OSSIM下合規性管理
需求場景:
老闆讓我檢測我公司的網站是否符合PCI Compliance,完全不知道PCI Compliance是什麼東西啊。
怎麼檢測才能知道網站是否符合PCI Compliance?
通過對收集的各種裝置日志和安全事件進行深入挖掘,結合安全合規管理,達到幫助建設企業資訊安全合規管理體系的目标。OSSIM系統能夠生成不同的安全合規報表,給出了标準的評價依據,通過檢查資訊系統中的各種安全合規項資訊,生成安全合規測試報告,以達到對安全合規的管理的要求,通過将PCI DSS 2.0 、PCI DSS 3.0和ISO 27001融合為一體,可以很好的幫助企業規避合規風險.
下面主要談談2.0部分的内容。首先看一張整體效果圖。
PCI DSS 2.0
| 需求 | 子需求 | 子需求内容 |
| R.1 安裝并維護防火牆配置以保護持卡人資料 | R.1.1建立并實施包含以下内容的防火牆和路由器配置标準 | R.1.1.1 準許和測試所有網絡連接配接以及防火牆和路由器配置變更的正式流程 |
| R.1.1.2 辨別持卡人資料環境和其它網絡(含任何無線網絡)間所有連接配接的目前網絡圖表 | ||
| R.1.1.3 顯示整個系統和網絡中所有持卡人資料流的目前圖表。 | ||
| R.1.1.4 各網際網路連接配接以及任何非軍事區(DMZ) 和内部網絡區域間的防火牆要求 | ||
| R.1.1.5 網絡元件管理群組、角色與責任的說明 | ||
| R.1.1.6 使用所有獲準服務、協定和端口的文檔記錄和業務理由,包括對非安全協定實施安全功能的文檔記錄。 非安全服務、協定或端口包括但不限于 FTP、Telnet、POP3、IMAP 以及SNMP 1 版和2 版。 | ||
| R.1.1.7 稽核防火牆和路由器規則集(至少每半年一次)的要求 | ||
| R.1.2建構防火牆和路由器配置,以限制不可信網絡與持卡人資料環境中任意系統元件之間連接配接。 | R1.2.1 将輸入和輸出流量限制到持卡人資料環境所需的範圍,并明确拒絕所有其它流量。 | |
| R1.2.2 保護并同步路由器配置檔案。 | ||
| R1.2.3 在所有無線網絡和持卡人資料環境間安裝外圍防火牆,并配置這些防火牆以拒絕流量或(如果業務需要流量)僅允許無線環境和持卡人資料環境間的授權流量。 | ||
| R.1.3禁止網際網路與持卡人資料環境中任何系統元件之間的直接公共通路。 | R.1.3.1 實施 DMZ,僅向提供授權服務、協定和端口(支援公共通路)的系統元件輸入流量。 | |
| R.1.3.2 僅向 DMZ 内的IP 位址輸入網際網路流量。 | ||
| R.1.3.3 禁止任何直接的入站和出站連接配接在網際網路和持卡人資料環境之間産生流量。 | ||
| R.1.3.4 執行反欺騙措施以檢測并阻止僞造的源IP 位址進入網絡。 | ||
| R.1.3.5 禁止從持卡人資料環境到網際網路的非授權輸出流量。 R.1.3.6 實施狀态檢查,也稱動态資料包過濾。 | ||
| R.1.3.7 将存儲持卡人資料的系統元件(例如:資料庫)放置在與DMZ 以及其它不可信網絡隔離的内部網絡區域中。 | ||
| R.1.3.8 不要将私人 IP 位址和路由資訊洩露給非授權方。 | ||
| R.1.4在位于外網時仍連接配接到網際網路且可用以通路網絡的任意移動裝置和/或員工自有裝置(例如,員工使用的筆記本電腦)上安裝個人防火牆軟體。防火牆配置包括: 個人防火牆軟體設有特定的配置設定 個人防火牆軟體正在積極運作 移動裝置使用者和/或員工自有裝置使用者無法更改個人防火牆軟體。 | ||
| R.2 不要使用供應商提供的預設系統密碼和其它安全參數 | R.2.1 始終更改供應商提供的預設值并于在網絡中安裝系統之前删除或禁用不必要的預設帳戶。 該要求适用于所有預設密碼,包括但不限于作業系統、提供安全服務的軟體、應用程式和系統帳戶、銷售點(POS) 終端、簡單網絡管理協定 (SNMP) 社群字元串等使用的預設密碼。 | R.2.1.1 對于連接配接到持卡人資料環境或傳輸持卡人資料的無線環境,在安裝時更改所有無線供應商的預設值,包括但不限于預設的無線密鑰、密碼和SNMP 社群字元串。 |
| R.2.2 制定适合所有系統元件的配置标準。確定這些标準能解決所有已知的安全漏洞并與行業認可的系統強化标準一緻。 | R.2.2.1 每台伺服器僅執行一項主要功能,以防需要不同安全級别的功能并存于同一台伺服器上。(例如web 伺服器、資料庫伺服器和DNS 均應在單獨的伺服器上執行。) 注:如果使用虛拟化技術,每個虛拟系統元件僅執行一項主要功能。 | |
