Acquisizione della conformità PCI DSS
utilizzando DataSecurity Plus

Il Payment Card Industry Data Security Standard (PCI DSS) è valido per tutti gli enti coinvolti nell’elaborazione delle carte di pagamento, tra cui prestatari, responsabili del trattamento, acquirenti, emittenti e provider di servizi. È valido anche per altri enti che accettano, archiviano o trasmettono informazioni relative a carte di pagamento, dati dei titolari di carte o dati di autenticazione sensibili.

ManageEngine DataSecurity Plus — il nostro software di conformità PCI — consente di indirizzare i requisiti PCI DSS:

Individuando ed eseguendo il reporting delle informazioni sulle carte di pagamento in ambienti di archiviazione.
Controllando come vengono protetti, elaborati e trasmessi i file sensibili.
Monitorando l’integrità dei file nell’ambiente di dati delle carte.
Fornendo informazioni dettagliate e avanzate sulle autorizzazioni di sicurezza e sull’archiviazione dei file.
Proteggendo i file sensibili da fughe di dati accidentali e dannose.

E tanto altro.

Come il nostro software di conformità PCI DSS consente di indirizzare i requisiti di conformità PCI

La presente tabella elenca i vari requisiti del PCI DSS indirizzati da DataSecurity Plus.

I requisiti del PCI	Come procedere	Come può aiutarti DataSecurity Plus
Requisito 2.2.5 Rimuovi tutte le funzioni non necessarie, quali script, driver, funzionalità, sottosistemi, file system e inutili server Web.	Identifica tutti i componenti del sistema, tra cui script e file system, e rimuovi quelli non in uso.	Ricerca i file inutilizzati: Ricevi report di file, script, file batch, eccetera, a cui non sia stato effettuato l’accesso o che non siano stati modificati per lunghi periodi. Questi report semplificano la gestione di file ridondanti, non aggiornati e banali (ROT, redundant, outdated, trivial), riducono inoltre il numero di file vulnerabili con autorizzazioni o dati non aggiornati.
Requisito 3.1 Mantieni al minimo l’archiviazione dei dati dei titolari di carte, implementando criteri, procedure e processi di conservazione e smaltimento dei dati che comprendano, per l’archiviazione di tutti i dati dei titolari di carte, almeno le seguenti caratteristiche: Limitazione della quantità di archiviazione dei dati e del tempo di conservazione necessario per requisiti legali, normativi e/o aziendali Requisiti di conservazione specifici per i dati dei titolari di carte Processi di cancellazione dei dati se non più necessari Un processo trimestrale per l’identificazione e la cancellazione dei dati archiviati di titolari di carte che superino i tempi di conservazione definiti	Effettua la scansione periodica di dati regolamentati nel tuo ambiente di dati relativi alle carte. Configura criteri di conservazione dei dati; se non servono più, i dati raccolti devono essere eliminati. Ricerca e rimuovi i dati dei titolari di carte archiviati oltre la durata ammissibile.	Individuazione dei dati PCI e dei titolari di carte Utilizza le regole integrate di individuazione dei dati per ricercare i dati PCI e dei titolari di carte archiviati dalla tua organizzazione. Crea un inventario di quali dati sono stati archiviati, dove, da chi e per quanto tempo. Ciò consente agli amministratori di garantire che soltanto i dati necessari sono archiviati. Analisi dei dati ROT Identifica file vecchi, non aggiornati e senza modifiche, per far sì che i dati dei titolari di carte non rimangano archiviati oltre il periodo di conservazione previsto. Scansioni pianificate delle valutazioni dei rischi relativi ai dati Effettua scansioni periodiche per l’individuazione dei dati relativi ai titolari di carte, abilita la scansione incrementale di file nuovi e modificati di recente e assicurati che venga individuata e catalogata ogni istanza di dati regolamentati. Puoi anche utilizzare script per mettere in quarantena o eliminare file che violano i criteri di archiviazione dei dati sensibili.
Requisito 3.2 Non archiviare dati di autenticazione sensibili dopo l’autorizzazione. I dati di autenticazione sensibili comprendono il nome del titolare della carta, il numero di conto primario (PAN, primary account number), il codice di verifica della carta, il codice PIN, ed altro. È ammissibile, per emittenti e aziende che supportano servizi di pagamento emittenti, archiviare dati di autenticazione sensibili, se: Esiste una motivazione aziendale I dati sono archiviati in modo sicuro	Esamina l’origine dati e verifica che dopo l’autorizzazione non siano archiviati dati di autenticazione sensibili.	Individuazione dei dati PCI Implementa un’efficace individuazione dei dati con una combinazione di corrispondenze con parole chiave e criteri di ricerca. Questi elementi insieme ti aiuteranno nella ricerca dei codici di convalida della carta (CVV), dei codici PIN, PAN e altri dati di autenticazione. Punteggio di attendibilità Verifica il contesto delle potenziali corrispondenze per determinare con certezza che si tratti di un vero positivo e non di un falso positivo. Automazione della risposta Automatizza l’eliminazione o la quarantena dei dati delle carte rilevati o limitane l’uso eseguendo un’azione personalizzata mediante script.
Requisito 3.5.2 Limita l'accesso alle chiavi crittografiche al minor numero di responsabili necessari.	Esamina le autorizzazioni associate ai file chiave e assicurati che l’accesso sia limitato al minor numero di responsabili necessari.	Reporting delle autorizzazioni NTFS e di condivisione Ricevi report dettagliati sulle autorizzazioni NTFS e di condivisione file e cartelle, per sapere quale utente ha quale autorizzazione.
Requisito 7.1 Limita l’accesso a componenti di sistema e ai dati dei titolari di carte solo a quegli individui il cui lavoro richieda tale accesso. 7.1.1 Definisci i requisiti di accesso per ciascun ruolo 7.1.2 Limita l’accesso agli ID utente privilegiati 7.1.3 Assegna l’accesso in base alla classificazione e alla funzione del lavoro dei singoli membri del personale. Nota: tra i componenti di sistema sono da includere i dispositivi di rete, i server, i dispositivi di elaborazione e le applicazioni.	Verifica che i privilegi assegnati a utenti privilegiati e non siano: Necessari per la funzione lavorativa dell’individuo Limitati al numero minimo di privilegi necessari per assolvere alle responsabilità lavorative.	Reporting autorizzazioni NTFS Elenca gli utenti che hanno accesso a file contenenti dati dei titolari di carte insieme ai dettagli di quali azioni può svolgere ciascun utente. Analisi delle autorizzazioni effettive Garantisci la riservatezza dei dati dei titolari di carte, analizzando ed eseguendo il reporting delle autorizzazioni effettive. Verifica che gli utenti non abbiano più privilegi di quelli richiesti per il loro ruolo. Rilevamento di file sovraesposti Ricerca i file a cui ogni dipendente può effettuare l’accesso e i file che consentono agli utenti l’accesso completo.
Requisito 8.1.3 Revoca immediatamente l'accesso a tutti gli utenti licenziati.	Assicurati che gli utenti licenziati dalla tua organizzazione siano stati rimossi dagli elenchi di accesso ai file.	Analizza la proprietà dei file Identifica i file orfani e i file di proprietà di utenti non aggiornati, disabilitati o inattivi, per prevenire tentativi di modifiche dannose ai file da parte di dipendenti licenziati.
Requisito 10.1 Implementa tracce di controllo per collegare a ogni singolo utente tutti gli accessi a componenti di sistema.	Genera log di controllo che forniscano la possibilità di fare risalire attività sospette a uno specifico utente.	Traccia di controllo dettagliata Traccia gli accessi a file critici, l’uso di applicazioni Web, USB o stampanti, e così via, con un log di controllo degli accessi centralizzato. Analisi delle cause radice Sfrutta le opzioni di filtro report granulare per velocizzare l’analisi delle cause radice e identificare le dimensioni di una violazione.
Requisito 10.2 Implementa tracce di controllo automatiche per tutti i componenti di sistema, per ricostruire i seguenti eventi: 10.2.1 Tutti gli accessi di singoli utenti ai dati dei titolari di carte 10.2.2 Tutte le azioni eseguite da qualsiasi individuo con privilegi radice o amministrativi	Controlla in tempo reale l'attività degli utenti nel tuo ambiente di dati relativi alle carte. Traccia le modifiche effettuate dagli utenti con privilegi amministrativi.	Monitoraggio delle attività relative ai file Traccia tutti gli eventi relativi a file e cartelle (eventi di lettura, creazione, modifica, sovrascrittura, spostamento, rinomina, eliminazione e modifica alle autorizzazioni) che si verificano nel tuo ambiente PCI e di archiviazione dati dei titolari di carte. Monitoraggio degli utenti con privilegi Elenca gli utenti con accesso privilegiato a file sensibili e personalizza i report per monitorare tutte le modifiche ai file da loro eseguite.
Requisito 10.3 Registra, per ciascun evento, almeno le seguenti voci di tracce di controllo: 10.3.1 Identificazione dell’utente 10.3.2 Tipo di evento 10.3.3 Data e ora 10.3.4 Indicazione di operazione riuscita o non riuscita 10.3.5 Origine dell’evento 10.3.6 Identità o nome dei dati interessati	Raccogli log dettagliati sull’attività degli utenti nel tuo ambiente di dati relativi alle carte.	Controllo delle modifiche di in tempo reale Ottieni informazioni complete su ogni accesso ai file, tra cui i dettagli su chi ha tentato quale modifica, in quale file, quando, da dove e se la modifica è riuscita.
Requisito 10.5 Proteggi le tracce di controllo in modo che non vengano alterate. 10.5.5 Utilizza il monitoraggio dell’integrità dei file o il software di rilevamento modifiche sui log, per accertarti che i dati log esistenti non possano essere modificati senza generare avvisi (anche se l’aggiunta di nuovi dati non dovrebbe dare luogo ad avvisi).	Implementa il monitoraggio dell’integrità dei file o dei sistemi di rilevamento modifiche, per controllare se vi sono modifiche a file critici e inviare notifiche quando se ne accerta la presenza.	Monitoraggio dell’integrità dei file PCI Controlla in tempo reale ogni tentativo di accesso ai file non riuscito. Mantieni una traccia di controllo dettagliata per l’analisi. Avvisi in tempo reale Attiva avvisi istantanei per notificare alle parti interessate quando vengono rilevate modifiche sospette ai file. Risposta automatica agli incidenti di sicurezza Esegui interventi di risposta automatica per ridurre al minimo i potenziali danni in caso di incidente di sicurezza.
Requisito 10.6 Rivedi i log e gli eventi di sicurezza per tutti i componenti di sistema, al fine di identificare anomalie o attività sospette.	Regolari revisioni dei log consentono di identificare e indirizzare in modo proattivo l’accesso non autorizzato all’ambiente dei dati dei titolari di carte. Riduce inoltre il tempo impiegato per rilevare una potenziale violazione.	Consegna prevista dei report di conformità PCI Recapita i report previsti alle cassette postali delle persone interessate, in formato PDF, HTML, CSV o XLSX.
Requisito 10.7 Mantieni la cronologia delle tracce di controllo per almeno un anno, disponibili da subito per almeno tre mesi per l'analisi (ad esempio, online, archiviate o ripristinabili da un backup).	Spesso serve tempo prima che una compromissione venga notata; per questo motivo, mantenere i log per almeno un anno garantisce agli inquirenti una cronologia dei log sufficiente a determinare il periodo temporale in cui si è verificata una potenziale violazione e il suo impatto.	Conservazione a lungo termine dei log di controllo Mantieni i dati di controllo per lunghi periodi. Puoi anche archiviare i log più vecchi e caricarli in un successivo momento, per analizzare gli accessi ai file.
Requisito 11.5 Distribuisci un meccanismo di rilevamento delle modifiche (ad esempio strumenti di monitoraggio integrità file), per avvisare il personale di modifiche non autorizzate (variazioni, aggiunte, eliminazioni, ecc.) a file di sistema critici, file di configurazione o file di contenuto e configurare lo strumento per eseguire confronti di file critici almeno a cadenza settimanale.	Monitora le modifiche a eseguibili di sistemi e applicazioni, file di configurazione e parametri, eccetera. Attiva avvisi in caso di modifiche impreviste.	FIM Controlla le modifiche ad ABI o binari critici per sistemi operativi, file di configurazione, file di programma, file di log, ed altro. Avvisi istantanei Notifica istantaneamente agli amministratori quando vengono rilevate modifiche anomale ai file. Esegui risposte personalizzate agli incidenti Automatizza file batch per arrestare macchine, terminare sessioni utente, e così via.
Requisito 12.3.10 Al personale che ha accesso a dati dei titolari di carte attraverso tecnologie di accesso remoto, proibisci la copia, lo spostamento e l’archiviazione di tali dati su dischi rigidi locali e supporti elettronici rimovibili, a meno che non sia espressamente autorizzato per una necessità aziendale ben definita.	Proibisci agli utenti di archiviare o copiare i dati dei titolari di carte sui loro personal computer o altri supporti, a meno che non siano espressamente autorizzati a farlo.	Protezione della copia di file Monitora in tempo reale le azioni di copia dei file e previeni il trasferimento ingiustificato di dati critici nelle condivisioni locali e di rete. Caratteristica di protezione contro la scrittura USB Inserisci nell'elenco di elementi bloccati i dispositivi USB sospetti e previeni l'esfiltrazione di dati sensibili da parte degli utenti.
Requisito A3.2.5 Implementa una metodologia di individuazione dei dati per confermare l’ambito dei dati PCI DSS e ricercare tutte le origini e posizioni dei dati PAN non crittografati, con cadenza almeno trimestrale e in caso di sostanziali modifiche all’ambiente o ai processi riguardanti i titolari di carte. A3.2.5.1 I metodi di individuazione dei dati devono essere in grado di individuare dati PAN non crittografati su tutti i tipi di componenti di sistema e formati di file in uso. A3.2.5.2 Implementa procedure di risposta da avviare quando si rilevano dati PAN non crittografati fuori dall’ambiente dei dati relativi alle carte, includendo: Procedure per determinare che cosa fare se vengono individuati dati PAN non crittografati fuori dall’ambiente dei dati relativi alle carte, prevedendone il recupero, la cancellazione e/o migrazione nell’ambiente di dati relativi alle carte attualmente definito Procedure per determinare come i dati sono finiti fuori dall’ambiente dei dati relativi alle carte Procedure per identificare l’origine dei dati	Esegui report periodici sulle posizioni dei dati dei titolari di carte nell’ambiente di archiviazione dei file. Identifica dati sensibili che si trovino fuori dall’ambiente dei dati relativi alle carte. Adotta azioni correttive quando vengono individuati dati sensibili fuori dall’ambiente dei dati relativi alle carte.	Individuazione di dati PCI come da pianificazione Identifica e documenta i dati PCI (tra cui PAN non crittografati) in tutto il sistema di archiviazione aziendale. Visibilità su più piattaforme Rileva i dati sensibili dei titolari di carte e PCI nei file server Windows, nei cluster di failover e nei database di MSSQL. Automatizza la correzione Quando vengono trovati file sensibili fuori dall’ambiente di dati relativi alle carte, DataSecurity Plus può essere configurato per eliminarli o spostarli automaticamente, oppure gestirli. Analisi delle proprietà e degli accessi Conosci la persona proprietaria del file sensibile e traccia le azioni utente nell’intervallo analizzato. In questo modo potrai determinare come è finito fuori dall’ambiente dei dati relativi alle carte.
Requisito A3.2.6 Implementa meccanismi per rilevare e impedire che i dati PAN non crittografati lascino l’ambiente dei dati relativi alle carte attraverso un canale, metodo o processo non autorizzato, tra cui la generazione di log di controllo e avvisi. A3.2.6.1 Implementa procedure di risposta da avviare quando si rilevano tentativi di rimozione di dati PAN non crittografati dall’ambiente dei dati relativi alle carte attraverso un canale, metodo o processo non autorizzato.	Implementa soluzioni di prevenzione della perdita di dati (DLP, data loss prevention), per rilevare e prevenire fughe di dati attraverso e-mail, supporti rimovibili e stampanti.	Piattaforma unificata di prevenzione della perdita di dati Classifica i dati sensibili e impediscine la fuga attraverso dispositivi di archiviazione esterni, Outlook e stampanti. Regola l’utilizzo di dispositivi periferici Limita l’uso di dispositivi USB, punti di accesso wireless e unità CD/DVD, utilizzando criteri di controllo dei dispositivi centralizzati per la protezione contro l'esfiltrazione di dati. Previeni le fughe di dati attraverso gli USB Blocca i dispositivi USB come risposta ai trasferimenti anomali di dati e ai tentativi di esfiltrazione di dati sensibili.
Requisito A3.4.1 Rivedi almeno ogni sei mesi gli account utente e i privilegi di accesso a componenti di sistema che rientrano nel campo di applicazione, per garantire che gli account utente e l’accesso rimangano adeguati a seconda della funzione lavorativa. Riferimento PCI DSS: Requisito 7	Rivedi almeno ogni sei mesi i privilegi di accesso degli utenti e verifica che siano adeguati alle loro funzioni lavorative.	Analisi delle autorizzazioni di sicurezza: Traccia le modifiche alle autorizzazioni, elenca le autorizzazioni effettive, identifica i file a cui ogni dipendente può avere accesso, trova gli utenti con privilegi di controllo completo, eccetera, per far sì che venga seguito il principio del privilegio minimo. Questi report possono essere inviati per posta elettronica a più persone interessate, a intervalli pianificati.
Requisito A3.5.1 Implementa una metodologia per l’identificazione puntuale di criteri di attacco e di comportamento indesiderabile attraverso i sistemi, ad esempio utilizzando revisioni manuali coordinate e/o strumenti centralizzati o automatici correlati ai log, che includa come minimo: L’identificazione di anomalie o attività sospette mentre si verificano L’emissione di avvisi tempestivi al personale responsabile quando si rilevano attività sospette o anomalie La risposta ad avvisi in accordo con procedure di risposta documentate Riferimento PCI DSS: Requisiti 10, 12	Configura una soluzione in grado di identificare eventi indesiderabili, quali modifiche critiche a file e intrusioni, e invia notifiche istantanee agli amministratori.	Rilevamento anomalie Identifica anomalie nelle attività degli utenti, come accessi a file dopo l’orario di ufficio, un numero eccessivo di tentativi di accesso non riusciti, ed altro. Avvisi rapidi Configura avvisi per modifiche non giustificate a file critici, l’individuazione di dati sensibili fuori dall’ambiente dei dati relativi alle carte, e così via. Rilevamento e risposta a minacce Rileva intrusioni ransomware ed esegui script per mettere in quarantena dispositivi infetti e prevenire la diffusione di malware.

I requisiti del PCI

Come procedere

Come può aiutarti DataSecurity Plus

Requisito 2.2.5

Rimuovi tutte le funzioni non necessarie, quali script, driver, funzionalità, sottosistemi, file system e inutili server Web.

Identifica tutti i componenti del sistema, tra cui script e file system, e rimuovi quelli non in uso.

Ricerca i file inutilizzati:

Ricevi report di file, script, file batch, eccetera, a cui non sia stato effettuato l’accesso o che non siano stati modificati per lunghi periodi. Questi report semplificano la gestione di file ridondanti, non aggiornati e banali (ROT, redundant, outdated, trivial), riducono inoltre il numero di file vulnerabili con autorizzazioni o dati non aggiornati.

Requisito 3.1

Mantieni al minimo l’archiviazione dei dati dei titolari di carte, implementando criteri, procedure e processi di conservazione e smaltimento dei dati che comprendano, per l’archiviazione di tutti i dati dei titolari di carte, almeno le seguenti caratteristiche:

Limitazione della quantità di archiviazione dei dati e del tempo di conservazione necessario per requisiti legali, normativi e/o aziendali
Requisiti di conservazione specifici per i dati dei titolari di carte
Processi di cancellazione dei dati se non più necessari
Un processo trimestrale per l’identificazione e la cancellazione dei dati archiviati di titolari di carte che superino i tempi di conservazione definiti

Effettua la scansione periodica di dati regolamentati nel tuo ambiente di dati relativi alle carte.
Configura criteri di conservazione dei dati; se non servono più, i dati raccolti devono essere eliminati.
Ricerca e rimuovi i dati dei titolari di carte archiviati oltre la durata ammissibile.

Individuazione dei dati PCI e dei titolari di carte

Utilizza le regole integrate di individuazione dei dati per ricercare i dati PCI e dei titolari di carte archiviati dalla tua organizzazione. Crea un inventario di quali dati sono stati archiviati, dove, da chi e per quanto tempo. Ciò consente agli amministratori di garantire che soltanto i dati necessari sono archiviati.

Analisi dei dati ROT

Identifica file vecchi, non aggiornati e senza modifiche, per far sì che i dati dei titolari di carte non rimangano archiviati oltre il periodo di conservazione previsto.

Scansioni pianificate delle valutazioni dei rischi relativi ai dati

Effettua scansioni periodiche per l’individuazione dei dati relativi ai titolari di carte, abilita la scansione incrementale di file nuovi e modificati di recente e assicurati che venga individuata e catalogata ogni istanza di dati regolamentati. Puoi anche utilizzare script per mettere in quarantena o eliminare file che violano i criteri di archiviazione dei dati sensibili.

Requisito 3.2

Non archiviare dati di autenticazione sensibili dopo l’autorizzazione.

I dati di autenticazione sensibili comprendono il nome del titolare della carta, il numero di conto primario (PAN, primary account number), il codice di verifica della carta, il codice PIN, ed altro.

È ammissibile, per emittenti e aziende che supportano servizi di pagamento emittenti, archiviare dati di autenticazione sensibili, se:

Esiste una motivazione aziendale
I dati sono archiviati in modo sicuro

Esamina l’origine dati e verifica che dopo l’autorizzazione non siano archiviati dati di autenticazione sensibili.

Individuazione dei dati PCI

Implementa un’efficace individuazione dei dati con una combinazione di corrispondenze con parole chiave e criteri di ricerca. Questi elementi insieme ti aiuteranno nella ricerca dei codici di convalida della carta (CVV), dei codici PIN, PAN e altri dati di autenticazione.

Punteggio di attendibilità

Verifica il contesto delle potenziali corrispondenze per determinare con certezza che si tratti di un vero positivo e non di un falso positivo.

Automazione della risposta

Automatizza l’eliminazione o la quarantena dei dati delle carte rilevati o limitane l’uso eseguendo un’azione personalizzata mediante script.

Requisito 3.5.2

Limita l'accesso alle chiavi crittografiche al minor numero di responsabili necessari.

Esamina le autorizzazioni associate ai file chiave e assicurati che l’accesso sia limitato al minor numero di responsabili necessari.

Reporting delle autorizzazioni NTFS e di condivisione

Ricevi report dettagliati sulle autorizzazioni NTFS e di condivisione file e cartelle, per sapere quale utente ha quale autorizzazione.

Requisito 7.1

Limita l’accesso a componenti di sistema e ai dati dei titolari di carte solo a quegli individui il cui lavoro richieda tale accesso.

7.1.1 Definisci i requisiti di accesso per ciascun ruolo

7.1.2 Limita l’accesso agli ID utente privilegiati

7.1.3 Assegna l’accesso in base alla classificazione e alla funzione del lavoro dei singoli membri del personale.

Nota: tra i componenti di sistema sono da includere i dispositivi di rete, i server, i dispositivi di elaborazione e le applicazioni.

Verifica che i privilegi assegnati a utenti privilegiati e non siano:

Necessari per la funzione lavorativa dell’individuo
Limitati al numero minimo di privilegi necessari per assolvere alle responsabilità lavorative.

Reporting autorizzazioni NTFS

Elenca gli utenti che hanno accesso a file contenenti dati dei titolari di carte insieme ai dettagli di quali azioni può svolgere ciascun utente.

Analisi delle autorizzazioni effettive

Garantisci la riservatezza dei dati dei titolari di carte, analizzando ed eseguendo il reporting delle autorizzazioni effettive. Verifica che gli utenti non abbiano più privilegi di quelli richiesti per il loro ruolo.

Rilevamento di file sovraesposti

Ricerca i file a cui ogni dipendente può effettuare l’accesso e i file che consentono agli utenti l’accesso completo.

Requisito 8.1.3

Revoca immediatamente l'accesso a tutti gli utenti licenziati.

Assicurati che gli utenti licenziati dalla tua organizzazione siano stati rimossi dagli elenchi di accesso ai file.

Analizza la proprietà dei file

Identifica i file orfani e i file di proprietà di utenti non aggiornati, disabilitati o inattivi, per prevenire tentativi di modifiche dannose ai file da parte di dipendenti licenziati.

Requisito 10.1

Implementa tracce di controllo per collegare a ogni singolo utente tutti gli accessi a componenti di sistema.

Genera log di controllo che forniscano la possibilità di fare risalire attività sospette a uno specifico utente.

Traccia di controllo dettagliata

Traccia gli accessi a file critici, l’uso di applicazioni Web, USB o stampanti, e così via, con un log di controllo degli accessi centralizzato.

Analisi delle cause radice

Sfrutta le opzioni di filtro report granulare per velocizzare l’analisi delle cause radice e identificare le dimensioni di una violazione.

Requisito 10.2

Implementa tracce di controllo automatiche per tutti i componenti di sistema, per ricostruire i seguenti eventi:

10.2.1 Tutti gli accessi di singoli utenti ai dati dei titolari di carte

10.2.2 Tutte le azioni eseguite da qualsiasi individuo con privilegi radice o amministrativi

Controlla in tempo reale l'attività degli utenti nel tuo ambiente di dati relativi alle carte.
Traccia le modifiche effettuate dagli utenti con privilegi amministrativi.

Monitoraggio delle attività relative ai file

Traccia tutti gli eventi relativi a file e cartelle (eventi di lettura, creazione, modifica, sovrascrittura, spostamento, rinomina, eliminazione e modifica alle autorizzazioni) che si verificano nel tuo ambiente PCI e di archiviazione dati dei titolari di carte.

Monitoraggio degli utenti con privilegi

Elenca gli utenti con accesso privilegiato a file sensibili e personalizza i report per monitorare tutte le modifiche ai file da loro eseguite.

Requisito 10.3

Registra, per ciascun evento, almeno le seguenti voci di tracce di controllo:

10.3.1 Identificazione dell’utente

10.3.2 Tipo di evento

10.3.3 Data e ora

10.3.4 Indicazione di operazione riuscita o non riuscita

10.3.5 Origine dell’evento

10.3.6 Identità o nome dei dati interessati

Raccogli log dettagliati sull’attività degli utenti nel tuo ambiente di dati relativi alle carte.

Controllo delle modifiche di in tempo reale

Ottieni informazioni complete su ogni accesso ai file, tra cui i dettagli su chi ha tentato quale modifica, in quale file, quando, da dove e se la modifica è riuscita.

Requisito 10.5

Proteggi le tracce di controllo in modo che non vengano alterate.

10.5.5 Utilizza il monitoraggio dell’integrità dei file o il software di rilevamento modifiche sui log, per accertarti che i dati log esistenti non possano essere modificati senza generare avvisi (anche se l’aggiunta di nuovi dati non dovrebbe dare luogo ad avvisi).

Implementa il monitoraggio dell’integrità dei file o dei sistemi di rilevamento modifiche, per controllare se vi sono modifiche a file critici e inviare notifiche quando se ne accerta la presenza.

Monitoraggio dell’integrità dei file PCI

Controlla in tempo reale ogni tentativo di accesso ai file non riuscito. Mantieni una traccia di controllo dettagliata per l’analisi.

Avvisi in tempo reale

Attiva avvisi istantanei per notificare alle parti interessate quando vengono rilevate modifiche sospette ai file.

Risposta automatica agli incidenti di sicurezza

Esegui interventi di risposta automatica per ridurre al minimo i potenziali danni in caso di incidente di sicurezza.

Requisito 10.6

Rivedi i log e gli eventi di sicurezza per tutti i componenti di sistema, al fine di identificare anomalie o attività sospette.

Regolari revisioni dei log consentono di identificare e indirizzare in modo proattivo l’accesso non autorizzato all’ambiente dei dati dei titolari di carte. Riduce inoltre il tempo impiegato per rilevare una potenziale violazione.

Consegna prevista dei report di conformità PCI

Recapita i report previsti alle cassette postali delle persone interessate, in formato PDF, HTML, CSV o XLSX.

Requisito 10.7

Mantieni la cronologia delle tracce di controllo per almeno un anno, disponibili da subito per almeno tre mesi per l'analisi (ad esempio, online, archiviate o ripristinabili da un backup).

Spesso serve tempo prima che una compromissione venga notata; per questo motivo, mantenere i log per almeno un anno garantisce agli inquirenti una cronologia dei log sufficiente a determinare il periodo temporale in cui si è verificata una potenziale violazione e il suo impatto.

Conservazione a lungo termine dei log di controllo

Mantieni i dati di controllo per lunghi periodi. Puoi anche archiviare i log più vecchi e caricarli in un successivo momento, per analizzare gli accessi ai file.

Requisito 11.5

Distribuisci un meccanismo di rilevamento delle modifiche (ad esempio strumenti di monitoraggio integrità file), per avvisare il personale di modifiche non autorizzate (variazioni, aggiunte, eliminazioni, ecc.) a file di sistema critici, file di configurazione o file di contenuto e configurare lo strumento per eseguire confronti di file critici almeno a cadenza settimanale.

Monitora le modifiche a eseguibili di sistemi e applicazioni, file di configurazione e parametri, eccetera.
Attiva avvisi in caso di modifiche impreviste.

FIM

Controlla le modifiche ad ABI o binari critici per sistemi operativi, file di configurazione, file di programma, file di log, ed altro.

Avvisi istantanei

Notifica istantaneamente agli amministratori quando vengono rilevate modifiche anomale ai file.

Esegui risposte personalizzate agli incidenti

Automatizza file batch per arrestare macchine, terminare sessioni utente, e così via.

Requisito 12.3.10

Al personale che ha accesso a dati dei titolari di carte attraverso tecnologie di accesso remoto, proibisci la copia, lo spostamento e l’archiviazione di tali dati su dischi rigidi locali e supporti elettronici rimovibili, a meno che non sia espressamente autorizzato per una necessità aziendale ben definita.

Proibisci agli utenti di archiviare o copiare i dati dei titolari di carte sui loro personal computer o altri supporti, a meno che non siano espressamente autorizzati a farlo.

Protezione della copia di file

Monitora in tempo reale le azioni di copia dei file e previeni il trasferimento ingiustificato di dati critici nelle condivisioni locali e di rete.

Caratteristica di protezione contro la scrittura USB

Inserisci nell'elenco di elementi bloccati i dispositivi USB sospetti e previeni l'esfiltrazione di dati sensibili da parte degli utenti.

Requisito A3.2.5

Implementa una metodologia di individuazione dei dati per confermare l’ambito dei dati PCI DSS e ricercare tutte le origini e posizioni dei dati PAN non crittografati, con cadenza almeno trimestrale e in caso di sostanziali modifiche all’ambiente o ai processi riguardanti i titolari di carte.

A3.2.5.1

I metodi di individuazione dei dati devono essere in grado di individuare dati PAN non crittografati su tutti i tipi di componenti di sistema e formati di file in uso.

A3.2.5.2

Implementa procedure di risposta da avviare quando si rilevano dati PAN non crittografati fuori dall’ambiente dei dati relativi alle carte, includendo:

Procedure per determinare che cosa fare se vengono individuati dati PAN non crittografati fuori dall’ambiente dei dati relativi alle carte, prevedendone il recupero, la cancellazione e/o migrazione nell’ambiente di dati relativi alle carte attualmente definito
Procedure per determinare come i dati sono finiti fuori dall’ambiente dei dati relativi alle carte
Procedure per identificare l’origine dei dati

Esegui report periodici sulle posizioni dei dati dei titolari di carte nell’ambiente di archiviazione dei file.
Identifica dati sensibili che si trovino fuori dall’ambiente dei dati relativi alle carte.
Adotta azioni correttive quando vengono individuati dati sensibili fuori dall’ambiente dei dati relativi alle carte.

Individuazione di dati PCI come da pianificazione

Identifica e documenta i dati PCI (tra cui PAN non crittografati) in tutto il sistema di archiviazione aziendale.

Visibilità su più piattaforme

Rileva i dati sensibili dei titolari di carte e PCI nei file server Windows, nei cluster di failover e nei database di MSSQL.

Automatizza la correzione

Quando vengono trovati file sensibili fuori dall’ambiente di dati relativi alle carte, DataSecurity Plus può essere configurato per eliminarli o spostarli automaticamente, oppure gestirli.

Analisi delle proprietà e degli accessi

Conosci la persona proprietaria del file sensibile e traccia le azioni utente nell’intervallo analizzato. In questo modo potrai determinare come è finito fuori dall’ambiente dei dati relativi alle carte.

Requisito A3.2.6

Implementa meccanismi per rilevare e impedire che i dati PAN non crittografati lascino l’ambiente dei dati relativi alle carte attraverso un canale, metodo o processo non autorizzato, tra cui la generazione di log di controllo e avvisi.

A3.2.6.1

Implementa procedure di risposta da avviare quando si rilevano tentativi di rimozione di dati PAN non crittografati dall’ambiente dei dati relativi alle carte attraverso un canale, metodo o processo non autorizzato.

Implementa soluzioni di prevenzione della perdita di dati (DLP, data loss prevention), per rilevare e prevenire fughe di dati attraverso e-mail, supporti rimovibili e stampanti.

Piattaforma unificata di prevenzione della perdita di dati

Classifica i dati sensibili e impediscine la fuga attraverso dispositivi di archiviazione esterni, Outlook e stampanti.

Regola l’utilizzo di dispositivi periferici

Limita l’uso di dispositivi USB, punti di accesso wireless e unità CD/DVD, utilizzando criteri di controllo dei dispositivi centralizzati per la protezione contro l'esfiltrazione di dati.

Previeni le fughe di dati attraverso gli USB

Blocca i dispositivi USB come risposta ai trasferimenti anomali di dati e ai tentativi di esfiltrazione di dati sensibili.

Requisito A3.4.1

Rivedi almeno ogni sei mesi gli account utente e i privilegi di accesso a componenti di sistema che rientrano nel campo di applicazione, per garantire che gli account utente e l’accesso rimangano adeguati a seconda della funzione lavorativa.

Riferimento PCI DSS: Requisito 7

Rivedi almeno ogni sei mesi i privilegi di accesso degli utenti e verifica che siano adeguati alle loro funzioni lavorative.

Analisi delle autorizzazioni di sicurezza:

Traccia le modifiche alle autorizzazioni, elenca le autorizzazioni effettive, identifica i file a cui ogni dipendente può avere accesso, trova gli utenti con privilegi di controllo completo, eccetera, per far sì che venga seguito il principio del privilegio minimo.

Questi report possono essere inviati per posta elettronica a più persone interessate, a intervalli pianificati.

Requisito A3.5.1

Implementa una metodologia per l’identificazione puntuale di criteri di attacco e di comportamento indesiderabile attraverso i sistemi, ad esempio utilizzando revisioni manuali coordinate e/o strumenti centralizzati o automatici correlati ai log, che includa come minimo:

L’identificazione di anomalie o attività sospette mentre si verificano
L’emissione di avvisi tempestivi al personale responsabile quando si rilevano attività sospette o anomalie
La risposta ad avvisi in accordo con procedure di risposta documentate

Riferimento PCI DSS: Requisiti 10, 12

Configura una soluzione in grado di identificare eventi indesiderabili, quali modifiche critiche a file e intrusioni, e invia notifiche istantanee agli amministratori.

Rilevamento anomalie

Identifica anomalie nelle attività degli utenti, come accessi a file dopo l’orario di ufficio, un numero eccessivo di tentativi di accesso non riusciti, ed altro.

Avvisi rapidi

Configura avvisi per modifiche non giustificate a file critici, l’individuazione di dati sensibili fuori dall’ambiente dei dati relativi alle carte, e così via.

Rilevamento e risposta a minacce

Rileva intrusioni ransomware ed esegui script per mettere in quarantena dispositivi infetti e prevenire la diffusione di malware.

Dichiarazione di non responsabilità: La piena conformità a POPIA richiede una varietà di soluzioni, processi, persone e tecnologie. Il contenuto di questa pagina è fornito solo a scopo informativo e non deve essere considerato come una consulenza legale per la conformità alla legge POPI. ManageEngine non presta garanzie, espresse, implicite o legali, riguardo alle informazioni contenute in questo materiale.

Nota: il contenuto di cui sopra è valido solo per PCI DSS, versione 3.2.1. Alcuni requisiti potrebbero anche non riflettere con precisione la versione più recente, PCI DSS 4.0. Stiamo attualmente rimaneggiando il contenuto, che sarà aggiornato in tempi brevi.

Garantisci la sicurezza dei dati e la conformità

DataSecurity Plus consente di soddisfare i requisiti di numerosi regolamenti di conformità,
proteggendo i dati inattivi, in uso e in movimento.

Stai cercando una soluzione SIEM unificata che includa anche funzionalità DLP integrate? Prova subito Log360!

Versione di prova gratuita da 30 giorni

Acquisizione della conformità PCI DSS utilizzando DataSecurity Plus