需求場(chǎng)景:
老板讓我檢測(cè)我公司的網(wǎng)站是否符合PCI?Compliance,完全不知道PCI?Compliance是什么東西啊。
怎么檢測(cè)才能知道網(wǎng)站是否符合PCI?Compliance?
通過對(duì)收集的各種設(shè)備日志和安全事件進(jìn)行深入挖掘,結(jié)合安全合規(guī)管理,達(dá)到幫助建設(shè)企業(yè)信息安全合規(guī)管理體系的目標(biāo)。OSSIM系統(tǒng)能夠生成不同的安全合規(guī)報(bào)表,給出了標(biāo)準(zhǔn)的評(píng)價(jià)依據(jù),通過檢查信息系統(tǒng)中的各種安全合規(guī)項(xiàng)信息,生成安全合規(guī)測(cè)試報(bào)告,以達(dá)到對(duì)安全合規(guī)的管理的要求,通過將PCI DSS 2.0 、PCI DSS 3.0和ISO 27001融合為一體,可以很好的幫助企業(yè)規(guī)避合規(guī)風(fēng)險(xiǎn).
下面主要談?wù)?.0部分的內(nèi)容。首先看一張整體效果圖。
PCI DSS 2.0
需求
子需求
子需求內(nèi)容
R.1
安裝并維護(hù)防火墻配置以保護(hù)持卡人數(shù)據(jù)R.1.1建立并實(shí)施包含以下內(nèi)容的防火墻和路由器配置標(biāo)準(zhǔn)
R.1.1.1批準(zhǔn)和測(cè)試所有網(wǎng)絡(luò)連接以及防火墻和路由器配置變更的正式流程
R.1.1.2標(biāo)識(shí)持卡人數(shù)據(jù)環(huán)境和其它網(wǎng)絡(luò)(含任何無線網(wǎng)絡(luò))間所有連接的當(dāng)前網(wǎng)絡(luò)圖表
R.1.1.3顯示整個(gè)系統(tǒng)和網(wǎng)絡(luò)中所有持卡人數(shù)據(jù)流的當(dāng)前圖表。
R.1.1.4各互聯(lián)網(wǎng)連接以及任何非軍事區(qū)(DMZ) 和內(nèi)部網(wǎng)絡(luò)區(qū)域間的防火墻要求
R.1.1.5網(wǎng)絡(luò)組件管理群組、角色與責(zé)任的說明
R.1.1.6使用所有獲準(zhǔn)服務(wù)、協(xié)議和端口的文檔記錄和業(yè)務(wù)理由,包括對(duì)非安全協(xié)議實(shí)施安全功能的文檔記錄。
非安全服務(wù)、協(xié)議或端口包括但不限于 FTP、Telnet、POP3、IMAP 以及SNMP 1 版和2 版。
R.1.1.7審核防火墻和路由器規(guī)則集(至少每半年一次)的要求
R.1.2構(gòu)建防火墻和路由器配置,以限制不可信網(wǎng)絡(luò)與持卡人數(shù)據(jù)環(huán)境中任意系統(tǒng)組件之間連接。
R1.2.1將輸入和輸出流量限制到持卡人數(shù)據(jù)環(huán)境所需的范圍,并明確拒絕所有其它流量。
R1.2.2保護(hù)并同步路由器配置文件。
R1.2.3在所有無線網(wǎng)絡(luò)和持卡人數(shù)據(jù)環(huán)境間安裝外圍防火墻,并配置這些防火墻以拒絕流量或(如果業(yè)務(wù)需要流量)僅允許無線環(huán)境和持卡人數(shù)據(jù)環(huán)境間的授權(quán)流量。
R.1.3禁止互聯(lián)網(wǎng)與持卡人數(shù)據(jù)環(huán)境中任何系統(tǒng)組件之間的直接公共訪問。
R.1.3.1實(shí)施 DMZ,僅向提供授權(quán)服務(wù)、協(xié)議和端口(支持公共訪問)的系統(tǒng)組件輸入流量。
R.1.3.2僅向 DMZ 內(nèi)的IP 地址輸入互聯(lián)網(wǎng)流量。
R.1.3.3禁止任何直接的入站和出站連接在互聯(lián)網(wǎng)和持卡人數(shù)據(jù)環(huán)境之間產(chǎn)生流量。
R.1.3.4執(zhí)行反欺騙措施以檢測(cè)并阻止偽造的源IP 地址進(jìn)入網(wǎng)絡(luò)。
R.1.3.5禁止從持卡人數(shù)據(jù)環(huán)境到互聯(lián)網(wǎng)的非授權(quán)輸出流量。
R.1.3.6實(shí)施狀態(tài)檢查,也稱動(dòng)態(tài)數(shù)據(jù)包過濾。
R.1.3.7將存儲(chǔ)持卡人數(shù)據(jù)的系統(tǒng)組件(例如:數(shù)據(jù)庫)放置在與DMZ 以及其它不可信網(wǎng)絡(luò)隔離的內(nèi)部網(wǎng)絡(luò)區(qū)域中。
R.1.3.8不要將私人 IP 地址和路由信息泄露給非授權(quán)方。
R.1.4在位于外網(wǎng)時(shí)仍連接到互聯(lián)網(wǎng)且可用以訪問網(wǎng)絡(luò)的任意移動(dòng)設(shè)備和/或員工自有設(shè)備(例如,員工使用的筆記本電腦)上安裝個(gè)人防火墻軟件。防火墻配置包括:
個(gè)人防火墻軟件設(shè)有特定的配置設(shè)置
個(gè)人防火墻軟件正在積極運(yùn)行
移動(dòng)設(shè)備用戶和/或員工自有設(shè)備用戶無法更改個(gè)人防火墻軟件。
R.2
不要使用供應(yīng)商提供的默認(rèn)系統(tǒng)密碼和其它安全參數(shù)R.2.1 始終更改供應(yīng)商提供的默認(rèn)值并于在網(wǎng)絡(luò)中安裝系統(tǒng)之前刪除或禁用不必要的默認(rèn)帳戶。
該要求適用于所有默認(rèn)密碼,包括但不限于操作系統(tǒng)、提供安全服務(wù)的軟件、應(yīng)用程序和系統(tǒng)帳戶、銷售點(diǎn)(POS) 終端、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 (SNMP) 社區(qū)字符串等使用的默認(rèn)密碼。R.2.1.1對(duì)于連接到持卡人數(shù)據(jù)環(huán)境或傳輸持卡人數(shù)據(jù)的無線環(huán)境,在安裝時(shí)更改所有無線供應(yīng)商的默認(rèn)值,包括但不限于默認(rèn)的無線密鑰、密碼和SNMP 社區(qū)字符串。
R.2.2制定適合所有系統(tǒng)組件的配置標(biāo)準(zhǔn)。確保這些標(biāo)準(zhǔn)能解決所有已知的安全漏洞并與行業(yè)認(rèn)可的系統(tǒng)強(qiáng)化標(biāo)準(zhǔn)一致。
R.2.2.1每臺(tái)服務(wù)器僅執(zhí)行一項(xiàng)主要功能,以防需要不同安全級(jí)別的功能并存于同一臺(tái)服務(wù)器上。(例如web 服務(wù)器、數(shù)據(jù)庫服務(wù)器和DNS 均應(yīng)在單獨(dú)的服務(wù)器上執(zhí)行。)
注:如果使用虛擬化技術(shù),每個(gè)虛擬系統(tǒng)組件僅執(zhí)行一項(xiàng)主要功能。
R.2.2.2僅啟用系統(tǒng)功能所需的必要服務(wù)、協(xié)議、守護(hù)進(jìn)程等。
R.2.2.2.a選擇系統(tǒng)組件樣本,并檢查已啟用的系統(tǒng)服務(wù)、守護(hù)進(jìn)程和協(xié)議,確認(rèn)僅啟用了必要的服務(wù)或協(xié)議。
R.2.2.2.b找出任何已啟用的不安全服務(wù)、守護(hù)進(jìn)程或協(xié)議,并與工作人員面談,確認(rèn)已根據(jù)書面配置標(biāo)準(zhǔn)判斷其實(shí)屬合理。
R.2.2.3對(duì)于任何被視為不安全的服務(wù)、協(xié)議或守護(hù)進(jìn)程,均執(zhí)行附加安全功能 — 例如,采用SSH、S-FTP、SSL 或IPSec VPN 等安全技術(shù)保護(hù)NetBIOS、文件共享、Telnet、FTP 等不安全的服務(wù)。
R.2.2.3.a檢查配置設(shè)置,確認(rèn)已針對(duì)所有不安全的服務(wù)、守護(hù)進(jìn)程或協(xié)議記錄并執(zhí)行安全功能。
R.2.2.4配置系統(tǒng)安全參數(shù),以防濫用。
R.2.3使用強(qiáng)效加密法對(duì)所有非控制臺(tái)管理訪問進(jìn)行加密。對(duì)于基于web 的管理和其它非控制臺(tái)管理訪問,可采用SSH、VPN 或SSL/TLS 等技術(shù)。
R.3
保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)R.3.1通過實(shí)施數(shù)據(jù)保留和處理政策、程序和流程最大限度地減少持卡人數(shù)據(jù)存儲(chǔ),對(duì)所有持卡人數(shù)據(jù)(CHD) 存儲(chǔ)而言,這些政策、程序和流程至少應(yīng)包含以下方面:
將數(shù)據(jù)存儲(chǔ)量和保留時(shí)間限制在法律、法規(guī)和業(yè)務(wù)要求的范圍內(nèi)
不再需要時(shí)安全刪除數(shù)據(jù)的流程,持卡人數(shù)據(jù)的具體保留要求
按季度查找并安全刪除所存儲(chǔ)的超過規(guī)定保留期限的持卡人數(shù)據(jù)的流程。
R.3.2授權(quán)之后,不要存儲(chǔ)敏感驗(yàn)證數(shù)據(jù)(即使已加密)。如果收到敏感驗(yàn)證數(shù)據(jù),在完成驗(yàn)證流程后使所有數(shù)據(jù)不可恢復(fù)。
在下列情況下,允許發(fā)卡機(jī)構(gòu)和支持發(fā)卡服務(wù)的公司存儲(chǔ)敏感驗(yàn)證數(shù)據(jù):
有正當(dāng)?shù)臉I(yè)務(wù)理由且
數(shù)據(jù)存儲(chǔ)安全。R.3.2.1切勿存儲(chǔ)卡片背面磁條上任何磁道的完整內(nèi)容、芯片或其它地方上的等效數(shù)據(jù)。此類數(shù)據(jù)也可稱為全磁道、磁道、磁道1、磁道2 和磁條數(shù)據(jù)。
R.3.2.2切勿存儲(chǔ)用于確認(rèn)無實(shí)卡交易的卡驗(yàn)證代碼或值(印在支付卡正面或背面的三或四位數(shù)值)
R.3.2.3切勿存儲(chǔ)個(gè)人識(shí)別碼(PIN) 或已加密的PIN 數(shù)據(jù)塊。
R.3.3顯示PAN 時(shí)予以掩蓋(最多顯示前六位和后四位數(shù)字),這樣僅具有正當(dāng)業(yè)務(wù)需要者方可看到完整的PAN。
R.3.4通過采取下列任一方法使所有位置(包括便攜式數(shù)字媒介上、備份媒介上和日志中)存儲(chǔ)的PAN 均不可讀:
基于強(qiáng)效加密法的單向散列函數(shù)(散列必須要有完整的PAN)
截詞(不能用散列代替 PAN 被截詞的部分)
索引記號(hào)與索引簿(索引簿必須安全地存儲(chǔ))
具有相關(guān)密鑰管理流程和程序的強(qiáng)效加密法R.3.4.a檢查關(guān)于 PAN 保護(hù)系統(tǒng)的文件記錄,包括供應(yīng)商、系統(tǒng)/流程類型以及加密算法(若適用),確認(rèn)已通過使用下列任一方法令PAN 不可讀取:
基于強(qiáng)效加密法的單向散列函數(shù)
索引記號(hào)與索引簿(索引簿存儲(chǔ)安全)
具有相關(guān)密鑰管理流程和程序的強(qiáng)效加密法
R.3.4.b檢查數(shù)據(jù)儲(chǔ)存庫樣本中的幾個(gè)表格或文件,確認(rèn)PAN 不可讀
R.3.4.c檢查可移動(dòng)媒介(例如備份磁帶)樣本,確認(rèn)PAN 不可讀。
R.3.4.d審查檢查日志樣本,確認(rèn)PAN 不可讀或已從日志中刪除。
R.3.4.1如使用磁盤加密(而不是文件級(jí)或列級(jí)數(shù)據(jù)庫加密),則邏輯訪問必須得到單獨(dú)管理并獨(dú)立于本地操作系統(tǒng)的驗(yàn)證和訪問控制機(jī)制(例如,不使用本地用戶帳戶數(shù)據(jù)庫或通用網(wǎng)絡(luò)登錄憑證)。解密密匙決不能與用戶帳戶關(guān)聯(lián)。
R.3.5記錄并實(shí)施保護(hù)程序,以保護(hù)用于防止存儲(chǔ)的持卡人數(shù)據(jù)被泄露和濫用的密鑰:
R.3.5.1僅極少數(shù)必需的保管人有密鑰訪問權(quán)限。
R.3.5.2始終以下面的一種(或多種)形式存儲(chǔ)用于加密/解密持卡人數(shù)據(jù)的機(jī)密密鑰和私人密鑰:
使用至少與數(shù)據(jù)加密密鑰一樣強(qiáng)效且與數(shù)據(jù)加密密鑰分開存儲(chǔ)的密鑰加密密鑰進(jìn)行加密
在安全加密設(shè)備(例如,主機(jī)安全模塊(HSM) 或PTS 批準(zhǔn)的交互點(diǎn)設(shè)備)內(nèi)
根據(jù)行業(yè)認(rèn)可的方法,采用至少兩個(gè)全長(zhǎng)密鑰組分或密鑰共享
R.3.6充分記錄并實(shí)施用于持卡人數(shù)據(jù)加密的所有密鑰管理流程和程序,包括:
R.3.6.a針對(duì)服務(wù)提供商的附加程序:如果服務(wù)提供商與客戶共享傳輸或存儲(chǔ)持卡人數(shù)據(jù)的密鑰,則需要檢查服務(wù)提供商向客戶提供的文檔記錄,以確認(rèn)已根據(jù)下文要求3.6.1 至3.6.8 在文檔記錄中提供了安全傳輸、存儲(chǔ)并更新客戶密鑰的指南。