| R.2.2.2 僅啟用系統功能所需的必要服務、協定、守護程序等。 R.2.2.2.a 選擇系統元件樣本,并檢查已啟用的系統服務、守護程序和協定,确認僅啟用了必要的服務或協定。 R.2.2.2.b 找出任何已啟用的不安全服務、守護程序或協定,并與從業人員面談,确認已根據書面配置标準判斷其實屬合理。 | ||
| R.2.2.3 對于任何被視為不安全的服務、協定或守護程序,均執行附加安全功能 — 例如,采用SSH、S-FTP、SSL 或IPSec *** 等安全技術保護NetBIOS、檔案共享、Telnet、FTP 等不安全的服務。 R.2.2.3.a 檢查配置設定,确認已針對所有不安全的服務、守護程序或協定記錄并執行安全功能。 | ||
| R.2.2.4 配置系統安全參數,以防濫用。 | ||
| R.2.3 使用強效加密法對所有非控制台管理通路進行加密。對于基于web 的管理和其它非控制台管理通路,可采用SSH、*** 或SSL/TLS 等技術。 | ||
| R.3 保護存儲的持卡人資料 | R.3.1 通過實施資料保留和處理政策、程式和流程最大限度地減少持卡人資料存儲,對所有持卡人資料(CHD) 存儲而言,這些政策、程式和流程至少應包含以下方面: 将資料存儲量和保留時間限制在法律、法規和業務要求的範圍内 不再需要時安全删除資料的流程,持卡人資料的具體保留要求 按季度查找并安全删除所存儲的超過規定保留期限的持卡人資料的流程。 | |
| R.3.2 授權之後,不要存儲敏感驗證資料(即使已加密)。如果收到敏感驗證資料,在完成驗證流程後使所有資料不可恢複。 在下列情況下,允許發夾機構和支援發夾服務的公司存儲敏感驗證資料: 有正當的業務理由且 資料存儲安全。 | R.3.2.1 切勿存儲卡片背面磁條上任何磁道的完整内容、晶片或其它地方上的等效資料。此類資料也可稱為全磁道、磁道、磁道1、磁道2 和磁條資料。 | |
| R.3.2.2 切勿存儲用于确認無實卡交易的卡驗證代碼或值(印在支付卡正面或背面的三或四位數值) | ||
| R.3.2.3 切勿存儲個人識别碼(PIN) 或已加密的PIN 資料塊。 | ||
| R.3.3 顯示PAN 時予以掩蓋(最多顯示前六位和後四位數字),這樣僅具有正當業務需要者方可看到完整的PAN。 R.3.4 通過采取下列任一方法使所有位置(包括便攜式數字媒介上、備份媒介上和日志中)存儲的PAN 均不可讀: 基于強效加密法的單向散列函數(散列必須要有完整的PAN) 截詞(不能用散列代替 PAN 被截詞的部分) 索引記号與索引簿(索引簿必須安全地存儲) 具有相關密鑰管理流程和程式的強效加密法 | R.3.4.a 檢查關于 PAN 保護系統的檔案記錄,包括供應商、系統/流程類型以及加密算法(若适用),确認已認證使用下列任一方法令PAN 不可讀取: 基于強效加密法的單向散列函數 索引記号與索引簿(索引簿存儲安全) 具有相關密鑰管理流程和程式的強效加密法 | |
| R.3.4.b 檢查資料儲存庫樣本中的幾個表格或檔案,确認PAN 不可讀 | ||
| R.3.4.c 檢查可移動媒介(例如備份錄音帶)樣本,确認PAN 不可讀。 | ||
| R.3.4.d 審查檢查日志樣本,确認PAN 不可讀或已從日志中删除。 | ||
| R.3.4.1 如使用磁盤加密(而不是檔案級或列級資料庫加密),則邏輯通路必須得到單獨管理并獨立于本地作業系統的驗證和通路控制機制(例如,不使用本地使用者帳戶資料庫或通用網絡登入憑證)。解密密匙決不能與使用者帳戶關聯。 | ||
| R.3.5 記錄并實施保護程式,以保護用于防止存儲的持卡人資料被洩露和濫用的密鑰: | R.3.5.1 僅極少數必需的保管人有密鑰通路權限。 | |
| R.3.5.2 始終以下面的一種(或多種)形式存儲用于加密/解密持卡人資料的機密密鑰和私人密鑰: 使用至少與資料加密密鑰一樣強效且與資料加密密鑰分開存儲的密鑰加密密鑰進行加密 在安全加密裝置(例如,主機安全子產品(HSM) 或PTS 準許的互動點裝置)内 根據行業認可的方法,采用至少兩個全長密鑰組分或密鑰共享 | ||
| R.3.6 充分記錄并實施用于持卡人資料加密的所有密鑰管理流程和程式,包括: | R.3.6.a 針對服務提供商的附加程式:如果服務提供商與客戶共享傳輸或存儲持卡人資料的密鑰,則需要檢查服務提供商向客戶提供的文檔記錄,以确認已根據下文要求3.6.1 至3.6.8 在文檔記錄中提供了安全傳輸、存儲并更新客戶密鑰的指南。 R.3.6.b 檢查用于持卡人資料加密的密鑰管理程式和流程并執行以下操作: R.3.6.1.a 确認密鑰管理程式詳細列明強效密鑰的生成方式。 R.3.6.1.b 檢視密鑰生成方法,确認已生成強效密鑰。 R.3.6.2 安全的密鑰配置設定 3.6.3 安全的密鑰存儲 3.6.4 根據相關應用程式供應商或密鑰所有人的規定并基于行業最優方法和指南(例如,《NIST 特别出版物800-57》),在密鑰周期結束時(例如,指定期限過後和/或給定密鑰産生一定量的密文後)對密鑰進行的變更。 3.6.5 密鑰的完整性變弱(例如,知道明文密鑰部分的員工離職)或懷疑密碼遭受威脅時,認為有必要登出或替換(例如,存檔、銷毀和/或撤銷)密鑰。 3.6.6 若使用手動明文密鑰管理操作,則必須使用分割知識和雙重控制來管理這些操作。 3.6.7 防止密鑰的非授權替換。 3.6.8 有關密鑰保管人正式确認了解并接受密鑰保管責任的要求。 | |
| R.4 加密持卡人資料在開放式公共網絡中的傳輸 | R.4.1 使用強效加密法和安全協定(例如,SSL/TLS、IPSEC、SSH 等) 來保護在開放式公共網絡中傳輸的敏感持卡人資料,包括: 隻接受可信的密鑰和證書 使用的協定隻支援安全的版本或配置 加密強度适合所使用的加密方法 | 4.1.a 審查書面政策和程式,确認已詳細列明以下方面的流程: 隻接受可信密鑰和/或證書。 所使用的協定僅支援安全的版本和配置(不支援非安全版本和配置)。 根據所使用的加密方法實施适當的加密強度 4.1.b 在出現入站和出站傳輸時選擇并檢視其樣本部分,以确認所有持卡人資料均在傳輸時使用強效加密法加密。 4.1.c 檢查密鑰和證書,确認僅接受可信密鑰和/或證書。 4.1.d 檢查系統配置,确認實施的協定僅使用安全的配置且不支援非安全版本或配置。 4.1.e 檢查系統配置,确認已針對所使用的加密方法采用合适的加密強度。 |
| 4.1.1 確定傳輸持卡人資料或連接配接到持卡人資料環境的無線網絡使用行業最優方法(例如,IEEE 802.11i),以對驗證和傳輸實施強效加密。 | ||
| R.4.2 不要使用終端使用者通訊技術(例如,電子郵件、即時通訊、聊天等)來傳送不受保護的PAN。 | 4.2.a 如果使用終端使用者通訊技術來發送持卡人資料,則應檢視發送PAN 的流程,并在出現出站傳輸時抽樣檢視,确認隻要通過終端使用者通訊技術傳送,PAN 便不可讀或受強效加密保護。 4.2.b 審查書面政策,确認已有不會通過終端使用者通訊技術傳送不受保護的PAN 方面的政策規定。 | |
| R.5 為所有系統提供惡意軟體防護并定期更新防毒軟體或程式 | R.5.1 在經常受惡意軟體影響的所有系統(特别是個人電腦和伺服器)中部署防毒軟體。 | 5.1.1 確定殺毒程式能檢測、删除并阻止所有已知類型的惡意軟體。 |
| R.5.2 確定所有殺毒機制按如下方式維護: 保持為最新, 執行定期掃描 生成檢查日志(PCI DSS 要求10.7 規定保留) | 5.2.a 檢查政策和程式,确認已規定防毒軟體和相關定義需要保持為最新。 5.2.b 檢清除毒配置(包括軟體的主體安裝),确認殺毒機制: 配置為執行自動更新 配置為執行定期掃描 5.2.c 檢查系統元件樣本(包括經常受惡意軟體影響的所有作業系統類型),确認: 防毒軟體和相關定義為最新 已執行定期掃描 5.2.d 檢清除毒配置(包括軟體的主體安裝和系統元件的樣本部分),确認: 已啟用防毒軟體日志生成功能,且日志根據 PCI DSS 要求10.7 進行保留。 | |
| R.6 開發并維護安全的系統和應用程式 | R.6.1 制定相關流程,通過使用外部信源擷取安全漏洞資訊來識别安全漏洞,并為新發現的安全漏洞指定風險等級(例如“高”、“中”或“低”)。 | 6.1.a 檢查政策和程式,确認已規定以下流程: 識别新的安全漏洞。 為漏洞指定風險等級,包括識别所有“高”風險和“重要”漏洞。 使用外部信源擷取安全漏洞資訊。 6.1.a 檢查政策和程式,确認已規定以下流程: 識别新的安全漏洞。 為漏洞指定風險等級,包括識别所有“高”風險和“重要”漏洞。 使用外部信源擷取安全漏洞資訊。 |
| R.6.2 通過安裝供應商提供的适用安全更新檔,確定所有系統元件和軟體均杜絕已知漏洞。在釋出後一個月内安裝關鍵的安全更新檔。 | ||
