Conformidade do PCI DSS em 2010

O Payment Card Industry Data Security Standard, ou PCI DSS, ainda é confuso para os comerciantes de cartões de pagamento em 2010.

Uma pesquisa recente do PCI DSS conhecimento e compreensão revelou os seguintes fatos:

• 35% do varejo / Hotelaria / entretenimento organizações pesquisadas ainda não entendo os requisitos de conformidade
• Enquanto não há uma compreensão forte dentro Tier 1 comerciantes (6 milhões de transações por ano), 44% dos níveis 2 e 3 comerciantes não entendem as exigências do PCI DSS
• 90% são ou ainda trabalhando na implementação de medidas de conformidade PCI DSS identificadas na auditoria de pré-inquéritos, ou não são compatíveis e não fazer nada sobre isso, ou está deixando para a última hora

O que você precisa fazer como um provedor de serviços de TI para a sua organização?

Uma série de soluções "auditoria de conformidade" automatizado para o PCI DSS estão disponíveis, que normalmente fornecem as seguintes funções

Auditoria de Conformidade (aka Dispositivo Hardening) - geralmente, 'fora da caixa' PCI DSS, bem como "feito à ordem" relatórios permitem testar rapidamente as configurações de segurança críticos para servidores Windows e desktops, servidores Unix, servidores Linux e dispositivos de rede, incluindo dispositivos sem fio, e firewalls. As melhores soluções irá fornecer detalhes sobre seus procedimentos administrativos, serviços de segurança de dados técnicos e mecanismos técnicos de segurança. Geralmente, esses relatórios provavelmente identificar algumas vulnerabilidades de segurança dentro dos parâmetros de configuração para começar. Uma vez reparado, porém, você pode gerar esses relatórios novamente para provar aos auditores de que seus servidores são compatíveis. Usando mudança de rastreamento embutido, você pode garantir que os sistemas permanecer compatível.

Alterar Tracking - uma vez que seus firewalls, servidores, estações de trabalho, switches, roteadores etc, são todos em um estado compatível com PCI DSS para que você precisa para garantir que eles permaneçam assim. A única maneira de fazer isso é rotineiramente verificar as configurações não mudaram porque não planejadas, as mudanças indocumentados será sempre feita enquanto alguém tem os direitos de administrador para fazer isso! O PCI DSS solução de software de conformidade alertará quando quaisquer mudanças não planejadas são detectados por software de servidor usando o arquivo de monitoramento da integridade, ou firewalls e sistemas de protecção contra intrusões, e qualquer outro dispositivo de rede dentro de sua "infra-estrutura de conformidade".

Trilha de auditoria planejada Mudança - quando as mudanças que precisam ser feitas para um servidor do PCI DSS, firewall ou dispositivo de rede, você precisa garantir que as mudanças sejam aprovadas e documentadas. Uma solução de software automatizado para PCI DSS torna isso fácil e direta, conciliar todas as alterações feitas com o RFC ou registro de Aprovação de Alteração

Endurecimento dispositivo deve ser aplicada e auditados. Uma boa solução PCI DSS auditoria de conformidade fornecerá os modelos automáticos para uma configuração endurecido (seguro & compatível) para servidores e desktops e dispositivos de rede para mostrar onde o trabalho é necessário para obter conformidade e, posteriormente, irá acompanhar todas as mudanças planejadas e não planejadas que afetam o estado endurecido de sua infra-estrutura. O estado da arte em software de auditoria de conformidade abrange as chaves do Registro e valores, monitoramento de integridade de arquivos, monitoramento de integridade do host, serviço e processo de whitelisting / lista negra, contas de usuário, o software instalado, patches, direitos de acesso, envelhecimento senha e muito mais.

Auditoria de Gestão Log - Todos auditoria e logs de eventos de todos os servidores Windows, Unix, servidores Linux, firewalls e dispositivos de protecção contra intrusões devem ser analisados, filtrados, correlacionados e encaminhado de forma adequada. Log de Auditoria e mensagens de log de eventos devem ser armazenados de forma segura, garantida a integridade do repositório, para o período de retenção obrigatório para que o PCI DSS é de 12 meses.

Correlação de Segurança da Informação e logs de auditoria - além você deve implementar log de auditoria e coleta de registro de eventos de todos os dispositivos com capacidades de correlação para identificação de segurança assinatura de evento e 'mineração' poderosa e recursos de análise. Isso fornece uma completa segurança PCI DSS rede para assegurar, por exemplo, para citar apenas algumas atualizações, vírus concluída com êxito, a proteção de intrusões de host é habilitado em todos os momentos, regras de firewall não são alterados, contas de usuários, direitos e permissões não são alteradas sem permissão e patches são implementadas....