支付卡行業資料安全標準(PCI DSS)學習筆記
PCI DSS 支付卡行業資料安全標準共有6個部分,分別是建立並維護安全的網路和系統(為資料構建安全的資料環境),保護持卡人資料(通過資料加密提高資料儲存和傳輸安全性),維護漏洞管理計劃(開發安全的軟體並監管軟體和系統的漏洞),實施強效訪問控制措施(對資料訪問進行監管),定期監控並測試網路(跟蹤對資料的訪問,對所有安全措施進行定期測試)和維護資訊保安政策(工作人員保護資料的責任)。
第一部分,建立並維護安全的網路和系統。首先根據網路圖和資料流圖,對服務、協議、埠進行記錄,參考防火牆配置要求構建防火牆和路由器,限制資料環境與網路的連線,禁止網際網路與系統元件之間的直接公共訪問,即使是在外網中使用的個人裝置也應該有統一安裝個人防火牆軟體。其次,始終更改供應商提供的預設值並禁用/刪除預設賬戶,對所有系統元件制定配置標準,同時利用SSH,VPN或SSL/TLS等技術對所有非控制檯訪問進行加密。
第二部分,保護持卡人資料。分別在資料儲存和資料傳輸兩方面實現資料保密。首先實施資料保留和處理政策,儘量減少資料的儲存量同時使敏感資料加密不可讀,同時進行金鑰管理。在資料傳輸過程中,使用強效加密法和安全協議來保護資料。
第三部分,維護漏洞管理計劃。部署防毒軟體並維護防毒機制。不斷更新安全漏洞資訊,不斷更新安全補丁,並在軟體編寫過程中注意不出現軟體漏洞,開發、測試和生產環境相互分離。
第四部分,實施強效訪問控制措施。分為限制對資料的訪問,對資料訪問過程中操作追蹤到使用者個人,監控物理訪問。首先只授權訪問執行工作所需的最低限度的資料量和許可權,為有訪問許可權的每個人分配唯一標示符並有合理的使用者驗證管理。利用攝像頭和訪問控制機制監控對敏感區域的物理訪問,保護所有媒介的物理安全。
第五部分,定期監控並測試網路。系統元件實施自動檢查記錄,定期稽核日誌和安全事件。定期進行漏洞掃描,定期實施穿透測試,實施入侵檢測/入侵防禦。
第六部分,維護資訊保安政策。工作人員應瞭解資料敏感性以及保護這些資料的責任。
要求1:安裝並維護防火牆配置以保護持卡人資料。(控制資料流流入流出)
1.1 建立實施配置標準
1.1.1 檢查書面程式,包括網路連線和變更記錄。
1.1.2 檢查網路圖表和網路配置。
1.1.3 檢查資料流程圖表。(儲存、處理或傳輸資料的位置)
1.1.4 檢查防火牆配置標準。
1.1.5 網路元件負責人安排。
1.1.6 所有服務、協議和埠的文件記錄。
1.1.7 定期稽核防火牆路由器規則集。
1.2 構建防火牆和路由器配置
1.2.1 將輸入和輸出限制到需要的範圍。
1.2.2 保護和同步路由器配置檔案。(重啟時保證路由器規則)
1.2.3 安裝外圍防火牆。
1.3 禁止網際網路直接訪問
1.3.1實施DMZ。(DMZ(DemilitarizedZone)即俗稱的非軍事區,作用是把WEB,E-mail,等允許外部訪問的伺服器單獨接在該區埠,使整個需要保護的內部網路接在信任區埠後,不允許任何訪問,實現內外網分離,達到使用者需求。)
1.3.2 檢查防火牆和路由器,僅向DMZ內的IP地址輸入網際網路流量。
1.3.3 禁止直接連線網際網路的流量進出。
1.3.4 執行反欺騙措施以阻止偽造的IP輸入流量。(反欺騙措施,常用的是加密技術,IPsec和SSL???具體不太清楚如何做,使用加密和認證就能夠防止輸入端改變IP地址嗎,偽造的IP地址不會影響IPsec加密過程嗎,是因為存在第三方識別真實IP地址嗎?)