| R.6.3 遵照如下要求安全地開發内部和外部軟體應用程式(包括基于web 的應用程式管理通路): 按照 PCI DSS(例如安全驗證和記錄) 基于行業标準和/或最優方法。 将資訊安全納入軟體開發的整個生命周期。 | 6.3.a 檢查書面軟體開發流程,确認這些流程以行業标準和/或最優方法為基礎。 6.3.b 檢查書面軟體開發流程,确認資訊安全已納入軟體開發的整個生命周期。 6.3.c 檢查書面軟體開發流程,确認軟體應用程式的開發符合PCI DSS。 6.3.d 與軟體開發人員面談,确認已實施書面軟體開發流程。 | |
| 6.3.1 在應用程式啟動前或向客戶釋出應用程式前,删除開發、測試和/或自定義應用程式帳戶、使用者ID 和密碼 | ||
| 6.3.2 為識别任何潛在的編碼漏洞(采用人工或自動流程),在釋出到産品前或向客戶釋出前檢查自定義代碼時至少應包括以下方面: 由代碼原作者以外人員以及熟悉代碼稽核方法和安全編碼實踐的人員稽核代碼變更。 代碼稽核可確定代碼的開發符合安全編碼指南 釋出前已進行适當修正。 | ||
| R.6.4 系統元件的所有變更均須遵守變更控制流程和程式。該流程必須包括如下内容: | 6.4.1 開發/測試環境獨立于生産環境,并設定通路控制,確定兩者分離 6.4.2 開發/測試環境與生産環境中的職責分離 6.4.3 在測試或開發過程中不使用生産資料(真實的PAN) 6.4.4 在生産系統啟動前,删除測試資料與帳戶 6.4.5 應用安全更新檔和軟體修改的變更控制程式必須包括以下方面: 6.4.5.a 檢查有關應用安全更新檔和軟體修改的書面變更控制程式,确認已規定以下方面的程式: 影響記錄 被授權方的變更審批記錄 功能測試,以确認該變更未對系統安全造成不利影響 取消程式 6.4.5.b 對于系統元件樣本,與負責人員面談以确定最新的變更/安全更新檔,并根據這些變更追溯到相關的變更控制記錄。每次檢查變更時,執行下列步驟: 6.4.5.1 确認每次抽取的變更樣本的變更控制文檔記錄已包含影響記錄。 6.4.5.2 确認每次抽取的變更樣本都有被授權方的審批記錄。 | |
| R.6.5 按照以下操作解決軟體開發流程中常見的編碼漏洞: 為開發人員提供關于安全編碼技術的教育訓練,包括如何避免常見的編碼漏洞,并了解敏感資料在記憶體中的處理方式。 根據安全編碼指南開發應用程式 | 6.5.a 檢查軟體開發政策與程式,确認已要求開發人員必須參加安全編碼技術教育訓練,且教育訓練以行業最優方法和指南為基礎。 6.5.b 抽取部分開發人員進行面談,确認他們熟悉安全編碼技術。 6.5.c 檢查教育訓練記錄,确認軟體開發人員已接受關于安全編碼技術的教育訓練,包括如何避免常見的編碼漏洞,并了解敏感資料在記憶體中的處理方式。 | |
| 6.5.1 注入***,特别是 SQL 注入。同時還須考慮OS 指令注入、LDAP等其它注入***。 6.5.2 緩沖區溢出 6.5.3 非安全加密存儲 6.5.4 非安全通信 6.5.5 不正确的錯誤處理 6.5.6 漏洞識别流程中确認的所有“高風險”漏洞 6.5.7 跨站點腳本 (XSS) 6.5.8 不正确的通路控制(例如不安全的直接對象引用、未能限制URL 通路、目錄周遊和未能限制使用者的功能通路) 6.5.9 跨站點請求僞造 (CSRF) 6.5.10 失效的驗證與會話管理 | ||
| R.6.6 對于面向公衆的 web 應用程式,應不斷解決新的威脅和漏洞,并通過以下任一方法確定這些應用程式不會受到已知***: 利用手動或自動應用程式漏洞安全評估工具或方法稽核面向公衆的web 應用程式,至少每年一次或在有任何變更後進行注:該評估與要求11.2 中執行的漏洞掃描不同 在面向公衆的 web 應用程式前安裝可檢查和防範網頁式***的自動化技術解決方案(例如web 應用程式防火牆),用以不斷檢查所有流量。 | ||
| R.7 按業務知情需要限制對持卡人資料的通路 | R.7.1 僅有工作需要的個人才能通路系統元件和持卡人資料。 | 7.1.1 為每個角色定義通路需要,包括: 每個角色依據工作職能需要通路的系統元件和資料資源 通路資源所需的權限級别(例如,使用者、管理者等) |
| 7.1.2 将特權使用者 ID 的通路權限限制為執行工作所需的最小權限。 | ||
| 7.1.3 基于個人的工作分類和職能配置設定通路權限。 | ||
| 7.1.4 要求由指定所需權限的被授權方作出書面準許。 | ||
| R.7.2 為系統元件建立通路控制系統,以根據使用者的知情需要限制通路,并且将系統設為“全部拒絕”,特别允許通路時除外。 該通路控制系統必須包含以下内容: | 7.2.1 所有系統元件範圍 7.2.2 基于工作分類和職能為個人配置設定權限 7.2.3 預設的“全部拒絕”設定 | |
| R.8 識别并驗證對系統元件的通路 | R.8.1 規定并實施政策和程式,確定對所有系統元件中的非消費者使用者和管理者執行以下适當的使用者識别管理: | |
| R.8.2 除了配置設定唯一 ID 以外,至少采用以下一種方法來驗證所有使用者,確定對所有系統元件中的非消費者使用者和管理者執行恰當的使用者驗證管理: 所知,如密碼或密碼等 所有,如令牌裝置或智能卡等 個人特征,如生物特征等 | ||
| R.8.3 對來自網絡外部人員(包括使用者和管理者)以及所有第三方的遠端網絡通路(包括基于支援或維護目的的供應商通路)使用雙因素驗證。 | ||
| 8.4 記錄并向所有使用者傳達驗證程式和政策,包括: 選擇強效驗證憑證的指南 關于使用者應如何保護其驗證憑證的指南 關于不重用之前用過密碼的說明 使用者如懷疑密碼可能暴露則應修改密碼 | ||
| R.8.5 不要使用群組、共享或正常ID、密碼或其它驗證方法,具體如下: 正常使用者 ID 已禁用或删除 用于系統管理和其它重要功能的共享使用者ID 不存在 不使用共享和正常使用者 ID 管理任何系統元件 | 8.5.1 針對服務提供商的額外要求:有權遠端進入客戶經營場所的服務提供商(例如POS 系統或伺服器的維修商)必須使用每個客戶經營場所獨有的驗證憑證(例如密碼/密碼)。 | |
| R.9 限制對持卡人資料的實體通路 | R.9.1 采用适當的場所入口控制,對持卡人資料環境中系統的實體通路進行限制和監控。 | 9.1.1 利用攝像頭和/或通路控制機制監控個人對敏感區域的實體通路情況。核查采集的資料并與其它條目關聯。除非法律另有規定,否則至少存儲三個月。 9.1.1.a 确認已使用攝像頭和/或通路控制機制監控敏感區域的出入口。 9.1.1.b 确認攝像頭和/或通路控制機制受到安全保護,免遭破壞或禁用。 9.1.1.c 确認已對攝像頭和/或通路控制機制實施監控,并且來自攝像頭或其它機制的資料至少儲存三個月。 |
| R.9.1.2 實施實體和/或邏輯控制,限制對公共網絡插座交換機的通路。 | ||
| R.9.1.3 限制對無線通路點、網關、手持式裝置、網絡/通信硬體和電信線路的實體通路。 | ||
| R.9.2 制定相關程式,輕松識别現場從業人員和訪客,包括: 識别新的現場從業人員或訪客(例如發放工卡) 修改通路要求 廢除或取消現場從業人員和過期訪客的***件(例如工卡) | 9.2.a 檢查流程文檔記錄,确認已制定用于識别和區分現場從業人員與訪客的程式。 9.2.b 檢視關于識别和區分現場從業人員與訪客的流程,确認: 訪客的身份已清楚識别,并且 能輕松區分現場從業人員和訪客 9.2.c 确認驗證流程(如工卡系統)的檢視權僅限于授權人員。 | |
| R.9.3 控制現場從業人員對敏感區域的實體通路,具體如下: 必須根據個人的工作職能擷取使用權 一旦離職,立即撤消使用權,所有實體通路機制(例如鑰匙、通路卡等)均退回或禁用。 | ||
| R.9.4 實施相關程式,識别并準許訪客。 程式應包括以下方面: | 9.4 确認現已實施訪客授權和通路控制流程,具體如下: 9.4.1.a 檢視程式并與從業人員面談,确認訪客必須在獲準後方可進入,并且在進入處理或維護持卡人資料的區域時始終有人陪同。 9.4.1.b 檢視訪客工卡或其它***件的使用情況,确認實體令牌工卡不允許在無人陪同的情況下進入處理或維護持卡人資料的現場區域 9.4.2.a 檢視經營場所内的人員,确認已使用訪客工卡或其它***件,并能從現場從業人員中輕松分辨出訪客。 9.4.2.b 确認訪客工卡或其它***件的有效期。 | |
| R.9.5 保護所有媒介的實體安全。 | 9.5.1.a 檢視存儲場所的實體安全性,确認備份媒介存儲安全。 9.5.1.b 确認至少每年檢查一次存儲場所的安全性。 | |
| R.9.6 嚴格控制任何媒介的内部或外部分發,包括: | ||
| R.9.7 嚴格控制對媒介的存儲和擷取。 | 9.7.1 檢查媒介盤存記錄,确認已保留記錄,并且至少每年盤點一次媒介。 | |
| R.9.8 當媒介因業務或法律原因不再需要時應予銷毀,具體如下: | 檢查媒介定期銷毀政策,确認該政策涵蓋所有媒介,并具備以下要求: 硬拷貝材料必須粉碎、焚燒或打漿,以合理保證這些硬拷貝材料無法重建。 用于存放待銷毀材料的容器必須安全。 電子媒介上的持卡人資料必須通過安全擦除程式(符合行業認可的安全删除标準)或通過銷毀媒介實體令其不可恢複。 | |
