• Blog
  • Quali sono i requisiti PCI DSS nel 2023?

Quali sono i requisiti PCI DSS nel 2023?

PCI DSS è l’acronimo di Payment Card Industry Data Security Standard. Si tratta di uno standard di sicurezza che delinea alcune delle misure che le aziende sono obbligate ad adottare per proteggere i dati.

Questo include molti livelli di sicurezza, dall’utilizzo di una VPN come NordVPN all’installazione di un firewall. È inoltre necessario documentare tutto in modo efficace. Se non lo fate, potreste ritrovarvi a dover pagare multe salate in caso di violazione dei dati.

Di seguito vi illustrerò alcuni dei requisiti principali. Questo vi aiuterà a comprendere meglio il piano di sicurezza completo che dovete stabilire e implementare. Questo non è assolutamente un elenco esaustivo, ma copre solo alcune delle aree principali. Consultare la Guida PCI DSS nella sua interezza.

Indice dei contenuti

Requisito PCI DSS – Installazione e manutenzione di una configurazione firewall

Il PCI DSS delinea numerosi requisiti che tutti gli esercenti devono seguire per garantire la conformità. Il primo passo è proteggere i dati dei titolari di carta installando e mantenendo una configurazione firewall. Vi spieghiamo cosa comporta e come vi aiuta il nostro servizio.

Questo requisito è in realtà il più impegnativo dal punto di vista tecnico di tutti gli standard PCI DSS. L’installazione e la manutenzione di una configurazione del firewall possono sembrare semplici all’apparenza, ma le cose da fare sono molte, come scoprirete di seguito.

Cosa si aspetta PCI quando si tratta di installare e mantenere una configurazione firewall?

La prima cosa da fare è stabilire e installare gli standard di configurazione del router e del firewall, che devono comprendere tutti i seguenti elementi:

  1. Una procedura formale per il test e l’approvazione di tutte le connessioni di rete e delle modifiche alle configurazioni di router e firewall.
  2. Un diagramma che identifica tutte le reti, i dispositivi di rete e i componenti dei sistemi. Questo diagramma deve includere le connessioni tra il Cardholder Data Environment (CDE) e tutte le altre reti, comprese le reti wireless.
  3. È inoltre necessario un diagramma che mostri i flussi di dati dei titolari di carta in tutte le reti e i sistemi.
  4. Per ogni connessione a Internet deve essere presente un firewall. Questo vale anche tra qualsiasi zona demilitarizzata (DMZ) e la zona di rete interna.
  5. Per gestire i componenti della rete, è necessaria una descrizione di tutti i gruppi, i ruoli e le responsabilità.
  6. Sono necessarie una giustificazione e una documentazione aziendale per quanto riguarda l’utilizzo di tutti i servizi, le porte e i protocolli consentiti, nonché qualsiasi misura di sicurezza utilizzata per i protocolli non sicuri.
  7. È necessario rivedere tutti i set di regole del router e del firewall almeno ogni sei mesi.

Comprendere questo requisito:

È necessario riconoscere che sia i router che i firewall svolgono un ruolo cruciale quando si tratta di punti di ingresso e di uscita dalla rete. Garantiranno l’accesso autorizzato alla rete e bloccheranno gli accessi indesiderati, e questo spiega perché è indispensabile implementare firewall e router. I punti a-g sono essenzialmente le linee guida di PCI per le misure da adottare per garantire che questa prima linea di difesa sia forte come deve essere.

Vediamo quindi come implementare i punti a-g:

    1. Processo formale di test/approvazione – È fondamentale perché aiuta a prevenire i problemi di sicurezza dovuti a una configurazione errata della rete, del firewall o del router. Dovete assicurarvi che solo gli utenti autorizzati (con una password) possano apportare modifiche e che queste vengano registrate e conservate.
    2. Diagramma che identifica reti, dispositivi di rete e componenti di sistema – Questi diagrammi descrivono la configurazione della rete e possono essere utilizzati per identificare tutte le posizioni dei dispositivi di rete. Senza di essa, i dispositivi possono essere inconsapevolmente esclusi dai controlli di sicurezza, il che può rappresentare un grave rischio. È necessario generare e aggiornare automaticamente i diagrammi di rete.
    3. Diagramma di flusso dei dati dei titolari di carta – Identifica la posizione di tutti i dati dei titolari di carta all’interno della rete. Ciò consente di gestire i dati in modo più efficace.
    4. Firewall per tutte le connessioni Internet – Questo riduce le possibilità che un malintenzionato si introduca nella vostra rete attraverso una rete non protetta, perché l’accesso è monitorato e controllato in modo più efficace. Assicurarsi che sia installato un firewall conforme a PCI per ogni connessione a Internet, nonché tra qualsiasi DMZ e la zona di rete interna.
    5. Descrizione di tutti i gruppi, dei ruoli e delle responsabilità – Questo assicura che tutto il personale sia consapevole di chi è responsabile di cosa. Questi ruoli possono essere gestiti tramite un sistema di gestione centralizzato.
    6. Documentazione e giustificazione aziendale per tutti i servizi, le porte e i protocolli consentiti – Questo consente di rimuovere o disabilitare tutti gli altri protocolli, porte o servizi.
    7. Rivedere il set di regole del router e del firewall ogni sei mesi – L’aggiornamento costante è necessario per soddisfare costantemente gli standard PCI DSS.

È inoltre necessario creare configurazioni di router e firewall che limitino le connessioni tra i componenti del sistema CDE e le reti non attendibili. Questo comporta:

  1. Il traffico deve essere limitato, sia in entrata che in uscita, in modo che l’ambiente dei dati dei titolari di carta contenga solo ciò che è necessario. Tutto il traffico non correlato deve essere separato.
  2. I file di configurazione del router devono essere protetti e sincronizzati.
  3. Controllare il traffico installando firewall perimetrali tra il CDE e tutte le reti wireless. Configurare questi firewall per consentire il traffico autorizzato solo tra il CDE e l’ambiente wireless.

Comprendere questo requisito:

Il secondo passo consiste nel realizzare la corretta configurazione del firewall in modo che funzioni correttamente e controlli il traffico di rete in modo sicuro ed efficace. È necessario assicurarsi che la protezione di rete sia installata tra la rete interna fidata e qualsiasi rete esterna non fidata. Se non lo fate, siete vulnerabili a un attacco.

    1. Limitare il traffico in entrata e in uscita: è necessario per garantire che eventuali malintenzionati non accedano alla rete attraverso l’uso di servizi, porte o protocolli non autorizzati o tramite indirizzi IP non autorizzati. Per ottenere questo risultato è necessario creare un ambiente di dati dei titolari di carta, in cui tutto il traffico in entrata e in uscita è negato, tranne le transazioni di pagamento.
    2. Proteggere e sincronizzare i file di configurazione del router – I file di configurazione all’avvio sono spesso trascurati a causa del loro uso poco frequente. Tuttavia, se non vengono aggiornati con le stesse impostazioni di sicurezza, un criminale informatico può trovare una via d’accesso.
    3. Installare firewall perimetrali tra tutte le reti wireless e il CDE – I malintenzionati spesso sfruttano la tecnologia wireless per accedere ai dati della carta. Per questo motivo i firewall sono necessari per limitare l’accesso delle reti wireless all’ambiente dei dati dei titolari di carta.

Deve essere vietato l’accesso pubblico diretto tra qualsiasi componente del sistema CDE e Internet. A tal fine, è necessario:

  1. Il traffico in entrata deve essere limitato ai componenti del sistema che forniscono servizi, protocolli e porte autorizzati e accessibili al pubblico. A tal fine, è necessario implementare una DMZ.
  2. All’interno della DMZ, il traffico Internet in entrata deve essere limitato agli indirizzi IP.
  3. Le connessioni dirette tra il CDE e Internet, sia in entrata che in uscita, devono essere vietate.
  4. È necessario rilevare e bloccare gli indirizzi IP di origine contraffatti, in modo che non possano entrare nella rete. Implementare misure anti-spoofing per raggiungere questo obiettivo.
  5. Il traffico in uscita non autorizzato dal CDE verso Internet non deve essere consentito.
  6. Le connessioni “stabilite” devono essere consentite solo nella rete.
  7. Tutti i componenti del sistema che memorizzano i dati dei titolari di carta devono essere segregati dalla DMZ e da altre reti non attendibili e collocati in una zona di rete interna.
  8. Le informazioni di routing e gli indirizzi IP privati non devono essere divulgati a terzi non autorizzati.

Comprendere questo requisito:

Le due fasi precedenti si sono concentrate sulla protezione offerta dai firewall. Il firewall protegge essenzialmente le connessioni dai sistemi pubblici al CDE. Tuttavia, tutto ciò sarà completamente inutile se si consente l’accesso diretto tra i sistemi pubblici e il CDE.

    1. Implementare una DMZ – Questa gestisce le connessioni tra Internet e i servizi che le aziende devono avere a disposizione del pubblico. Questo impedirà ai criminali informatici di utilizzare Internet per accedere alla vostra rete interna. Limitare tutto il traffico per garantire la conformità.
    2. Limitare il traffico in entrata agli indirizzi IP della DMZ: in questo modo si garantisce che nessuno non sia autorizzato ad accedere. Vietare le connessioni dirette tra Internet e il CDE: in questo modo si impedisce l’accesso non filtrato tra ambienti fidati e non fidati. Pertanto, nel caso in cui un criminale informatico ottenga informazioni sensibili, non potrà inviarle dalla vostra rete a un server esterno non attendibile. È possibile ottenere questo risultato negando tutto il traffico in entrata e in uscita, ad eccezione delle transazioni di pagamento.
    3. Implementare misure anti-spoofing – Gli aggressori malintenzionati spesso cercano di imitare un indirizzo IP in modo da far credere che provenga dalla vostra rete. È necessario adottare misure per fermare questo fenomeno.
    4. Vietare il traffico in uscita non autorizzato dal CDE verso Internet – È necessario controllare il traffico in modo da consentire solo le comunicazioni autorizzate. A tal fine è possibile negare tutto il traffico in entrata e in uscita, ad eccezione delle transazioni di pagamento.
    5. Consentire l’accesso alla rete solo alle connessioni stabilite – È necessario un firewall che esegua un’ispezione stateful dei pacchetti. Ciò comporta il mantenimento dello stato di ogni connessione attraverso il firewall, in modo da sapere se una risposta è autorizzata o se un criminale informatico sta cercando di ingannare il firewall per trovare una via d’accesso.
    6. Segregare i componenti del sistema che memorizzano i dati dei titolari di carta di credito dalla DMZ – Se le informazioni dei titolari di carta di credito sono memorizzate all’interno della DMZ, i criminali informatici possono penetrare in un numero minore di livelli. In questo modo è più facile per loro accedere. I dati dei titolari di carta devono trovarsi all’interno di una rete segregata.
    7. Le informazioni di routing e gli indirizzi IP privati non devono essere divulgati a terzi non autorizzati – Dovete assicurarvi che gli indirizzi IP privati siano divulgati, altrimenti un hacker potrebbe scoprire l’indirizzo IP e accedere alla vostra rete. Richiedete a tutti gli utenti di effettuare il login, assicurando la divulgazione autorizzata da parte di un amministratore in ogni sede, e dovreste proibire i protocolli di routing e le pubblicità.

Il software firewall personale deve essere installato su tutti i dispositivi e i cellulari di proprietà dei dipendenti che si connettono a Internet quando vengono utilizzati per accedere alla rete o all’esterno della rete.

Comprendere questo requisito:

Un firewall personale è necessario per proteggere i cellulari e i dispositivi di proprietà dei dipendenti da un attacco basato su Internet. Si tratta di un’esigenza imprescindibile, in quanto questi dispositivi sono più suscettibili alle violazioni perché si trovano al di fuori del firewall aziendale e diventano quindi bersagli privilegiati degli hacker. Pertanto, se i vostri dipendenti utilizzano i loro laptop per motivi di lavoro e si collegano quando sono fuori dalla rete, è vostra responsabilità assicurarvi che abbiano installato un software firewall personale.

Le procedure operative e le politiche di sicurezza per la gestione dei firewall devono essere documentate e note a tutte le parti interessate.

Comprendere questo requisito:

Per garantire che continuiate a prevenire l’accesso non autorizzato alla rete, dovete gestire le politiche e le procedure in vigore per quanto riguarda i firewall e i router, assicurandovi che siano ben documentate e aggiornate.

Requisito PCI DSS: non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e i parametri di sicurezza aggiuntivi.

