PCI DSS - IMMUSEC
Transkrypt
PCI DSS - IMMUSEC
Tłumaczenie: IMMUSEC Standard Bezpieczeństwa Danych PCI (PCI DSS) 3.0 - PCI Data Security Standard (PCI DSS) 3.0 Uwaga: Proponowane aktualizacje standardu są w trakcie przeglądu przez społeczność PCI. Ostateczne zmiany zostaną określone po spotkaniu społeczności PCI i włączone do ostatecznej wersji PCI DSS i PA-DSS, która zostanie opublikowana w listopadzie. Wymaganie 1 2 5 6 8 9 11 12 Ogólne Aktualizacja PCI DSS Posiadanie aktualnego schematu przepływów danych posiadacza karty. Utrzymanie spisu komponentów systemu w zakresie PCI DSS. Ocena zmieniających się zagrożeń dotyczących złośliwego oprogramowania dla systemów nie atakowanych powszechnie przez złośliwe oprogramowanie. Aktualizacja listy podatności zgodnie z OWASP, NIST, SANS, itd., w celu ich uwzględnienia w bezpiecznych praktykach kodowania. Zapewnienie bezpieczeństwa mechanizmów uwierzytelnienia, takich jak tokeny, zabezpieczenia fizyczne, karty integralne i certyfikaty. Ochrona terminali POS i urządzeń przed manipulacją lub nie autoryzowaną zmianą. Wdrożenie metodyki testów penetracyjnych oraz wykonywanie testów penetracyjnych w celu sprawdzenia, czy metody rozdzielania sieci są uruchomione i skuteczne. Utrzymanie informacji o tym, które wymagania PCI DSS są zarządzane przez dostawców usług, a które są zarządzane przez podmiot. Usługodawcy powinni potwierdzić swą odpowiedzialność za utrzymywanie odpowiednich wymagań PCI DSS. Wyjaśnienie, że wrażliwe dane nie mogą być przechowywane po autoryzacji, nawet jeśli PAN nie jest już dostępny. Cel/Odniesienie Wyjaśnienie, że udokumentowane przepływy danych posiadacza karty są ważnym składnikiem schematów sieciowych. Pomoc w skutecznym określeniu zakresu obowiązywania standardu. Wparcie w budowaniu świadomości i zapewnienie staranności ochrony systemów przed złośliwym oprogramowaniem. Zapewnienie aktualności wiedzy dotyczącej nowych zagrożeń. Wyjaśnienie wątpliwości dotyczących metod uwierzytelnienia, innych niż hasła. Zapewnienie fizycznego zabezpieczenia terminali płatniczych. Wyjaśnienie wątpliwości dotyczących testów penetracyjnych oraz ich zakresu. W związku z opiniami przekazanymi przez Third Party Security Assurance SIG. Zapewnienie lepszego zrozumienia ochrony wrażliwych danych autoryzacyjnych. 1 Tłumaczenie: IMMUSEC Wymaganie Ogólne Ogólne Ogólne Ogólne Aktualizacja PCI DSS Nowe wytyczne w zakresie wdrożenia zabezpieczeń do wykonywanych codziennych czynności operacyjnych i najlepszych praktyk zapewniających zgodność z PCI DSS. Nowe wytyczne dla wszystkich wymagań zawierających treść dawnego punktu Navigating PCI DSS Guide. Sekcja raportowania ROC została przeniesiona do oddzielnego szablonu sprawozdawczego. Ulepszone procedury testowania w celu wyjaśnienia oczekiwanego poziomu spełnienia wymagań. Cel/Odniesienie W związku z przypadkami utraty zgodności z wymaganiami PCI DSS po przełamaniu zabezpieczeń. Rekomendacje koncentrują się na pomocy organizacji w proaktywnym podejściu do ochrony danych posiadacza karty, które koncentruje się na bezpieczeństwie i niezgodnościach, oraz sprawia, że wymagania PCI DSS są uwzględniane w codziennej działalności organizacji. Wsparcie zrozumienia celów bezpieczeństwa i istoty poszczególnych celów. Uproszczenie i usprawnienie raportowania. Zwiększenie nacisku na jakość i spójność ocen. Wyjaśnienie wątpliwości dotyczących stopnia powiązania polityki bezpieczeństwa z właściwymi wymaganiami technicznymi PCI DSS. Eliminacja luk w podstawowych praktykach bezpieczeństwa haseł, które doprowadziły do przełamania zabezpieczeń. Wielokrotne Włączenie polityki bezpieczeństwa / wymagań procedur w poszczególne wymagania(zastępuje dawne 12.1.1 i 12.2). 2 Wyjaśnienie, że zmiana domyślnego hasła jest wymagana dla kont aplikacyjnych / kont usługowych oraz kont użytkowników. 3 Zapewnienie elastyczności bezpiecznego przechowywania kluczy kryptograficznych oraz wyjaśnienie zasad współdzielenia wiedzy i podwójnej kontroli. Wyjaśnienie wątpliwości dotyczących zarządzania kluczami. 8 Zapewnienie elastyczności dla siły i złożoności hasła, aby umożliwić stosowanie równoważnych zamienników. Zmieniona polityka haseł zawiera wskazówki dla użytkowników dotyczące wyboru silnych haseł, ochrony ich danych uwierzytelniających i zmiany haseł w przypadku podejrzenia ich przełamania. Wyjaśnienie wątpliwości dotyczących zabezpieczania haseł. Zmiany nakierowane są na większą elastyczność i określenie wytycznych dla użytkowników, a nie na nowe wymagania. Wyjaśnienie celu i zakresu codziennych przeglądów logów. Aby pomóc podmiotom w koncentrowaniu się na przeglądach logów dotyczących zidentyfikowania podejrzanej aktywności i umożliwieniu elastycznego przeglądu mniej krytycznych logów, zdefiniowanych przez strategię zarządzania ryzykiem organizacji. 10 2 Tłumaczenie: IMMUSEC Standard bezpieczeństwa danych w aplikacjach płatniczych PCI (PA-DSS) 3.0 - PCI Payment Application Data Security Standard (PA-DSS) 3.0 Uwaga: Proponowane aktualizacje są w trakcie przeglądu przez społeczność PCI. Ostateczne zmiany zostaną określone po spotkaniu społeczności PCI i włączone do ostatecznej wersji PCI DSS i PA-DSS, która zostanie opublikowana w listopadzie. Wymaganie 5 7 14 Aktualizacja PA-DSS Nowe wymagania dla procesu rozwoju oprogramowania, w tym okresowe przeglądy bezpieczeństwa, weryfikacja integralności kodu źródłowego, metodyka wersjonowania, techniki modelowania zagrożeń oraz formalny proces autoryzacji przed ostatecznym wydaniem. Do praktyk bezpiecznego kodowania należy dodać zaktualizowaną listę popularnych podatności w odniesieniu do OWASP, NIST, SANS, itp. Nowe wymaganie dla sprzedawców aplikacji, dla zapewnienia dostępności informacji o każdej aktualizacji. Nowe wymaganie dotyczące szkoleń integratorów i dystrybutorów (dawne Wymaganie 13) oraz sprzedawców. Ogólne Wyjaśnienie, że aplikacje PA-DSS znajdują się w zakresie oceny PCI-DSS. Ogólne Nowe wskazówki dla każdego z wymagań PCI DSS. Ogólne Ogólne Ogólne 2 Przeniesiona sekcja raportowania ROV do oddzielnego szablonu raportowania. Przeniesienie, do Instrukcji Programowej PA-DSS, informacji dotyczącej możliwości zastosowania PA-DSS oraz informacja o rolach i odpowiedzialnościach. Zaktualizowane procedury testowe weryfikujące zawartość Instrukcji Wdrażania PA-DSS. Usunięte wymaganie dotyczące używania rozwiązań szyfrujących całe dyski. Cel/Odniesienie Zwiększenie zaufania do praktyk deweloperskich dostawcy PA-DSS. Uproszczenie procesu zmian w aplikacjach PA-PCI oraz zwiększenie elastyczności sprzedawców. Zapewnienie dostępu do bieżących informacji o pojawiających się nowych zagrożeniach. Pomoc sprzedawcom w określaniu, które wersje ich aplikacji znajdują się na liście PA-DSS. Podkreślenie znaczenia szkoleń dla dystrybutorów i sprzedawców. Wyjaśnienie wątpliwości dotyczących tego, czy użycie aplikacji PA-DSS gwarantuje zgodność z wymaganiami PCI-DSS. Pomoc w zrozumieniu celów dotyczących bezpieczeństwa oraz znaczenia każdego z wymagań. Ułatwienie i poprawa efektywności procesu raportowania. Zapewnienie większej przejrzystości przez usuwanie powtarzających się informacji. Zwrócenie uwagi na jakość Instrukcji Wdrażania. Wyjaśnienie wątpliwości dotyczących wymagania dla PA-DSS. 3 Tłumaczenie: IMMUSEC Wymaganie Aktualizacja PA-DSS Nowe wymaganie by zapewnić, że zmiana domyślnych haseł jest wymuszana przez aplikację i odpowiednio walidowana. 3 8 10 13 Zaktualizowane wymaganie, by żądać użycia jednokierunkowego algorytmu szyfrowania ze zmiennymi danymi wejściowymi, by ograniczyć ryzyko odczytania hasła. Przeniesione dwa wymagania z Wymagania 5 oraz 10, by ułatwić bezpieczne wdrożenie środowiska PCI-DSS. Wyjaśnienie wymagania dotyczącego dwuczynnikowego uwierzytelnienia w przypadku nawiązywania połączeń sieciowych poza siecią klienta. Zmiana wymagań pod kątem Instrukcji Wdrażania oraz przeniesienie do nowego Wymagania 14wymagań dotyczących szkoleń integratorów i dystrybutorów. Cel/Odniesienie Podniesienie świadomości dotyczącej tego, że nie zmienione hasła domyślne są częstą przyczyną przełamania zabezpieczeń sprzedawców. Zapewnienie przechowywania i przesyłania haseł w bezpieczny sposób. Zapewnienie, że treść wymagań jest zrozumiała. Zapewnienie zrozumienia, kiedy należy stosować dwuczynnikowe uwierzytelnienie. Zwiększenie nacisku na jakość Instrukcji Wdrażania. 4