R.3.6.b檢查用于持卡人數(shù)據(jù)加密的密鑰管理程序和流程并執(zhí)行以下操作:
R.3.6.1.a確認(rèn)密鑰管理程序詳細(xì)列明強(qiáng)效密鑰的生成方式。
R.3.6.1.b查看密鑰生成方法,確認(rèn)已生成強(qiáng)效密鑰。
R.3.6.2安全的密鑰分配
3.6.3安全的密鑰存儲(chǔ)
3.6.4根據(jù)相關(guān)應(yīng)用程序供應(yīng)商或密鑰所有人的規(guī)定并基于行業(yè)最優(yōu)方法和指南(例如,《NIST 特別出版物800-57》),在密鑰周期結(jié)束時(shí)(例如,指定期限過后和/或給定密鑰產(chǎn)生一定量的密文后)對(duì)密鑰進(jìn)行的變更。
3.6.5密鑰的完整性變?nèi)酰ɡ纾烂魑拿荑€部分的員工離職)或懷疑密碼遭受威脅時(shí),認(rèn)為有必要注銷或替換(例如,存檔、銷毀和/或撤銷)密鑰。
3.6.6若使用手動(dòng)明文密鑰管理操作,則必須使用分割知識(shí)和雙重控制來管理這些操作。
3.6.7防止密鑰的非授權(quán)替換。
3.6.8有關(guān)密鑰保管人正式確認(rèn)理解并接受密鑰保管責(zé)任的要求。
R.4
加密持卡人數(shù)據(jù)在開放式公共網(wǎng)絡(luò)中的傳輸R.4.1使用強(qiáng)效加密法和安全協(xié)議(例如,SSL/TLS、IPSEC、SSH 等) 來保護(hù)在開放式公共網(wǎng)絡(luò)中傳輸?shù)拿舾谐挚ㄈ藬?shù)據(jù),包括:
只接受可信的密鑰和證書
使用的協(xié)議只支持安全的版本或配置
加密強(qiáng)度適合所使用的加密方法4.1.a審查書面政策和程序,確認(rèn)已詳細(xì)列明以下方面的流程:
只接受可信密鑰和/或證書。
所使用的協(xié)議僅支持安全的版本和配置(不支持非安全版本和配置)。
根據(jù)所使用的加密方法實(shí)施適當(dāng)?shù)募用軓?qiáng)度
4.1.b在出現(xiàn)入站和出站傳輸時(shí)選擇并查看其樣本部分,以確認(rèn)所有持卡人數(shù)據(jù)均在傳輸時(shí)使用強(qiáng)效加密法加密。
4.1.c檢查密鑰和證書,確認(rèn)僅接受可信密鑰和/或證書。
4.1.d檢查系統(tǒng)配置,確認(rèn)實(shí)施的協(xié)議僅使用安全的配置且不支持非安全版本或配置。
4.1.e檢查系統(tǒng)配置,確認(rèn)已針對(duì)所使用的加密方法采用合適的加密強(qiáng)度。
4.1.1確保傳輸持卡人數(shù)據(jù)或連接到持卡人數(shù)據(jù)環(huán)境的無線網(wǎng)絡(luò)使用行業(yè)最優(yōu)方法(例如,IEEE 802.11i),以對(duì)驗(yàn)證和傳輸實(shí)施強(qiáng)效加密。
R.4.2不要使用終端用戶通訊技術(shù)(例如,電子郵件、即時(shí)通訊、聊天等)來傳送不受保護(hù)的PAN。
4.2.a如果使用終端用戶通訊技術(shù)來發(fā)送持卡人數(shù)據(jù),則應(yīng)查看發(fā)送PAN 的流程,并在出現(xiàn)出站傳輸時(shí)抽樣查看,確認(rèn)只要通過終端用戶通訊技術(shù)傳送,PAN 便不可讀或受強(qiáng)效加密保護(hù)。
4.2.b審查書面政策,確認(rèn)已有不會(huì)通過終端用戶通訊技術(shù)傳送不受保護(hù)的PAN 方面的政策規(guī)定。
R.5
為所有系統(tǒng)提供惡意軟件防護(hù)并定期更新殺毒軟件或程序R.5.1在經(jīng)常受惡意軟件影響的所有系統(tǒng)(特別是個(gè)人電腦和服務(wù)器)中部署殺毒軟件。
5.1.1確保殺毒程序能檢測(cè)、刪除并阻止所有已知類型的惡意軟件。
R.5.2確保所有殺毒機(jī)制按如下方式維護(hù):
保持為最新,
執(zhí)行定期掃描
生成檢查日志(PCI DSS 要求10.7 規(guī)定保留)5.2.a檢查政策和程序,確認(rèn)已規(guī)定殺毒軟件和相關(guān)定義需要保持為最新。
5.2.b檢查殺毒配置(包括軟件的主體安裝),確認(rèn)殺毒機(jī)制:
配置為執(zhí)行自動(dòng)更新
配置為執(zhí)行定期掃描
5.2.c檢查系統(tǒng)組件樣本(包括經(jīng)常受惡意軟件影響的所有操作系統(tǒng)類型),確認(rèn):
殺毒軟件和相關(guān)定義為最新
已執(zhí)行定期掃描
5.2.d檢查殺毒配置(包括軟件的主體安裝和系統(tǒng)組件的樣本部分),確認(rèn):
已啟用殺毒軟件日志生成功能,且日志根據(jù) PCI DSS 要求10.7 進(jìn)行保留。
R.6
開發(fā)并維護(hù)安全的系統(tǒng)和應(yīng)用程序R.6.1制定相關(guān)流程,通過使用外部信源獲取安全漏洞信息來識(shí)別安全漏洞,并為新發(fā)現(xiàn)的安全漏洞指定風(fēng)險(xiǎn)等級(jí)(例如“高”、“中”或“低”)。
6.1.a檢查政策和程序,確認(rèn)已規(guī)定以下流程:
識(shí)別新的安全漏洞。
為漏洞指定風(fēng)險(xiǎn)等級(jí),包括識(shí)別所有“高”風(fēng)險(xiǎn)和“重要”漏洞。
使用外部信源獲取安全漏洞信息。
6.1.a檢查政策和程序,確認(rèn)已規(guī)定以下流程:
識(shí)別新的安全漏洞。
為漏洞指定風(fēng)險(xiǎn)等級(jí),包括識(shí)別所有“高”風(fēng)險(xiǎn)和“重要”漏洞。
使用外部信源獲取安全漏洞信息。
R.6.2通過安裝供應(yīng)商提供的適用安全補(bǔ)丁,確保所有系統(tǒng)組件和軟件均杜絕已知漏洞。在發(fā)布后一個(gè)月內(nèi)安裝關(guān)鍵的安全補(bǔ)丁。
R.6.3遵照如下要求安全地開發(fā)內(nèi)部和外部軟件應(yīng)用程序(包括基于web 的應(yīng)用程序管理訪問):
按照 PCI DSS(例如安全驗(yàn)證和記錄)
基于行業(yè)標(biāo)準(zhǔn)和/或最優(yōu)方法。
將信息安全納入軟件開發(fā)的整個(gè)生命周期。6.3.a檢查書面軟件開發(fā)流程,確認(rèn)這些流程以行業(yè)標(biāo)準(zhǔn)和/或最優(yōu)方法為基礎(chǔ)。
6.3.b檢查書面軟件開發(fā)流程,確認(rèn)信息安全已納入軟件開發(fā)的整個(gè)生命周期。
6.3.c檢查書面軟件開發(fā)流程,確認(rèn)軟件應(yīng)用程序的開發(fā)符合PCI DSS。
6.3.d與軟件開發(fā)人員面談,確認(rèn)已實(shí)施書面軟件開發(fā)流程。
6.3.1在應(yīng)用程序啟動(dòng)前或向客戶發(fā)布應(yīng)用程序前,刪除開發(fā)、測(cè)試和/或自定義應(yīng)用程序帳戶、用戶ID 和密碼
6.3.2為識(shí)別任何潛在的編碼漏洞(采用人工或自動(dòng)流程),在發(fā)布到產(chǎn)品前或向客戶發(fā)布前檢查自定義代碼時(shí)至少應(yīng)包括以下方面:
由代碼原作者以外人員以及熟悉代碼審核方法和安全編碼實(shí)踐的人員審核代碼變更。
代碼審核可確保代碼的開發(fā)符合安全編碼指南
發(fā)布前已進(jìn)行適當(dāng)修正。
R.6.4系統(tǒng)組件的所有變更均須遵守變更控制流程和程序。該流程必須包括如下內(nèi)容:
6.4.1開發(fā)/測(cè)試環(huán)境獨(dú)立于生產(chǎn)環(huán)境,并設(shè)置訪問控制,確保兩者分離
6.4.2開發(fā)/測(cè)試環(huán)境與生產(chǎn)環(huán)境中的職責(zé)分離
6.4.3在測(cè)試或開發(fā)過程中不使用生產(chǎn)數(shù)據(jù)(真實(shí)的PAN)
6.4.4在生產(chǎn)系統(tǒng)啟動(dòng)前,刪除測(cè)試數(shù)據(jù)與帳戶
6.4.5應(yīng)用安全補(bǔ)丁和軟件修改的變更控制程序必須包括以下方面:
6.4.5.a檢查有關(guān)應(yīng)用安全補(bǔ)丁和軟件修改的書面變更控制程序,確認(rèn)已規(guī)定以下方面的程序:
影響記錄
被授權(quán)方的變更審批記錄
功能測(cè)試,以確認(rèn)該變更未對(duì)系統(tǒng)安全造成不利影響
取消程序
6.4.5.b對(duì)于系統(tǒng)組件樣本,與負(fù)責(zé)人員面談以確定最新的變更/安全補(bǔ)丁,并根據(jù)這些變更追溯到相關(guān)的變更控制記錄。每次檢查變更時(shí),執(zhí)行下列步驟:
6.4.5.1確認(rèn)每次抽取的變更樣本的變更控制文檔記錄已包含影響記錄。
6.4.5.2確認(rèn)每次抽取的變更樣本都有被授權(quán)方的審批記錄。
R.6.5按照以下操作解決軟件開發(fā)流程中常見的編碼漏洞:
為開發(fā)人員提供關(guān)于安全編碼技術(shù)的培訓(xùn),包括如何避免常見的編碼漏洞,并理解敏感數(shù)據(jù)在內(nèi)存中的處理方式。
根據(jù)安全編碼指南開發(fā)應(yīng)用程序6.5.a檢查軟件開發(fā)政策與程序,確認(rèn)已要求開發(fā)人員必須參加安全編碼技術(shù)培訓(xùn),且培訓(xùn)以行業(yè)最優(yōu)方法和指南為基礎(chǔ)。
6.5.b抽取部分開發(fā)人員進(jìn)行面談,確認(rèn)他們熟悉安全編碼技術(shù)。
6.5.c檢查培訓(xùn)記錄,確認(rèn)軟件開發(fā)人員已接受關(guān)于安全編碼技術(shù)的培訓(xùn),包括如何避免常見的編碼漏洞,并理解敏感數(shù)據(jù)在內(nèi)存中的處理方式。
6.5.1注入攻擊,特別是 SQL 注入。同時(shí)還須考慮OS 命令注入、LDAP等其它注入攻擊。
6.5.2緩沖區(qū)溢出
6.5.3非安全加密存儲(chǔ)
6.5.4非安全通信
6.5.5不正確的錯(cuò)誤處理
6.5.6漏洞識(shí)別流程中確認(rèn)的所有“高風(fēng)險(xiǎn)”漏洞
6.5.7跨站點(diǎn)腳本 (XSS)
6.5.8不正確的訪問控制(例如不安全的直接對(duì)象引用、未能限制URL 訪問、目錄遍歷和未能限制用戶的功能訪問)
6.5.9跨站點(diǎn)請(qǐng)求偽造 (CSRF)
6.5.10失效的驗(yàn)證與會(huì)話管理
R.6.6對(duì)于面向公眾的 web 應(yīng)用程序,應(yīng)不斷解決新的威脅和漏洞,并通過以下任一方法確保這些應(yīng)用程序不會(huì)受到已知攻擊:
利用手動(dòng)或自動(dòng)應(yīng)用程序漏洞安全評(píng)估工具或方法審核面向公眾的web 應(yīng)用程序,至少每年一次或在有任何變更后進(jìn)行注:該評(píng)估與要求11.2中執(zhí)行的漏洞掃描不同
在面向公眾的 web 應(yīng)用程序前安裝可檢查和防范網(wǎng)頁式攻擊的自動(dòng)化技術(shù)解決方案(例如web 應(yīng)用程序防火墻),用以不斷檢查所有流量。
R.7
按業(yè)務(wù)知情需要限制對(duì)持卡人數(shù)據(jù)的訪問R.7.1僅有工作需要的個(gè)人才能訪問系統(tǒng)組件和持卡人數(shù)據(jù)。
7.1.1為每個(gè)角色定義訪問需要,包括:
每個(gè)角色依據(jù)工作職能需要訪問的系統(tǒng)組件和數(shù)據(jù)資源
訪問資源所需的權(quán)限級(jí)別(例如,用戶、管理員等)
7.1.2將特權(quán)用戶 ID 的訪問權(quán)限限制為執(zhí)行工作所需的最小權(quán)限。
7.1.3基于個(gè)人的工作分類和職能分配訪問權(quán)限。
7.1.4要求由指定所需權(quán)限的被授權(quán)方作出書面批準(zhǔn)。
R.7.2為系統(tǒng)組件建立訪問控制系統(tǒng),以根據(jù)用戶的知情需要限制訪問,并且將系統(tǒng)設(shè)為“全部拒絕”,特別允許訪問時(shí)除外。
該訪問控制系統(tǒng)必須包含以下內(nèi)容:7.2.1所有系統(tǒng)組件范圍
7.2.2基于工作分類和職能為個(gè)人分配權(quán)限
7.2.3默認(rèn)的“全部拒絕”設(shè)置
R.8
識(shí)別并驗(yàn)證對(duì)系統(tǒng)組件的訪問R.8.1規(guī)定并實(shí)施政策和程序,確保對(duì)所有系統(tǒng)組件中的非消費(fèi)者用戶和管理員執(zhí)行以下適當(dāng)?shù)挠脩糇R(shí)別管理:
R.8.2除了分配唯一 ID 以外,至少采用以下一種方法來驗(yàn)證所有用戶,確保對(duì)所有系統(tǒng)組件中的非消費(fèi)者用戶和管理員執(zhí)行恰當(dāng)?shù)挠脩趄?yàn)證管理:
所知,如密碼或口令等
所有,如令牌設(shè)備或智能卡等
個(gè)人特征,如生物特征等
R.8.3對(duì)來自網(wǎng)絡(luò)外部人員(包括用戶和管理員)以及所有第三方的遠(yuǎn)程網(wǎng)絡(luò)訪問(包括基于支持或維護(hù)目的的供應(yīng)商訪問)使用雙因素驗(yàn)證。
8.4記錄并向所有用戶傳達(dá)驗(yàn)證程序和政策,包括:
選擇強(qiáng)效驗(yàn)證憑證的指南
