После использования SAD должен быть сделан невосстановимым. Это также включает данные с любого «трека», например, информацию магнитной полосы, коды проверки и PIN-коды.
  • Шифрование: Если SAD хранится локально во время процесса аутентификации или авторизации, он должен быть зашифрован с использованием надежного шифрования.
  • Специальные стандарты шифрования для эмитентов: Любое использование шифрования для кодирования SAD должно отличаться от методов шифрования, используемых для хранения PAN. Эмитенты должны следовать тем же требованиям, что и другие организации при использовании информации SAD. 

 

3.4 – Ограничение по основным номерам счетов 

  • Маскировка PAN: При отображении PAN он должен быть замаскирован не менее чем первыми шестью цифрами номера счета (идентификационный номер предприятия или BIN) и последними четырьмя цифрами номера счета. Кроме того, маскировка должна охватывать любые цифры, которые не требуются для деловых целей.
  • Удаленный доступ к системам, содержащим PAN: Любое удаленное устройство, получающее доступ к системам, содержащим PAN, должно иметь действующую авторизацию для просмотра и обработки этой информации. Они не могут передавать PAN на неавторизованные устройства. 

 

3.5 – Безопасное хранилище PAN

  • Делает PAN нечитаемыми: PAN должен быть сделан нечитаемым в любом месте хранения, используя одностороннее хеширование, усечение, шифрование или токенизацию.
  • Специальные правила шифрования: Шифрование на уровне диска или раздела (в отличие от шифрования на уровне файла, столбца или поля) разрешено только для съемных носителей. Если оно используется для несъемных носителей, оно должно быть реализовано вместе с другой формой шифрования. Кроме того, ключи шифрования и дешифрования не могут быть связаны с учетными записями пользователей, а средства безопасности (учетные данные аутентификации, криптографические ключи) хранятся в разделе security. 

 

3.6 – Защита криптографических ключей

Ваша организация должна защитить криптографические ключи от раскрытия. Это включает использование принципов наименьших привилегий для критически важного доступа, использование ключей шифрования, которые по крайней мере столь же сильны, как и шифрование, которое они защищают, хранение ключей шифрования ключей и ключей шифрования данных в разных местах и ​​минимизация мест хранения ключей. 

 

3.7 – Управление жизненным циклом криптографических ключей PCI DSS

  • Использование надежных и защищенных криптографических ключей: Все ключи шифрования должны использовать надежные формы шифрования (не менее 128 бит) и быть защищены с помощью четко определенных политик хранения ключей.
  • Ключевые криптопериоды: У вас должен быть определенный криптопериод, в течение которого определенный набор ключей истекает, и никакие ключи не будут использоваться после этого периода. Должен быть процесс перехода от одного набора ключей к другому в конце этого криптопериода.
  • Управление жизненным циклом ключей: Необходимо внедрить процедуры, гарантирующие, что ключи имеют четко определенный срок использования, а те, которые были ослаблены или скомпрометированы, а также те, которые были утеряны, могут быть заменены быстро и эффективно.
  • Разрешение на работу персонала: Хранители ключей шифрования должны подтвердить свою ответственность в письменной форме или посредством электронной подписи. Кроме того, если эти хранители управляют открытыми текстовыми ключами, два или более хранителей должны иметь разделенные знания об этих ключах. Это разделение не может быть разделением на две части, но таким, где компоненты разделены с использованием безопасной криптографии или аппаратных модулей безопасности, так что ни один из хранителей не может определить другую часть ключа по тому, что они в настоящее время держат. 

 

Подготовьтесь к PCI DSS 4.0 с Lazarus Alliance

По мере углубления в требования PCI DSS, вы увидите растущую сложность и совместимость различных технологий, политик и практик вам необходимо выполнить развертывание для получения проверки PCI и поддерживать соответствие. Эти практики не просто для заполнения контрольного списка. Однако это проверенные и надежные методы обеспечения безопасности, которые помогут поддерживать ваши усилия по обеспечению безопасности через десять лет.

 

Планируете ли вы переход на PCI DSS 4.0?

Позвоните в Lazarus Alliance по телефону 1-888-896-7580 или заполните эту форму. 

Загрузите брошюру нашей компании.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: