Soddisfare il requisito 10 di PCI grazie al report predefinito di EventLog Analyzer

Requisito 10 di PCI DSS: Tracciare e monitorare tutti gli accessi alle risorse di rete e ai dati dei titolari di carte.

Il requisito 10 di PCI DSS è uno dei requisiti di conformità più importanti della normativa, poiché affronta direttamente le questioni relative agli accessi e alla sicurezza delle reti. È il requisito più importante per il reparto IT. Questo requisito include tutte le attività degli utenti che hanno a che fare con le risorse di rete e i dati dei titolari di carte. È possibile monitorare ogni attività che si verifica nella rete e tenere traccia di qualsiasi problematica alla sicurezza per risalire alla causa esatta con l'aiuto dei registri delle attività del sistema.

I report sulla conformità a PCI di EventLog Analyzer aiutano le organizzazioni a implementare la conformità al requisito 10 di PCI DSS. Il rispetto della conformità a PCI DSS diventa semplicissimo da attuare grazie ai report che scandagliano ogni registro di accesso nella rete e a un'interfaccia che presenta i report in una forma facilmente interpretabile

  • PCI DSS: requisito 10.1 - Implementare un processo per il collegamento di tutti gli accessi ai componenti del sistema (specialmente gli accessi effettuati con privilegi amministrativi, quale ad esempio root) per ogni singolo utente.
  • PCI DSS: requisito 10.2 - Implementare percorsi di valutazione automatizzati per tutti i componenti del sistema al fine di ricostruire i seguenti eventi:
    • PCI DSS: requisito 10.2.1 - Tutti gli accessi utente individuali ai dati dei titolari di carte.
    • PCI DSS: requisito 10.2.2 - Tutte le azioni effettuate da qualsiasi individuo con privilegi di root o amministrativi.
    • PCI DSS: requisito 10.2.4 - Tentativi di accessi logici non validi.
    • PCI DSS: requisito 10.2.6 - Inizializzazione dei registri di valutazione.
    • PCI DSS: requisito 10.2.7 - Report sui registri di controllo cancellati.
  • PCI DSS: requisito 10.5 - Proteggere i percorsi di valutazione in modo da impedirne l'alterazione.
    • PCI DSS: requisito 10.5.1 - Limitare la visualizzazione dei percorsi di valutazione a coloro che hanno un'esigenza dettata dal lavoro.
    • PCI DSS: requisito 10.5.2 - Proteggere i file dei percorsi di valutazione da modifiche non autorizzate.

Requisito 10.1 di PCI DSS:

Cosa richiede?
Implementare un processo per il collegamento di tutti gli accessi ai componenti del sistema (specialmente gli accessi effettuati con privilegi amministrativi, quale ad esempio root) per ogni singolo utente.

Cosa occorre fare?
I componenti di sistema sono elementi cruciali della rete e qualsiasi modifica apportata a essi influenza tutta la rete. La conformità a questo requisito prevede la registrazione di ogni accesso ai componenti di sistema, così che sia possibile risalire all'utente specifico che ha effettuato l'accesso a un componente di sistema causando un cambiamento indesiderato. Il requisito richiede un'attenzione ulteriore agli accessi effettuati da utenti amministrativi, poiché ogni modifica effettuata da un utente amministrativo produce ramificazioni che influenzano enormemente la rete.

Come farlo?
Per raggiungere la conformità a questa sezione, tutti gli accessi ai componenti di sistema devono essere monitorati e tracciati attentamente. È necessario avere sotto costante controllo le attività di tutti gli utenti in ogni angolo della rete, specialmente gli utenti amministrativi. Con questi dati, le informazioni rilevanti possono essere isolate e la conformità al requisito 10.1 di PCI DSS facilmente implementato.

Per realizzare questo obiettivo, EventLog Analyzer dispone di due report:

Il report sugli accessi agli oggetti elenca gli utenti che hanno effettuato accessi a oggetti specifici, allegando i dettagli sulle credenziali utilizzate. Questi dati, dalla prospettiva della normativa PCI DSS, sono utili perché contengono le informazioni sugli accessi agli oggetti richieste. Filtrando questo report per visualizzare gli utenti che hanno effettuato accessi ai componenti di sistema si ottengono le ultime informazioni necessarie per realizzare la conformità a questa sezione di PCI DSS.

Il report sulle azioni individuali mostra i dati da una prospettiva diversa, ovvero l'attività di ciascun utente sulla rete. Il report può essere filtrato per conoscere le attività degli utenti amministrativi nella rete, e se questi hanno effettuato accessi ai componenti a livello di sistema. Questo report accompagna i dati raccolti dal report precedente.

Requisito 10.2 di PCI DSS:

Implementare percorsi di valutazione automatizzati per tutti i componenti del sistema al fine di ricostruire i seguenti eventi.

Cosa occorre fare?
Questo requisito intende rafforzare lo scopo generale del requisito padre. Monitorare e tenere traccia di tutti gli accessi ai componenti di sistema è importante, ma è un processo tedioso se assolto manualmente e lascia spazio a errori, anche se marginalmente. Per risolvere questi svantaggi, il requisito 10.2 prevede due condizioni:

  • Automatizzare il processo di tracciamento degli accessi.
  • Possibilità di ricostruire gli eventi a riprova dell'accesso.

Questo requisito ha sottosezioni che illustrano dettagliatamente e chiaramente cosa fare per raggiungere la conformità totale.

Requisito 10.2.1 di PCI DSS:

Cosa richiede?
Tutti gli accessi utente individuali ai dati dei titolari di carte.

Cosa occorre fare?
Come è ovvio, tutti gli accessi degli utenti ai dati dei titolari di carte devono essere strettamente monitorati. Per assicurare che non manchi alcun dato a causa di errori umani, è anche necessario che il processo sia automatizzato. Possedere tutte le informazioni su tutti gli accessi degli utenti ai dati dei titolari di carte garantisce la conformità al requisito 10.2.1 della normativa PCI DSS.

Come farlo?
Soddisfare la conformità a questo requisito, esattamente come recita il testo della normativa, è semplice: tutti gli accessi, in termini di utenti che hanno effettuato accessi alla particolare risorsa, devono essere registrati, includendo le attività che hanno effettuato quando connessi al sistema (login)..

Per fornire dettagli granulari che aiutino a soddisfare la conformità al requisito, EventLog Analyzer offre due report:

Il report sugli accessi riusciti mostra l'elenco completo di utenti che hanno effettuato il login in rete con esito positivo, con dettagli quali nome utente, indicazione orario e risorse a cui hanno avuto accesso. Con tutte queste informazioni è semplice arrivare all'elenco di tutti gli utenti che hanno avuto accesso ad aree protette della rete (informazione obbligatoria ai sensi del requisito 10.2.1 di PCI DSS).

Il report sulle azioni individuali mostra i dati dalla prospettiva di ciascun utente: le risorse a cui ha avuto accesso. Quando il report viene filtrato ulteriormente per mostrare solo i dati sugli utenti che hanno effettuato l'accesso alle risorse sensibili nella rete, i dati ottenuti possono essere utilizzati per soddisfare la conformità al requisito 10.2.1 di PCI DSS.

Requisito 10.2.2 di PCI DSS:

Cosa richiede?
Tutte le azioni effettuate da qualsiasi individuo con privilegi di root o amministrativi.

Cosa occorre fare?
Gli utenti amministrativi detengono le chiavi per accedere alle informazioni di importanza vitale presenti nella rete. Essi hanno il potere di agire con i privilegi più elevati sulla maggior parte delle aree sensibili della rete. Per garantire che nessun utente amministrativo abbia arrecato danni seri ai dati dei titolari di carte, e quindi ad assicurare la conformità a PCI DSS, è necessario tenere traccia di tutte le azioni effettuate da tutti gli utenti dotati di privilegi amministrativi.

Come farlo?:
L'organizzazione soddisferà questo requisito se tutte le attività eseguite da utenti amministrativi verranno registrate nei minimi dettagli. Sono inclusi, tra gli altri, i dati relativi a nome utente, area della risorsa a cui l'utente amministrativo ha avuto accesso, tempo speso dall'utente e modifiche e attività effettuate durante quel periodo di tempo.

EventLog Analyzer è dotato del report sulle azioni dei singoli utenti che consente di soddisfare la conformità a questo particolare requisito. Questo report elenca tutte le attività effettuate da ogni utente con le proprie credenziali di accesso. Filtrando i dati nel report per ottenere solo le informazioni relative agli utenti amministrativi, e restringendo ulteriormente i risultati per mostrare solo gli accessi alle aree cruciali che contengono dati dei titolari di carte, è possibile estrarre tutte le informazioni necessarie a soddisfare il requisito 10.2.2 della normativa PCI DSS.

Requisito 10.2.4 di PCI DSS:

Cosa richiede?
Tentativi di accessi logici non validi.

Cosa occorre fare?
Qualunque sia la risorsa, che sia una risorsa ordinaria o una risorsa di importanza cruciale, contenente ad esempio dati di titolari di carte, tutti gli utenti devono effettuare il login nella rete per potervi accedere. Un accesso con esito positivo al primo tentativo dimostra che l'utente ha effettuato il login nella rete in modo semplice e immediato. Tuttavia, anche se non sempre, un primo tentativo di accesso non valido può essere sintomo di un tentativo di intromissione non legittima ad aree sensibili della rete. Tracciare queste attività aiuta a tenere a bada talune minacce imminenti. È importante anche controllare le tendenze di attività come queste, se esiste un particolare utente che è più vulnerabile e se le attività hanno luogo solo in orari specifici.

Come farlo?
Questo requisito richiede che tutti i tentativi di accesso non validi vengano registrati e con un processo automatizzato, affinché non vi siano possibilità di errore umano. Le informazioni sugli accessi sia con sito positivo che con esito negativo, inoltre, aiuteranno a convalidare i dati, dato che entrambi gli eventi sono mutualmente esclusivi.

Per fornire tutti i dettagli summenzionati, utili a soddisfare la conformità al requisito, EventLog Analyzer offre due report:

Il report sui tentativi di accesso elenca tutte le attività di accesso nella rete, dai cui dati è possibile isolare i tentativi di accesso con esito negativo. L'analisi ulteriore di questo report fornisce dettagli quali l'utente utilizzato in un dato istante per effettuare un accesso non riuscito a risorse di rete.

Il report sugli accessi riusciti mostra l'elenco completo di utenti che hanno effettuato il login in rete con esito positivo, con dettagli quali nome utente, indicazione orario e risorse a cui hanno avuto accesso. Queste informazioni forniscono dettagli che aiutano a convalidare i dati rispetto al report sui tentativi di accesso. In questo modo è possibile implementare il rispetto del requisito della normativa PCS DSS. 10.2.4.

Requisito 10.2.6 di PCI DSS:

Cosa richiede?
Inizializzazione dei registri di valutazione.

Cosa occorre fare?
I registri di valutazione sono prove permanenti di qualsiasi attività nella rete, e le informazioni in essi contenute sono di importanza cruciale per tenere traccia delle attività amministrative su risorse sensibili. La cancellazione dei registri di controllo distrugge per sempre le prove degli accessi a tutte le risorse. Pertanto è necessario tenere traccia delle cancellazioni dei registri di controllo e ci deve essere un utente responsabile per ogni cancellazione di registro di valutazione. Deve essere inoltre garantito che non tutte le persone dispongano del potere di eseguire questa attività così importante. I poteri devono essere appannaggio di un ristretto gruppo di amministratori per la rete.

Come farlo?
Predisponendo un processo che registri automaticamente tutti i dati relativi a ogni singola cancellazione di registro di valutazione. I dati devono essere completi del nome utente e di data e ora.

EventLog Analyzer dispone di un report già pronto che provvede specificamente a questo requisito: il report sui registri di controllo cancellati. Questo report elenca gli utenti che hanno cancellato i registri di controllo, insieme alla data e all'ora in cui si è verificato il particolare evento. Le informazioni fornite dal report sono utili a implementare la conformità al requisito 10.2.6 di PCS DSS nell'organizzazione.

Requisito 10.2.7 di PCI DSS:

Cosa richiede?
Creazione ed eliminazione di oggetti a livello di sistema

Cosa occorre fare?
Gli oggetti a livello di sistema sono entità concettuali che controllano il funzionamento del sistema e della rete. È necessario monitorare tutti gli accessi agli oggetti a livello di sistema, ma attività cruciali quali la creazione e l'eliminazione di questi oggetti richiedono un'attenzione extra. Considerando l'importanza degli oggetti a livello di sistema dal punto di vista della normativa PCI DSS, è necessario che gli accessi a queste entità siano limitati e che le attività di coloro che accedono agli oggetti siano strettamente monitorate.

Come farlo?
Il metodo più lineare per garantire la vigilanza su tutte le attività che riguardano gli oggetti a livello di sistema consiste nel registrare ognuna di esse, allegando tutti i dati necessari, come l'utente che ha effettuato l'accesso a detti oggetti, i suoi privilegi e l'indicazione di data e ora. Deve essere possibile scendere nel dettaglio di tutti questi dati per indagare con precisione e scoprire se ci sono state operazioni di creazione o eliminazione di oggetti a livello di sistema.

EventLog Analyzer dispone del report sugli accessi agli oggetti che è particolarmente utile in questo contesto. Questo report elenca tutti gli oggetti della rete e gli utenti che hanno avuto accesso a essi. Un dettaglio più granulare di questo report mostra l'esatta attività di ogni singolo utente. Isolando solo gli oggetti a livello di sistema nel report, e ricavandone le attività svolte su questi oggetti, è possibile isolare i dati necessari a soddisfare il requisito 10.2.7 della normativa PCI DSS.

Requisito 10.5 di PCI DSS:

Proteggere i percorsi di valutazione in modo da impedirne l'alterazione.

I percorsi di valutazione, o Assessment Trail, sono prove permanenti e inoppugnabili di ogni attività che si verifica in un'infrastruttura basata sui registri. Alterare i registri significherebbe perdere per sempre le prove basilari di accessi e attività nella rete. Dal punto di vista della sicurezza è una crepa particolarmente seria, dato che qualsiasi modifica apportata a un percorso di valutazione renderebbe irrintracciabile eventuali buchi nella sicurezza. Considerando la questione dalla prospettiva della normativa PCI DSS e nell'interesse dei dati dei titolari di carte, una modifica ai percorsi di valutazione significherebbe che chiunque abbia manomesso i dati dei titolari di carta può dileguarsi inosservato. Pertanto, per proteggere i dati dei titolari di carte e favorire il tracciamento di tutte le attività, la normativa PCI DSS impone di non modificare alcun percorso di valutazione. Il requisito 10.5 di PCI DSS pone la questione su due livelli:

  • Limitare la visualizzazione dei percorsi di valutazione
  • Proteggere i percorsi di valutazione dall'accesso non autorizzato

Questi requisiti sono trattati nelle sottosezioni del requisito 10.5

Requisito 10.5.1 di PCI DSS:

Cosa richiede?
Limitare la visualizzazione dei percorsi di valutazione a coloro che hanno un'esigenza dettata dal lavoro.

Cosa occorre fare?
I registri di valutazione, come detto più volte, sono oggetti importanti nelle reti che implementano strategie di sicurezza attive. Considerando le importantissime informazioni che contengono, PCI DSS richiede che l'accesso a questi file, anche solo per visualizzazione, venga ristretto a specifici utenti amministrativi che hanno una necessità correlata al lavoro. Questo garantisce i livelli più elevati di sicurezza ai percorsi di valutazione e restringe lo spettro di utenti che può essere responsabile di eventuali contrattempi.

Come farlo?
Mentre potrebbero esserci autorizzazioni e altri metodi di controllo accessi che stabiliscono chi può e chi non può accedere ai percorsi di valutazione, è ugualmente importante comprovare l'esistenza di questo sistema agli auditor.

Grazie al suo report sugli accessi agli oggetti, EventLog Analyzer, consente di fornire una prova che l'organizzazione rispetta la normativa PCI DSS. Questo report fornisce i dati sugli utenti che hanno avuto accesso ai percorsi di valutazione e, correlando i dati con i criteri di controllo accessi dell'organizzazione, permette di provare agli auditor che l'accesso ai percorsi di valutazione è stato concesso solo a coloro che hanno un'esigenza lavorativa e che nessun altro ha accesso a queste risorse.

Requisito 10.5.2 di PCI DSS:

Cosa richiede?
Proteggere i file dei percorsi di valutazione da modifiche non autorizzate.

Cosa occorre fare?
Questo requisito è un'estensione del precedente. Mentre il requisito 10.5.1 si occupa della visualizzazione dei percorsi di valutazione, questo estende i limiti alle modifiche non autorizzate. Questo report blocca qualsiasi minaccia possibile alla sicurezza che punta a raggiungere i percorsi di valutazione. Come estensione al requisito 10.5.1, questo requisito mira a proteggere ulteriormente i percorsi di valutazione da coloro che possono visualizzarli.

Come farlo?
La conformità a questa sezione può essere implementata in due fasi. La prima fase consiste nel provare che nessuna persona non autorizzata abbia avuto accesso ai percorsi di valutazione, in modo da avere la certezza che non possano essersi verificate modifiche. La seconda consiste nel provare che tutti gli utenti che hanno avuto accesso ai percorsi di valutazione sono autorizzati a farlo, anche in caso di eventuali nuovi utenti a cui è stato concesso il privilegio.

Per fornire tutti i dettagli summenzionati, utili a soddisfare la conformità al requisito, EventLog Analyzer offre due report:

Il report sugli accessi agli oggetti che, come spiegato in precedenza, fornisce i dettagli sugli utenti che hanno effettuato accessi a oggetti nella rete. Filtrando gli utenti che hanno avuto accesso ai percorsi di valutazione si ottiene l'elenco necessario a comprovare il rispetto della sezione 10.5.2 della normativa PCI DSS.

Il report sulle modifiche ai criteri di controllo mostra se ci sono nuovi utenti che sono stati autorizzati ad accedere ai dati dei registri di valutazione. Il report consente di convalidare tutte le voci presenti nel report sugli accessi agli oggetti.

Grazie ai numerosi e completi report forniti, ognuno correlato con precisione alle richieste imposte dalla conformità al requisito 10 di PCI DSS, implementare la conformità dell'organizzazione diventa una pratica semplice e veloce.