14 βέλτιστες πρακτικές για την επιχείρησή σας

14 βέλτιστες πρακτικές για την επιχείρησή σας

November 26, 2022 0 Von admin
Έννοια ασφάλειας συμμόρφωσης PCI.
Εικόνα: ArtemisDiana/Adobe Stock

Εργάστηκα στον κλάδο πληρωμών ως διαχειριστής συστήματος για περισσότερα από 15 χρόνια και πέρασα μεγάλο μέρος της καριέρας μου δουλεύοντας με τη συμμόρφωση με τη βιομηχανία καρτών πληρωμών, η οποία αφορά τις απαιτήσεις ασφαλείας που αφορούν εταιρείες που χειρίζονται δεδομένα πιστωτικών καρτών.

ΔΕΙΤΕ: Παραβίαση κωδικού πρόσβασης: Γιατί η ποπ κουλτούρα και οι κωδικοί πρόσβασης δεν συνδυάζονται (δωρεάν PDF) (TechRepublic)

Η συμμόρφωση με το PCI είναι ένα πολύ περίπλοκο πεδίο με κατευθυντήριες γραμμές σύμφωνα με τις οποίες απαιτείται να τηρούν οι οργανισμοί σε αυτόν τον κλάδο προκειμένου να τους επιτραπεί να χειρίζονται την επεξεργασία πληρωμών.

Τι είναι η συμμόρφωση με το PCI;

Η συμμόρφωση με το PCI είναι μια δομή που βασίζεται σε απαιτήσεις που επιβάλλονται από το Συμβούλιο Προτύπων Ασφαλείας Βιομηχανίας Καρτών Πληρωμών για να διασφαλίσει ότι όλες οι εταιρείες που επεξεργάζονται, αποθηκεύουν ή διαβιβάζουν πληροφορίες πιστωτικών καρτών διατηρούν ένα ασφαλές λειτουργικό περιβάλλον για την προστασία της επιχείρησής τους, των πελατών και των εμπιστευτικών δεδομένων τους.

Οι κατευθυντήριες γραμμές, γνωστές ως Πρότυπο Ασφάλειας Δεδομένων της Βιομηχανίας Πληρωμών, εμφανίστηκαν στις 7 Σεπτεμβρίου 2006 και αφορούν άμεσα όλες τις μεγάλες εταιρείες πιστωτικών καρτών.

Το PCI SSC δημιουργήθηκε από τις Visa, MasterCard, American Express, Discover και Japan Credit Bureau για τη διαχείριση και τη διαχείριση του PCI DSS. Οι εταιρείες που συμμορφώνονται με το PCI DSS έχουν επιβεβαιωθεί ότι συμμορφώνονται με το PCI και ως εκ τούτου είναι αξιόπιστες για τη διεξαγωγή συναλλαγών.

Όλοι οι έμποροι που επεξεργάζονται περισσότερες από 1 εκατομμύριο ή 6 εκατομμύρια συναλλαγές με κάρτες πληρωμών κάθε χρόνο και οι πάροχοι υπηρεσιών που διατηρούν, διαβιβάζουν ή επεξεργάζονται περισσότερες από 300.000 συναλλαγές με κάρτα κάθε χρόνο, πρέπει να ελέγχονται ως προς τη συμμόρφωση με το PCI DSS. Το πεδίο εφαρμογής αυτού του άρθρου προορίζεται για εταιρείες που υπόκεινται σε αυτόν τον ετήσιο έλεγχο.

Αξίζει να σημειωθεί ότι η συμμόρφωση με το PCI δεν εγγυάται την παραβίαση δεδομένων, όπως ένα σπίτι που συμμορφώνεται με τους κανονισμούς πυρκαγιάς είναι απολύτως ασφαλές έναντι πυρκαγιάς. Σημαίνει απλώς ότι οι δραστηριότητες της εταιρείας είναι πιστοποιημένες σύμφωνα με αυστηρά πρότυπα ασφαλείας παρέχοντας σε αυτούς τους οργανισμούς την καλύτερη δυνατή προστασία έναντι απειλών για να παράγουν το υψηλότερο επίπεδο εμπιστοσύνης μεταξύ της πελατειακής τους βάσης καθώς και των κανονιστικών απαιτήσεων.

Η μη συμμόρφωση με τις απαιτήσεις PCI μπορεί να οδηγήσει σε βαριές οικονομικές κυρώσεις από 5.000.000 $ έως 100.000 $ ανά μήνα. Οι επιχειρήσεις που συμμορφώνονται και αντιμετωπίζουν παραβιάσεις δεδομένων μπορεί να αντιμετωπίσουν σημαντικά μειωμένα πρόστιμα στη συνέχεια.

14 καλύτερες πρακτικές PCI για την επιχείρησή σας

1. Γνωρίστε το περιβάλλον δεδομένων του κατόχου της κάρτας σας και τεκμηριώστε ό,τι μπορείτε

Δεν μπορεί να υπάρξουν εκπλήξεις όταν πρόκειται για τη θέσπιση συμμόρφωσης PCI. Όλα τα συστήματα, τα δίκτυα και οι πόροι πρέπει να αναλυθούν και να τεκμηριωθούν διεξοδικά. Το τελευταίο πράγμα που θέλετε είναι ένας άγνωστος διακομιστής που λειτουργεί κάπου ή μια σειρά από μυστηριώδεις λογαριασμούς.

2. Να είστε προνοητικοί στην προσέγγισή σας και να εφαρμόσετε πολιτικές ασφαλείας σε όλους τους τομείς

Είναι τεράστιο λάθος να προσεγγίζουμε την ασφάλεια συμμόρφωσης με το PCI ως κάτι που πρέπει να «επικεντρωθεί» ή να εφαρμοστεί όπως απαιτείται όπου ζητηθεί. Οι έννοιες θα πρέπει να ενσωματωθούν σε ολόκληρο το περιβάλλον από προεπιλογή. Στοιχεία όπως η απαίτηση ελέγχου ταυτότητας πολλαπλών παραγόντων σε περιβάλλοντα παραγωγής, η χρήση https αντί για http και ssh αντί για telnet και η υποχρεωτική περιοδική αλλαγή κωδικού πρόσβασης θα πρέπει να εφαρμόζονται εκ των προτέρων. Όσο πιο προσανατολισμένος στην ασφάλεια είναι ο οργανισμός σας, τόσο λιγότερη δουλειά θα χρειαστεί να γίνει μετά την ολοκλήρωση του χρόνου ελέγχου.

3. Πραγματοποιήστε ελέγχους ιστορικού των εργαζομένων στους υπαλλήλους που χειρίζονται δεδομένα κατόχου κάρτας

Όλοι οι πιθανοί υπάλληλοι θα πρέπει να ελέγχονται διεξοδικά, συμπεριλαμβανομένων ελέγχων ιστορικού για όσους θα εργαστούν με δεδομένα κατόχου κάρτας, είτε άμεσα είτε σε διοικητική ή υποστηρικτική θέση. Οποιοσδήποτε υποψήφιος με σοβαρή κατηγορία στο ιστορικό του θα πρέπει να απορριφθεί για απασχόληση, ιδιαίτερα εάν αφορά οικονομικά εγκλήματα ή κλοπή ταυτότητας.

4. Εφαρμογή μιας κεντρικής αρχής για την κυβερνοασφάλεια

Για την καλύτερη συμμόρφωση με το PCI, χρειάζεστε ένα κεντρικό όργανο που θα λειτουργεί ως η αρχή λήψης αποφάσεων για όλες τις προσπάθειες υλοποίησης, διαχείρισης και αποκατάστασης. Πρόκειται συνήθως για τα τμήματα πληροφορικής ή/και κυβερνοασφάλειας, τα οποία θα πρέπει να στελεχώνονται από υπαλλήλους εκπαιδευμένους σε αυτόν τον τομέα και γνώστες των απαιτήσεων PCI.

5. Εφαρμογή ισχυρών περιβαλλοντικών ελέγχων ασφαλείας

Σε γενικές γραμμές, θα πρέπει να χρησιμοποιείτε ισχυρούς ελέγχους ασφαλείας σε κάθε δυνατό στοιχείο που χειρίζεται τα συστήματα δεδομένων κατόχων κάρτας. Χρησιμοποιήστε τείχη προστασίας, NAT, τμηματοποιημένα υποδίκτυα, λογισμικό κατά του κακόβουλου λογισμικού, σύνθετους κωδικούς πρόσβασης (μην χρησιμοποιείτε προεπιλεγμένους κωδικούς πρόσβασης συστήματος), κρυπτογράφηση και δημιουργία διακριτικών για την προστασία των δεδομένων κατόχου της κάρτας.

Ως πρόσθετη συμβουλή, χρησιμοποιήστε όσο το δυνατόν περιορισμένο εύρος για συστήματα δεδομένων κατόχου κάρτας, αποκλειστικά δίκτυα και πόρους, ώστε να ελαχιστοποιήσετε την προσπάθεια που απαιτείται για την εξασφάλιση όσο το δυνατόν ελάχιστου συνόλου πόρων.

Για παράδειγμα, μην αφήνετε τους λογαριασμούς ανάπτυξης να έχουν πρόσβαση στην παραγωγή (ή το αντίστροφο), καθώς τώρα το περιβάλλον ανάπτυξης θεωρείται σε εμβέλεια και υπόκειται σε αυξημένη ασφάλεια.

6. Εφαρμόστε τα λιγότερα απαιτούμενα προνόμια πρόσβασης

Χρησιμοποιήστε αποκλειστικούς λογαριασμούς χρηστών κατά την εκτέλεση εργασιών διαχείρισης σε συστήματα κατόχων κάρτας, όχι λογαριασμούς διαχειριστή root ή τομέα. Βεβαιωθείτε ότι παρέχεται μόνο η ελάχιστη πρόσβαση στους χρήστες, ακόμη και σε αυτούς που έχουν ρόλους διαχειριστή. Όπου είναι δυνατόν, ζητήστε τους να βασίζονται σε „λογαριασμούς επιπέδου χρήστη“ και σε ξεχωριστούς „προνομιακούς λογαριασμούς“ που χρησιμοποιούνται μόνο για την εκτέλεση εργασιών υψηλού επιπέδου προνομίων.

7. Εφαρμογή καταγραφής, παρακολούθησης και ειδοποίησης

Όλα τα συστήματα θα πρέπει να βασίζονται στην καταγραφή λειτουργικών και πρόσβασης δεδομένων σε μια κεντρική τοποθεσία. Αυτή η καταγραφή θα πρέπει να είναι ολοκληρωμένη αλλά όχι συντριπτική και θα πρέπει να τεθεί σε εφαρμογή μια διαδικασία παρακολούθησης και προειδοποίησης για να ειδοποιηθεί το κατάλληλο προσωπικό για επαληθευμένη ή δυνητικά ύποπτη δραστηριότητα.

Τα παραδείγματα ειδοποιήσεων περιλαμβάνουν πάρα πολλές αποτυχημένες συνδέσεις, κλειδωμένους λογαριασμούς, άτομο που συνδέεται απευθείας σε έναν κεντρικό υπολογιστή ως root ή διαχειριστής, αλλαγές κωδικού πρόσβασης root ή διαχειριστή, ασυνήθιστα υψηλά ποσά κίνησης δικτύου και οτιδήποτε άλλο μπορεί να συνιστά πιθανή ή αρχόμενη παραβίαση δεδομένων.

8. Εφαρμογή μηχανισμών ενημέρωσης λογισμικού και επιδιόρθωσης

Χάρη στο Βήμα 1, γνωρίζετε ποια λειτουργικά συστήματα, εφαρμογές και εργαλεία εκτελούνται στα δεδομένα του κατόχου της κάρτας σας. Βεβαιωθείτε ότι αυτές ενημερώνονται τακτικά, ειδικά όταν εμφανίζονται κρίσιμα τρωτά σημεία. Η πληροφορική και η κυβερνοασφάλεια θα πρέπει να εγγράφονται σε ειδοποιήσεις προμηθευτών προκειμένου να λαμβάνετε ειδοποιήσεις για αυτές τις ευπάθειες και να λαμβάνετε λεπτομέρειες σχετικά με τις εφαρμογές ενημέρωσης κώδικα.

9. Εφαρμόστε τυπικές διαμορφώσεις συστήματος και εφαρμογών

Κάθε σύστημα που ενσωματώνεται σε περιβάλλον κατόχου κάρτας, καθώς και οι εφαρμογές που εκτελούνται σε αυτό, θα πρέπει να αποτελούν μέρος μιας τυπικής έκδοσης, όπως από ένα ζωντανό πρότυπο. Θα πρέπει να υπάρχουν όσο το δυνατόν λιγότερες ανισότητες και αποκλίσεις μεταξύ των συστημάτων, ιδιαίτερα των περιττών ή ομαδοποιημένων συστημάτων. Αυτό το ζωντανό πρότυπο θα πρέπει να επιδιορθώνεται και να συντηρείται τακτικά, προκειμένου να διασφαλίζεται ότι τα νέα συστήματα που παράγονται από αυτό είναι πλήρως ασφαλή και έτοιμα για ανάπτυξη.

10. Εφαρμόστε μια λίστα ελέγχου προνομιούχων υπαλλήλων που έχουν τερματιστεί

Πάρα πολλοί οργανισμοί δεν παρακολουθούν σωστά τις αποχωρήσεις εργαζομένων, ειδικά όταν υπάρχουν διαφορετικά τμήματα και περιβάλλοντα. Το τμήμα Ανθρώπινου Δυναμικού πρέπει να είναι επιφορτισμένο με την ειδοποίηση όλων των κατόχων εφαρμογών και περιβάλλοντος για τις αποχωρήσεις εργαζομένων, έτσι ώστε η πρόσβασή τους να καταργηθεί πλήρως.

Μια γενική λίστα ελέγχου όλων των συστημάτων και περιβαλλόντων που οι εργαζόμενοι χειρίζονται δεδομένα πιστωτικών καρτών θα πρέπει να συντάσσεται και να διατηρείται από τα τμήματα πληροφορικής ή/και κυβερνοασφάλειας και θα πρέπει να ακολουθούνται όλα τα βήματα για να διασφαλιστεί η κατάργηση της πρόσβασης κατά 100%.

Μην διαγράφετε λογαριασμούς. απενεργοποιήστε τους αντ‘ αυτού, καθώς οι ελεγκτές PCI απαιτούν συχνά την απόδειξη των απενεργοποιημένων λογαριασμών.

Για περισσότερες οδηγίες σχετικά με τον τρόπο με τον οποίο μπορείτε να επιβιβάζεστε ή εκτός πλοίου, οι ειδικοί της TechRepublic Premium έχουν δημιουργήσει μια βολική λίστα ελέγχου για να ξεκινήσετε.

11. Εφαρμογή ασφαλών μεθοδολογιών καταστροφής δεδομένων

Όταν τα δεδομένα κατόχου κάρτας αφαιρούνται, ανάλογα με τις απαιτήσεις, πρέπει να υπάρχει μια ασφαλής μέθοδος καταστροφής δεδομένων. Μπορεί να συνεπάγεται διαδικασίες που βασίζονται σε λογισμικό ή υλικό, όπως διαγραφή αρχείου ή καταστροφή δίσκου/κασέτας. Συχνά, η καταστροφή φυσικών μέσων θα απαιτήσει αποδεικτικά στοιχεία για να επιβεβαιωθεί ότι αυτό έχει γίνει σωστά και έχει γίνει μάρτυρας.

12. Πραγματοποιήστε δοκιμή διείσδυσης

Κανονίστε εσωτερικές ή εξωτερικές δοκιμές διείσδυσης για να ελέγξετε το περιβάλλον σας και να επιβεβαιώσετε ότι όλα είναι επαρκώς ασφαλή. Θα προτιμούσατε να βρείτε τυχόν ζητήματα που μπορείτε να διορθώσετε ανεξάρτητα προτού το κάνει ένας ελεγκτής PCI.

13. Εκπαιδεύστε τη βάση χρηστών σας

Η ολοκληρωμένη εκπαίδευση των χρηστών είναι απαραίτητη για τη διατήρηση ασφαλών λειτουργιών. Εκπαιδεύστε τους χρήστες σχετικά με τον τρόπο ασφαλούς πρόσβασης και/ή χειρισμού των δεδομένων κατόχων κάρτας, πώς να αναγνωρίζουν απειλές ασφαλείας, όπως απάτες ηλεκτρονικού ψαρέματος ή κοινωνική μηχανική, πώς να ασφαλίζουν τους σταθμούς εργασίας και τις κινητές συσκευές τους, πώς να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων, πώς να εντοπίζουν ανωμαλίες και κυρίως, με ποιον να επικοινωνήσετε για να αναφέρετε τυχόν ύποπτες ή επιβεβαιωμένες παραβιάσεις ασφαλείας.

14. Να είστε έτοιμοι να συνεργαστείτε με ελεγκτές

Τώρα ερχόμαστε στην ώρα του ελέγχου, όπου θα συναντηθείτε με ένα άτομο ή μια ομάδα στόχος της οποίας είναι να αναλύσει τη συμμόρφωση PCI του οργανισμού σας. Μην είστε νευρικοί ή ανήσυχοι. Αυτοί οι άνθρωποι είναι εδώ για να σας βοηθήσουν, όχι να σας κατασκοπεύσουν. Δώστε τους όλα όσα ζητούν και μόνο ό,τι ζητούν — να είστε ειλικρινείς αλλά ελάχιστοι. Δεν κρύβεις τίποτα. παρέχετε μόνο τις πληροφορίες και τις απαντήσεις που ανταποκρίνονται επαρκώς στις ανάγκες τους.

Επιπλέον, κρατήστε αποδεικτικά στοιχεία όπως στιγμιότυπα οθόνης ρυθμίσεων, αναφορές ευπάθειας συστήματος και λίστες χρηστών, καθώς αυτά μπορεί να είναι χρήσιμα για υποβολή σε μελλοντικές προσπάθειες ελέγχου. Εξετάστε όλες τις συστάσεις τους για διορθώσεις και αλλαγές όσο το δυνατόν γρηγορότερα και προετοιμαστείτε να υποβάλετε αποδεικτικά στοιχεία ότι αυτή η εργασία έχει ολοκληρωθεί.

Εξετάστε διεξοδικά τυχόν προτεινόμενες αλλαγές για να διασφαλίσετε ότι αυτές δεν θα επηρεάσουν αρνητικά το λειτουργικό σας περιβάλλον. Για παράδειγμα, έχω δει σενάρια όπου ζητήθηκε η κατάργηση του TLS 1.0 προς όφελος των νεότερων εκδόσεων TLS, αλλά η εφαρμογή αυτής της σύστασης θα είχε σπάσει τη συνδεσιμότητα από παλαιού τύπου συστήματα και θα προκαλούσε διακοπή λειτουργίας. Αυτά τα συστήματα έπρεπε πρώτα να ενημερωθούν προκειμένου να συμμορφωθούν με τις απαιτήσεις.