| R.9.9 保護通過直接接觸卡本身便可捕獲支付卡資料的裝置,以避免裝置被篡改和替換。 | 9.9.1 保留一份最新的裝置清單。該清單應包含如下資訊: 裝置的外形、型号 裝置的位置(例如裝置所安放的現場或設施的位址) 裝置的序列号或其它獨特驗證方法 | |
| R.9.10 確定已記錄、正在使用且所有相關方了解用于限制持卡人資料實體通路權的安全政策和操作程式。 | ||
| R.10 跟蹤并監控對網絡資源和持卡人資料的所有通路 | R.10.1 實施檢查記錄,将對系統元件的所有通路連結到個人使用者。 | |
| R.10.2 對所有系統元件實施自動檢查記錄以重建以下事件: | 10.2.1 對持卡人資料的所有個人使用者通路 10.2.2 任何具有 root 或管理者權限的個人執行的所有操作 10.2.3 對所有檢查記錄的通路 10.2.4 無效的邏輯通路嘗試 10.2 5 識别和驗證機制的使用和變更(包括但不限于建立帳戶和提升權限)以及具有root 或管理者權限帳戶的所有變更、添加或删除 10.2.6 檢查日志的初始化、關閉或暫停 10.2.7 系統級對象的建立和删除 | |
| R.10.3 對于每次事件,至少記錄所有系統元件的以下檢查記錄條目: | 10.3.1 使用者識别 10.3.2 事件類型 10.3.3 日期和時間 10.3.4 成功或失敗訓示 10.3.5 事件的起因 10.3.6 受影響的資料、系統元件或資源的特性或名稱。 | |
| R.10.4 使用時間同步技術來同步所有關鍵系統的時鐘和時間,并確定實施以下各項以擷取、配置設定并存儲時間。 | 10.4.1.a 檢查擷取、配置設定和存儲組織内部正确時間的流程,确認: 隻有指定的中央時間伺服器能接收外來的時間信号,且外來的時間信号以國際原子時或UTC 為基礎。 當存在多個指定時間伺服器時,這些時間伺服器會互相同步以保持準确的時間。 系統隻接收來自指定中央時間伺服器的時間資訊。 10.4.1.b 對于系統元件樣本,檢視與時間相關的系統參數設定,确認: 隻有指定的中央時間伺服器能接收外來的時間信号,且外來的時間信号以國際原子時或UTC 為基礎。 當存在多個指定時間伺服器時,這些指定的中央時間伺服器會互相同步以保持準确的時間。 系統隻接收來自指定中央時間伺服器的時間。 | |
| R.10.4.2 時間資料受保護。 | 10.4.2.a 檢查系統配置和時間同步設定,确認僅有業務需要的人員才能通路時間資料。 10.4.2.b 檢查系統配置、時間同步設定和日志以及流程,确認已記錄、監控并稽核關鍵系統中時間設定的任何變更。 | |
| R.10.4.3 時間設定來自行業認可的時間來源。 | ||
| R.10.5 保護檢查記錄,禁止進行更改。 | 10.5.1 隻允許有工作需要的人檢視檢查記錄。 10.5.2 防止檢查記錄檔案受到非授權修改。 10.5.3 即時将檢查記錄檔案備份到難以更改的中央日志伺服器或媒介中。 10.5.4 将向外技術的日志寫入安全的内部中央日志伺服器或媒介裝置。 10.5.5 對日志使用檔案完整性監控或變更檢測軟體可確定未生成警報時無法變更現有日志資料 | |
| R.10.6 稽核所有系統元件的日志和安全事件以識别異常情況或可疑活動。 | 10.6.1.a 檢查安全政策和程式,确認已規定程式,以手動或采用日志工具至少每天稽核一次以下内容: 所有安全事件 可存儲、處理或傳輸 CHD 和/或SAD 或者影響CHD 和/或SAD 安全性的所有系統元件的日志 所有關鍵系統元件的日志 執行安全功能的所有伺服器和系統元件(例如,防火牆、***檢測系統/***防禦系統(IDS/IPS)、驗證伺服器、電子商務重定向伺服器等)的日志 10.6.1.b 檢視流程并與從業人員面談,确認至少每天稽核一次以下内容: 所有安全事件 可存儲、處理或傳輸 CHD 和/或SAD 或者影響CHD 和/或SAD 安全性的所有系統元件的日志 所有關鍵系統元件的日志 執行安全功能的所有伺服器和系統元件(例如,防火牆、***檢測系統/***防禦系統(IDS/IPS)、驗證伺服器、電子商務重定向伺服器等)的日志 | |
| R.10.7 保留檢查記錄曆史至少一年,其中最少3 個月的記錄可立即通路以供分析(例如,線上、存檔或可從備份恢複)。 | 10.7.a 檢查安全政策和程式,确認規定以下内容: 檢查日志保留政策 關于保留檢查日志至少一年的程式,其中最少 3 個月的日志可立即線上通路。 10.7.b 與從業人員面談并檢視檢查日志,确認檢查日志至少一年可用。 | |
| R11 定期測試安全系統和流程。 | R.11.1 實施流程以測試是否存在無線接入點(802.11),并按季度檢測和識别所有授權和非授權的無線接入點 | 11.1.a 檢查政策和程式,确認已規定相應的流程,以按季度檢測并識别授權和非授權的無線接入點。 11.1.b 确認所用方法足以檢測并識别任何非授權無線接入點,其中至少包括: 在系統元件中插入 WLAN 卡 将系統元件連接配接到便攜或移動裝置以建立無線接入點(例如通過 USB 等) 将無線裝置連接配接到網絡端口或網絡裝置 11.1.c 檢查最近的無線掃描結果,确認: 已識别出授權和非授權無線接入點,且 至少每季度掃描一次所有系統元件和設施。 11.1.d 如果采用自動監控(例如無線IDS/IPS、NAC 等),确認配置會發出警報以通知從業人員。 |
| R.11.2 至少每個季度運作一次内部和外部網絡漏洞掃描,并且在網絡有任何重大變化(例如安裝新的系統元件,更改網絡拓樸,修改防火牆規則,産品更新)時也運作漏洞掃描。 | 11.2.1 執行每季度一次的内部漏洞掃描,并視需要重複掃描,直至所有“高風險”漏洞(具體規定請參閱要求6.1)均得以解決。必須由合格人員執行掃描。 11.2.2 通過由支付卡行業安全标準委員會(PCI SSC) 認證的授權掃描服務商(ASV) 執行每季度一次的外部漏洞掃描。視需要執行重複掃描,直至獲得掃描通過結果。 11.2.3 在發生任何重要變更後,視需要執行内部和外部掃描和重複掃描。必須由合格人員執行掃描。 | |
| R.11.3 實施一種包含以下内容的穿透測試法: 以行業認可的穿透測試法為基礎(例如 NIST SP800-115) 包括覆寫整個CDE 環境和關鍵系統 來自網絡内部和外部的測試 包括用于驗證任何網段和範圍縮小控制的測試 定義應用層穿透測試,至少包括要求 6.5 中列出的漏洞 定義網絡層穿透測試,包括支援網絡功能和作業系統的元件 包括稽核并考慮過去12 個月内遇到的威脅和漏洞 指定保留穿透測試結果和修複活動結果。 | 11.3.1 每年至少執行一次外部穿透測試,并且在基礎架構或應用程式有任何重要更新或修改時(例如作業系統更新、環境新增子網絡或環境新增web 伺服器)也執行該測試。 11.3.2至少每年執行一次内部穿透測試,并在基礎架構或應用程式有任何重要更新或修改(例如作業系統更新、環境新增子網絡或環境新增web 伺服器)後也執行該測試。 | |
| R.11.4 利用***檢測和/或***防禦技術來檢測和/或防禦網絡***。監控持卡人資料環境周圍以及持卡人資料環境中關鍵點的所有流量,并警示從業人員注意可疑威脅。 | 11.4.a 檢查系統配置和網絡圖,确認目前已采用相關技術(例如***檢測系統和/或***防禦系統)監控以下位置的所有流量 持卡人資料環境周圍 持卡人資料環境中的關鍵點 11.4.b 檢查系統配置并與負責人員面談,确認***檢測和/或***防禦技術會在發現可疑威脅時向從業人員發出警報。 11.4.c 檢查IDS/IPS 配置和供應商文檔記錄,确認已按照供應商的說明對***檢測和/或***防禦技術進行配置、維護和更新,以確定提供最佳保護。 | |
| R11.5 部署變更檢測機制(例如檔案完整性監控工具),在發現重要的系統檔案、配置檔案或内容檔案出現非授權修改時警示從業人員;同時配置該軟體至少每周執行一次重要檔案比對。 | 11.5.a 檢視系統設定和受監控檔案,并稽核監控活動結果,确認已在持卡人資料環境中使用變更檢測機制。 應予以監控的檔案有: 系統可執行檔案 應用程式可執行檔案 配置和參數檔案 集中存儲檔案、曆史或歸檔檔案、日志和檢查檔案 由實體(通過風險評估或其它方法)确定的其它重要檔案 11.5.b 确認已配置該機制,可在重要檔案出現非授權修改時警示從業人員,并至少每周執行一次重要檔案比對。 | |
| R.12 維護針對所有從業人員的資訊安全政策 | 12.1 制定、公布、維護和宣傳安全政策 | 12.1.1 至少每年稽核一次安全政策,并在環境發生變更時予以更新。 12. 2.a 确認每年一次的風險評估過程有文檔記錄,确定資産、威脅和漏洞,并形成正式的風險評估。 12. 2.b 稽核風險評估文檔記錄,确認至少每年執行一次風險評估過程,并在環境有重大變更時也執行。 |
| R.12.2 實施符合以下條件的風險評估流程: 至少每年執行一次評估,并在環境發生重大變更時(例如收購、合并、遷址等)也執行評估; 确定重要資産、威脅和漏洞;以及 形成正式的風險評估。 | ||
| R.12.3 制定關鍵技術的使用政策,并規定這些技術的正确用法。 | 12.3.1 被授權方的明确許可 12.3.2 技術使用驗證 12.3.3 一份列出所有此類裝置和具有通路權的從業人員的清單 12.3.4 一種确定負責人、聯系資訊和用途 12.3.5 可接受的技術使用方式 12.3.6 技術可接受的網絡位置 12.3.7 公司準許的産品清單 12.3.8 非活躍狀态持續一定時間後自動中斷遠端通路技術的會話 12.3.9 僅在供應商和業務合作夥伴需要時為其激活遠端通路技術,并在使用後立即停用 12.3.10 對于通過遠端通路技術通路持卡人資料的從業人員,除非因規定的業務需要獲得明确許可,否則禁止将持卡人資料複制、移動和存儲到本地硬碟及可移動電子媒介上。如果有經準許的業務需要,使用政策必須規定應按照所有适用的PCI DSS 要求保護資料。 | |
| R.12.4 確定安全政策和程式明确規定所有從業人員的資訊安全責任。 | ||
| R.12.5 将下列資訊安全管理職責配置設定給個人或團隊: | 12.5.1 确認已正式配置設定制定、記錄和分發安全政策與程式的職責。 12.5.2 确認已正式配置設定安全警報的監控和分析職責,以及向适當的資訊安全與業務部門管理人員分發資訊的職責。 12.5.3 确認已正式配置設定建立、記錄并分發安全事故響應和逐級上報程式的職責。 12.5.4 确認已正式配置設定使用者帳戶管理(添加、删除和修改)和驗證管理的職責。 12.5.5 确認已正式配置設定監控并控制所有資料通路的職責。 | |
| R.12.6 實施正式的安全意識計劃,使所有從業人員意識到持卡人資料安全的重要性。 | 12.6.a 稽核安全意識計劃,确認該計劃使所有從業人員意識到持卡人資料安全的重要性。 12.6.b 檢查安全意識計劃程式和文檔記錄并執行以下操作: 12.6.1 人員一經錄用即進行教育訓練,此後每年至少教育訓練一次。 12.6.2 要求從業人員每年至少确認一次自己已閱讀并了解安全政策和程式。 | |
| R.12.7 在錄用人員前篩選應征者,以最大程度地降低内部***的風險。(背景調查包括以往的工作經曆、犯罪記錄、信用記錄以及證明人調查。) | ||
| R.12.8 維護并實施政策和程式,以管理共享持卡人資料或可影響持卡人資料安全的服務提供商,具體方式如下: | 12.8.1 确認已保留一份服務提供商名單。 12.8.2 檢視書面協定并确定服務提供商确認其負責維護所持有的持卡人資料,或以其它方式代表客戶存儲、處理或傳輸的持卡人資料的安全,或在可能影響持卡人資料環境安全性的程度内維護資料安全。 12.8.3 确認已記錄并實施此政策和程式(包括雇用任何服務提供商之前相應的盡職調查)。 12.8.4 确認組織通過維護一項計劃來監控(至少每年一次)服務提供商的PCI DSS 遵從性狀态。 | |
| R.12.9 針對服務提供商的額外要求:服務提供商以書面形式向客戶确認其負責維護所持有的持卡人資料,或以其它方式代表客戶存儲、處理或傳輸的持卡人資料的安全,或在可能影響持卡人資料環境安全性的程度内維護資料安全。 | 12.9.1.a 确認事故響應計劃包括: 出現威脅時的角色、責任以及溝通政策,至少包括支付品牌通知 詳細的事故響應程式 業務恢複和繼續程式 資料備份流程 報告威脅的法律要求分析(例如,“加州參議院第1386 号法案”要求,資料庫中有加州居民資料的任何公司在發現實際威脅或懷疑出現威脅時都應通知受影響的消費者) 所有關鍵系統元件的範圍和響應 支付品牌對事故響應程式的參考或應用 12.9.1.b 從之前報告的事故或警報中選取樣本,與從業人員面談并檢視文檔記錄,确認已遵循書面事故響應計劃和程式。 | |
| 12.9.2 至少每年測試一次計劃。 | ||
| 12.9.3 指定可全天候響應警報的特定人員。 | ||
| 12.9.4 為具有安全漏洞響應責任的員工提供恰當的教育訓練。 12.9.5 包含來自安全監控系統(包括但不限于***檢測系統、***防禦系統、防火牆和檔案完整性監控系統)的警報。 | ||
| 12.9.6 根據以往的經驗教訓并結合行業發展情況,制定修改并改進事故響應計劃的流程。 |
以上這些需求包括了對服從性的周期性報告(ROC),漏洞掃描,***測試和Web應用測試等規範要求,如果你的企業需要進行IT審計那麼這是必備内容。
根據PCI生成的報告:
合規檢測在儀表盤中的展示界面:
以上僅僅是OSSIM平台在有關PCI報表方面小衆内容展示,更多内容請大家參閱《Unix/Linux網絡日志分析與流量監控》一書中有關OSSIM的章節。