PCI DSS står for Payment Card Industry Data Security Standard. Dette er en gældende sikkerhedsstandard, som beskriver nogle af de skridt, som virksomheder er forpligtet til at tage for at beskytte data.
Dette omfatter mange lag af sikkerhed, lige fra brug af en VPN som NordVPN til installation af en firewall. Du skal også dokumentere alt effektivt. Hvis du ikke gør det, kan du risikere at blive pålagt store bøder, hvis der opstår et databrud.
Nedenfor vil jeg gennemgå nogle af de vigtigste krav. Det vil hjælpe dig med at få en bedre forståelse af den omfattende sikkerhedsplan, du skal udarbejde og gennemføre. Denne liste er på ingen måde udtømmende, men dækker blot nogle af de vigtigste områder. Se venligst PCI DSS-vejledningen i sin helhed.
Indholdsfortegnelse
PCI DSS-krav – Installér og vedligehold en firewallkonfiguration
PCI DSS beskriver en lang række krav, som alle handlende skal følge for at sikre overholdelse. Det første skridt er at beskytte kortholderdata ved at installere og vedligeholde en firewallkonfiguration. Vi vil fortælle dig, hvad det indebærer, og hvordan vores service kan hjælpe dig.
Dette krav er faktisk det mest teknisk udfordrende af alle PCI DSS-standarderne. Installation og vedligeholdelse af en firewallkonfiguration kan umiddelbart lyde simpelt, men der er meget, der er forbundet med dette krav, som du vil opdage nedenfor.
Hvad forventer PCI, når det drejer sig om at installere og vedligeholde en firewallkonfiguration?
Det første, du skal gøre, er at oprette og installere konfigurationsstandarder for router og firewall, som skal bestå af alle følgende:
- En formel procedure for afprøvning og godkendelse af alle netværksforbindelser og ændringer af router- og firewallkonfigurationer.
- Et diagram, der identificerer alle netværk, netværksenheder og systemkomponenter. Dette diagram skal omfatte forbindelserne mellem kortholderdatamiljøet (CDE) og alle andre netværk, herunder trådløse netværk.
- Du har også brug for et diagram, der viser kortholderdatastrømme på tværs af alle dine netværk og systemer.
- For hver internetforbindelse skal der være en firewall. Dette gælder også mellem en demilitariseret zone (DMZ) og den interne netværkszone.
- Hvis du skal administrere netværkskomponenter, skal du have en beskrivelse af alle grupper, roller og ansvarsområder.
- Der kræves forretningsmæssig begrundelse og dokumentation for brugen af alle tilladte tjenester, porte og protokoller samt sikkerhedsforanstaltninger, der anvendes for usikre protokoller.
- Du skal gennemgå alle router- og firewallregelsæt mindst hver sjette måned.
Forståelse af dette krav:
Du skal være klar over, at både routere og firewalls spiller en afgørende rolle, når det gælder ind- og udgangspunkter på netværket. De vil give autoriseret netværksadgang og blokere uønsket adgang, og det understreger, hvorfor det er vigtigt at have firewalls og routere implementeret. Punkterne a-g er i det væsentlige PCI’s retningslinjer for de skridt, der skal tages for at sikre, at denne første forsvarslinje er så stærk, som den skal være.
Så lad os se på, hvordan vi kan gennemføre punkterne a-g:
-
- Formel test-/godkendelsesproces – Dette er afgørende, fordi det hjælper med at forhindre sikkerhedsproblemer, der opstår som følge af fejlkonfiguration af netværket, firewall eller router. Du skal sikre, at kun autoriserede brugere (med adgangskode) har tilladelse til at foretage ændringer, og at disse ændringer registreres og opbevares.
- Diagrammer, der identificerer netværk, netværksenheder og systemkomponenter – Disse diagrammer beskriver netværkskonfigurationen og kan bruges til at identificere alle netværksenheders placering. Uden den kan enheder uden at vide det blive udelukket fra sikkerhedskontroller, hvilket kan udgøre en alvorlig risiko. Du bør automatisk generere og opdatere netværksdiagrammer.
- Flowdiagram for kortholderdata – Dette viser placeringen af alle kortholderdata i netværket. Det giver dig mulighed for at administrere data mere effektivt.
- Firewalls til alle internetforbindelser – Dette reducerer chancerne for, at en ondsindet person kan komme ind på dit netværk via et ubeskyttet netværk, fordi adgangen overvåges og kontrolleres mere effektivt. Sørg for, at der er installeret en PCI-kompatibel firewall for hver internetforbindelse samt mellem enhver DMZ-zone og den interne netværkszone.
- Beskrivelse af alle grupper, roller og ansvarsområder – Dette sikrer, at alle medarbejdere er klar over, hvem der er ansvarlig for hvad. Disse roller kan administreres via et centraliseret administrationssystem.
- Dokumentation og forretningsmæssig begrundelse for alle tilladte tjenester, porte og protokoller – Dette giver dig mulighed for at fjerne eller deaktivere alle andre protokoller, porte eller tjenester.
- Gennemgå router- og firewallregelsættet hver sjette måned – Der er behov for konstant opdatering for hele tiden at opfylde PCI DSS-standarderne.
Du skal også opbygge router- og firewallkonfigurationer, der begrænser forbindelserne mellem CDE-systemkomponenter og netværk, der ikke er tillid til. Dette indebærer:
- Trafikken skal begrænses, både indadgående og udadgående, så kortholderdatamiljøet kun indeholder det nødvendige. Al anden, ikke-relateret trafik skal adskilles.
- Routerkonfigurationsfiler skal sikres og synkroniseres.
- Kontroller trafikken ved at installere perimeterfirewalls mellem CDE og alle trådløse netværk. Konfigurer disse firewalls til kun at tillade autoriseret trafik mellem CDE og det trådløse miljø.
Forståelse af dette krav:
Trin to omfatter den korrekte firewallkonfiguration, så den fungerer korrekt og styrer netværkstrafikken på en sikker og effektiv måde. Du skal sikre, at der er installeret netværksbeskyttelse mellem det interne, betroede netværk og eventuelle eksterne, ikke betroede netværk. Hvis du ikke gør det, er du sårbar over for et angreb.
-
- Begræns indgående og udgående trafik – Dette er nødvendigt for at sikre, at ondsindede angribere ikke får adgang til dit netværk ved at bruge tjenester, porte eller protokoller på en uautoriseret måde eller via uautoriserede IP-adresser. Dette opnås ved at skabe et kortholderdatamiljø, hvor al indgående og udgående trafik nægtes undtagen betalingstransaktioner.
- Sikre og synkronisere routerkonfigurationsfiler – Konfigurationsfiler til opstart overses ofte på grund af deres sjældne brug. Men hvis de ikke er opdateret med de samme sikre indstillinger, kan en cyberkriminel finde en vej ind, hvis de ikke er opdateret med de samme sikre indstillinger.
- Installer perimeter firewalls mellem alle trådløse netværk og CDE – Ondsindede personer udnytter ofte trådløs teknologi til at få adgang til kortoplysninger. Derfor er det nødvendigt med firewalls for at begrænse adgangen fra trådløse netværk til kortholderdatamiljøet.
Direkte offentlig adgang mellem alle CDE-systemkomponenter og internettet skal være forbudt. For at gøre dette skal du:
- Indgående trafik skal begrænses til systemkomponenter, der leverer autoriserede offentligt tilgængelige tjenester, protokoller og porte. Implementer en DMZ for at opnå dette.
- Inden for DMZ skal indgående internettrafik være begrænset til IP-adresser.
- Direkte forbindelser mellem CDE og internettet, både indgående og udgående, skal være forbudt.
- Du skal opdage og blokere falske kilde-IP-adresser, så de ikke kan komme ind på netværket. Gennemfør foranstaltninger mod spoofing for at opnå dette.
- Uautoriseret udgående trafik fra CDE til internettet bør ikke tillades.
- “Etablerede” forbindelser bør kun tillades i netværket.
- Alle systemkomponenter, der gemmer kortholderdata, skal adskilles fra DMZ og andre ikke-troværdige netværk og i stedet placeres i en intern netværkszone.
- Routingoplysninger og private IP-adresser må ikke videregives til uautoriserede parter.
Forståelse af dette krav:
De to foregående trin har fokuseret på den beskyttelse, som firewalls tilbyder. Firewall’en beskytter i det væsentlige forbindelserne fra de offentlige systemer til CDE. Alt dette vil imidlertid være fuldstændig værdiløst, hvis man tillader direkte adgang mellem offentlige systemer og CDE.
-
- Implementer en DMZ – Dette styrer forbindelserne mellem internettet og de tjenester, som virksomheder skal have tilgængelige for offentligheden. Dette vil forhindre cyberkriminelle i at bruge internettet til at få adgang til dit interne netværk. Begræns al trafik for at sikre, at du overholder reglerne.
- Begræns indgående trafik til IP-adresser i DMZ – Dette sikrer, at ingen uautoriserede personer har adgang. Forbud mod direkte forbindelser mellem internettet og CDE – Dette forhindrer ufiltreret adgang mellem miljøer med og uden tillid. Lad os sige, at en cyberkriminel får fat i følsomme oplysninger, og at de derfor ikke kan sende dem fra dit netværk til en ekstern server, der ikke er tillid til. Du kan opnå dette ved at nægte al indgående og udgående trafik undtagen betalingstransaktioner.
- Implementer foranstaltninger mod spoofing – Ondsindede angribere forsøger ofte at efterligne en IP-adresse, så du tror, at den kommer fra dit eget netværk. Der skal træffes foranstaltninger for at stoppe dette.
- Forbud mod uautoriseret udgående trafik fra CDE til internettet – Du skal kontrollere trafikken, så kun autoriseret kommunikation er tilladt. Det kan du gøre ved at afvise al indgående og udgående trafik bortset fra betalingstransaktioner.
- Tillad kun etablerede forbindelser til netværket – Du har brug for en firewall, der udfører en stateful packet inspection. Dette indebærer at opretholde hver forbindelses status gennem firewallen, så du ved, om et svar er godkendt, eller om en cyberkriminel forsøger at snyde firewallen, så de kan finde en vej ind.
- Adskil systemkomponenter, der gemmer kortholderdata, fra DMZ – Der er færre lag, som cyberkriminelle kan trænge ind i, hvis kortholderoplysningerne er gemt i DMZ’en. Det gør det lettere for dem at få adgang. Kortholderdata skal være i et adskilt netværk.
- Routingoplysninger og private IP-adresser må ikke videregives til uautoriserede parter – Du skal sikre, at private IP-adresser videregives, da en hacker ellers kan finde ud af, hvilken IP-adresse der er tale om, og få adgang til dit netværk. Du skal kræve, at alle brugere logger ind og sikre autoriseret adgang fra en administrator på hvert sted, og du bør forbyde routingprotokoller og reklamer.
Der skal installeres personlig firewallsoftware på alle medarbejderejede enheder og mobiltelefoner , der har forbindelse til internettet, når de bruges til at få adgang til netværket eller uden for netværket.
Forståelse af dette krav:
Der er behov for en personlig firewall for at beskytte mobiler og medarbejderejede enheder mod internetbaserede angreb. Det er vigtigt, da disse enheder er mere udsatte for brud, fordi de befinder sig uden for virksomhedens firewall og dermed bliver primære mål for hackere. Hvis dine medarbejdere bruger deres bærbare computere til arbejdsformål og opretter forbindelse, når de er uden for netværket, er det derfor dit ansvar at sikre, at de har installeret personlig firewallsoftware.
Driftsprocedurer og sikkerhedspolitikker for forvaltning af firewalls skal være dokumenteret og kendt af alle berørte parter.
Forståelse af dette krav:
For at sikre, at du fortsat forhindrer uautoriseret netværksadgang, skal du administrere de politikker og procedurer, der er på plads med hensyn til firewalls og routere, og sikre, at de er veldokumenterede og opdaterede.
PCI DSS-krav – Brug ikke standardindstillinger fra leverandøren til systemadgangskoder og yderligere sikkerhedsparametre
For at opnå PCI DSS-overholdelse skal du ifølge afsnit to ændre alle standardindstillinger fra leverandøren uden undtagelse. Dette gælder for alle standardadgangskoder, herunder dem, der bruges af Point-of-Sale-terminaler, applikationskonti, operativsystemer og meget, meget mere.
Hvad forventer PCI, når det drejer sig om at undgå alle standardindstillinger fra leverandøren?
Som allerede kort nævnt skal du sikre dig, at du ændrer de standardkonti, der leveres af leverandøren, og du skal deaktivere eller fjerne alle ikke krævede standardkonti. Der er ingen undtagelser fra denne regel – hver eneste adgangskode og sikkerhedsparameter skal ændres.