Per ottenere la conformità agli standard PCI DSS, la sezione due stabilisce che è necessario modificare tutte le impostazioni predefinite fornite dal fornitore, senza eccezioni. Questo vale per tutte le password predefinite, comprese quelle utilizzate dai terminali Point-of-Sale (PoS), dagli account delle applicazioni, dai sistemi operativi e molto altro ancora.

Cosa si aspetta PCI quando si tratta di evitare tutti i default forniti dal fornitore?

Come già brevemente accennato, è necessario assicurarsi di modificare le impostazioni predefinite fornite dal fornitore e di disabilitare o rimuovere qualsiasi account predefinito non richiesto. Non ci sono eccezioni a questa regola: ogni singola password e parametro di sicurezza deve essere modificato.

Per tutti gli ambienti wireless che trasmettono informazioni sui titolari di carta o si connettono all’ambiente dei dati dei titolari di carta (CDE), è necessario modificare tutte le impostazioni predefinite del fornitore wireless al momento dell’installazione. Questo include le stringhe di comunità SNMP predefinite, le password e le chiavi di crittografia wireless.

Comprendere questo requisito:

Le impostazioni predefinite sono spesso pubblicate e ben conosciute nelle comunità di hacker. Ciò rende il sistema più vulnerabile, in quanto i malintenzionati potrebbero facilmente accedere utilizzando password, nomi di account, impostazioni e simili predefiniti; pertanto, modificando tutte le impostazioni predefinite si limita effettivamente l’accesso.

Risultati immagine per pci dss

Per quanto riguarda la modifica di tutte le impostazioni predefinite dei fornitori wireless, è fondamentale perché se non lo fate un criminale informatico potrebbe facilmente entrare nella vostra rete e attaccarla. Questo accade perché la maggior parte delle reti wireless viene implementata senza adeguate configurazioni di sicurezza, il che offre agli hacker l’opportunità di catturare dati e password origliando il traffico.

Il requisito successivo riguarda lo sviluppo di standard di configurazione per tutti i componenti del sistema. Tutte le vulnerabilità di sicurezza conosciute devono essere affrontate e devono essere coerenti con gli standard di hardening del sistema accettati dal settore. A tal fine, è necessario seguire la procedura descritta di seguito:

  1. Per ogni server deve essere implementata una sola funzione primaria. Questo è indispensabile per garantire che i server che necessitano di diversi livelli di sicurezza non coesistano sullo stesso server.
  2. È necessario abilitare solo i protocolli e i servizi necessari al funzionamento del sistema.
  3. Per tutti i protocolli o i servizi richiesti che sono considerati insicuri, è necessario implementare funzioni di sicurezza aggiuntive.
  4. Prevenire gli abusi attraverso la configurazione dei parametri di sicurezza del sistema.
  5. Le funzionalità non necessarie devono essere rimosse, compresi i server web, i file system, i sottosistemi, le funzioni, i driver e gli script non necessari.

Comprendere questo requisito:

PCI ha implementato questo requisito per combattere le numerose debolezze note delle applicazioni aziendali, dei database e dei sistemi operativi. Se da un lato ci sono vulnerabilità, dall’altro ci sono anche modi per risolverle, e le fasi a-e sono fornite per garantire che la vostra azienda affronti eventuali punti deboli nel vostro sistema.

Diamo quindi un’occhiata ai cinque punti citati:

  1. Implementare una sola funzione primaria per server – Se avete due funzioni server, che si trovano sullo stesso server ma richiedono livelli di sicurezza diversi, una delle funzioni server sarà compromessa. Questo perché le esigenze delle funzioni di sicurezza più elevate saranno ridotte a causa della presenza delle funzioni di sicurezza più basse.
  2. Abilitare solo i protocolli e i servizi necessari – Esistono molti protocolli che forniscono agli insider malintenzionati un modo semplice per compromettere una rete. Pertanto, PCI ha implementato questo requisito per garantire che le aziende abilitino solo i protocolli e i servizi necessari per ridurre il rischio di un attacco.
  3. Implementare funzioni di sicurezza aggiuntive per i protocolli e i servizi non sicuri – Se si abilitano i sistemi di sicurezza prima di distribuire i nuovi server, si può garantire che non vengano installati in un ambiente con configurazioni non sicure. Le caratteristiche di sicurezza aggiuntive ridurranno anche le possibilità di violazione, perché gli hacker non saranno in grado di sfruttare i punti di compromissione della rete comunemente utilizzati.
  4. Configurare i parametri di sicurezza del sistema – Questo aspetto è fondamentale per evitare abusi e si può ottenere con una serie di metodi, tra cui l’autorizzazione basata sui ruoli, le regole del firewall basate su modelli e i registri di audit sicuri.
  5. Rimuovere le funzionalità non necessarie – Questo requisito garantisce che i malintenzionati non abbiano ulteriori opportunità di compromettere il sistema.

