25
ספט
08

יישום של תקן PCI-DSS

אני מניח שארגונים רבים בונים בימים אלה את תוכנית העבודה של אבטחת מידע לשנת 2009. התחלתי לבחון את משמעות יישום תקן PCI-DSS. ארגון שמקיים מדיניות אבטחת מידע ופועל בצורה מסודרת ושוטפת בתחום, יעמוד ברוב הדרישות ללא מאמץ רב.

להערכתי – לא נדרש ידע רב כדי להגיע למסקנה הזו – 2 דרישות שרוב הארגונים ימצאו שקשה מאוד לממשן הן דרישות 3, 10.

דרישה 3 מחייבת, בין השאר, הצפנה של מספרי כרטיסי אשראי בבסיסי נתונים. מניסיון, זו משימה כמעט בלתי אפשרית להצפין שדות במסדי נתונים כיוון שזה מחייב שינויים באפליקציות שלפעמים נכתבו לפני יותר מעשר שנים.

דרישה 10 מחייבת, בין השאר, ניטור גישה למשאבי רשת ולנתוני כרטיסי אשראי. פעולת ניטור וקיום נתיב בקרה קשה מאוד למימוש בארגונים גדולים ומחייבת שינויים גדולים באפליקציה או ברכיבי תשתית מאוד יקרים.

לנוחיותכם, העתקתי מהאתר תמצית של הדרישות באנגלית.

Build and Maintain a Secure Network

Requirement 1: Install and maintain a firewall configuration to protect cardholder data
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters

Protect Cardholder Data

Requirement 3: Protect stored cardholder data
Requirement 4: Encrypt transmission of cardholder data across open, public networks

Maintain a Vulnerability Management Program

Requirement 5: Use and regularly update anti-virus software
Requirement 6: Develop and maintain secure systems and applications

Implement Strong Access Control Measures

Requirement 7: Restrict access to cardholder data by business need-to-know
Requirement 8: Assign a unique ID to each person with computer access
Requirement 9: Restrict physical access to cardholder data

Regularly Monitor and Test Networks

Requirement 10: Track and monitor all access to network resources and cardholder data
Requirement 11: Regularly test security systems and processes

Maintain an Information Security Policy

Requirement 12: Maintain a policy that addresses information security


2 Responses to “יישום של תקן PCI-DSS”


  1. 25/09/2008 ב- 23:50

    הסיפור מורכב במיוחד בחברות כרטיסי האשראי עצמן. כי מה לעשות, מספרי כרטיסי אשראי מסתובבים שם בכל מקום. לך תצפין הכל.

  2. 2 גיא
    08/01/2009 ב- 9:00

    בנוגע להצפנת כרטיסי אשראי, המשימה ניתנת לביצוע בורב המקרים ללא כל שינויים אפליקטיביים וזאת ע"י הטמעת מוצרים צד שלישי למשל Protegrity שיודעים לבצע את ההצפנה על ה DB(תומך ברוב בסיסי הנתונים הקיימים היום) עצמו כתהליך דומה ל stored Procedure התהליך מתבצע ב sheared memory ןלכן גם משיג ביצועים טובים מאד, גם לגבי audit יש פיתרון ע"י אותה תוכנת צד שלישי מכיוון שיש לנהל הרשאות גישה לאותם טבלאות\עמודות מוצפנות מתבצע audit אוטומאטי לאותו מידע ובנוסף ניתן ע"י מודול במערכת להפיק דוחות מאותם לוגים שנרשמים בגישה למידע.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


ספטמבר 2008
א ב ג ד ה ו ש
 123456
78910111213
14151617181920
21222324252627
282930  

%d בלוגרים אהבו את זה: