Osiągnięcie zgodności z PCI DSS
za pomocą programu DataSecurity Plus

Standard bezpieczeństwa danych branży kart płatniczych (PCI DSS) ma zastosowanie do wszystkich podmiotów zaangażowanych w przetwarzanie kart płatniczych, w tym sprzedawców, podmiotów przetwarzających, agentów rozliczeniowych, wystawców kart i dostawców usług. Dotyczy to również innych podmiotów, które akceptują, przechowują lub przesyłają informacje o kartach płatniczych, dane posiadaczy kart lub wrażliwe dane uwierzytelniające.

ManageEngine DataSecurity Plus — nasze oprogramowanie do zachowania zgodności z PCI — pomaga spełnić wymagania PCI DSS poprzez:

wykrywanie informacji o kartach płatniczych w środowiskach przechowywania i tworzenie odpowiednich raportów;
inspekcje sposobu zabezpieczania, przetwarzania i przesyłania poufnych plików;
monitorowanie integralności plików w środowisku danych kart;
lepszy wgląd w uprawnienia zabezpieczeń i przechowywanie plików;
ochrona poufnych plików przed przypadkowymi i złośliwymi wyciekami danych.

I nie tylko.

E-BOOK

Zapewnij większą zgodność z PCI DSS za pomocą programu DataSecurity Plus.

Pobierz e-booka
E-BOOK

Wszystko, co musisz wiedzieć o RODO i o tym, jak funkcja odnajdowania danych może pomóc Ci osiągnąć zgodność z tym rozporządzeniem.

Pobierz e-booka

Jak nasze oprogramowanie do zapewnienia zgodności z PCI DSS pomaga spełnić wymagania związane z PCI

Ta tabela zawiera listę różnych wymagań PCI DSS, które spełnia program DataSecurity Plus.

Wymagania PCI	Wymagane działania	Korzyści z programu DataSecurity Plus
Wymóg 2.2.5 Usuń wszystkie niepotrzebne funkcje, takie jak skrypty, sterowniki, funkcje, podsystemy, systemy plików i niepotrzebne serwery internetowe.	Zidentyfikuj wszystkie składniki systemowe, w tym skrypty i systemy plików, i usuń te, które nie są używane.	Zlokalizuj nieużywane pliki: Otrzymuj raporty o plikach, skryptach, plikach wsadowych i innych, które nie były dostępne ani modyfikowane przez dłuższy czas. Te raporty upraszczają zarządzanie zbędnymi, nieaktualnymi i nieistotnymi plikami (ROT) oraz zmniejszają liczbę podatnych na ataki plików z nieaktualnymi uprawnieniami lub danymi.
Wymóg 3.1 Ogranicz do minimum przechowywanie danych posiadaczy kart poprzez wdrożenie zasad przechowywania i usuwania danych, procedur i procesów obejmujących co najmniej następujące elementy w odniesieniu do wszystkich przechowywanych danych posiadaczy kart: ograniczenie ilości i czasu przechowywania danych do poziomu wymaganego przez wymogi prawne, regulacyjne i/lub biznesowe; szczególne wymogi dotyczące przechowywania danych posiadaczy kart; procesy bezpiecznego usuwania danych, gdy nie są już potrzebne; kwartalny proces identyfikacji i bezpiecznego usuwania przechowywanych danych posiadaczy kart, które przekraczają zdefiniowany okres przechowywania.	Regularnie skanuj kontrolowane dane w środowisku danych kart (CDE). Skonfiguruj zasady przechowywania danych — zebrane dane powinny być usuwane, gdy nie są już potrzebne. Lokalizuj i usuwaj dane posiadaczy kart, które są przechowywane dłużej niż jest to dozwolone.	Odnajdowanie danych PCI i posiadaczy kart Użyj wbudowanych reguł odnajdowania danych, aby zlokalizować dane PCI i dane posiadaczy kart przechowywane przez Twoją organizację. Utwórz rejestr tego, jakie dane są przechowywane, gdzie, przez kogo i jak długo. Pozwoli to administratorom kontrolować, czy przechowywane są tylko niezbędne dane. Analiza danych ROT Identyfikuj stare, nieaktualne i niezmodyfikowane pliki, aby mieć pewność, że dane posiadacza karty nie są przechowywane po upływie zamierzonego okresu przechowywania. Zaplanowane skanowanie w celu oceny zagrożeń dla danych Przeprowadzaj regularne skanowanie w poszukiwaniu danych posiadaczy kart, włącz przyrostowe skanowanie nowych i ostatnio zmodyfikowanych plików oraz upewnij się, że każde wystąpienie kontrolowanych danych zostaje wykryte i skatalogowane. Możesz także użyć skryptów, aby poddać kwarantannie lub usunąć pliki, które naruszają zasady przechowywania danych poufnych.
Wymóg 3.2 Nie przechowuj poufnych danych uwierzytelniających po autoryzacji. Wrażliwe dane uwierzytelniające obejmują imię i nazwisko posiadacza karty, główny numer konta (PAN), kod weryfikacyjny karty, osobisty numer identyfikacyjny (PIN) i inne. Wystawcy i firmy wspierające usługi wystawiania kart mogą przechowywać poufne dane uwierzytelniające, jeśli: istnieje uzasadnienie biznesowe, dane są przechowywane w bezpieczny sposób.	Sprawdzaj źródła danych i upewnij się, że poufne dane uwierzytelniające nie są przechowywane po autoryzacji.	Odnajdowanie danych PCI Skutecznie odnajduj dane za pomocą kombinacji dopasowywania słów kluczowych i dopasowywania wzorców. Razem pomogą one zlokalizować numer CVV, PIN, PAN i inne dane uwierzytelniające. Ocena zaufania Zweryfikuj kontekst potencjalnych dopasowań, aby określić stopień pewności, że dopasowanie jest wynikiem prawdziwie dodatnim, a nie fałszywie dodatnim. Automatyzacja odpowiedzi Zautomatyzuj usuwanie lub poddawanie kwarantannie wykrytych danych kart lub ogranicz ich wykorzystanie, wykonując niestandardowe działania za pomocą skryptów.
Wymóg 3.5.2 Ogranicz dostęp do kluczy kryptograficznych do jak najmniejszej liczby nadzorców.	Sprawdź uprawnienia związane z kluczowymi plikami i upewnij się, że dostęp do nich jest ograniczony do jak najmniejszej liczby niezbędnych nadzorców.	Tworzenie raportów o uprawnieniach do systemu plików NTFS i udostępniania Otrzymuj szczegółowe raporty dotyczące do systemu plików NTFS oraz udostępniania plików i folderów, aby wiedzieć, który użytkownik ma jakie uprawnienia.
Wymóg 7.1 Ogranicz dostęp do składników systemu i danych posiadaczy kart tylko do tych osób, których praca wymaga takiego dostępu. 7.1.1 Określenie potrzeb związanych z dostępem dla każdej roli 7.1.2 Ogranicz dostęp do identyfikatorów użytkowników uprzywilejowanych 7.1.3 Przypisz dostęp na podstawie klasyfikacji stanowisk i funkcji poszczególnych pracowników Uwaga: Składniki systemu obejmują urządzenia sieciowe, serwery, urządzenia do przetwarzania danych i aplikacje.	Sprawdzaj, czy uprawnienia przypisane do użytkowników uprzywilejowanych i nieuprzywilejowanych są: niezbędne do wykonywania przez daną osobę obowiązków służbowych, ograniczone do najniższego poziomu uprawnień niezbędnego do wykonywania obowiązków służbowych.	Tworzenie raportów o uprawnieniach do systemu plików NTFS Utwórz listę użytkowników, którzy mają dostęp do plików zawierających dane posiadaczy kart, wraz ze szczegółowymi informacjami na temat działań, które każdy użytkownik może na nich wykonać. Skuteczna analiza uprawnień Zapewnij poufność danych posiadaczy kart, analizując i tworząc raporty o rzeczywistych uprawnieniach. Sprawdź, czy użytkownicy nie mają większych uprawnień niż jest to wymagane dla ich roli. Wykrywanie nadmiernie narażonych plików Lokalizuj pliki, do których dostęp ma każdy pracownik oraz pliki, które umożliwiają pełną kontrolę dostępu użytkownikom.
Wymóg 8.1.3 Natychmiast odwołuj dostęp dla wszystkich użytkowników, którzy odeszli z organizacji.	Upewnij się, że użytkownicy, którzy zostali usunięci z organizacji, zostali również usunięci z list dostępu do plików.	Analiza własności plików Identyfikuj oddzielone pliki i pliki należące do nieaktualnych, wyłączonych lub nieaktywnych użytkowników, aby zapobiec złośliwym próbom zmiany plików przez zwolnionych pracowników.
Wymóg 10.1 Wdróż ścieżki audytu, aby połączyć cały dostęp do składników systemu z każdym indywidualnym użytkownikiem.	Generuj dzienniki inspekcji, które umożliwiają powiązanie podejrzanej aktywności z konkretnym użytkownikiem.	Szczegółowe dzienniki inspekcji Monitoruj próby dostępu do krytycznych plików, użycie aplikacji internetowych, urządzenia USB, drukarki i nie tylko dzięki scentralizowanemu dziennikowi inspekcji dostępu. Analiza głównej przyczyny Wykorzystaj szczegółowe opcje filtrowania raportów, aby przyspieszyć analizę głównych przyczyn i zidentyfikować zakres naruszenia.
Wymóg 10.2 Wdróż zautomatyzowane dzienniki inspekcji dla wszystkich składników systemu w celu odtworzenia następujących zdarzeń: 10.2.1 Wszystkie próby dostępu poszczególnych użytkowników do danych posiadaczy kart 10.2.2 Wszystkie działania podejmowane przez dowolną osobę z uprawnieniami głównymi lub administracyjnymi	Przeprowadzaj inspekcje działań użytkowników w CDE w czasie rzeczywistym. Monitoruj zmiany wprowadzone przez użytkowników z uprawnieniami administracyjnymi.	Monitorowanie działań na plikach Monitoruj wszystkie zdarzenia związane z plikami i folderami — odczyt, tworzenie, modyfikowanie, zastępowanie, przenoszenie, zmiana nazwy, usuwanie i zmiana uprawnień — występujące w środowisku przechowywania danych PCI i posiadaczy kart. Monitorowanie użytkowników z uprawnieniami Utwórz listę użytkowników z uprzywilejowanym dostępem do poufnych plików i dostosuj raporty w celu monitorowania wszystkich dokonanych przez nich zmian w plikach.
Wymóg 10.3 Rejestruj m.in. następujące wpisy dziennika inspekcji dla poszczególnych zdarzeń: 10.3.1 Identyfikacja użytkowników 10.3.2 Typ zdarzenia 10.3.3 Data i godzina 10.3.4 Wskazanie sukcesu lub niepowodzenia 10.3.5 Pochodzenie zdarzenia 10.3.6 Tożsamość lub nazwa naruszonych danych	Zbieraj szczegółowe dzienniki działań użytkowników w CDE.	Inspekcje zmian w czasie rzeczywistym Uzyskaj pełne informacje o każdym dostępie do pliku, w tym szczegółowe informacje o tym, kto próbował dokonać zmiany, w którym pliku, kiedy, skąd i czy zmiana się powiodła.
Wymóg 10.5 Zabezpiecz dzienniki inspekcji, aby nie można było ich zmienić. 10.5.5 Korzystaj z oprogramowania do monitorowania integralności plików lub wykrywania zmian w dziennikach, aby mieć pewność, że istniejące dane dziennika nie mogą zostać zmienione bez generowania alertów (chociaż dodawanie nowych danych nie powinno powodować alertu).	Wdróż systemy monitorowania integralności plików lub wykrywania zmian, aby sprawdzać zmiany w krytycznych plikach i wysyłać powiadomienia, gdy takie zmiany zostaną zauważone.	Monitorowanie integralności plików PCI Przeprowadzaj inspekcje wszystkich udanych i nieudanych prób dostępu do plików w czasie rzeczywistym. Przechowuj szczegółowy dziennik inspekcji do analizy. Alerty w czasie rzeczywistym Wyzwalaj natychmiastowe alerty, aby powiadamiać interesariuszy o wykryciu podejrzanych zmian w plikach. Automatyzacja reakcji na zdarzenia związane z zabezpieczeniami Wykonuj zautomatyzowane reakcje, aby zminimalizować potencjalne szkody w przypadku zdarzeń związanych z zabezpieczeniami.
Wymóg 10.6 Przeglądaj dzienniki i zdarzenia związane z zabezpieczeniami dla wszystkich składników systemu, aby identyfikować nietypowe lub podejrzane działania.	Regularne weryfikacje dzienników mogą identyfikować i aktywnie reagować na nieautoryzowany dostęp do środowiska danych posiadaczy kart. Skraca to również czas potrzebny na wykrycie potencjalnego naruszenia.	Zaplanowane dostarczanie raportów o zgodności PCI Dostarczaj zaplanowane raporty do skrzynek pocztowych interesariuszy w formacie PDF, HTML, CSV lub XLSX.
Wymóg 10.7 Przechowuj historię dziennika inspekcji przez co najmniej rok, z czego co najmniej trzy miesiące są natychmiast dostępne do analizy (na przykład online, zarchiwizowane lub przywrócone z kopii zapasowej).	Zauważenie naruszenia często zajmuje trochę czasu, dlatego przechowywanie dzienników przez co najmniej rok gwarantuje, że osoby prowadzące dochodzenie mają wystarczającą historię dzienników, aby określić czas potencjalnego naruszenia i jego wpływ.	Długoterminowe przechowywanie dzienników inspekcji Przechowuj dane z inspekcji przez długi czas. Możesz również archiwizować starsze dzienniki i przesyłać je w późniejszym terminie, aby analizować dostęp do plików.
Wymóg 11.5 Wdróż mechanizm wykrywania zmian (na przykład narzędzia do monitorowania integralności plików), aby ostrzegać personel o nieautoryzowanych modyfikacjach (w tym zmianach, dodawaniu i usuwaniu) krytycznych plików systemowych, plików konfiguracyjnych lub plików z zawartością; i skonfiguruj narzędzie do przeprowadzania porównań krytycznych plików co najmniej raz w tygodniu.	Monitoruj zmiany w plikach wykonywalnych systemu, plikach wykonywalnych aplikacji, plikach konfiguracyjnych, plikach parametrów i nie tylko. Wyzwalaj alerty w przypadku nieoczekiwanych zmian.	FIM Przeprowadzaj inspekcję zmian wprowadzonych w krytycznych dla aplikacji i systemu operacyjnego plikach binarnych, plikach konfiguracyjnych, plikach aplikacji, plikach dziennika i innych. Natychmiastowe alerty Natychmiast powiadamiaj administratorów o wykryciu anomalii w plikach. Wykonywanie niestandardowych reakcji na zdarzenia Automatyzuj pliki wsadowe, aby wyłączać komputery, sesje użytkowników końcowych i nie tylko.
Wymóg 12.3.10 W przypadku pracowników uzyskujących dostęp do danych posiadaczy kart za pośrednictwem technologii zdalnego dostępu zabrania się kopiowania, przenoszenia i przechowywania danych posiadaczy kart na lokalnych dyskach twardych i wymiennych nośnikach elektronicznych, chyba że zostało to wyraźnie zatwierdzone w związku z określonymi potrzebami biznesowymi.	Uniemożliwiaj użytkownikom przechowywanie lub kopiowanie danych posiadaczy kart na ich lokalnych komputerach osobistych lub innych nośnikach, chyba że zostali do tego wyraźnie upoważnieni.	Ochrona przed kopiowaniem plików Monitoruj działania kopiowania plików w czasie rzeczywistym i zapobiegaj nieuzasadnionemu przesyłaniu krytycznych danych przez udziały lokalne i sieciowe. Zabezpieczenie nośników USB przed zapisem Blokuj podejrzane urządzenia USB i uniemożliwiaj użytkownikom wydobywanie poufnych danych.
Wymaganie A3.2.5 Wdróż metodologię wykrywania danych, aby potwierdzić zakres PCI DSS i zlokalizować wszystkie źródła i lokalizacje PAN w postaci czystego tekstu co najmniej raz na kwartał i po istotnych zmianach w środowisku lub procesach posiadaczy kart. Wersja A3.2.5.1 Metody odnajdowania danych muszą być w stanie wykrywać PAN w postaci zwykłego tekstu we wszystkich typach składników systemu i używanych formatach plików. Wersja A3.2.5.2 Wdróż procedury reagowania, które mają być uruchamiane po wykryciu PAN w postaci zwykłego tekstu poza CDE: procedury określające, co należy zrobić, jeśli nastąpi wykrycie PAN w postaci zwykłego tekstu poza CDE, w tym jego odzyskanie, bezpieczne usunięcie i/lub migracja do aktualnie zdefiniowanego CDE; procedury ustalania, w jaki sposób dane znalazły się poza CDE; procedury identyfikacji źródła danych.	Regularnie twórz raporty o lokalizacjach danych posiadaczy kart w środowisku przechowywania plików. Identyfikuj dane poufne znajdujące się poza zdefiniowanym CDE. Wykonuj działania naprawcze w przypadku wykrycia wrażliwych danych poza CDE.	Odnajdowanie danych PCI w oparciu o harmonogram Identyfikuj i dokumentuj dane PCI (w tym PAN w postaci zwykłego tekstu) w pamięci przedsiębiorstwa. Widoczność na wielu platformach Wykrywaj wrażliwe dane posiadaczy kart i PCI na serwerach plików Windows, klastrach trybu failover i bazach danych MSSQL. Automatyzacja działań naprawczych Jeżeli pliki poufne zostaną znalezione poza CDE, program DataSecurity Plus można skonfigurować tak, aby automatycznie je usuwał, przenosił lub zarządzał nimi w inny sposób. Analiza własności i dostępu Dowiedz się, kto jest właścicielem wrażliwego pliku i prześledź wszystkie działania użytkownika w analizowanym przedziale czasowym. Pomoże to ustalić, w jaki sposób znalazł się on poza CDE.
Wymaganie A3.2.6 Wdróż mechanizmy wykrywania i zapobiegania opuszczaniu środowiska CDE przez numer PAN w postaci zwykłego tekstu za pośrednictwem nieautoryzowanego kanału, metody lub procesu, w tym poprzez generowanie dzienników inspekcji i alertów. Wersja A3.2.6.1 Wdróż procedury reagowania, które zostaną zainicjowane po wykryciu prób usunięcia PAN w postaci zwykłego tekstu z CDE za pośrednictwem nieautoryzowanego kanału, metody lub procesu.	Wdróż ochronę przed utratą danych (DLP), aby wykrywać wycieki danych za pośrednictwem wiadomości e-mail, nośników wymiennych i drukarek oraz im zapobiegać.	Ujednolicona platforma ochrony przed utratą danych Klasyfikuj poufne dane i zapobiegaj ich wyciekowi za pośrednictwem zewnętrznych urządzeń pamięci masowej, programu Outlook i drukarek. Kontrola wykorzystania urządzeń peryferyjnych Ogranicz korzystanie z urządzeń USB, bezprzewodowych punktów dostępu i napędów CD/DVD za pomocą centralnych zasad kontroli urządzeń w celu ochrony przed wydobywaniem danych. Zapobieganie wyciekom danych za pośrednictwem nośników USB Blokuj urządzenia USB w reakcji na nietypowe przesyłanie danych i próby wydobycia poufnych danych.
Wymaganie A3.4.1 Weryfikuj konta użytkowników i uprawnienia dostępu do składników systemu co najmniej raz na sześć miesięcy, aby upewnić się, że konta użytkowników i dostęp pozostają odpowiednie w zależności od zajmowanego stanowiska. Odniesienia PCI DSS: Wymóg 7	Weryfikuj uprawnienia dostępu użytkowników co najmniej raz na sześć miesięcy i sprawdzaj, czy są one odpowiednie do wykonywanych przez nich zadań.	Analiza uprawnień zabezpieczeń: Monitoruj zmiany uprawnień, wyświetlaj listę aktywnych uprawnień, identyfikuj pliki, do których dostęp może uzyskać każdy pracownik, znajduj użytkowników z uprawnieniami „Pełna kontrola” i nie tylko, aby zapewnić przestrzeganie zasady najniższego poziomu uprawnień. Te raporty mogą być wysyłane zgodnie z ustalonym harmonogramem do wielu interesariuszy.
Wymaganie A3.5.1 Wdróż metodologię terminowej identyfikacji wzorców ataków i niepożądanych zachowań w systemach — na przykład przy użyciu skoordynowanych ręcznych przeglądów i/lub centralnie zarządzanych lub zautomatyzowanych narzędzi do korelacji dzienników — w celu uwzględnienia co najmniej następujących elementów: Identyfikacja nietypowych lub podejrzanych działań w miarę ich występowania Terminowe wysyłanie alertów do odpowiedzialnych pracowników po wykryciu podejrzanej aktywności lub anomalii Reagowanie na alerty zgodnie z udokumentowanymi procedurami reagowania Odniesienia PCI DSS: Wymagania 10, 12	Skonfiguruj rozwiązanie, które może identyfikować niepożądane zdarzenia — takie jak krytyczne zmiany plików i naruszenia — oraz natychmiast powiadamiać administratorów.	Wykrywanie anomalii Identyfikuj nietypowe działania użytkowników, takie jak dostęp do plików po godzinach pracy, nadmierna liczba nieudanych prób dostępu i inne. Szybkie alerty Skonfiguruj alerty dotyczące nieuzasadnionych zmian w krytycznych plikach, wykrywania wrażliwych danych poza CDE i nie tylko. Wykrywanie zagrożeń i reagowanie na nie Wykrywaj ataki wymuszające okup oraz wykonuj skrypty w celu poddania kwarantannie zainfekowanych komputerów i zapobiegania rozprzestrzenianiu się złośliwego oprogramowania.

Wymagania PCI

Wymagane działania

Korzyści z programu DataSecurity Plus

Wymóg 2.2.5

Usuń wszystkie niepotrzebne funkcje, takie jak skrypty, sterowniki, funkcje, podsystemy, systemy plików i niepotrzebne serwery internetowe.

Zidentyfikuj wszystkie składniki systemowe, w tym skrypty i systemy plików, i usuń te, które nie są używane.

Zlokalizuj nieużywane pliki:

Otrzymuj raporty o plikach, skryptach, plikach wsadowych i innych, które nie były dostępne ani modyfikowane przez dłuższy czas. Te raporty upraszczają zarządzanie zbędnymi, nieaktualnymi i nieistotnymi plikami (ROT) oraz zmniejszają liczbę podatnych na ataki plików z nieaktualnymi uprawnieniami lub danymi.

Wymóg 3.1

Ogranicz do minimum przechowywanie danych posiadaczy kart poprzez wdrożenie zasad przechowywania i usuwania danych, procedur i procesów obejmujących co najmniej następujące elementy w odniesieniu do wszystkich przechowywanych danych posiadaczy kart:

ograniczenie ilości i czasu przechowywania danych do poziomu wymaganego przez wymogi prawne, regulacyjne i/lub biznesowe;
szczególne wymogi dotyczące przechowywania danych posiadaczy kart;
procesy bezpiecznego usuwania danych, gdy nie są już potrzebne;
kwartalny proces identyfikacji i bezpiecznego usuwania przechowywanych danych posiadaczy kart, które przekraczają zdefiniowany okres przechowywania.

Regularnie skanuj kontrolowane dane w środowisku danych kart (CDE).
Skonfiguruj zasady przechowywania danych — zebrane dane powinny być usuwane, gdy nie są już potrzebne.
Lokalizuj i usuwaj dane posiadaczy kart, które są przechowywane dłużej niż jest to dozwolone.

Odnajdowanie danych PCI i posiadaczy kart

Użyj wbudowanych reguł odnajdowania danych, aby zlokalizować dane PCI i dane posiadaczy kart przechowywane przez Twoją organizację. Utwórz rejestr tego, jakie dane są przechowywane, gdzie, przez kogo i jak długo. Pozwoli to administratorom kontrolować, czy przechowywane są tylko niezbędne dane.

Analiza danych ROT

Identyfikuj stare, nieaktualne i niezmodyfikowane pliki, aby mieć pewność, że dane posiadacza karty nie są przechowywane po upływie zamierzonego okresu przechowywania.

Zaplanowane skanowanie w celu oceny zagrożeń dla danych

Przeprowadzaj regularne skanowanie w poszukiwaniu danych posiadaczy kart, włącz przyrostowe skanowanie nowych i ostatnio zmodyfikowanych plików oraz upewnij się, że każde wystąpienie kontrolowanych danych zostaje wykryte i skatalogowane. Możesz także użyć skryptów, aby poddać kwarantannie lub usunąć pliki, które naruszają zasady przechowywania danych poufnych.

Wymóg 3.2

Nie przechowuj poufnych danych uwierzytelniających po autoryzacji.

Wrażliwe dane uwierzytelniające obejmują imię i nazwisko posiadacza karty, główny numer konta (PAN), kod weryfikacyjny karty, osobisty numer identyfikacyjny (PIN) i inne.

Wystawcy i firmy wspierające usługi wystawiania kart mogą przechowywać poufne dane uwierzytelniające, jeśli:

istnieje uzasadnienie biznesowe,
dane są przechowywane w bezpieczny sposób.

Sprawdzaj źródła danych i upewnij się, że poufne dane uwierzytelniające nie są przechowywane po autoryzacji.

Odnajdowanie danych PCI

Skutecznie odnajduj dane za pomocą kombinacji dopasowywania słów kluczowych i dopasowywania wzorców. Razem pomogą one zlokalizować numer CVV, PIN, PAN i inne dane uwierzytelniające.

Ocena zaufania

Zweryfikuj kontekst potencjalnych dopasowań, aby określić stopień pewności, że dopasowanie jest wynikiem prawdziwie dodatnim, a nie fałszywie dodatnim.

Automatyzacja odpowiedzi

Zautomatyzuj usuwanie lub poddawanie kwarantannie wykrytych danych kart lub ogranicz ich wykorzystanie, wykonując niestandardowe działania za pomocą skryptów.

Wymóg 3.5.2

Ogranicz dostęp do kluczy kryptograficznych do jak najmniejszej liczby nadzorców.

Sprawdź uprawnienia związane z kluczowymi plikami i upewnij się, że dostęp do nich jest ograniczony do jak najmniejszej liczby niezbędnych nadzorców.

Tworzenie raportów o uprawnieniach do systemu plików NTFS i udostępniania

Otrzymuj szczegółowe raporty dotyczące do systemu plików NTFS oraz udostępniania plików i folderów, aby wiedzieć, który użytkownik ma jakie uprawnienia.

Wymóg 7.1

Ogranicz dostęp do składników systemu i danych posiadaczy kart tylko do tych osób, których praca wymaga takiego dostępu.

7.1.1 Określenie potrzeb związanych z dostępem dla każdej roli

7.1.2 Ogranicz dostęp do identyfikatorów użytkowników uprzywilejowanych

7.1.3 Przypisz dostęp na podstawie klasyfikacji stanowisk i funkcji poszczególnych pracowników

Uwaga: Składniki systemu obejmują urządzenia sieciowe, serwery, urządzenia do przetwarzania danych i aplikacje.

Sprawdzaj, czy uprawnienia przypisane do użytkowników uprzywilejowanych i nieuprzywilejowanych są:

niezbędne do wykonywania przez daną osobę obowiązków służbowych,
ograniczone do najniższego poziomu uprawnień niezbędnego do wykonywania obowiązków służbowych.

Tworzenie raportów o uprawnieniach do systemu plików NTFS

Utwórz listę użytkowników, którzy mają dostęp do plików zawierających dane posiadaczy kart, wraz ze szczegółowymi informacjami na temat działań, które każdy użytkownik może na nich wykonać.

Skuteczna analiza uprawnień

Zapewnij poufność danych posiadaczy kart, analizując i tworząc raporty o rzeczywistych uprawnieniach. Sprawdź, czy użytkownicy nie mają większych uprawnień niż jest to wymagane dla ich roli.

Wykrywanie nadmiernie narażonych plików

Lokalizuj pliki, do których dostęp ma każdy pracownik oraz pliki, które umożliwiają pełną kontrolę dostępu użytkownikom.

Wymóg 8.1.3

Natychmiast odwołuj dostęp dla wszystkich użytkowników, którzy odeszli z organizacji.

Upewnij się, że użytkownicy, którzy zostali usunięci z organizacji, zostali również usunięci z list dostępu do plików.

Analiza własności plików

Identyfikuj oddzielone pliki i pliki należące do nieaktualnych, wyłączonych lub nieaktywnych użytkowników, aby zapobiec złośliwym próbom zmiany plików przez zwolnionych pracowników.

Wymóg 10.1

Wdróż ścieżki audytu, aby połączyć cały dostęp do składników systemu z każdym indywidualnym użytkownikiem.

Generuj dzienniki inspekcji, które umożliwiają powiązanie podejrzanej aktywności z konkretnym użytkownikiem.

Szczegółowe dzienniki inspekcji

Monitoruj próby dostępu do krytycznych plików, użycie aplikacji internetowych, urządzenia USB, drukarki i nie tylko dzięki scentralizowanemu dziennikowi inspekcji dostępu.

Analiza głównej przyczyny

Wykorzystaj szczegółowe opcje filtrowania raportów, aby przyspieszyć analizę głównych przyczyn i zidentyfikować zakres naruszenia.

Wymóg 10.2

Wdróż zautomatyzowane dzienniki inspekcji dla wszystkich składników systemu w celu odtworzenia następujących zdarzeń:

10.2.1 Wszystkie próby dostępu poszczególnych użytkowników do danych posiadaczy kart

10.2.2 Wszystkie działania podejmowane przez dowolną osobę z uprawnieniami głównymi lub administracyjnymi

Przeprowadzaj inspekcje działań użytkowników w CDE w czasie rzeczywistym.
Monitoruj zmiany wprowadzone przez użytkowników z uprawnieniami administracyjnymi.

Monitorowanie działań na plikach

Monitoruj wszystkie zdarzenia związane z plikami i folderami — odczyt, tworzenie, modyfikowanie, zastępowanie, przenoszenie, zmiana nazwy, usuwanie i zmiana uprawnień — występujące w środowisku przechowywania danych PCI i posiadaczy kart.

Monitorowanie użytkowników z uprawnieniami

Utwórz listę użytkowników z uprzywilejowanym dostępem do poufnych plików i dostosuj raporty w celu monitorowania wszystkich dokonanych przez nich zmian w plikach.

Wymóg 10.3

Rejestruj m.in. następujące wpisy dziennika inspekcji dla poszczególnych zdarzeń:

10.3.1 Identyfikacja użytkowników

10.3.2 Typ zdarzenia

10.3.3 Data i godzina

10.3.4 Wskazanie sukcesu lub niepowodzenia

10.3.5 Pochodzenie zdarzenia

10.3.6 Tożsamość lub nazwa naruszonych danych

Zbieraj szczegółowe dzienniki działań użytkowników w CDE.

Inspekcje zmian w czasie rzeczywistym

Uzyskaj pełne informacje o każdym dostępie do pliku, w tym szczegółowe informacje o tym, kto próbował dokonać zmiany, w którym pliku, kiedy, skąd i czy zmiana się powiodła.

Wymóg 10.5

Zabezpiecz dzienniki inspekcji, aby nie można było ich zmienić.

10.5.5 Korzystaj z oprogramowania do monitorowania integralności plików lub wykrywania zmian w dziennikach, aby mieć pewność, że istniejące dane dziennika nie mogą zostać zmienione bez generowania alertów (chociaż dodawanie nowych danych nie powinno powodować alertu).

Wdróż systemy monitorowania integralności plików lub wykrywania zmian, aby sprawdzać zmiany w krytycznych plikach i wysyłać powiadomienia, gdy takie zmiany zostaną zauważone.

Monitorowanie integralności plików PCI

Przeprowadzaj inspekcje wszystkich udanych i nieudanych prób dostępu do plików w czasie rzeczywistym. Przechowuj szczegółowy dziennik inspekcji do analizy.

Alerty w czasie rzeczywistym

Wyzwalaj natychmiastowe alerty, aby powiadamiać interesariuszy o wykryciu podejrzanych zmian w plikach.

Automatyzacja reakcji na zdarzenia związane z zabezpieczeniami

Wykonuj zautomatyzowane reakcje, aby zminimalizować potencjalne szkody w przypadku zdarzeń związanych z zabezpieczeniami.

Wymóg 10.6

Przeglądaj dzienniki i zdarzenia związane z zabezpieczeniami dla wszystkich składników systemu, aby identyfikować nietypowe lub podejrzane działania.

Regularne weryfikacje dzienników mogą identyfikować i aktywnie reagować na nieautoryzowany dostęp do środowiska danych posiadaczy kart. Skraca to również czas potrzebny na wykrycie potencjalnego naruszenia.

Zaplanowane dostarczanie raportów o zgodności PCI

Dostarczaj zaplanowane raporty do skrzynek pocztowych interesariuszy w formacie PDF, HTML, CSV lub XLSX.

Wymóg 10.7

Przechowuj historię dziennika inspekcji przez co najmniej rok, z czego co najmniej trzy miesiące są natychmiast dostępne do analizy (na przykład online, zarchiwizowane lub przywrócone z kopii zapasowej).

Zauważenie naruszenia często zajmuje trochę czasu, dlatego przechowywanie dzienników przez co najmniej rok gwarantuje, że osoby prowadzące dochodzenie mają wystarczającą historię dzienników, aby określić czas potencjalnego naruszenia i jego wpływ.

Długoterminowe przechowywanie dzienników inspekcji

Przechowuj dane z inspekcji przez długi czas. Możesz również archiwizować starsze dzienniki i przesyłać je w późniejszym terminie, aby analizować dostęp do plików.

Wymóg 11.5

Wdróż mechanizm wykrywania zmian (na przykład narzędzia do monitorowania integralności plików), aby ostrzegać personel o nieautoryzowanych modyfikacjach (w tym zmianach, dodawaniu i usuwaniu) krytycznych plików systemowych, plików konfiguracyjnych lub plików z zawartością; i skonfiguruj narzędzie do przeprowadzania porównań krytycznych plików co najmniej raz w tygodniu.

Monitoruj zmiany w plikach wykonywalnych systemu, plikach wykonywalnych aplikacji, plikach konfiguracyjnych, plikach parametrów i nie tylko.
Wyzwalaj alerty w przypadku nieoczekiwanych zmian.

FIM

Przeprowadzaj inspekcję zmian wprowadzonych w krytycznych dla aplikacji i systemu operacyjnego plikach binarnych, plikach konfiguracyjnych, plikach aplikacji, plikach dziennika i innych.

Natychmiastowe alerty

Natychmiast powiadamiaj administratorów o wykryciu anomalii w plikach.

Wykonywanie niestandardowych reakcji na zdarzenia

Automatyzuj pliki wsadowe, aby wyłączać komputery, sesje użytkowników końcowych i nie tylko.

Wymóg 12.3.10

W przypadku pracowników uzyskujących dostęp do danych posiadaczy kart za pośrednictwem technologii zdalnego dostępu zabrania się kopiowania, przenoszenia i przechowywania danych posiadaczy kart na lokalnych dyskach twardych i wymiennych nośnikach elektronicznych, chyba że zostało to wyraźnie zatwierdzone w związku z określonymi potrzebami biznesowymi.

Uniemożliwiaj użytkownikom przechowywanie lub kopiowanie danych posiadaczy kart na ich lokalnych komputerach osobistych lub innych nośnikach, chyba że zostali do tego wyraźnie upoważnieni.

Ochrona przed kopiowaniem plików

Monitoruj działania kopiowania plików w czasie rzeczywistym i zapobiegaj nieuzasadnionemu przesyłaniu krytycznych danych przez udziały lokalne i sieciowe.

Zabezpieczenie nośników USB przed zapisem

Blokuj podejrzane urządzenia USB i uniemożliwiaj użytkownikom wydobywanie poufnych danych.

Wymaganie A3.2.5

Wdróż metodologię wykrywania danych, aby potwierdzić zakres PCI DSS i zlokalizować wszystkie źródła i lokalizacje PAN w postaci czystego tekstu co najmniej raz na kwartał i po istotnych zmianach w środowisku lub procesach posiadaczy kart.

Wersja A3.2.5.1

Metody odnajdowania danych muszą być w stanie wykrywać PAN w postaci zwykłego tekstu we wszystkich typach składników systemu i używanych formatach plików.

Wersja A3.2.5.2

Wdróż procedury reagowania, które mają być uruchamiane po wykryciu PAN w postaci zwykłego tekstu poza CDE:

procedury określające, co należy zrobić, jeśli nastąpi wykrycie PAN w postaci zwykłego tekstu poza CDE, w tym jego odzyskanie, bezpieczne usunięcie i/lub migracja do aktualnie zdefiniowanego CDE;
procedury ustalania, w jaki sposób dane znalazły się poza CDE;
procedury identyfikacji źródła danych.

Regularnie twórz raporty o lokalizacjach danych posiadaczy kart w środowisku przechowywania plików.
Identyfikuj dane poufne znajdujące się poza zdefiniowanym CDE.
Wykonuj działania naprawcze w przypadku wykrycia wrażliwych danych poza CDE.

Odnajdowanie danych PCI w oparciu o harmonogram

Identyfikuj i dokumentuj dane PCI (w tym PAN w postaci zwykłego tekstu) w pamięci przedsiębiorstwa.

Widoczność na wielu platformach

Wykrywaj wrażliwe dane posiadaczy kart i PCI na serwerach plików Windows, klastrach trybu failover i bazach danych MSSQL.

Automatyzacja działań naprawczych

Jeżeli pliki poufne zostaną znalezione poza CDE, program DataSecurity Plus można skonfigurować tak, aby automatycznie je usuwał, przenosił lub zarządzał nimi w inny sposób.

Analiza własności i dostępu

Dowiedz się, kto jest właścicielem wrażliwego pliku i prześledź wszystkie działania użytkownika w analizowanym przedziale czasowym. Pomoże to ustalić, w jaki sposób znalazł się on poza CDE.

Wymaganie A3.2.6

Wdróż mechanizmy wykrywania i zapobiegania opuszczaniu środowiska CDE przez numer PAN w postaci zwykłego tekstu za pośrednictwem nieautoryzowanego kanału, metody lub procesu, w tym poprzez generowanie dzienników inspekcji i alertów.

Wersja A3.2.6.1

Wdróż procedury reagowania, które zostaną zainicjowane po wykryciu prób usunięcia PAN w postaci zwykłego tekstu z CDE za pośrednictwem nieautoryzowanego kanału, metody lub procesu.

Wdróż ochronę przed utratą danych (DLP), aby wykrywać wycieki danych za pośrednictwem wiadomości e-mail, nośników wymiennych i drukarek oraz im zapobiegać.

Ujednolicona platforma ochrony przed utratą danych

Klasyfikuj poufne dane i zapobiegaj ich wyciekowi za pośrednictwem zewnętrznych urządzeń pamięci masowej, programu Outlook i drukarek.

Kontrola wykorzystania urządzeń peryferyjnych

Ogranicz korzystanie z urządzeń USB, bezprzewodowych punktów dostępu i napędów CD/DVD za pomocą centralnych zasad kontroli urządzeń w celu ochrony przed wydobywaniem danych.

Zapobieganie wyciekom danych za pośrednictwem nośników USB

Blokuj urządzenia USB w reakcji na nietypowe przesyłanie danych i próby wydobycia poufnych danych.

Wymaganie A3.4.1

Weryfikuj konta użytkowników i uprawnienia dostępu do składników systemu co najmniej raz na sześć miesięcy, aby upewnić się, że konta użytkowników i dostęp pozostają odpowiednie w zależności od zajmowanego stanowiska.

Odniesienia PCI DSS: Wymóg 7

Weryfikuj uprawnienia dostępu użytkowników co najmniej raz na sześć miesięcy i sprawdzaj, czy są one odpowiednie do wykonywanych przez nich zadań.

Analiza uprawnień zabezpieczeń:

Monitoruj zmiany uprawnień, wyświetlaj listę aktywnych uprawnień, identyfikuj pliki, do których dostęp może uzyskać każdy pracownik, znajduj użytkowników z uprawnieniami „Pełna kontrola” i nie tylko, aby zapewnić przestrzeganie zasady najniższego poziomu uprawnień.

Te raporty mogą być wysyłane zgodnie z ustalonym harmonogramem do wielu interesariuszy.

Wymaganie A3.5.1

Wdróż metodologię terminowej identyfikacji wzorców ataków i niepożądanych zachowań w systemach — na przykład przy użyciu skoordynowanych ręcznych przeglądów i/lub centralnie zarządzanych lub zautomatyzowanych narzędzi do korelacji dzienników — w celu uwzględnienia co najmniej następujących elementów:

Identyfikacja nietypowych lub podejrzanych działań w miarę ich występowania
Terminowe wysyłanie alertów do odpowiedzialnych pracowników po wykryciu podejrzanej aktywności lub anomalii
Reagowanie na alerty zgodnie z udokumentowanymi procedurami reagowania

Odniesienia PCI DSS: Wymagania 10, 12

Skonfiguruj rozwiązanie, które może identyfikować niepożądane zdarzenia — takie jak krytyczne zmiany plików i naruszenia — oraz natychmiast powiadamiać administratorów.

Wykrywanie anomalii

Identyfikuj nietypowe działania użytkowników, takie jak dostęp do plików po godzinach pracy, nadmierna liczba nieudanych prób dostępu i inne.

Szybkie alerty

Skonfiguruj alerty dotyczące nieuzasadnionych zmian w krytycznych plikach, wykrywania wrażliwych danych poza CDE i nie tylko.

Wykrywanie zagrożeń i reagowanie na nie

Wykrywaj ataki wymuszające okup oraz wykonuj skrypty w celu poddania kwarantannie zainfekowanych komputerów i zapobiegania rozprzestrzenianiu się złośliwego oprogramowania.

Zastrzeżenie: Pełna zgodność z POPIA wymaga wielu różnych rozwiązań, procesów, ludzi i technologii. Niniejsza strona służy wyłącznie celom informacyjnym i nie powinna być traktowana jako porada prawna w zakresie zgodności z ustawą POPIA. Firma ManageEngine nie udziela żadnych gwarancji, wyraźnych, dorozumianych ani ustawowych, dotyczących informacji zawartych w niniejszym materiale.

Uwaga: Powyższa treść dotyczy wyłącznie PCI DSS w wersji 3.2.1. Niektóre wymagania mogą, ale nie muszą, dokładnie odzwierciedlać najnowszą wersję PCI DSS 4.0. Obecnie pracujemy nad nową zawartością i wkrótce zostanie ona zaktualizowana.

Zapewnij bezpieczeństwo danych i zgodność z SO

Program DataSecurity Plus pomaga spełnić wymagania wielu przepisów dotyczących zgodności,
chroniąc magazynowane, przetwarzane i przesyłane dane.

Szukasz ujednoliconego rozwiązania SIEM, które ma również zintegrowane funkcje DLP? Wypróbuj Log360 już dziś!

30-dniowa bezpłatna wersja próbna

Osiągnięcie zgodności z PCI DSS za pomocą programu DataSecurity Plus

E-BOOK