關(guān)于用戶應(yīng)如何保護(hù)其驗(yàn)證憑證的指南
關(guān)于不重用之前用過密碼的說明
用戶如懷疑密碼可能暴露則應(yīng)修改密碼
R.8.5不要使用群組、共享或常規(guī)ID、密碼或其它驗(yàn)證方法,具體如下:
常規(guī)用戶 ID 已禁用或刪除
用于系統(tǒng)管理和其它重要功能的共享用戶ID 不存在
不使用共享和常規(guī)用戶 ID 管理任何系統(tǒng)組件8.5.1針對(duì)服務(wù)提供商的額外要求:有權(quán)遠(yuǎn)程進(jìn)入客戶經(jīng)營場(chǎng)所的服務(wù)提供商(例如POS 系統(tǒng)或服務(wù)器的維修商)必須使用每個(gè)客戶經(jīng)營場(chǎng)所獨(dú)有的驗(yàn)證憑證(例如密碼/口令)。
R.9
限制對(duì)持卡人數(shù)據(jù)的物理訪問R.9.1采用適當(dāng)?shù)膱?chǎng)所入口控制,對(duì)持卡人數(shù)據(jù)環(huán)境中系統(tǒng)的物理訪問進(jìn)行限制和監(jiān)控。
9.1.1利用攝像頭和/或訪問控制機(jī)制監(jiān)控個(gè)人對(duì)敏感區(qū)域的物理訪問情況。核查采集的數(shù)據(jù)并與其它條目關(guān)聯(lián)。除非法律另有規(guī)定,否則至少存儲(chǔ)三個(gè)月。
9.1.1.a確認(rèn)已使用攝像頭和/或訪問控制機(jī)制監(jiān)控敏感區(qū)域的出入口。
9.1.1.b確認(rèn)攝像頭和/或訪問控制機(jī)制受到安全保護(hù),免遭破壞或禁用。
9.1.1.c確認(rèn)已對(duì)攝像頭和/或訪問控制機(jī)制實(shí)施監(jiān)控,并且來自攝像頭或其它機(jī)制的數(shù)據(jù)至少保存三個(gè)月。
R.9.1.2實(shí)施物理和/或邏輯控制,限制對(duì)公共網(wǎng)絡(luò)插座交換機(jī)的訪問。
R.9.1.3限制對(duì)無線訪問點(diǎn)、網(wǎng)關(guān)、手持式設(shè)備、網(wǎng)絡(luò)/通信硬件和電信線路的物理訪問。
R.9.2制定相關(guān)程序,輕松識(shí)別現(xiàn)場(chǎng)工作人員和訪客,包括:
識(shí)別新的現(xiàn)場(chǎng)工作人員或訪客(例如發(fā)放工卡)
修改訪問要求
廢除或取消現(xiàn)場(chǎng)工作人員和過期訪客的***件(例如工卡)9.2.a檢查流程文檔記錄,確認(rèn)已制定用于識(shí)別和區(qū)分現(xiàn)場(chǎng)工作人員與訪客的程序。
9.2.b查看關(guān)于識(shí)別和區(qū)分現(xiàn)場(chǎng)工作人員與訪客的流程,確認(rèn):
訪客的身份已清楚識(shí)別,并且
能輕松區(qū)分現(xiàn)場(chǎng)工作人員和訪客
9.2.c確認(rèn)驗(yàn)證流程(如工卡系統(tǒng))的查看權(quán)僅限于授權(quán)人員。
R.9.3控制現(xiàn)場(chǎng)工作人員對(duì)敏感區(qū)域的物理訪問,具體如下:
必須根據(jù)個(gè)人的工作職能獲取使用權(quán)
一旦離職,立即撤消使用權(quán),所有物理訪問機(jī)制(例如鑰匙、訪問卡等)均退回或禁用。
R.9.4實(shí)施相關(guān)程序,識(shí)別并批準(zhǔn)訪客。
程序應(yīng)包括以下方面:9.4確認(rèn)現(xiàn)已實(shí)施訪客授權(quán)和訪問控制流程,具體如下:
9.4.1.a查看程序并與工作人員面談,確認(rèn)訪客必須在獲準(zhǔn)后方可進(jìn)入,并且在進(jìn)入處理或維護(hù)持卡人數(shù)據(jù)的區(qū)域時(shí)始終有人陪同。
9.4.1.b查看訪客工卡或其它***件的使用情況,確認(rèn)實(shí)體令牌工卡不允許在無人陪同的情況下進(jìn)入處理或維護(hù)持卡人數(shù)據(jù)的現(xiàn)場(chǎng)區(qū)域
9.4.2.a查看經(jīng)營場(chǎng)所內(nèi)的人員,確認(rèn)已使用訪客工卡或其它***件,并能從現(xiàn)場(chǎng)工作人員中輕松分辨出訪客。
9.4.2.b確認(rèn)訪客工卡或其它***件的有效期。
R.9.5保護(hù)所有媒介的實(shí)體安全。
9.5.1.a查看存儲(chǔ)場(chǎng)所的實(shí)體安全性,確認(rèn)備份媒介存儲(chǔ)安全。
9.5.1.b確認(rèn)至少每年檢查一次存儲(chǔ)場(chǎng)所的安全性。
R.9.6嚴(yán)格控制任何媒介的內(nèi)部或外部分發(fā),包括:
R.9.7嚴(yán)格控制對(duì)媒介的存儲(chǔ)和獲取。
9.7.1檢查媒介盤存記錄,確認(rèn)已保留記錄,并且至少每年盤點(diǎn)一次媒介。
R.9.8當(dāng)媒介因業(yè)務(wù)或法律原因不再需要時(shí)應(yīng)予銷毀,具體如下:
檢查媒介定期銷毀政策,確認(rèn)該政策涵蓋所有媒介,并具備以下要求:
硬拷貝材料必須粉碎、焚燒或打漿,以合理保證這些硬拷貝材料無法重建。
用于存放待銷毀材料的容器必須安全。
電子媒介上的持卡人數(shù)據(jù)必須通過安全擦除程序(符合行業(yè)認(rèn)可的安全刪除標(biāo)準(zhǔn))或通過銷毀媒介實(shí)體令其不可恢復(fù)。
R.9.9保護(hù)通過直接接觸卡本身便可捕獲支付卡數(shù)據(jù)的設(shè)備,以避免設(shè)備被篡改和替換。
9.9.1保留一份最新的設(shè)備列表。該列表應(yīng)包含如下信息:
設(shè)備的外形、型號(hào)
設(shè)備的位置(例如設(shè)備所安放的現(xiàn)場(chǎng)或設(shè)施的地址)
設(shè)備的序列號(hào)或其它獨(dú)特驗(yàn)證方法
R.9.10確保已記錄、正在使用且所有相關(guān)方了解用于限制持卡人數(shù)據(jù)物理訪問權(quán)的安全政策和操作程序。
R.10
跟蹤并監(jiān)控對(duì)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問R.10.1實(shí)施檢查記錄,將對(duì)系統(tǒng)組件的所有訪問鏈接到個(gè)人用戶。
R.10.2對(duì)所有系統(tǒng)組件實(shí)施自動(dòng)檢查記錄以重建以下事件:
10.2.1對(duì)持卡人數(shù)據(jù)的所有個(gè)人用戶訪問
10.2.2任何具有 root 或管理員權(quán)限的個(gè)人執(zhí)行的所有操作