Når det drejer sig om alle trådløse miljøer, der overfører kortholderoplysninger eller opretter forbindelse til kortholderdatamiljøet (CDE), skal du ændre alle standardindstillingerne fra trådløse leverandører ved installationen. Dette omfatter bl.a. standard SNMP-fællesskabsstrenge, adgangskoder og nøgler til trådløs kryptering.
Forståelse af dette krav:
Standardindstillingerne offentliggøres ofte og er velkendte i hackersamfund. Dette gør dit system mere sårbart, da ondsindede personer nemt kan få adgang ved at bruge standardadgangskoder, kontonavne, indstillinger og lignende, og ved at ændre alle standardindstillingerne begrænser du derfor effektivt adgangen.
Det er vigtigt at ændre alle standardindstillingerne for leverandører af trådløse produkter, for hvis du ikke gør det, kan en cyberkriminel nemt komme ind på dit netværk og angribe det. Dette sker, da de fleste trådløse netværk implementeres uden tilstrækkelige sikkerhedskonfigurationer, hvilket giver hackere mulighed for at indhente data og adgangskoder ved at aflytte trafikken.
Det næste krav omfatter udvikling af konfigurationsstandarder for alle dine systemkomponenter . Alle kendte sikkerhedssårbarheder skal behandles, og de skal være i overensstemmelse med de i branchen accepterede standarder for systemhærdning. For at gøre dette skal du følge nedenstående trin:
- Der må kun være én primær funktion implementeret for hver server. Dette er vigtigt for at sikre, at servere, der har brug for forskellige sikkerhedsniveauer, ikke findes på samme server.
- Kun de protokoller og tjenester, der er nødvendige for systemets funktion, skal aktiveres.
- For alle nødvendige protokoller eller tjenester, der betragtes som usikre, skal du implementere ekstra sikkerhedsfunktioner.
- Forebyg misbrug ved at konfigurere systemets sikkerhedsparametre.
- Unødvendig funktionalitet skal fjernes, herunder unødvendige webservere, filsystemer, undersystemer, funktioner, drivere og scripts.
Forståelse af dette krav:
PCI har indført dette krav for at bekæmpe de mange kendte svagheder i virksomhedsapplikationer, databaser og styresystemer. Selv om der er sårbarheder, er der også måder at rette dem på, og trin a-e er angivet for at sikre, at din virksomhed håndterer eventuelle svagheder i dit system.
Så lad os se på de fem punkter, der er nævnt her:
- Implementer én primær funktion pr. server – Hvis du har to serverfunktioner, og de er placeret på den samme server, men kræver forskellige sikkerhedsniveauer, vil en af serverfunktionerne blive kompromitteret. Dette skyldes, at behovene for de funktioner med højere sikkerhed vil blive reduceret som følge af tilstedeværelsen af de funktioner med lavere sikkerhed.
- Aktiver kun de nødvendige protokoller og tjenester – Der er mange protokoller, som giver ondsindede insidere en nem måde at kompromittere et netværk på. Derfor har PCI indført dette krav for at sikre, at virksomheder kun aktiverer de protokoller og tjenester, der er nødvendige for at reducere risikoen for et angreb.
- Implementer ekstra sikkerhedsfunktioner for usikre protokoller og tjenester – Hvis du aktiverer sikkerhedssystemer, før nye servere implementeres, kan du sikre, at de ikke installeres i et miljø med usikre konfigurationer. Yderligere sikkerhedsfunktioner vil også reducere risikoen for et brud, fordi hackere ikke vil kunne udnytte de almindeligt anvendte kompromitteringspunkter i netværket.
- Konfigurer systemets sikkerhedsparametre – Dette er afgørende for at undgå misbrug, og du kan opnå dette ved hjælp af en række forskellige metoder, herunder rollebaseret autorisation, skabelonbaserede firewallregler og sikre auditlogfiler.
- Fjern unødvendig funktionalitet – Dette krav sikrer, at ondsindede personer ikke har yderligere muligheder for at kompromittere dit system.
Du skal bruge stærk kryptografi til at kryptere al administrativ adgang, der ikke er adgang til konsollen .
Forståelse af dette krav:
Uden krypteret kommunikation og sikker autentificering kan en hacker nemt stjæle oplysninger med det formål at få adgang til netværket, blive administrator og i sidste ende stjæle data.
