Ориентирование в PCI DSS 1_1 (1027414), страница 14
Текст из файла (страница 14)
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 45Приложение А: Применимость стандарта PCI DSS к хостинг-провайдерамТребование А.1: Хостинг-провайдеры должны защищать среду данных платежных картКак упоминалось в требовании 12.8, все сервис-провайдеры, имеющие доступ к данным платежных карт (в том числе хостинг-провайдеры), должнысоблюдать положения стандарта PCI DSS. Кроме того, в требовании 2.4 говорится о том, что хостинг-провайдеры должны защищать средуразмещения и данные каждой обслуживаемой организации.
Поэтому хостинг-провайдеры должны придавать большое значение выполнению следующихтребований:ТребованиеПояснениеА.1 Должна выполняться защита среды размещения и данныхкаждой обслуживаемой организации (предприятия торговосервисной сети, сервис-провайдера или другой организации) сучетом требований А.1.1–А.1.4:Это приложение предназначено для хостинг-провайдеров, предоставляющих своимклиентам среду размещения данных, которая соответствует требованиям стандартаPCI DSS. Хостинг-провайдерам необходимо в дополнение к другим применяемымтребованиям стандарта PCI DSS соответствовать и требованиям, изложенным впп. А.1.1–А.1.4.Если предприятию торгово-сервисной сети или сервис-провайдеру разрешаетсявыполнять свои собственные приложения на совместно используемом сервере, то онидолжны выполняться под учетной записью предприятия торгово-сервисной сети илисервис-провайдера, а не под учетной записью привилегированного пользователя.Привилегированный пользователь в дополнение к доступу к собственной среде имелбы доступ к средам данных платежных карт всех других предприятий торговосервисной сети и сервис-провайдеров.Чтобы гарантировать, что доступ и привилегии предоставляются так, что каждоепредприятие торгово-сервисной сети или сервис-провайдер имеют доступ только ксобственной среде данных платежных карт, необходимо рассмотреть: 1) привилегииучетной записи, от имени которой запускается web-сервер предприятия торговосервисной сети или сервис-провайдера; 2) разрешения на чтение, запись ивыполнение файлов; 3) разрешения на запись в исполняемые системные файлы; 4)разрешения на доступ к журналам регистрации событий предприятия торговосервисной сети или сервис-провайдера услуг; 5) меры для обеспечения гарантии того,что единственное предприятие торгово-сервисной сети или сервис-провайдер несможет завладеть всеми системными ресурсами.Журналы должны быть доступны в общей среде размещения данных платежных карттак, что предприятия торгово-сервисной сети и сервис-провайдеры имеют к ним доступи могут просматривать журналы регистрации событий, относящиеся к собственнойсреде размещения данных платежных карт.Хостинг-провайдеры с общей средой размещения должны активировать процессбыстрого и удобного реагирования в случае компрометации, если требуетсярасследование инцидентов, вплоть до определенного уровня детализации для того,чтобы были доступны подробности об индивидуальном предприятии торговосервисной сети или сервис-провайдере.А.1.1 Каждая организация должна иметь доступ только ксобственной среде данных платежных картА.1.2 Права доступа и привилегии каждой организации должныограничиваться только собственной средой платежных картА.1.3 Аудит и регистрация событий должны быть включеныиндивидуально для среды платежных карт каждой организации ив соответствии с требованием 10 стандарта PCI DSSA.1.4 Должны быть реализованы процессы, позволяющиепровести своевременное расследование инцидентов прикомпрометации размещенных данных любого предприятияторгово-сервисной сети или сервис-провайдераCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 46Приложение Б: Компенсационные мерыКомпенсационные меры – Общие положенияИспользование компенсационных мер может быть обосновано для большинства требований стандарта PCI DSS в том случае, когда организация не можетсоответствовать технической спецификации требования, но может в значительной мере снизить связанный с данным требованием риск.
За полнымопределением компенсационных мер необходимо обратиться к документу «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations,and Acronyms).Эффективность компенсационной меры зависит от конкретной среды, в которой реализуется мера, смежных защитных мер и конфигурации меры. Компаниидолжны отдавать себе отчет в том, что какая-то конкретная компенсационная мера не будет эффективной во всех средах. Каждая компенсационная мерадолжна быть основательно оценена после реализации для подтверждения своей эффективности.Ниже представлены компенсационные меры для компаний, которые не способны привести данные платежных карт к нечитаемому виду в соответствии стребованием 3.4.Компенсационные меры для требования 3.4Использование компенсационных мер можно рассматривать для тех компаний, которые не могут привести данные платежных карт к нечитаемому виду(например, при помощи шифрования) ввиду объективных технических ограничений или требований бизнеса.
Условием обеспечения соответствия стандартуPCI DSS для требований, в отношении которых использованы компенсационные меры, является документирование требований бизнеса илитехнологических ограничений, не позволяющих выполнить соответствующее требование, и проведение анализа рисков для данного требования3.Компании, которые рассматривают возможность использования компенсационных мер, связанных с требованием приведения данных платежных карт кнечитаемому виду, должны понимать риск, вызываемый хранением данных платежных карт в читаемом виде. Обычно меры должны предоставлятьдополнительную защиту для снижения любого дополнительного риска, вызываемого хранением данных платежных карт в читаемом виде.
Меры,предполагаемые к использованию в качестве компенсационных, должны применяться в дополнение к мерам стандарта PCI DSS и должны удовлетворятьопределению компенсационных мер, которое дается в документе «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, andAcronyms). Компенсационные меры могут представлять собой устройство, комбинацию устройств, приложений и мер, удовлетворяющих всемперечисленным ниже условиям:1. Обеспечение дополнительного уровня сегментации/абстракции (например, на сетевом уровне)2. Обеспечение возможности ограничения доступа к данным платежных карт или базам данных на основе следующих критериев:• IP-адреса/MAC-адреса• Приложения/сервисы• Учетные записи пользователей/групп• Тип данных (фильтрация пакетов)3.
Ограничение логического доступа к базе данных• Логический доступ к базе данных должен контролироваться независимо от Active Directory или LDAP (Lightweight Directory Access Protocol)4. Предотвращение/обнаружение распространенных атак на приложения или базы данных (например, SQL-инъекции).3Прим. ИЗ. Результаты анализа рисков рекомендуется оформлять в шаблоне Compensating controls Worksheet, приведенном в Security Audit Procedures,Приложение С.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 47.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