10.2.3對(duì)所有檢查記錄的訪問
10.2.4無效的邏輯訪問嘗試
10.2 5識(shí)別和驗(yàn)證機(jī)制的使用和變更(包括但不限于新建帳戶和提升權(quán)限)以及具有root 或管理員權(quán)限帳戶的所有變更、添加或刪除
10.2.6檢查日志的初始化、關(guān)閉或暫停
10.2.7系統(tǒng)級(jí)對(duì)象的創(chuàng)建和刪除
R.10.3對(duì)于每次事件,至少記錄所有系統(tǒng)組件的以下檢查記錄條目:
10.3.1用戶識(shí)別
10.3.2事件類型
10.3.3日期和時(shí)間
10.3.4成功或失敗指示
10.3.5事件的起因
10.3.6受影響的數(shù)據(jù)、系統(tǒng)組件或資源的特性或名稱。
R.10.4使用時(shí)間同步技術(shù)來同步所有關(guān)鍵系統(tǒng)的時(shí)鐘和時(shí)間,并確保實(shí)施以下各項(xiàng)以獲取、分配并存儲(chǔ)時(shí)間。
10.4.1.a檢查獲取、分配和存儲(chǔ)組織內(nèi)部正確時(shí)間的流程,確認(rèn):
只有指定的中央時(shí)間服務(wù)器能接收外來的時(shí)間信號(hào),且外來的時(shí)間信號(hào)以國際原子時(shí)或UTC 為基礎(chǔ)。
當(dāng)存在多個(gè)指定時(shí)間服務(wù)器時(shí),這些時(shí)間服務(wù)器會(huì)相互同步以保持準(zhǔn)確的時(shí)間。
系統(tǒng)只接收來自指定中央時(shí)間服務(wù)器的時(shí)間信息。
10.4.1.b對(duì)于系統(tǒng)組件樣本,查看與時(shí)間相關(guān)的系統(tǒng)參數(shù)設(shè)置,確認(rèn):
只有指定的中央時(shí)間服務(wù)器能接收外來的時(shí)間信號(hào),且外來的時(shí)間信號(hào)以國際原子時(shí)或UTC 為基礎(chǔ)。
當(dāng)存在多個(gè)指定時(shí)間服務(wù)器時(shí),這些指定的中央時(shí)間服務(wù)器會(huì)相互同步以保持準(zhǔn)確的時(shí)間。
系統(tǒng)只接收來自指定中央時(shí)間服務(wù)器的時(shí)間。
R.10.4.2時(shí)間數(shù)據(jù)受保護(hù)。
10.4.2.a檢查系統(tǒng)配置和時(shí)間同步設(shè)置,確認(rèn)僅有業(yè)務(wù)需要的人員才能訪問時(shí)間數(shù)據(jù)。
10.4.2.b檢查系統(tǒng)配置、時(shí)間同步設(shè)置和日志以及流程,確認(rèn)已記錄、監(jiān)控并審核關(guān)鍵系統(tǒng)中時(shí)間設(shè)置的任何變更。
R.10.4.3時(shí)間設(shè)置來自行業(yè)認(rèn)可的時(shí)間來源。
R.10.5保護(hù)檢查記錄,禁止進(jìn)行更改。
10.5.1只允許有工作需要的人查看檢查記錄。
10.5.2防止檢查記錄文件受到非授權(quán)修改。
10.5.3即時(shí)將檢查記錄文件備份到難以更改的中央日志服務(wù)器或媒介中。
10.5.4將向外技術(shù)的日志寫入安全的內(nèi)部中央日志服務(wù)器或媒介設(shè)備。
10.5.5對(duì)日志使用文件完整性監(jiān)控或變更檢測(cè)軟件可確保未生成警報(bào)時(shí)無法變更現(xiàn)有日志數(shù)據(jù)
R.10.6審核所有系統(tǒng)組件的日志和安全事件以識(shí)別異常情況或可疑活動(dòng)。
10.6.1.a檢查安全政策和程序,確認(rèn)已規(guī)定程序,以手動(dòng)或采用日志工具至少每天審核一次以下內(nèi)容:
所有安全事件
可存儲(chǔ)、處理或傳輸 CHD 和/或SAD 或者影響CHD 和/或SAD 安全性的所有系統(tǒng)組件的日志
所有關(guān)鍵系統(tǒng)組件的日志
執(zhí)行安全功能的所有服務(wù)器和系統(tǒng)組件(例如,防火墻、入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS)、驗(yàn)證服務(wù)器、電子商務(wù)重定向服務(wù)器等)的日志
10.6.1.b查看流程并與工作人員面談,確認(rèn)至少每天審核一次以下內(nèi)容:
所有安全事件
可存儲(chǔ)、處理或傳輸 CHD 和/或SAD 或者影響CHD 和/或SAD 安全性的所有系統(tǒng)組件的日志
所有關(guān)鍵系統(tǒng)組件的日志
執(zhí)行安全功能的所有服務(wù)器和系統(tǒng)組件(例如,防火墻、入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS)、驗(yàn)證服務(wù)器、電子商務(wù)重定向服務(wù)器等)的日志
R.10.7保留檢查記錄歷史至少一年,其中最少3 個(gè)月的記錄可立即訪問以供分析(例如,在線、存檔或可從備份恢復(fù))。
10.7.a檢查安全政策和程序,確認(rèn)規(guī)定以下內(nèi)容:
檢查日志保留政策
關(guān)于保留檢查日志至少一年的程序,其中最少 3 個(gè)月的日志可立即在線訪問。
10.7.b與工作人員面談并查看檢查日志,確認(rèn)檢查日志至少一年可用。
R11
定期測(cè)試安全系統(tǒng)和流程。R.11.1實(shí)施流程以測(cè)試是否存在無線接入點(diǎn)(802.11),并按季度檢測(cè)和識(shí)別所有授權(quán)和非授權(quán)的無線接入點(diǎn)
11.1.a檢查政策和程序,確認(rèn)已規(guī)定相應(yīng)的流程,以按季度檢測(cè)并識(shí)別授權(quán)和非授權(quán)的無線接入點(diǎn)。
11.1.b確認(rèn)所用方法足以檢測(cè)并識(shí)別任何非授權(quán)無線接入點(diǎn),其中至少包括:
在系統(tǒng)組件中插入 WLAN 卡
將系統(tǒng)組件連接到便攜或移動(dòng)設(shè)備以創(chuàng)建無線接入點(diǎn)(例如通過 USB 等)
將無線設(shè)備連接到網(wǎng)絡(luò)端口或網(wǎng)絡(luò)設(shè)備
11.1.c檢查最近的無線掃描結(jié)果,確認(rèn):
已識(shí)別出授權(quán)和非授權(quán)無線接入點(diǎn),且
至少每季度掃描一次所有系統(tǒng)組件和設(shè)施。
11.1.d如果采用自動(dòng)監(jiān)控(例如無線IDS/IPS、NAC 等),確認(rèn)配置會(huì)發(fā)出警報(bào)以通知工作人員。