Dette trin kræver, at du opretholder en fortegnelse over systemkomponenter . Denne skal omfatte alle komponenter, der er omfattet af PCI DSS-området.
Forståelse af dette krav:
Hvis du ikke overholder dette krav, kan du glemme systemkomponenter, og de kan derfor blive udelukket fra dine konfigurationsstandarder.
Dokumenter alle operationelle procedurer og sikkerhedspolitikker for håndtering af leverandørens standardindstillinger samt andre sikkerhedsparametre.
Forståelse af dette krav:
Trin fem er designet til at forhindre usikre konfigurationer ved at sikre, at alt personale følger de daglige driftsprocedurer og sikkerhedspolitikker, der er på plads.
Udbydere af delt hosting skal beskytte hver enkelt enheds kortholderdata og hostede miljø.
Forståelse af dette krav:
Hvis flere klienter er hostet på den samme server via en hostingudbyder, kan en klient kompromittere en anden klients data ved at tilføje usikre scripts og funktioner. Dette krav er udformet for at imødegå dette.
PCI DSS-krav – Overførsel af kortholderdata skal være krypteret på alle åbne, offentlige netværk
Denne del af PCI DSS-kravene er designet til at sikre, at du har stærke krypteringsforanstaltninger på plads, når kortholderdata overføres. Dette er designet til at forhindre cyberkriminelle i at opsnappe eller omdirigere data, mens de er under overførsel.
For at beskytte kortholderdata under overførsel over åbne, offentlige netværk skal du bruge sikkerhedsprotokoller og stærk kryptografi . Nogle almindelige eksempler på åbne, offentlige netværk omfatter satellitkommunikation, trådløse teknologier og internettet.
For at sikre implementeringen af stærk kryptering til transmission og autentificering skal du desuden anvende den bedste praksis i branchen, når trådløse netværk enten er forbundet til kortholderdatamiljøet (CDE) eller overfører kortholderdata.
Forståelse af dette krav:
Dette krav er absolut nødvendigt, fordi data, der sendes via åbne, offentlige net, er sårbare over for aflytning fra ondsindede personer.
Den anden del af trin et, der vedrører trådløse netværk, er vigtig, fordi cyberkriminelle ofte aflytter trådløs kommunikation via værktøjer, der er gratis og bredt tilgængelige. Ved at bruge de bedste branchebestemmelser kan du forhindre dette i at ske.
Du bør aldrig bruge slutbrugermeddelelsesteknologier til at sende ubeskyttede PAN’er . Blandt de bedste eksempler på slutbrugermeddelelsesteknologier er instant messaging og e-mail.
Forståelse af dette krav:
Dette krav er blevet indført, fordi slutbrugernes meddelelsesteknologier let kan opsnappes. Du skal blot sørge for, at du ikke bruger disse værktøjer, når du sender PAN.
Dokumenter alle operationelle procedurer og sikkerhedspolitikker for kryptering af transmissioner af kortholderdata. Sørg for, at disse procedurer og politikker er kendt af alle, der er berørt af dem.
Forståelse af dette krav:
Dette krav er absolut nødvendigt for at sikre en kontinuerlig effektiv forvaltning af den sikre overførsel af kortindehaveroplysninger.
PCI DSS-kravet – Udvikle og vedligeholde sikre applikationer og systemer
Overholdelse af PCI DSS er en kontinuerlig proces, og dette krav indebærer udvikling og vedligeholdelse af sikre applikationer og systemer. Formålet med dette er at sikre, at du er opdateret med eventuelle sårbarheder, der kan have en indvirkning på dit miljø og skabe potentielle problemer. Der er mange måder at opfylde dine forpligtelser på, lige fra sikkerhedskontrol til opdateringer.
Det første trin i opfyldelsen af dette PCI DSS-krav er at etablere processer til identifikation af eventuelle sikkerhedssårbarheder . For at gøre dette skal der indføres et risikorangeringssystem for alle nyopdagede sårbarheder, som vil afhænge af din risikovurderingsstrategi og dit miljø.
Forståelse af dette krav:
Dette krav er blevet indført, fordi din organisation vil være åben for nye sårbarheder, hvis du ikke holder dig ajour med alle potentielle risici. Udfør ugentlige kontroller af sikkerhedstjenester for at sikre, at eventuelle nye sårbarheder opfanges omgående.
Installer sikkerhedsrettelser fra leverandøren for at beskytte al software og alle systemer mod kendte sårbarheder.