È necessario utilizzare una crittografia forte per criptare tutti gli accessi amministrativi non da console.

Comprendere questo requisito:

Senza comunicazioni crittografate e autenticazione sicura, un hacker potrebbe facilmente rubare informazioni con lo scopo di accedere alla rete, diventare amministratore e, infine, rubare i dati.

Questa fase richiede di mantenere un inventario dei componenti del sistema. Questo deve includere tutti i componenti che rientrano nell’ambito degli standard PCI DSS.

Comprendere questo requisito:

Se non si rispetta questo requisito, si rischia di dimenticare i componenti del sistema e, quindi, di escluderli dagli standard di configurazione.

Documentare tutte le procedure operative e le politiche di sicurezza per la gestione delle impostazioni predefinite del fornitore e di altri parametri di sicurezza.

Comprendere questo requisito:

Il quinto passo è stato progettato per prevenire configurazioni non sicure, assicurando che tutto il personale segua le procedure operative quotidiane e le politiche di sicurezza in vigore.

I fornitori di hosting condiviso devono proteggere i dati dei titolari di carta e l’ambiente ospitato di ciascuna entità.

Comprendere questo requisito:

Se più client sono ospitati sullo stesso server tramite un provider di hosting, un client può compromettere i dati di un altro aggiungendo script e funzioni non sicure. Questo requisito è stato pensato per contrastare questa situazione.

Requisito PCI DSS – La trasmissione dei dati dei titolari di carta deve essere crittografata su tutte le reti aperte e pubbliche.

Questa sezione dei requisiti PCI DSS è stata concepita per garantire l’adozione di controlli di crittografia efficaci ogni volta che vengono trasmessi i dati dei titolari di carta. Questo è stato progettato per impedire ai criminali informatici di intercettare o deviare i dati in transito.

Per salvaguardare i dati dei titolari di carta durante il transito su reti aperte e pubbliche, è necessario utilizzare protocolli di sicurezza e una forte crittografia. Alcuni esempi comuni di reti aperte e pubbliche sono le comunicazioni satellitari, le tecnologie wireless e Internet.

Inoltre, per garantire l’implementazione di una crittografia forte per la trasmissione e l’autenticazione, è necessario utilizzare le migliori pratiche del settore quando le reti wireless sono collegate all’ambiente dei dati dei titolari di carta (CDE) o trasmettono i dati dei titolari di carta .

Comprendere questo requisito:

Questo requisito è indispensabile perché i dati trasmessi su reti pubbliche e aperte sono vulnerabili all’intercettazione da parte di malintenzionati.

La seconda parte del primo passo, riguardante le reti wireless, è essenziale perché i criminali informatici spesso intercettano le comunicazioni wireless attraverso strumenti gratuiti e ampiamente disponibili. Utilizzando le migliori pratiche del settore, è possibile evitare che ciò si verifichi.

Non si devono mai utilizzare le tecnologie di messaggistica per gli utenti finali per inviare PAN non protetti. I principali esempi di tecnologie di messaggistica per l’utente finale sono la messaggistica istantanea e la posta elettronica.

Comprendere questo requisito:

Questo requisito è stato introdotto perché le tecnologie di messaggistica degli utenti finali possono essere intercettate con facilità. È sufficiente assicurarsi di non utilizzare questi strumenti per l’invio di PAN.

Documentare tutte le procedure operative e le politiche di sicurezza per la crittografia delle trasmissioni dei dati dei titolari di carta. Assicuratevi che queste procedure e politiche siano note a tutti coloro che ne sono interessati.

Comprendere questo requisito:

Questo requisito è indispensabile per garantire una gestione efficace e continua della trasmissione sicura dei dati dei titolari di carta.

Requisito PCI DSS – Sviluppare e mantenere applicazioni e sistemi sicuri.