R.11.2至少每個(gè)季度運(yùn)行一次內(nèi)部和外部網(wǎng)絡(luò)漏洞掃描,并且在網(wǎng)絡(luò)有任何重大變化(例如安裝新的系統(tǒng)組件,更改網(wǎng)絡(luò)拓樸,修改防火墻規(guī)則,產(chǎn)品升級(jí))時(shí)也運(yùn)行漏洞掃描。
11.2.1執(zhí)行每季度一次的內(nèi)部漏洞掃描,并視需要重復(fù)掃描,直至所有“高風(fēng)險(xiǎn)”漏洞(具體規(guī)定請(qǐng)參閱要求6.1)均得以解決。必須由合格人員執(zhí)行掃描。
11.2.2通過由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCI SSC) 認(rèn)證的授權(quán)掃描服務(wù)商(ASV) 執(zhí)行每季度一次的外部漏洞掃描。視需要執(zhí)行重復(fù)掃描,直至獲得掃描通過結(jié)果。
11.2.3在發(fā)生任何重要變更后,視需要執(zhí)行內(nèi)部和外部掃描和重復(fù)掃描。必須由合格人員執(zhí)行掃描。
R.11.3實(shí)施一種包含以下內(nèi)容的穿透測(cè)試法:
以行業(yè)認(rèn)可的穿透測(cè)試法為基礎(chǔ)(例如 NIST SP800-115)
包括覆蓋整個(gè)CDE 環(huán)境和關(guān)鍵系統(tǒng)
來自網(wǎng)絡(luò)內(nèi)部和外部的測(cè)試
包括用于驗(yàn)證任何網(wǎng)段和范圍縮小控制的測(cè)試
定義應(yīng)用層穿透測(cè)試,至少包括要求 6.5 中列出的漏洞
定義網(wǎng)絡(luò)層穿透測(cè)試,包括支持網(wǎng)絡(luò)功能和操作系統(tǒng)的組件
包括審核并考慮過去12 個(gè)月內(nèi)遇到的威脅和漏洞
指定保留穿透測(cè)試結(jié)果和修復(fù)活動(dòng)結(jié)果。11.3.1每年至少執(zhí)行一次外部穿透測(cè)試,并且在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重要升級(jí)或修改時(shí)(例如操作系統(tǒng)升級(jí)、環(huán)境新增子網(wǎng)絡(luò)或環(huán)境新增web 服務(wù)器)也執(zhí)行該測(cè)試。
11.3.2至少每年執(zhí)行一次內(nèi)部穿透測(cè)試,并在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重要升級(jí)或修改(例如操作系統(tǒng)升級(jí)、環(huán)境新增子網(wǎng)絡(luò)或環(huán)境新增web 服務(wù)器)后也執(zhí)行該測(cè)試。
R.11.4利用入侵檢測(cè)和/或入侵防御技術(shù)來檢測(cè)和/或防御網(wǎng)絡(luò)入侵。監(jiān)控持卡人數(shù)據(jù)環(huán)境周圍以及持卡人數(shù)據(jù)環(huán)境中關(guān)鍵點(diǎn)的所有流量,并警示工作人員注意可疑威脅。
11.4.a檢查系統(tǒng)配置和網(wǎng)絡(luò)圖,確認(rèn)目前已采用相關(guān)技術(shù)(例如入侵檢測(cè)系統(tǒng)和/或入侵防御系統(tǒng))監(jiān)控以下位置的所有流量
持卡人數(shù)據(jù)環(huán)境周圍
持卡人數(shù)據(jù)環(huán)境中的關(guān)鍵點(diǎn)
11.4.b檢查系統(tǒng)配置并與負(fù)責(zé)人員面談,確認(rèn)入侵檢測(cè)和/或入侵防御技術(shù)會(huì)在發(fā)現(xiàn)可疑威脅時(shí)向工作人員發(fā)出警報(bào)。
11.4.c檢查IDS/IPS 配置和供應(yīng)商文檔記錄,確認(rèn)已按照供應(yīng)商的說明對(duì)入侵檢測(cè)和/或入侵防御技術(shù)進(jìn)行配置、維護(hù)和升級(jí),以確保提供最佳保護(hù)。
R11.5部署變更檢測(cè)機(jī)制(例如文件完整性監(jiān)控工具),在發(fā)現(xiàn)重要的系統(tǒng)文件、配置文件或內(nèi)容文件出現(xiàn)非授權(quán)修改時(shí)警示工作人員;同時(shí)配置該軟件至少每周執(zhí)行一次重要文件比對(duì)。
11.5.a查看系統(tǒng)設(shè)置和受監(jiān)控文件,并審核監(jiān)控活動(dòng)結(jié)果,確認(rèn)已在持卡人數(shù)據(jù)環(huán)境中使用變更檢測(cè)機(jī)制。
應(yīng)予以監(jiān)控的文件有:
系統(tǒng)可執(zhí)行文件
應(yīng)用程序可執(zhí)行文件
配置和參數(shù)文件
集中存儲(chǔ)文件、歷史或歸檔文件、日志和檢查文件
由實(shí)體(通過風(fēng)險(xiǎn)評(píng)估或其它方法)確定的其它重要文件
11.5.b確認(rèn)已配置該機(jī)制,可在重要文件出現(xiàn)非授權(quán)修改時(shí)警示工作人員,并至少每周執(zhí)行一次重要文件比對(duì)。
R.12
維護(hù)針對(duì)所有工作人員的信息安全政策12.1制定、公布、維護(hù)和宣傳安全政策
12.1.1至少每年審核一次安全政策,并在環(huán)境發(fā)生變更時(shí)予以更新。
12. 2.a確認(rèn)每年一次的風(fēng)險(xiǎn)評(píng)估過程有文檔記錄,確定資產(chǎn)、威脅和漏洞,并形成正式的風(fēng)險(xiǎn)評(píng)估。
12. 2.b審核風(fēng)險(xiǎn)評(píng)估文檔記錄,確認(rèn)至少每年執(zhí)行一次風(fēng)險(xiǎn)評(píng)估過程,并在環(huán)境有重大變更時(shí)也執(zhí)行。
R.12.2實(shí)施符合以下條件的風(fēng)險(xiǎn)評(píng)估流程:
至少每年執(zhí)行一次評(píng)估,并在環(huán)境發(fā)生重大變更時(shí)(例如收購、合并、遷址等)也執(zhí)行評(píng)估;
確定重要資產(chǎn)、威脅和漏洞;以及
形成正式的風(fēng)險(xiǎn)評(píng)估。
R.12.3制定關(guān)鍵技術(shù)的使用政策,并規(guī)定這些技術(shù)的正確用法。
12.3.1被授權(quán)方的明確許可
12.3.2技術(shù)使用驗(yàn)證
12.3.3一份列出所有此類設(shè)備和具有訪問權(quán)的工作人員的列表