1.3.5 禁止到網際網路的非授權流量輸出。
1.3.6 狀態檢查(只有已經建立的連線才能進入網路。)
1.3.7 將敏感資料放置到隔離的內部網路中。
1.3.8 不要講私人IP地址和路由資訊洩露給非授權方。(防止黑客使用內部IP地址訪問)掩蓋IP地址的方法包括但不限於:網路地址轉換(NAT),使用代理伺服器,刪除或過濾針對採用註冊地址的專用網路的路由器廣告(???),在內部使用RFC1918地址(私有地址空間:10.0.0.0- 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255)(根據特定網路技術採用不同方法,例如IPV4和IPV6使用不同的控制措施?為什麼不同?有何不同?)
1.4連線網際網路的員工裝置上安裝個人防火牆。(保護裝置免受網路攻擊,在工作時連線內網的裝置,在內網之外也要做好保護措施,有特定的配置設定,裝置使用者無法更改)
1.5確保相關方瞭解防火牆管理的安全政策和操作程式。
從前期的細節準備到後期的管理,幾乎所有需要注意的細節都已經寫出來,只需要再與安全負責人根據指南實施細節,例如防火牆配置標準是什麼,資料的輸入和輸出應該限制到多大的範圍合適,路由器配置檔案都有哪些需要更改,IP反欺騙措施應該採取哪種方法合適,員工裝置上個人防火牆設定到什麼程度等等。這些細節單獨拿出來也都是問題。
要求2:不要使用供應商提供的預設系統密碼和其他安全引數
2.1 始終更改供應商預設值並刪除或禁用不必要的預設賬戶。(即使不打算使用預設賬戶也應該將預設密碼修改為強效密碼並禁用,防止惡意個人重啟賬戶使用預設密碼進行訪問)
2.1.1對可以連線到持卡人資料環境的無線環境,在安裝時更改無線供應商的預設值。2.2 制定適合所有系統元件的配置標準。(確保標準能夠解決所有已知的安全漏洞並與養也認可的系統強化標準一致)
2.2.1每臺伺服器僅執行一項主要功能,以防一臺伺服器上有需要不同安全級別的功能。(有虛擬化技術時,檢查系統配置,確認每個虛擬系統元件僅執行一項主要功能)
2.2.2僅啟動必要服務、協議、守護程序等。
2.2.3對於不安全的服務、協議、守護程序,執行附加安全功能。(SSH、S-FTP等保護NetBIOS、FTP等)
2.2.4 配置系統安全引數。
2.2.5刪除所有非必要功能(包括指令碼、驅動程式、特性、子系統、特性、檔案系統等,降低未知功能被利用的風險)
2.3 使用強效加密法對所有非控制檯管理訪問進行加密。(SSH、VPN或SSL/TLS等技術)(非控制檯管理,例如遠端管理如使用明文則可能洩露給竊聽者)
2.4 保留PCI DSS範圍內系統元件的清單(軟硬體元件列表)
2.5 確保相關方瞭解相關設定。
2.6若有共享託管服務提供商,則這些提供商必須符合相關要求。
總結:要求2部分首先要求修改預設系統密碼和其他安全引數,確保預設密碼、預設賬戶等預設值的始終更改。其次對系統元件進行配置使得啟動必要的服務、協議、守護程序並附加安全功能。之後加密管理訪問,最後對軟硬體元件整理並通知相關方瞭解,如果有共享託管服務,則確保提供商滿足相關要求。關於2.2中的系統強化標準,許多安全組織提出了系統強化指南和建議,確保PCI DSS所在系統是安全的。
要求3:保護儲存的持卡人資料
3.1 最大限度減少持卡人資料儲存量和儲存時間。(截詞持卡人資料,瞭解資料儲存位置並在不再需要時適當處理)
3.2 在授權之後,確認所有敏感驗證資料不可恢復。(防止藉此生成假冒支付卡)