Forståelse af dette krav:
En af de største trusler mod virksomheder er den konstante strøm af angreb, der anvender exploits, som offentliggøres bredt. Trin to er derfor udviklet for at sikre, at ondsindede personer ikke udnytter disse udnyttelser til at deaktivere eller angribe dit system. Ved at bruge de nyeste sikkerhedsrettelser kan du bekæmpe alle kendte sårbarheder.
Alle eksterne og interne softwareapplikationer skal udvikles på en sikker måde. Dette krav er opdelt i en række trin –
- Før programmer frigives til kunderne eller bliver aktive, skal du fjerne adgangskoder, bruger-id’er, konti til brugerdefinerede programmer, konti til udviklingsprogrammer og konti til testprogrammer.
- Før frigivelsen skal du gennemgå den tilpassede kode for at identificere eventuelle sårbarheder i kodningen.
Forståelse af dette krav:
Dette krav er blevet indført, fordi der kan opstå sikkerhedssårbarheder, som kan være skadelige eller utilsigtet, hvis der ikke tages højde for sikkerhed i forbindelse med definitionen af krav, design, analyse og testning af softwareudvikling. Lad os se nærmere på trin “a” og “b” nedenfor.
- Fjern adgangskoder, bruger-id’er, konti til brugerdefinerede programmer, konti til udviklingsprogrammer og testprogrammer – Disse elementer skal fjernes, så oplysninger om, hvordan programmet fungerer, ikke bliver afsløret.
- Gennemgå den brugerdefinerede kode for at identificere eventuelle kodningssårbarheder – Dette trin er vigtigt, fordi ondsindede personer ofte udnytter sikkerhedssårbarheder i brugerdefineret kode for at få adgang til et netværk og kompromittere data.
Når der foretages ændringer i systemkomponenter, skal du følge procedurerne og processerne for ændringskontrol , som er beskrevet i nedenstående trin:
- Der skal anvendes adgangskontrol for at adskille test-/udviklingsmiljøer fra produktionsmiljøer.
- Opgaverne skal være adskilt mellem produktmiljøer og test-/udviklingsmiljøer.
- Du bør ikke bruge levende PAN’er/produktionsdata til udvikling eller testning.
- Før produktionssystemerne bliver aktive, skal du fjerne testkonti og -data.
- I forbindelse med softwaremodifikationer og implementering af sikkerhedsrettelser skal du ændre kontrolprocedurerne. Se nedenfor:
- Indvirkning af dokumentet.
- Dokumenter de autoriserede parters godkendelse af ændringen.
- Kontroller, at ændringen ikke vil have en negativ indvirkning på systemsikkerheden ved hjælp af funktionalitetstest.
- Procedurer for back-out.
Forståelse af dette krav:
Denne del af PCI-overholdelsen er nødvendig, fordi alt det følgende kan ske, hvis ændringskontrollerne ikke implementeres og dokumenteres korrekt – der kan indføres ondsindet kode, der kan forekomme uregelmæssigheder i behandlingen, og sikkerhedsfunktioner kan enten gøres ubrugelige, forsætligt udelades eller utilsigtet udelades. Lad os se nærmere på de ovennævnte trin:
-
- Adskil test-/udviklingsmiljøer fra produktionsmiljøer – Dette er nødvendigt, fordi udviklings- og testmiljøer normalt ikke er lige så sikre som beskyttelsesmiljøer.
- Adskil opgaver mellem produktionsmiljøer og test-/udviklingsmiljøer – Dette trin minimerer risikoen, fordi adgangen til CDE- og produktionsmiljøet vil være begrænset.
- Brug ikke live PAN’er/produktionsdata til udvikling eller test – Dette er afgørende, fordi live PAN’er kan give cyberkriminelle en vej ind, da sikkerhedskontrollerne ikke har tendens til at være lige så strenge i udviklings- eller testmiljøer.
- Fjern testkonti og -data, før produktionssystemerne bliver aktive – Hvis du ikke fjerner testdata og -konti, kan du afsløre oplysninger om, hvordan programmet eller systemet fungerer.
- I forbindelse med softwaremodifikationer og implementering af sikkerhedspatches skal du ændre kontrolprocedurer – Sikkerhedsproblemer kan opstå, når sikkerhedspatches og softwaremodifikationer ikke håndteres korrekt.