12.3.4一種確定負(fù)責(zé)人、聯(lián)系信息和用途
12.3.5可接受的技術(shù)使用方式
12.3.6技術(shù)可接受的網(wǎng)絡(luò)位置
12.3.7公司批準(zhǔn)的產(chǎn)品列表
12.3.8非活躍狀態(tài)持續(xù)一定時(shí)間后自動(dòng)中斷遠(yuǎn)程訪問技術(shù)的會(huì)話
12.3.9僅在供應(yīng)商和業(yè)務(wù)合作伙伴需要時(shí)為其激活遠(yuǎn)程訪問技術(shù),并在使用后立即停用
12.3.10對(duì)于通過遠(yuǎn)程訪問技術(shù)訪問持卡人數(shù)據(jù)的工作人員,除非因規(guī)定的業(yè)務(wù)需要獲得明確許可,否則禁止將持卡人數(shù)據(jù)復(fù)制、移動(dòng)和存儲(chǔ)到本地硬盤及可移動(dòng)電子媒介上。如果有經(jīng)批準(zhǔn)的業(yè)務(wù)需要,使用政策必須規(guī)定應(yīng)按照所有適用的PCI DSS 要求保護(hù)數(shù)據(jù)。
R.12.4確保安全政策和程序明確規(guī)定所有工作人員的信息安全責(zé)任。
R.12.5將下列信息安全管理職責(zé)分配給個(gè)人或團(tuán)隊(duì):
12.5.1確認(rèn)已正式分配制定、記錄和分發(fā)安全政策與程序的職責(zé)。
12.5.2確認(rèn)已正式分配安全警報(bào)的監(jiān)控和分析職責(zé),以及向適當(dāng)?shù)男畔踩c業(yè)務(wù)部門管理人員分發(fā)信息的職責(zé)。
12.5.3確認(rèn)已正式分配建立、記錄并分發(fā)安全事故響應(yīng)和逐級(jí)上報(bào)程序的職責(zé)。
12.5.4確認(rèn)已正式分配用戶帳戶管理(添加、刪除和修改)和驗(yàn)證管理的職責(zé)。
12.5.5確認(rèn)已正式分配監(jiān)控并控制所有數(shù)據(jù)訪問的職責(zé)。
R.12.6實(shí)施正式的安全意識(shí)計(jì)劃,使所有工作人員意識(shí)到持卡人數(shù)據(jù)安全的重要性。
12.6.a審核安全意識(shí)計(jì)劃,確認(rèn)該計(jì)劃使所有工作人員意識(shí)到持卡人數(shù)據(jù)安全的重要性。
12.6.b檢查安全意識(shí)計(jì)劃程序和文檔記錄并執(zhí)行以下操作:
12.6.1人員一經(jīng)錄用即進(jìn)行培訓(xùn),此后每年至少培訓(xùn)一次。
12.6.2要求工作人員每年至少確認(rèn)一次自己已閱讀并了解安全政策和程序。
R.12.7在錄用人員前篩選應(yīng)征者,以最大程度地降低內(nèi)部攻擊的風(fēng)險(xiǎn)。(背景調(diào)查包括以往的工作經(jīng)歷、犯罪記錄、信用記錄以及證明人調(diào)查。)
R.12.8維護(hù)并實(shí)施政策和程序,以管理共享持卡人數(shù)據(jù)或可影響持卡人數(shù)據(jù)安全的服務(wù)提供商,具體方式如下:
12.8.1確認(rèn)已保留一份服務(wù)提供商名單。
12.8.2查看書面協(xié)議并確定服務(wù)提供商確認(rèn)其負(fù)責(zé)維護(hù)所持有的持卡人數(shù)據(jù),或以其它方式代表客戶存儲(chǔ)、處理或傳輸?shù)某挚ㄈ藬?shù)據(jù)的安全,或在可能影響持卡人數(shù)據(jù)環(huán)境安全性的程度內(nèi)維護(hù)數(shù)據(jù)安全。
12.8.3確認(rèn)已記錄并實(shí)施此政策和程序(包括雇用任何服務(wù)提供商之前相應(yīng)的盡職調(diào)查)。
12.8.4確認(rèn)組織通過維護(hù)一項(xiàng)計(jì)劃來監(jiān)控(至少每年一次)服務(wù)提供商的PCI DSS 遵從性狀態(tài)。
R.12.9針對(duì)服務(wù)提供商的額外要求:服務(wù)提供商以書面形式向客戶確認(rèn)其負(fù)責(zé)維護(hù)所持有的持卡人數(shù)據(jù),或以其它方式代表客戶存儲(chǔ)、處理或傳輸?shù)某挚ㄈ藬?shù)據(jù)的安全,或在可能影響持卡人數(shù)據(jù)環(huán)境安全性的程度內(nèi)維護(hù)數(shù)據(jù)安全。
12.9.1.a確認(rèn)事故響應(yīng)計(jì)劃包括:
出現(xiàn)威脅時(shí)的角色、責(zé)任以及溝通策略,至少包括支付品牌通知
詳細(xì)的事故響應(yīng)程序
業(yè)務(wù)恢復(fù)和繼續(xù)程序
數(shù)據(jù)備份流程
報(bào)告威脅的法律要求分析(例如,“加州參議院第1386 號(hào)法案”要求,數(shù)據(jù)庫中有加州居民資料的任何公司在發(fā)現(xiàn)實(shí)際威脅或懷疑出現(xiàn)威脅時(shí)都應(yīng)通知受影響的消費(fèi)者)
所有關(guān)鍵系統(tǒng)組件的范圍和響應(yīng)
支付品牌對(duì)事故響應(yīng)程序的參考或應(yīng)用
12.9.1.b從之前報(bào)告的事故或警報(bào)中選取樣本,與工作人員面談并查看文檔記錄,確認(rèn)已遵循書面事故響應(yīng)計(jì)劃和程序。
12.9.2至少每年測(cè)試一次計(jì)劃。
12.9.3指定可全天候響應(yīng)警報(bào)的特定人員。
12.9.4為具有安全漏洞響應(yīng)責(zé)任的員工提供恰當(dāng)?shù)呐嘤?xùn)。
12.9.5包含來自安全監(jiān)控系統(tǒng)(包括但不限于入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防火墻和文件完整性監(jiān)控系統(tǒng))的警報(bào)。
12.9.6根據(jù)以往的經(jīng)驗(yàn)教訓(xùn)并結(jié)合行業(yè)發(fā)展情況,制定修改并改進(jìn)事故響應(yīng)計(jì)劃的流程。
以上這些需求包括了對(duì)服從性的周期性報(bào)告(ROC),漏洞掃描,滲透測(cè)試和Web應(yīng)用測(cè)試等規(guī)范要求,如果你的企業(yè)需要進(jìn)行IT審計(jì)那么這是必備內(nèi)容。
根據(jù)PCI生成的報(bào)告:
以上僅僅是OSSIM平臺(tái)在有關(guān)PCI報(bào)表方面小眾內(nèi)容展示,更多內(nèi)容請(qǐng)大家參閱《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書中有關(guān)OSSIM的章節(jié)。
