PCI DSS-naleving bereiken
met DataSecurity Plus

De PCI DSS-standaard (Payment Card Industry Data Security Standard) is van toepassing op alle entiteiten die betrokken zijn bij de verwerking van betaalkaarten, inclusief handelaars, verwerkers, kopers, uitgevers en dienstverleners. Dit is ook van toepassing op andere entiteiten die betaalkaartinformatie accepteren, opslaan of overdragen, kaarthoudergegevens of vertrouwelijke verificatiegegevens.

ManageEngine DataSecurity Plus, onze software voor PCI-naleving, helpt bij het aanpakken van de vereisten van PCI DSS door:

Detecteer en rapporteer over betaalkaartgegevens in opslagomgevingen.
Controleer hoe vertrouwelijke bestanden zijn beveiligd, verwerkt en overgedragen.
Bewaak de bestandsintegriteit in de kaartgegevensomgeving.
Leveren van verbeterde inzichten in beveiligingsmachtigingen en bestandsopslag.
Beschermen van vertrouwelijke bestanden van onopzettelijke en kwaadwillende gegevenslekken.

En nog veel meer.

Hoe onze PCI DSS-nalevingssoftware helpt bij het aanpakken van PCI-nalevingsvereisten

Deze tabel toont de verschillende vereisten van de PCI DSS die worden aangepakt door DataSecurity Plus.

Wat de PCI-vereisten zijn	Wat u moet doen	Hoe DataSecurity Plus u helpt
Vereiste 2.2.5 Verwijder alle onnodige functies, zoals scripts, stuurprogramma's, functies, subsystemen, bestandssystemen en onnodige webservers.	Identificeer alle systeemcomponenten, inclusief scripts en bestandssystemen, en verwijder deze die niet in gebruik zijn.	Ongebruikte bestanden zoeken: Ontvang rapporten over bestanden, scripts, batchbestanden en meer die langere tijd niet werden geopend of gewijzigd. Deze rapporten vereenvoudigen overtollig, verouderd en triviaal (ROT) bestandsbeheer en verminderen het aantal kwetsbare bestanden met verouderde machtigingen of gegevens.
Vereiste 3.1 Beperk de opslag van kaarthoudergegevens tot een minimum door het implementeren van beleidsregels, procedures en processen voor bewaren en verwijderen van gegevens, die minstens het volgende bevatten voor de opslag van alle kaarthoudergegevens: Het beperken van de hoeveelheid gegevensopslag en bewaartijd tot hetgeen vereist is voor wettelijke, regelgevende en/of zakelijke vereisten Specifieke vereisten voor het bewaren van kaarthoudergegevens Processen voor het veilig verwijderen van gegevens wanneer ze niet langer nodig zijn Een driemaandelijks proces voor het identificeren en veilig verwijderen van opgeslagen kaarthoudergegevens die de gedefinieerde bewaartermijn overschrijdt	Scan periodiek op geregelde gegevens in uw kaartgegevensomgeving (CDE). Beleidsregels voor het bewaren van gegevens. Verzamelde gegevens moeten worden verwijderd wanneer ze niet langer nodig zijn. Zoek en verwijder kaarthoudergegevens die langer zijn opgeslagen dan de toelaatbare levensduur.	Detectie van PCI en kaarthoudergegevens Gebruik ingebouwde gegevensdetectieregels om PCI en kaarthoudergegevens te zoeken die zijn opgeslagen door uw organisatie. Maak een inventaris van de gegevens die zijn opgeslagen, waar, door wie en hoe lang. Dit biedt beheerders de mogelijkheid te garanderen dat alleen benodigde gegevens zijn opgeslagen. ROT-gegevensanalyse Identificeer oude, inactieve en ongewijzigde bestanden om te garanderen dat de kaarthoudergegevens niet langer worden opgeslagen dan de bedoelde bewaartermijn. Geplande scans voor de risicobeoordeling van gegevens Voer periodieke scans voor de detectie van kaarthoudergegevens, schakel incrementeel scannen in van nieuwe en recent gewijzigde bestanden, en controleer of elk exemplaar van geregelde gegevens worden gedetecteerd en gecatalogiseerd. U kunt ook scripts gebruiken voor het in quarantaine plaatsen of verwijderen van bestanden die een inbreuk zijn op het opslagbeleid van vertrouwelijke gegevens.
Vereiste 3.2 Sla geen vertrouwelijke verificatiegegevens op na de machtiging. Vertrouwelijke verificatiegegevens omvatten de kaarthoudernaam, primair accountnummer (PAN), kaartverificatiecode, persoonlijk identificatienummer (PIN) en meer. Het is toegestaan voor uitgevers en bedrijven die uitgiftediensten ondersteunen om vertrouwelijke authenticatiegegevens op te slaan als: Er is een zakelijke rechtvaardiging En de gegevens worden veilig opgeslagen	Onderzoek gegevensbronnen en controleer of er geen vertrouwelijke verificatiegegevens worden opgeslagen na de autorisatie.	Detectie van PCI-gegevens Implementeer effectieve gegevensdetectie met een combinatie van de afstemming van trefwoorden met de afstemming van patronen. Samen zullen deze u helpen bij het zoeken van kaartverificatiewaarden (CVV), PIN, PAN en andere authenticatiegegevens. Vertrouwensscore Controleer de context van potentiële overeenkomsten om de zekerheid te bepalen dat een overeenkomst een True Positive is in plaats van een False Positive. Automatisering reactie Automatiseer het verwijderen of in quarantaine plaatsen van gedetecteerde kaartgegevens, of beperk het gebruik ervan door het uitvoeren van een aangepaste actie met scripts.
Vereiste 3.5.2 Beperk de toegang tot cryptografische codes tot het minste aantal beheerders dat nodig is.	Bestudeer de machtigingen die gekoppeld zijn met belangrijke bestanden en zorg ervoor dat de toegang beperkt is tot het kleinste aantal benodigde beheerders.	Rapportage van NTFS- en share-machtigingen Ontvang gedetailleerde rapporten over de NTFS- en share-machtigingen van bestanden en mappen om te weten welke gebruiker ervoor toestemming heeft..
Vereiste 7.1 Beperk toegang tot systeemcomponenten en gegevens van kaarthouders alleen tot die personen voor wiens werk dergelijke toegang vereist is. 7.1.1 Definieer toegangsbehoeften voor elke rol 7.1.2 Beperk de toegang tot bevoorrechte gebruikers-id's 7.1.3 Wijs toegang toe op basis van de taakclassificatie en de functie van individuele personeelsleden. Opmerking: Systeemcomponenten omvatten netwerkapparaten, servers, computers en toepassingen.	Controleer of de bevoegdheden die zijn toegewezen aan bevoorrechte en niet-bevoorrechte gebruikers, de volgende zijn: Nodig voor de taakfunctie van die individuele persoon Beperkt tot het kleinste aantal bevoegdheden dat nodig is voor het uitvoeren van de taakverantwoordelijkheden.	Rapportage NTFS-machtigingen Geef gebruikers weer die toegang hebben tot bestanden die kaarthoudergegevens bevatten, samen met details over de acties die elke gebruiker erop kan uitvoeren. Doeltreffende machtigingsanalyse Garandeer de vertrouwelijkheid van kaarthoudergegevens door het analyseren en rapporten over effectieve machtigingen. Controleer of gebruikers niet meer bevoegdheden hebben dan vereist voor hun rol. Detectie van te lang blootgestelde bestanden Zoek bestanden die toegankelijk zijn voor elke werknemer en bestanden die de volledige beheertoegang tot gebruikers toestaan.
Vereiste 8.1.3 Onmiddellijk toegang intrekken voor beëindigde gebruikers.	Controleer of gebruikers die uw organisatie hebben verlaten, uit de bestandstoegangslijsten zijn verwijderd.	Eigendom van bestand analyseren Identificeer zwevende bestanden en bestanden die eigendom zijn van oude, uitgeschakelde of inactieve gebruikers om kwaadaardige pogingen om bestanden te wijzigen door voormalige werknemers die uit dienst zijn.
Vereiste 10.1 Implementeer audittrails om elke toegang tot systeemcomponenten te koppelen aan elke individuele gebruiker.	Genereer controlelogboeken die de mogelijkheid bieden om verdachte activiteit terug te traceren naar een specifieke gebruiker.	Gedetailleerde audittrail Volg kritieke bestandstoegang, gebruik van web-apps, USB-gebruik, printergebruik en meer met een gecentraliseerd toegangscontrolelogboek. Hoofdoorzaakanalyse Gebruik granulaire rapportfilteropties om de hoofdoorzaak sneller te analyseren en de omvang van een inbreuk vast te stellen.
Vereiste 10.2 Implementeer automatische audittrails voor alle systeemcomponenten voor het reconstrueren van de volgende gebeurtenissen: 10.2.1 Alle individuele gebruikerstoegangen tot kaarthoudergegevens 10.2.2 Alle acties die zijn ondernomen door elke individuele persoon met hoofd- of beheerdersbevoegdheden	Controleer gebruikersactiviteit in uw CDE in realtime. Volg wijzigingen die zijn aangebracht door gebruikers met beheerdersbevoegdheden.	Bewaking van bestandsactiviteit Volg alle bestands- en mapgebeurtenissen die optreden in uw PCI-omgeving en de gegevensopslagomgeving van kaarthouders, zoals lezen, maken, wijzigen, overschrijven, verplaatsen, hernoemen, verwijderen en machtigingswijzigingen. Bewaking van bevoorrechte gebruikers Geef gebruikers weer met bevoorrechte toegang tot vertrouwelijke rapporten en pas rapporten aan om alle bestandswijzigingen eraan te bewaken.
Vereiste 10.3 Registreer minstens de volgende gegevens van de audittrail voor elke gebeurtenis: 10.3.1 Gebruikersidentificatie 10.3.2 Type gebeurtenis 10.3.3 Datum en tijd 10.3.4 Indicatie van slagen of mislukken 10.3.5 Oorsprong van gebeurtenis 10.3.6 Identiteit of naam van betrokken gegevens	Verzamel gedetailleerde logboeken over de gebruikersactiviteit in uw CDE.	Controle van wijzigingen in real-time Krijg complete informatie over elke bestandstoegang, inclusief details over wie geprobeerd heeft om wat te wijzigen, in welk bestand, wanneer, vanaf waar en of ze gelukt worden.
Vereiste 10.5 Beveilig audittrails zodat ze niet kunnen worden gewijzigd. 10.5.5 Gebruik bewaking van bestandsintegriteit of software voor de detectie van wijzigingen op logboeken om te verzekeren dat bestaande logboekgegevens niet kunnen worden gewijzigd zonder waarschuwingen te genereren (hoewel het toevoegen van nieuwe gegevens geen waarschuwing zou moeten veroorzaken).	Implementeer de bewaking van bestandsintegriteit of wijzig detectiesystemen om te controleren op wijzigingen aan kritieke bestanden, en stuur meldingen wanneer dergelijke wijzigingen worden opgemerkt.	Bewaking van PCI-bestandsintegriteit Controleer alle gelukte en mislukte bestandstoegangspogingen in realtime. Houd een gedetailleerde audittrail bij voor analyse. Waarschuwingen in real-time Activeer directe waarschuwingen om belanghebbenden op de hoogte te brengen wanneer verdachte bestandswijzigingen worden gedetecteerd. Automatische reactie op beveiligingsincidenten Voer automatische reacties uit om potentiële schade te minimaliseren in het geval van een beveiligingsincident.
Vereiste 10.6 Controleer logboeken en beveiligingsgebeurtenissen voor alle systeemcomponenten voor het identificeren van afwijkingen of verdachte activiteit.	Regelmatige logboekcontroles kunnen onbevoegde toegang tot de omgeving van kaarthoudergegevens identificeren en proactief aanpakken. Dit vermindert ook de tijd die wordt genomen voor het detecteren van een potentiële inbreuk.	Geplande levering van PCI-nalevingsrapporten Lever geplande rapporten in postvakken van belanghebbende in PDF, HTML, CSV of XLSX.
Vereiste 10.7 Behoud de geschiedenis van audittrails ten minste een jaar, met een minimum van drie maanden onmiddellijk beschikbaar voor analyse (bijvoorbeeld online, gearchiveerd of herstelbaar vanaf een back-up).	Het duurt vaak even om een gevaar op te merken. Daarom garandeert het bijhouden van logboeken gedurende minstens een jaar, dat onderzoekers voldoende logboekgeschiedenis hebben om de duur van een potentiële inbreuk en de impact ervan te bepalen.	Auditlogboeken op lange termijn bewaren Bewaar controlegegevens voor lange perioden. U kunt ook oudere logboeken archiveren en ze uploaden op een latere datum om bestandstoegang te analyseren.
Vereiste 11.5 Implementeer een wijzigingsdetectiemechanisme (zoals hulpprogramma voor het bewaken van de bestandsintegriteit) voor het waarschuwen van het personeel voor een onbevoegde wijziging (inclusief wijzigingen, toevoegingen en verwijderingen) van kritieke systeembestanden, configuratiebestanden of inhoudsbestanden; en configureer het hulpprogramma om kritieke bestandsvergelijkingen minstens eenmaal per week uit te voeren.	Bewaak wijzigingen in de uitvoerbare systeembestanden, uitvoerbare toepassingsbestanden, configuratie- en parameterbestanden en meer. Activeer waarschuwingen in het geval van onverwachte wijzigingen.	FIM Controleer wijzigingen die zijn aangebracht aan voor de toepassing en het OS kritieke binaire bestanden, configuratiebestanden, toepassingsbestanden, logboekbestanden en meer. Directe waarschuwingen Breng beheerders onmiddellijk op de hoogte wanneer abnormale bestandswijzigingen worden gedetecteerd. Aangepaste incidentreacties uitvoeren Automatiseer batchbestanden om machines uit te schakelen, gebruikerssessies te beëindigen en meer.
Vereiste 12.3.10 Voor personeelsleden die toegang hebben tot kaarthoudergegevens via externe toegangstechnologieën, kunt u het kopiëren, verplaatsen en opslaan van kaarthoudergegevens op lokale harde schijven en verwisselbare elektronische media verbieden, tenzij dit uitdrukkelijk is toegestaan voor een gedefinieerde zakelijke behoefte.	Verbied gebruikers om kaarthoudergegevens op te slaan of te kopiëren op hun lokale pc's of andere media, tenzij ze expliciet de toestemming hiervoor hebben gekregen.	Kopieerbeveiliging bestanden Bewaak acties van bestandskopieën in realtime en verhinder de ongewenste overdracht van kritieke gegevens via lokale en netwerkshares. USB-schrijfbeveiliging Plaats verdachte USB-apparaten in de blokkeerlijst en verhinder dat gebruikers vertrouwelijke gegevens exfiltreren.
Vereiste A3.2.5 Implementeer een methodologie voor gegevensdetectie om het bereik van PCI DSS te bevestigen en om alle bronnen en locaties van clear-text PAN minstens eenmaal per drie maanden te lokaliseren en in het geval van belangrijke wijzigingen van de kaarthouderomgeving of processen. A3.2.5.1 Gegevensdetectiemethoden moeten in staat zijn om clear-text PAN te detecteren op alle types systeemcomponenten en bestandsindelingen in gebruik. A3.2.5.2 Implementeer de reactieprocedures die moeten worden gestart bij de detectie van clear-text PAN buiten de CDE voor het opnemen van: Procedures voor het bepalen wat er moet gebeuren als clear-text PAN wordt gedetecteerd buiten de CDE, inclusief het ophalen, veilig verwijderen en/of migreren in de momenteel gedefinieerde CDE Procedures voor het bepalen hoe de gegevens buiten de CDE zijn beland Procedures voor het identificeren van de bron van de gegevens	Rapporteer periodiek over de locaties van kaarthoudergegevens in een bestandsopslagomgeving. Identificeer vertrouwelijke gegevens die zich buiten de gedefinieerde CDE bevinden. Voer corrigerende acties uit wanneer vertrouwelijke gegevens zijn ontdekt buiten de CDE.	Op planning gebaseerde PCI-gegevensdetectie Identificeer en documenteer PCI-gegevens (inclusief clear-text PAN) in de volledige bedrijfsopslagruimte. Zichtbaarheid van meerdere platforms Detecteer vertrouwelijke kaarthouder- en PCI-gegevens in Windows-bestandsservers, failover-clusters en MSSQL-databases. Herstel automatiseren Als er vertrouwelijke gegevens zijn gevonden buiten de CDE, kan DataSecurity Plus worden geconfigureerd om ze automatisch te verwijderen, verplaatsen of op een andere manier te beheren. Eigendoms- en toegangsanalyse Weet wie eigenaar is van het vertrouwelijke bestand en traceer alle gebruikersacties in het tijdframe dat wordt geanalyseerd. Dit zal u helpen bepalen hoe het buiten de CDE is aanbeland.
Vereiste A3.2.6 Implementeer mechanismen voor het detecteren van en voorkomen dat clear-text PAN de CDE verlaat via een onbevoegd kanaal, methode of proces, inclusief het genereren van auditlogboeken en waarschuwingen. A3.2.6.1 Implementeer reactieprocedures die moeten worden gestart bij de detectie van pogingen om clear-text PAN te verwijderen van de CDE via een onbevoegd kanaal, methode of proces.	Implementeer oplossingen voor de preventie van gegevensverlies (DLP = data loss prevention) voor het detecteren en voorkomen van lekken via e-mails, verwisselbare media en printers.	Uniform platform voor de preventie van gegevensverlies Classificeer vertrouwelijke gegevens en voorkomen het lekken ervan via externe opslagapparaten, Outlook en printers. Gebruik van randapparatuur beheren Beperk het gebruik van USB-apparaten, draadloze toegangspunten en cd-/dvd-stations met centrale apparaatbeheerbeleidslijnen als bescherming tegen de exfiltratie van gegevens. Gegevenslekken via USB's voorkomen Blokkeer USB-apparaten als reactie op abnormale gegevensoverdrachten en pogingen tot het exfiltreren van vertrouwelijke gegevens.
Vereiste A3.4.1 Controleer gebruikersaccounts en toegangsbevoegdheden voor in-scope systeemcomponenten minstens elke zes maanden om zeker te zijn dat gebruikersaccounts en -toegang geschikt blijven op basis van de taakfunctie. PCI DSS-referentie: Vereiste 7	Controleer minstens elke zes maanden de toegangsbevoegdheden van gebruikers en controleer of ze geschikt zijn voor hun taakfuncties.	Analyse beveiligingsmachtiging: Volg machtigingswijzigingen, geef effectieve machtigingen weer, identificeer bestanden die toegankelijk zijn voor elke werknemer, zoek gebruikers moet volledige beheerbevoegdheden en meer om te helpen garanderen dat het principe van minste bevoegdheid (PoLP) wordt gevolgd. Deze rapporten kunnen volgens een bepaalde planning via e-mail worden verzonden naar meerdere belanghebbenden.
Vereiste A3.5.1 Implementeer een methodologie voor de tijdige identificatie van aanvalspatronen en ongewenst gedrag over meerdere systemen, bijvoorbeeld bij het gebruik van gecoördineerde handmatige controles en/of centraal beheerde of hulpprogramma’s voor geautomatiseerde logboekcorrelatie, om minstens het volgende op te nemen: Identificatie van afwijkingen of verdachte activiteit wanneer deze optreedt Het verstrekken van tijdige waarschuwingen aan het verantwoordelijke personeel bij de detectie van verdachte activiteit of afwijkingen Reactie op waarschuwingen in overeenstemming met de gedocumenteerde reactieprocedures PCI DSS-referentie: Vereisten 10, 12	Stel een oplossing in die ongewenste gebeurtenissen, zoals kritieke bestandswijzigingen en inbraken, kan identificeren en beheerders onmiddellijk kan melden.	Opsporing anomalieën Identificeer afwijkende gebruikersactiviteit, zoals bestandstoegang na de werkuren, een overmatig aantal mislukte toegangspogingen en meer. Snelle waarschuwingen Configureer waarschuwingen voor ongewenste wijzigingen in kritieke bestanden, detectie van vertrouwelijke gegevens buiten de CDE en meer. Bedreigingsdetectie en -reactie Detecteer ransomware-inbraken en voer scripts uit om geïnfecteerde machines in quarantaine te plaatsen en de verspreiding van malware te voorkomen.

Wat de PCI-vereisten zijn

Wat u moet doen

Hoe DataSecurity Plus u helpt

Vereiste 2.2.5

Verwijder alle onnodige functies, zoals scripts, stuurprogramma's, functies, subsystemen, bestandssystemen en onnodige webservers.

Identificeer alle systeemcomponenten, inclusief scripts en bestandssystemen, en verwijder deze die niet in gebruik zijn.

Ongebruikte bestanden zoeken:

Ontvang rapporten over bestanden, scripts, batchbestanden en meer die langere tijd niet werden geopend of gewijzigd. Deze rapporten vereenvoudigen overtollig, verouderd en triviaal (ROT) bestandsbeheer en verminderen het aantal kwetsbare bestanden met verouderde machtigingen of gegevens.

Vereiste 3.1

Beperk de opslag van kaarthoudergegevens tot een minimum door het implementeren van beleidsregels, procedures en processen voor bewaren en verwijderen van gegevens, die minstens het volgende bevatten voor de opslag van alle kaarthoudergegevens:

Het beperken van de hoeveelheid gegevensopslag en bewaartijd tot hetgeen vereist is voor wettelijke, regelgevende en/of zakelijke vereisten
Specifieke vereisten voor het bewaren van kaarthoudergegevens
Processen voor het veilig verwijderen van gegevens wanneer ze niet langer nodig zijn
Een driemaandelijks proces voor het identificeren en veilig verwijderen van opgeslagen kaarthoudergegevens die de gedefinieerde bewaartermijn overschrijdt

Scan periodiek op geregelde gegevens in uw kaartgegevensomgeving (CDE).
Beleidsregels voor het bewaren van gegevens. Verzamelde gegevens moeten worden verwijderd wanneer ze niet langer nodig zijn.
Zoek en verwijder kaarthoudergegevens die langer zijn opgeslagen dan de toelaatbare levensduur.

Detectie van PCI en kaarthoudergegevens

Gebruik ingebouwde gegevensdetectieregels om PCI en kaarthoudergegevens te zoeken die zijn opgeslagen door uw organisatie. Maak een inventaris van de gegevens die zijn opgeslagen, waar, door wie en hoe lang. Dit biedt beheerders de mogelijkheid te garanderen dat alleen benodigde gegevens zijn opgeslagen.

ROT-gegevensanalyse

Identificeer oude, inactieve en ongewijzigde bestanden om te garanderen dat de kaarthoudergegevens niet langer worden opgeslagen dan de bedoelde bewaartermijn.

Geplande scans voor de risicobeoordeling van gegevens

Voer periodieke scans voor de detectie van kaarthoudergegevens, schakel incrementeel scannen in van nieuwe en recent gewijzigde bestanden, en controleer of elk exemplaar van geregelde gegevens worden gedetecteerd en gecatalogiseerd. U kunt ook scripts gebruiken voor het in quarantaine plaatsen of verwijderen van bestanden die een inbreuk zijn op het opslagbeleid van vertrouwelijke gegevens.

Vereiste 3.2

Sla geen vertrouwelijke verificatiegegevens op na de machtiging.

Vertrouwelijke verificatiegegevens omvatten de kaarthoudernaam, primair accountnummer (PAN), kaartverificatiecode, persoonlijk identificatienummer (PIN) en meer.

Het is toegestaan voor uitgevers en bedrijven die uitgiftediensten ondersteunen om vertrouwelijke authenticatiegegevens op te slaan als:

Er is een zakelijke rechtvaardiging
En de gegevens worden veilig opgeslagen

Onderzoek gegevensbronnen en controleer of er geen vertrouwelijke verificatiegegevens worden opgeslagen na de autorisatie.

Detectie van PCI-gegevens

Implementeer effectieve gegevensdetectie met een combinatie van de afstemming van trefwoorden met de afstemming van patronen. Samen zullen deze u helpen bij het zoeken van kaartverificatiewaarden (CVV), PIN, PAN en andere authenticatiegegevens.

Vertrouwensscore

Controleer de context van potentiële overeenkomsten om de zekerheid te bepalen dat een overeenkomst een True Positive is in plaats van een False Positive.

Automatisering reactie

Automatiseer het verwijderen of in quarantaine plaatsen van gedetecteerde kaartgegevens, of beperk het gebruik ervan door het uitvoeren van een aangepaste actie met scripts.

Vereiste 3.5.2

Beperk de toegang tot cryptografische codes tot het minste aantal beheerders dat nodig is.

Bestudeer de machtigingen die gekoppeld zijn met belangrijke bestanden en zorg ervoor dat de toegang beperkt is tot het kleinste aantal benodigde beheerders.

Rapportage van NTFS- en share-machtigingen

Ontvang gedetailleerde rapporten over de NTFS- en share-machtigingen van bestanden en mappen om te weten welke gebruiker ervoor toestemming heeft..

Vereiste 7.1

Beperk toegang tot systeemcomponenten en gegevens van kaarthouders alleen tot die personen voor wiens werk dergelijke toegang vereist is.

7.1.1 Definieer toegangsbehoeften voor elke rol

7.1.2 Beperk de toegang tot bevoorrechte gebruikers-id's

7.1.3 Wijs toegang toe op basis van de taakclassificatie en de functie van individuele personeelsleden.

Opmerking: Systeemcomponenten omvatten netwerkapparaten, servers, computers en toepassingen.

Controleer of de bevoegdheden die zijn toegewezen aan bevoorrechte en niet-bevoorrechte gebruikers, de volgende zijn:

Nodig voor de taakfunctie van die individuele persoon
Beperkt tot het kleinste aantal bevoegdheden dat nodig is voor het uitvoeren van de taakverantwoordelijkheden.

Rapportage NTFS-machtigingen

Geef gebruikers weer die toegang hebben tot bestanden die kaarthoudergegevens bevatten, samen met details over de acties die elke gebruiker erop kan uitvoeren.

Doeltreffende machtigingsanalyse

Garandeer de vertrouwelijkheid van kaarthoudergegevens door het analyseren en rapporten over effectieve machtigingen. Controleer of gebruikers niet meer bevoegdheden hebben dan vereist voor hun rol.

Detectie van te lang blootgestelde bestanden

Zoek bestanden die toegankelijk zijn voor elke werknemer en bestanden die de volledige beheertoegang tot gebruikers toestaan.

Vereiste 8.1.3

Onmiddellijk toegang intrekken voor beëindigde gebruikers.

Controleer of gebruikers die uw organisatie hebben verlaten, uit de bestandstoegangslijsten zijn verwijderd.

Eigendom van bestand analyseren

Identificeer zwevende bestanden en bestanden die eigendom zijn van oude, uitgeschakelde of inactieve gebruikers om kwaadaardige pogingen om bestanden te wijzigen door voormalige werknemers die uit dienst zijn.

Vereiste 10.1

Implementeer audittrails om elke toegang tot systeemcomponenten te koppelen aan elke individuele gebruiker.

Genereer controlelogboeken die de mogelijkheid bieden om verdachte activiteit terug te traceren naar een specifieke gebruiker.

Gedetailleerde audittrail

Volg kritieke bestandstoegang, gebruik van web-apps, USB-gebruik, printergebruik en meer met een gecentraliseerd toegangscontrolelogboek.

Hoofdoorzaakanalyse

Gebruik granulaire rapportfilteropties om de hoofdoorzaak sneller te analyseren en de omvang van een inbreuk vast te stellen.

Vereiste 10.2

Implementeer automatische audittrails voor alle systeemcomponenten voor het reconstrueren van de volgende gebeurtenissen:

10.2.1 Alle individuele gebruikerstoegangen tot kaarthoudergegevens

10.2.2 Alle acties die zijn ondernomen door elke individuele persoon met hoofd- of beheerdersbevoegdheden

Controleer gebruikersactiviteit in uw CDE in realtime.
Volg wijzigingen die zijn aangebracht door gebruikers met beheerdersbevoegdheden.

Bewaking van bestandsactiviteit

Volg alle bestands- en mapgebeurtenissen die optreden in uw PCI-omgeving en de gegevensopslagomgeving van kaarthouders, zoals lezen, maken, wijzigen, overschrijven, verplaatsen, hernoemen, verwijderen en machtigingswijzigingen.

Bewaking van bevoorrechte gebruikers

Geef gebruikers weer met bevoorrechte toegang tot vertrouwelijke rapporten en pas rapporten aan om alle bestandswijzigingen eraan te bewaken.

Vereiste 10.3

Registreer minstens de volgende gegevens van de audittrail voor elke gebeurtenis:

10.3.1 Gebruikersidentificatie

10.3.2 Type gebeurtenis

10.3.3 Datum en tijd

10.3.4 Indicatie van slagen of mislukken

10.3.5 Oorsprong van gebeurtenis

10.3.6 Identiteit of naam van betrokken gegevens

Verzamel gedetailleerde logboeken over de gebruikersactiviteit in uw CDE.

Controle van wijzigingen in real-time

Krijg complete informatie over elke bestandstoegang, inclusief details over wie geprobeerd heeft om wat te wijzigen, in welk bestand, wanneer, vanaf waar en of ze gelukt worden.

Vereiste 10.5

Beveilig audittrails zodat ze niet kunnen worden gewijzigd.

10.5.5 Gebruik bewaking van bestandsintegriteit of software voor de detectie van wijzigingen op logboeken om te verzekeren dat bestaande logboekgegevens niet kunnen worden gewijzigd zonder waarschuwingen te genereren (hoewel het toevoegen van nieuwe gegevens geen waarschuwing zou moeten veroorzaken).

Implementeer de bewaking van bestandsintegriteit of wijzig detectiesystemen om te controleren op wijzigingen aan kritieke bestanden, en stuur meldingen wanneer dergelijke wijzigingen worden opgemerkt.

Bewaking van PCI-bestandsintegriteit

Controleer alle gelukte en mislukte bestandstoegangspogingen in realtime. Houd een gedetailleerde audittrail bij voor analyse.

Waarschuwingen in real-time

Activeer directe waarschuwingen om belanghebbenden op de hoogte te brengen wanneer verdachte bestandswijzigingen worden gedetecteerd.

Automatische reactie op beveiligingsincidenten

Voer automatische reacties uit om potentiële schade te minimaliseren in het geval van een beveiligingsincident.

Vereiste 10.6

Controleer logboeken en beveiligingsgebeurtenissen voor alle systeemcomponenten voor het identificeren van afwijkingen of verdachte activiteit.

Regelmatige logboekcontroles kunnen onbevoegde toegang tot de omgeving van kaarthoudergegevens identificeren en proactief aanpakken. Dit vermindert ook de tijd die wordt genomen voor het detecteren van een potentiële inbreuk.

Geplande levering van PCI-nalevingsrapporten

Lever geplande rapporten in postvakken van belanghebbende in PDF, HTML, CSV of XLSX.

Vereiste 10.7

Behoud de geschiedenis van audittrails ten minste een jaar, met een minimum van drie maanden onmiddellijk beschikbaar voor analyse (bijvoorbeeld online, gearchiveerd of herstelbaar vanaf een back-up).

Het duurt vaak even om een gevaar op te merken. Daarom garandeert het bijhouden van logboeken gedurende minstens een jaar, dat onderzoekers voldoende logboekgeschiedenis hebben om de duur van een potentiële inbreuk en de impact ervan te bepalen.

Auditlogboeken op lange termijn bewaren

Bewaar controlegegevens voor lange perioden. U kunt ook oudere logboeken archiveren en ze uploaden op een latere datum om bestandstoegang te analyseren.

Vereiste 11.5

Implementeer een wijzigingsdetectiemechanisme (zoals hulpprogramma voor het bewaken van de bestandsintegriteit) voor het waarschuwen van het personeel voor een onbevoegde wijziging (inclusief wijzigingen, toevoegingen en verwijderingen) van kritieke systeembestanden, configuratiebestanden of inhoudsbestanden; en configureer het hulpprogramma om kritieke bestandsvergelijkingen minstens eenmaal per week uit te voeren.

Bewaak wijzigingen in de uitvoerbare systeembestanden, uitvoerbare toepassingsbestanden, configuratie- en parameterbestanden en meer.
Activeer waarschuwingen in het geval van onverwachte wijzigingen.

FIM

Controleer wijzigingen die zijn aangebracht aan voor de toepassing en het OS kritieke binaire bestanden, configuratiebestanden, toepassingsbestanden, logboekbestanden en meer.

Directe waarschuwingen

Breng beheerders onmiddellijk op de hoogte wanneer abnormale bestandswijzigingen worden gedetecteerd.

Aangepaste incidentreacties uitvoeren

Automatiseer batchbestanden om machines uit te schakelen, gebruikerssessies te beëindigen en meer.

Vereiste 12.3.10

Voor personeelsleden die toegang hebben tot kaarthoudergegevens via externe toegangstechnologieën, kunt u het kopiëren, verplaatsen en opslaan van kaarthoudergegevens op lokale harde schijven en verwisselbare elektronische media verbieden, tenzij dit uitdrukkelijk is toegestaan voor een gedefinieerde zakelijke behoefte.

Verbied gebruikers om kaarthoudergegevens op te slaan of te kopiëren op hun lokale pc's of andere media, tenzij ze expliciet de toestemming hiervoor hebben gekregen.

Kopieerbeveiliging bestanden

Bewaak acties van bestandskopieën in realtime en verhinder de ongewenste overdracht van kritieke gegevens via lokale en netwerkshares.

USB-schrijfbeveiliging

Plaats verdachte USB-apparaten in de blokkeerlijst en verhinder dat gebruikers vertrouwelijke gegevens exfiltreren.

Vereiste A3.2.5

Implementeer een methodologie voor gegevensdetectie om het bereik van PCI DSS te bevestigen en om alle bronnen en locaties van clear-text PAN minstens eenmaal per drie maanden te lokaliseren en in het geval van belangrijke wijzigingen van de kaarthouderomgeving of processen.

A3.2.5.1

Gegevensdetectiemethoden moeten in staat zijn om clear-text PAN te detecteren op alle types systeemcomponenten en bestandsindelingen in gebruik.

A3.2.5.2

Implementeer de reactieprocedures die moeten worden gestart bij de detectie van clear-text PAN buiten de CDE voor het opnemen van:

Procedures voor het bepalen wat er moet gebeuren als clear-text PAN wordt gedetecteerd buiten de CDE, inclusief het ophalen, veilig verwijderen en/of migreren in de momenteel gedefinieerde CDE
Procedures voor het bepalen hoe de gegevens buiten de CDE zijn beland
Procedures voor het identificeren van de bron van de gegevens

Rapporteer periodiek over de locaties van kaarthoudergegevens in een bestandsopslagomgeving.
Identificeer vertrouwelijke gegevens die zich buiten de gedefinieerde CDE bevinden.
Voer corrigerende acties uit wanneer vertrouwelijke gegevens zijn ontdekt buiten de CDE.

Op planning gebaseerde PCI-gegevensdetectie

Identificeer en documenteer PCI-gegevens (inclusief clear-text PAN) in de volledige bedrijfsopslagruimte.

Zichtbaarheid van meerdere platforms

Detecteer vertrouwelijke kaarthouder- en PCI-gegevens in Windows-bestandsservers, failover-clusters en MSSQL-databases.