3.2.1切勿儲存儲存卡背面詞條上任何刺刀的完整內容、晶片或其他地方上的等效資料。(檢查資料來源:交易資料,日誌,存檔、跟蹤檔案,資料庫架構和內容)(全磁軌資料可複製支付卡)
3.2.2切勿儲存用於確認無實卡交易的卡驗證碼或值(應在支付卡正面或背面的三或四位數值,檢查上條提到的所有資料來源)(防止網際網路等無實卡交易欺詐)
3.2.3切勿儲存個人識別碼(PIN)或加密的PIN資料塊。(PIN即為個人交易密碼,防止基於PIN的欺詐性借方交易,例如ATM取款)
3.3 顯示主賬戶資訊是予以掩蓋(計算機顯示屏、收據、紙質報告等)。
3.4 所有位置上(行動式數字媒體、備份媒介、日誌等)的儲存的主賬戶資訊(PAN)不可讀。方法有:強效加密法的單項雜湊函式(必須要有完整的PAN?),截詞(僅儲存部分PAN)(不能用雜湊代替PAN被截詞的部分?對於惡意個人而言,如果能夠訪問被截詞和雜湊的PAN,要重建PAN是件很輕鬆的事情?如何做?),索引記號與索引薄,具有相關金鑰管理流程和程式的強效加密法。
3.4.1如果使用磁碟加密(對整個磁碟/分割槽加密,在授權使用者請求時自動解密資訊),則加密檔案系統邏輯訪問所使用的機制與本地作業系統的驗證機制分離。
3.5 資料加密的金鑰和保護資料加密金鑰的金鑰管理
3.5.1僅限少數保管人有訪問許可權。
3.5.2金鑰加密金鑰與資料加密金鑰一樣強效、分開放置,在安全加密裝置內(主機安全模組(HSM)或PTS批准的互動點裝置內),採用至少兩個全長金鑰組分或金鑰共享(全長金鑰組分或金鑰共享??)。
3.5.3減少金鑰存放的地方。
3.6 資料加密金鑰管理。
3.6.1生成強效金鑰
3.6.2安全金鑰分配
3.6.3安全的金鑰儲存。
3.6.4在金鑰週期結束時進行金鑰變更。
3.6.5金鑰完整性變弱(知道明文的員工離職)或懷疑密碼遭受威脅時登出或者替換密碼。
3.6.6若使用手動明文金鑰管理操作,則必須用分割知識(至少兩個人控制金鑰的組成)和雙重控制(需要兩個人的驗證材料才能進行金鑰管理操作)來管理這些操作。
3.6.7防止金鑰非授權替換。
3.6.8金鑰保管人正確理解各項要求
3.7 所有相關方瞭解所有政策和操作。
總結:要求3需要保護儲存的持卡人資料,第一步需要儘量減少儲存資料量和儲存時間,其次將敏感驗證資料清除,在顯示時予以掩蓋且所有位置上PAN不可讀。既然採用了加密操作,那麼資料加密金鑰的和資料加密的金鑰的金鑰的管理非常重要,最後確認所有的文件和相關人員。
要求4:加密持卡人資料在開放式公共網路中的傳輸
4.1 使用強效加密法和安全協議(例如,SSL/TLS,IPSEC、SSH等),包括:只接受可信的金鑰和證書,使用的協議只支援安全的版本或配置,加密強度適合所使用的加密方法。
4.1.1無線網路使用行業最優方法(IEEE802.11i等),以對驗證和傳輸實施強效加密。4.2 不使用終端使用者通訊技術來傳送不受保護的PAN。
4.3確保相關方瞭解所有安全政策和操作程式。
要求4總結:為了保證持卡人資料在開放式公共網路中安全傳輸,必須對資料進行強效加密並且使用安全協議來保證傳輸安全。
要求5:為所有系統提供惡意軟體防護並定期更新防毒軟體或程式。
5.1 在受惡意軟體影響的系統中部署防毒軟體。
5.1.1確保防毒程式能檢測、刪除並阻止所有已知型別對的惡意軟體。
5.1.2對於不受惡意軟體影響的系統,需要定期評估惡意軟體威脅,確認是否需要使用防毒軟體(主機、終端電腦等不是惡意軟體的目標,如何判斷一個系統是否受惡意軟體的影響?)
5.2 確保防毒機制的維護:保持為最新,執行定期掃描,生成檢查日誌。
5.3 只有管理人員才能對使用者裝置進行禁用或者更改。
5.4 確保相關方瞭解安全政策和操作程式。
要求5總結:首先確定哪些系統是受惡意軟體影響的,將受惡意軟體影響的系統安全防毒軟體併合理配置,對暫時不受惡意軟體影響的系統需要定期評估惡意軟體威脅。
要求6:開發並維護安全的系統和應用程式
6.1 制定相關流程,使用外部信源過去安全漏洞資訊來識別安全漏洞並制定等級
6.2 安裝安全補丁,確保所有系統元件均杜絕已知漏洞。
6.3 軟體應用程式符合:按照PCI DSS,基於行業標準,將資訊保安納入軟體開發的整個生命週期。
6.3.1在應用程式啟動前,刪除開發、測試和自定義賬戶、使用者ID和密碼。
6.3.2在釋出產品前識別潛在編碼漏洞。(符合安全編碼指南)
6.4 系統元件的變更須遵守變更控制流程和程式。
6.4.1開發/測試環境獨立於生產環境,設定訪問控制,確保兩者分離。(防止引入惡意程式碼,和資料的洩露)
6.4.2開發/測試環境與生產環境中的職責分離(開發人員有開發環境中管理員賬戶但是在生產環境中只有使用者級訪問的獨立賬戶)。
6.4.3測試和開發過程中不使用真實資料。
6.4.4在生產系統啟動前,刪除測試資料與賬戶。
6.4.5應用安全補丁和軟體修改的變更控制程式必須包括以下方面:影響記錄(變更的影響的記錄),被授權方的變更審批記錄,功能測試(確認變更對系統安全性的影響),取消程式(如果變更失敗,需要取消程式將系統恢復到以前的狀態)。
6.5 利用安全編碼技術解決軟體開發流程中的編碼漏洞。
6.5.1注入攻擊(引數化查詢、驗證輸入)。
6.5.2緩衝區溢位(驗證緩衝區邊界並擷取輸入字串)。
6.5.3非安全加密儲存(強效加密)。
6.5.4非安全通訊(驗證及加密編碼技術)。
6.5.5 不正確的錯誤處理(錯誤回覆不會透露專用資訊,返回一般而非具體的錯誤詳情)。
6.5.6 漏洞識別流程中確認所有高風險漏洞(確認高風險漏洞均在開發期間找到並解決)。
6.5.7跨站點指令碼(XSS,引數驗證,利用上下文相關的轉義)。
6.5.8 不正確的訪問控制(不安全的直接物件引用,未能限制URL訪問等)
6.5.9跨站點請求偽造(CSRF)
6.5.10失效的驗證與會話管理。
6.6 對於面向公眾的Web應用程式,定期評估稽核,不斷解決新的威脅和漏洞。
要求6總結:在應用程式開發過程中,首先保證系統是安全的,通過安全補丁維持系統的安全,軟體開發過程中遵守流程,包括訪問控制,環境職責分離,資料的隔離和刪除,同事利用安全編碼技術解決可能的漏洞攻擊,最後面對新的威脅和漏洞,定期評估稽核。
實施強效訪問控制措施
要求7:按業務知情需要限制對持卡人資料的訪問(持卡人資料)
7.1 僅有工作需要的個人才能訪問系統元件和持卡人資料。
7.1.1為每個角色定義訪問需要(訪問資源的許可權)。
7.1.2將使用者訪問許可權限制到所需最小許可權。
7.1.3基於工作分類和職能分配訪問許可權。(分類,創造角色的許可權)
7.1.4確定分配許可權有書面記錄和批准文件,寫許可權與角色相匹配。
7.2 為系統元件建立訪問控制系統,根據使用者知情需要限制訪問,預設“全部拒絕”。
7.3 確保相關人瞭解相關安全政策和操作程式。
要求7總結:限制對持卡人資料的訪問,儘量少人有儘量小的許可權,並建立相關文件記錄。
要求8:識別並驗證對系統元件的訪問。
8.1 系統中非消費者使用者和管理員執行使用者識別管理:
8.1.1分配唯一ID
8.1.2控制使用者ID和其他驗證憑證的所有變更。
8.1.3使用者訪問許可權到期則立即撤銷。
8.1.4至少每90天刪除/禁用一次非活動的使用者賬戶。(不常用的賬戶經常會成為攻擊目標,因為使用者不會注意到賬戶的變更)
8.1.5 供應商用來遠端訪問、支援或維護系統的使用者ID在使用時進行監控,且僅在需要的時間段啟用。
8.1.6限制反覆的嘗試訪問,在不超過6次的無效登陸嘗試後鎖定使用者ID。
8.1.7鎖定時間設定為至少30分鐘,或直到管理員啟用該ID。
8.1.8系統/會話空閒超時功能設為不超過15分鐘。
8.2 除了分配唯一ID之外,至少採用一種方法來驗證使用者:所知(密碼、口令等),所有(令牌裝置、智慧卡等),個人特徵(生物特徵等)。
8.2.1使用強效加密法使所有驗證證書在傳輸和儲存時均不可讀。
8.2.2修改驗證憑證(密碼重置,生成新金鑰或提供新令牌)前驗證身份。
8.2.3密碼/口令符合:至少7個字元,同時包含數字和字母字元。
8.2.4至少90天變更一次密碼/口令。
8.2.5提交新密碼不允許與最近4個所用密碼/口令相同。
8.2.6每個使用者的首次密碼和重置密碼為唯一值且在首次使用後立即變更。(重置密碼是什麼?)
8.3 對於遠端訪問使用雙因素驗證(8.2中至少兩種驗證方式,包括帶令牌的遠端認證撥號使用者服務(RADIUS)、帶令牌的終端訪問控制系統(TACACS)等技術)(如果遠端訪問所針對的實體網路擁有適當分割使使用者無法訪問或影響持卡人資料環境則無需雙因素驗證)
8.4 記錄並向用戶傳達驗證程式和政策,包括:選擇強效驗證憑證的指南(幫助工作人員選擇難猜密碼),關於使用者應如何保護其驗證憑證的指南,關於不重用之前用過密碼的說明,使用者懷疑密碼暴露時修改密碼。
8.5 不使用常規使用者ID,不使用用於系統管理的共享使用者ID以及用來管理系統元件。
8.5.1 對於有權遠端進入客戶經營場所的服務提供商功能使用每個經營場所獨有的驗證憑證(雙因素機制,一次性密碼等提供唯一的驗證憑證)。
8.6 使用實物或者邏輯安全令牌、智慧卡和證書等其他驗證機制,則驗證機制必須唯一,不可共享,且有物理/邏輯控制。
8.7禁止對任何資料庫的一切訪問:使用者對資料庫的操作均通過程式設計方法完成(非對資料庫的直接訪問,而是通過儲存程式等實現),僅資料庫管理員能夠夠直接訪問或查詢資料庫。應用ID僅由應用程式使用(應用程式ID用來檢查資料庫訪問控制設定、資料庫應用程式配置設定等)
8.8 確保相關人瞭解相關安全政策和操作程式。
要求8總結:對有系統訪問許可權的人進行使用者識別管理,使用多種驗證方式來驗證使用者,對於遠端訪問採用雙因素驗證,,向用戶傳達相關驗證政策,驗證憑證必須是每個使用者唯一的,使用者禁止對資料庫的直接訪問,最後確保相關人員瞭解相關政策和操作程式。
要求9:限制對持卡人資料的物理訪問
9.1 場所入口控制,對持卡人資料環境中系統的物理訪問進行限制和監控。
9.1.1利用攝像頭或/和訪問控制機制監控,核查採集的資料與其他條目關聯,至少儲存三個月。
9.1.2實施物理和/或邏輯控制,限制對公共網路插座交換機的訪問。(網路插座交換機?)
9.1.3限制對無線訪問點、閘道器、手持式裝置、網路/通訊硬體和電信線路的物理訪問。
9.2 制定相關程式,識別工作人員和訪客:識別新人員,修改範文要求,廢除或取消工作人員和過期訪客的身份證件。
9.3 控制現場工作人員對敏感區域的物理訪問,根據工作職能獲取使用權,一旦離職,立即撤銷使用權並退回所有物理訪問機制(鑰匙、訪問卡等)。
9.4 相關程式識別並批准訪客:
9.4.1進入前,需要獲得批准,在進入處理或維護持卡人資料的區域時有人陪同。
9.4.2識別訪客後,給訪客發放身份證件。
9.4.3訪客在到期日或離開場所前交還身份證件。
9.4.4使用訪客日誌,並對日誌做檢查記錄,至少保留三個月。
9.5 保護所有媒介的實體安全(計算機、可移動電子媒介、紙質收據、紙質報告等)
9.5.1備份媒介儲存在安全的地方,最好是外部場所,至少每年一次檢查場所安全性。
9.6 嚴格控制媒介的內部或外部分發,包括:
9.6.1識別包含敏感資料的媒介。
9.6.2通過可準確跟蹤的投遞方式遞送媒介。
9.6.3媒介轉移時,確認經過管理層批准。
9.7 控制對媒介的存取和獲取。
9.7.1維護媒介的盤存記錄,至少每年一次盤點媒介(防止被盜或者丟失)。
9.8 當媒介不再需要時應予銷燬:
9.8.1將媒介銷燬時,將硬拷貝材料粉碎、焚燒或打漿、以確保持卡人資料無法重建。
9.8.2電子媒介上的持卡人資料利用行業認可的安全刪除標準的安全擦除程式刪除,以確保持卡人資料無法被重建。
9.9 保護通過直接接觸卡本身便可捕獲支付卡資料的裝置,以避免裝置被篡改和替換,不適用手動輸入金鑰元件(對於手動金鑰輸入元件,例如計算機鍵盤和POS機鍵盤,這項要求屬於建議,此外,本要求適用於銷售點有卡交易,這種交易不需要輸入密碼嗎?)
9.9.1保留最新裝置列表。
9.9.2定期檢查裝置表面,以檢查篡改和替換。
9.9.3培訓工作人員: 驗證修理或維護人員的身份,在未經驗證時不要安裝、替換或退還裝置,注意周圍可以行為(陌生人試圖拔掉裝置插頭或開啟裝置),向相關人員報告可疑行為或跡象。
9.10確保相關人員瞭解相關安全政策和操作程式。
要求9總結:為了限制對持卡人的物理訪問,首先對周圍的環境進行監控,其次對人員的訪問進行限定和控制,同時注意保護所有媒介的實體安全,控制媒介分發、存取、銷燬的過程,最後避免接觸卡即可捕獲支付卡資料的裝置不被篡改或替換。確保相關人員瞭解相關程式。
定期監控並測試網路
要求10:跟蹤並監控對網路資源和持卡人資料的所有訪問。
10.1 實施檢查記錄,對系統元件的所有訪問連結到個人使用者。
10.2 對所有系統元件實施自動檢查以重建以下事件:
10.2.1對持卡人資料的所有個人使用者訪問(識別收到威脅或誤用的賬戶)。
10.2.2任何具有root或管理員許可權的個人執行的所有操作。(更高許可權的賬戶對系統的安全性或操作功能產生更大的影響)
10.2.3對所有檢查記錄的訪問(惡意使用者可能會通過更改檢查日誌來掩蓋其操作)
10.2.4無效的邏輯訪問嘗試(多次無效的登陸嘗試可說明非授權使用者嘗試強制獲得或者猜測密碼)。
10.2.5識別、驗證機制的使用和變更以及具有root或管理員許可權賬戶的所有變更、新增或刪除。(識別事件發生時的操作使用者)
10.2.6檢查日誌的初始化、關閉或暫停。(惡意使用者的掩蓋手段)
10.2.7 系統級物件的建立和刪除。
10.3 對於每次事件,日誌條目至少包括:使用者識別,事件型別,時間,成功或失敗提示,事件起因以及受影響的相關項。
10.4 使用時間同步技術(網路時間協議NTP)來同步所有關鍵系統的時鐘和時間,並確保實施以下各項以獲取、分配並存儲時間。
10.4.1關鍵系統時間正確且一致。
10.4.2時間資料受保護。
10.4.3時間設定來自行業內認可的時間來源。