Herstel automatiseren

Als er vertrouwelijke gegevens zijn gevonden buiten de CDE, kan DataSecurity Plus worden geconfigureerd om ze automatisch te verwijderen, verplaatsen of op een andere manier te beheren.

Eigendoms- en toegangsanalyse

Weet wie eigenaar is van het vertrouwelijke bestand en traceer alle gebruikersacties in het tijdframe dat wordt geanalyseerd. Dit zal u helpen bepalen hoe het buiten de CDE is aanbeland.

Vereiste A3.2.6

Implementeer mechanismen voor het detecteren van en voorkomen dat clear-text PAN de CDE verlaat via een onbevoegd kanaal, methode of proces, inclusief het genereren van auditlogboeken en waarschuwingen.

A3.2.6.1

Implementeer reactieprocedures die moeten worden gestart bij de detectie van pogingen om clear-text PAN te verwijderen van de CDE via een onbevoegd kanaal, methode of proces.

Implementeer oplossingen voor de preventie van gegevensverlies (DLP = data loss prevention) voor het detecteren en voorkomen van lekken via e-mails, verwisselbare media en printers.

Uniform platform voor de preventie van gegevensverlies

Classificeer vertrouwelijke gegevens en voorkomen het lekken ervan via externe opslagapparaten, Outlook en printers.

Gebruik van randapparatuur beheren

Beperk het gebruik van USB-apparaten, draadloze toegangspunten en cd-/dvd-stations met centrale apparaatbeheerbeleidslijnen als bescherming tegen de exfiltratie van gegevens.

Gegevenslekken via USB's voorkomen

Blokkeer USB-apparaten als reactie op abnormale gegevensoverdrachten en pogingen tot het exfiltreren van vertrouwelijke gegevens.

Vereiste A3.4.1

Controleer gebruikersaccounts en toegangsbevoegdheden voor in-scope systeemcomponenten minstens elke zes maanden om zeker te zijn dat gebruikersaccounts en -toegang geschikt blijven op basis van de taakfunctie.

PCI DSS-referentie: Vereiste 7

Controleer minstens elke zes maanden de toegangsbevoegdheden van gebruikers en controleer of ze geschikt zijn voor hun taakfuncties.

Analyse beveiligingsmachtiging:

Volg machtigingswijzigingen, geef effectieve machtigingen weer, identificeer bestanden die toegankelijk zijn voor elke werknemer, zoek gebruikers moet volledige beheerbevoegdheden en meer om te helpen garanderen dat het principe van minste bevoegdheid (PoLP) wordt gevolgd.

Deze rapporten kunnen volgens een bepaalde planning via e-mail worden verzonden naar meerdere belanghebbenden.

Vereiste A3.5.1

Implementeer een methodologie voor de tijdige identificatie van aanvalspatronen en ongewenst gedrag over meerdere systemen, bijvoorbeeld bij het gebruik van gecoördineerde handmatige controles en/of centraal beheerde of hulpprogramma’s voor geautomatiseerde logboekcorrelatie, om minstens het volgende op te nemen:

Identificatie van afwijkingen of verdachte activiteit wanneer deze optreedt
Het verstrekken van tijdige waarschuwingen aan het verantwoordelijke personeel bij de detectie van verdachte activiteit of afwijkingen
Reactie op waarschuwingen in overeenstemming met de gedocumenteerde reactieprocedures

PCI DSS-referentie: Vereisten 10, 12

Stel een oplossing in die ongewenste gebeurtenissen, zoals kritieke bestandswijzigingen en inbraken, kan identificeren en beheerders onmiddellijk kan melden.

Opsporing anomalieën

Identificeer afwijkende gebruikersactiviteit, zoals bestandstoegang na de werkuren, een overmatig aantal mislukte toegangspogingen en meer.

Snelle waarschuwingen

Configureer waarschuwingen voor ongewenste wijzigingen in kritieke bestanden, detectie van vertrouwelijke gegevens buiten de CDE en meer.

Bedreigingsdetectie en -reactie

Detecteer ransomware-inbraken en voer scripts uit om geïnfecteerde machines in quarantaine te plaatsen en de verspreiding van malware te voorkomen.

Vrijwaring (disclaimer): De volledige naleving van de POPIA vereist een verscheidenheid aan oplossingen, processen, mensen en technologieën. Deze pagina is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden beschouwd als juridisch advies voor naleving van de POPI-wet. ManageEngine geeft geen garanties, expliciet, impliciet of wettelijk, over de informatie in dit materiaal.

Opmerking: De hierboven vermeld inhoud is alleen van toepassing op PCI DSS versie 3.2.1. Sommige vereisten zullen al dan niet de nieuwste versie van PCI DSS 4.0 weerspiegelen. We herwerken momenteel de inhoud en deze zal binnenkort worden bijgewerkt.

Zorg voor gegevensbeveiliging en verkrijg -naleving

DataSecurity Plus helpt te voldoen aan de vereisten van talrijke nalevingsvoorschriften door
het beschermen van gegevens in rust, in gebruik en in beweging.

Zoekt u een uniforme oplossing die ook geïntegreerde DLP-capaciteiten heeft? Probeer vandaag Log360!

Gratis proefversie voor 30 dagen

PCI DSS-naleving bereiken met DataSecurity Plus