10.5 保護檢查記錄,禁止進行更改。
10.5.1僅有工作需要的人檢視檢查記錄。
10.5.2通過訪問控制、物理隔離或/和網路隔離,防止檢查檔案受到非授權修改。
10.5.3即時將檢查記錄檔案備份到難以更改的中央日誌伺服器或媒介中。
10.5.4將向外技術(無線、防火牆、DNS、郵件)的日誌寫入安全的內部中央日誌伺服器或媒介裝置。
10.5.5對日誌使用檔案完整性監控或變更檢測軟體。
10.6 稽核所有系統元件的日誌和安全事件以識別異常情況或可疑情況。
10.6.1至少每天稽核一次以下內容:所有安全事件(在發現可疑或異常活動後發出的通知或警告等),可儲存、處理或傳輸持卡人資料或敏感驗證資料或影響其安全性的系統元件的日誌,來自關鍵系統元件的日誌,來自執行安全功能的系統(防火牆,IDS/IPS等)的日誌。
10.6.2其他系統元件的日誌定期稽核。
10.6.3跟進稽核過程中發現的例外和異常。
10.7 保留檢查記錄歷史至少一年。
10.8 確保相關人員瞭解相關安全政策和操作程式。
要求10總結:首先,將所有訪問連結到個人,在系統元件發生重要變更或訪問時能夠完整記錄並找到訪問者,日誌中對事件的記錄要完整。在此過程中使用時間同步技術同步所有系統時間,保護檢查日誌並定期稽核,檢查記錄歷史至少保留一年,最後確保相關人員瞭解相關安全政策和操作程式。
要求11:定期測試安全系統和流程(確保安全控制繼續)
11.1 測試是否存在無線接入點(802.11),並按季度檢測和識別所有授權和非授權的無線接入點。(在網路中利用無線技術是惡意使用者訪問網路和持卡人資料最常用方法之一,非授權無線裝置可隱藏於或連線到系統元件或者網路裝置)(方法:無線網路掃描、邏輯檢查、網路訪問控制NAC,無線IDS/IPS)
11.1.1保留一份授權的無線接入點清單,包括業務理由。
11.1.2如果檢測到非授權的無線接入點,實施事故響應程式。
11.2 至少每個季度執行一次內部和外部網路漏洞掃描,並且在網路有重大變化時也執行漏洞掃描。(內部季度漏洞掃描由合格人員執行,外部季度掃描必須由授權掃描服務商進行)
11.2.1每季度一次的內部漏洞掃描直至所有高風險漏洞均得以解決。
11.2.2通過支付卡行業安全標準委員會(PCI DSS)認證的授權掃描服務商(ASV)執行每季度一次的外部漏洞掃描,直至獲得掃描通過結果。
11.2.3在發生重要變更時,視情況需要執行掃描。
11.3 實施穿透測試法:(目的在於模擬現實世界中的攻擊情形,瞭解攻擊者能夠穿透環境的程度)
以行業內認可的穿透測試法為基礎(例如 NISTSP800-115)
覆蓋整個CDE環境和關鍵系統。
來自網路內部和外部的測試。
包括用於驗證任何網段和範圍縮小控制的測試。(???)
定義應用層穿透測試
定義網路層穿透測試
包括稽核並考慮過去12個月內遇到的威脅和漏洞。
制定保留穿透測試結果和修復活動結果。
11.3.1每年至少執行一次外部穿透測試,並在基礎架構或應用程式在重要變更時也執行測試。
11.3.2內部穿透測試同樣也是每年至少一次。
11.3.3在穿透測試中發現的可利用漏洞已得到修復,並通過重複執行的測試確認修復。
11.3.4如果利用網路分段將CDE與其他網路隔離,至少每年一次執行穿透測試,確認分段方法是否有效。
11.4 利用入侵檢測和/或入侵防禦技術來檢測和/或防禦網絡入侵,監控資料環境中的流量。
11.5 部署變更檢測機制(例如檔案完整性監控),在發現重要檔案發生非授權修改時警示工作人員,至少每週一次重要檔案對比。
11.6 確保相關人員瞭解相關安全政策和操作程式。
要求11總結:首先測試是否存在無線接入點,定期從內部和外部網路進行漏洞掃描,其次實施穿透測試來模擬攻擊情形,使用入侵檢測和入侵防禦技術,對環境中的流量和檔案變更進行監控,最後確保相關人員瞭解相關程式。
維護資訊保安政策
要求12:維護針對所有工作人員的資訊保安政策。
12.1 制定、公佈、維護和宣傳安全政策。
12.1.1至少每年稽核一次安全政策,並在環境發生變更時予以更新。
12.2 實施風險評估:至少每年一次,或在環境發生重大變更時也執行評估,確定重要資產、威脅和漏洞,形成正式風險評估。(識別可能產生不利的威脅和相關漏洞,可以有效分配資源,實施控制措施)
12.3 制定關鍵技術的使用政策,規定這些技術的正確用法。確保政策滿足:(遠端訪問、無線技術、系統裝置和軟體程式的使用)
12.3.1被授權方的明確許可
12.3.2技術使用驗證(技術使用時均需通過使用者ID和密碼或其他驗證專案進行驗證)
12.3.3列出所有此類裝置和具有訪問權的工作人員的列表。
12.3.4確定負責人、聯絡資訊和用途的方法(裝置標籤、編碼等)
12.3.5可接受的技術使用方式
12.3.6技術可接受的網路位置
12.3.7公司批准的產品列表
12.3.8非活躍狀態持續一定時間後自動終端遠端訪問技術的會話。
12.3.9僅在需要時為合作伙伴啟用遠端訪問技術,並在使用後立即停止。
12.3.10除因業務需要,對於遠端訪問持卡人資料的工作人員,禁止資料複製、移動等操作。
12.4 確保安全政策和程式明確規定所有工作人員的資訊保安責任。
12.5 將下列資訊保安管理職責分配給個人或團隊:
12.5.1制定、記錄和分發安全政策和程式。
12.5.2監控和分析安全警報與資訊,並分發給相關人員。
12.5.3建立、記錄並分發安全事故響應和逐級上報,確保有效處理所有的情況。
12.5.4管理使用者賬戶
12.5.5監控並控制所有的資料訪問。
12.6 實施正式的安全意識計劃,使所有工作人員意識到持卡人資料安全的重要性。
12.6.1人員培訓(錄用培訓,此後每年至少一次)
12.6.2人員每年至少確認一次自己閱讀並瞭解安全政策和程式。
12.7 篩選應徵者,以最大程度降低內部攻擊的風險。(背景調查:以往的工作經歷,犯罪記錄,信用記錄以及證明人調查)
12.8 維護並實施政策和程式,以管理共享持卡人資料或可影響持卡人資料安全的服務提供商:
12.8.1保留服務提供商名單
12.8.2要求服務提供商出具書面協議,確認負責維護所有資料安全。
12.8.3確保已建立僱傭服務提供商的流程(僱傭前的風險分析,提供商的漏洞和事故響應程式,雙方分配PCIDSS責任的詳細方法等)
12.8.4通過維護一項計劃來監控服務提供商的PCI DSS遵從性狀態。
12.8.5維護涉及分別由各個服務提供商和實體管理的PCI DSS要求的資訊。
12.9 服務提供商以書面形式向客戶確認其負責維護的資料(評估物件為服務提供商時)
12.10實施事故響應計劃。隨時準備立即響應系統漏洞。
12.10.1建立在出現系統漏洞時實施的事故響應計劃,確保計劃至少包括:
出現威脅時的責任和溝通策略,事故響應程式,業務恢復 和繼續程式,資料備份流程,報告威脅的法律要求分析(是否有相關法律條例要求需要做相關報告),所有關鍵系統元件的範圍和響應,支付品牌對事故相應程式的參考或應用。
12.10.2至少每年測試一次,確保不會漏掉關鍵步驟及可能影響。
12.10.3制定可全天候響應警報的特定人員。
12.10.4為具有安全漏洞響應責任的人員提供培訓
12.10.5包含來自安全監控系統(入侵檢測系統,入侵防禦系統,防火牆,檔案完整性監控系統等)的警報。
12.10.6根據經驗教訓和行業發展,改進事故響應計劃的流程。
要求12總結:首先制定公佈安全政策,並每年至少一次對安全政策進行風險評估,並制定關鍵技術的使用政策。其次,將安全政策和程式的資訊保安管理職責分配給工作人員,並對工作人員進行篩選和培訓。最後,維護並實施相關政策和程式,客戶和服務提供商雙方提供書面協議,建立事故響應計劃。