La conformità agli standard PCI DSS è un processo continuo e questo requisito comporta lo sviluppo e la manutenzione di applicazioni e sistemi sicuri. Lo scopo è quello di assicurarsi di essere aggiornati su eventuali vulnerabilità che potrebbero avere un impatto sul vostro ambiente e porre potenziali problemi. Dai controlli di sicurezza agli aggiornamenti, ci sono molti modi per adempiere ai vostri obblighi.

Il primo passo da compiere per soddisfare questo requisito PCI DSS è stabilire processi per l’identificazione di eventuali vulnerabilità di sicurezza. A tal fine, è necessario istituire un sistema di classificazione del rischio per qualsiasi vulnerabilità appena scoperta, che dipenderà dalla strategia di valutazione del rischio e dall’ambiente.

Comprendere questo requisito:

Questo requisito è stato stabilito perché la vostra organizzazione sarà esposta a nuove vulnerabilità se non si aggiorna su tutti i rischi potenziali. Effettuare controlli settimanali sui servizi di sicurezza per garantire che eventuali nuove vulnerabilità vengano rilevate immediatamente.

Installare le patch di sicurezza fornite dal fornitore per proteggere tutti i software e i sistemi dalle vulnerabilità note.

Comprendere questo requisito:

Una delle maggiori minacce per le aziende è il flusso continuo di attacchi che utilizzano exploit ampiamente pubblicati. La fase due è quindi concepita per garantire che i malintenzionati non sfruttino questi exploit per disabilitare o attaccare il sistema. L’utilizzo delle patch di sicurezza più recenti può contrastare tutte le vulnerabilità conosciute.

Tutte le applicazioni software esterne e interne devono essere sviluppate in modo sicuro. Questo requisito è suddiviso in una serie di fasi.

  1. Prima che le applicazioni vengano rilasciate ai clienti o diventino attive, è necessario rimuovere password, ID utente, account di applicazioni personalizzate, account di applicazioni di sviluppo e account di applicazioni di prova.
  2. Prima del rilascio, esaminare il codice personalizzato per identificare eventuali vulnerabilità di codifica.

Comprendere questo requisito:

Questo requisito è stato introdotto perché le vulnerabilità della sicurezza possono essere introdotte maliziosamente o inavvertitamente se la sicurezza non viene inclusa nelle fasi di definizione dei requisiti, progettazione, analisi e test dello sviluppo del software. Vediamo di seguito in dettaglio le fasi “a” e “b”.

  • Rimuovere le password, gli ID utente, gli account delle applicazioni personalizzate, gli account delle applicazioni di sviluppo e gli account delle applicazioni di test: questi elementi devono essere rimossi in modo da non divulgare informazioni sul funzionamento dell’applicazione.
  • Esaminare il codice personalizzato per identificare eventuali vulnerabilità di codifica – Questa fase è importante perché i malintenzionati spesso sfruttano le vulnerabilità di sicurezza del codice personalizzato per accedere alla rete e compromettere i dati.

Quando si apportano modifiche ai componenti del sistema, è necessario seguire le procedure e i processi di controllo delle modifiche, illustrati nei passaggi seguenti:

  1. I controlli di accesso devono essere utilizzati per separare gli ambienti di test/sviluppo da quelli di produzione.
  2. I compiti devono essere separati tra ambienti di prodotto e ambienti di test/sviluppo.
  3. Non si devono utilizzare dati di PAN/produzione in tempo reale per lo sviluppo o i test.
  4. Prima che i sistemi di produzione diventino attivi, è necessario rimuovere gli account e i dati di prova.
  5. Per le modifiche al software e l’implementazione di patch di sicurezza, è necessario modificare le procedure di controllo. Vedi sotto:
    1. Impatto del documento.
    2. Documentare l’approvazione della modifica da parte delle parti autorizzate.
    3. Verificare che la modifica non abbia effetti negativi sulla sicurezza del sistema mediante test di funzionalità.
    4. Procedure di back-out.

Comprendere questo requisito:

Questa parte della conformità PCI è imperativa perché, se i controlli sulle modifiche non vengono implementati e documentati correttamente, potrebbero verificarsi tutti i seguenti casi: introduzione di codice dannoso, comparsa di irregolarità di elaborazione e funzioni di sicurezza rese inutilizzabili, omesse deliberatamente o inavvertitamente. Vediamo in dettaglio i passaggi sopra descritti:

    1. Separare gli ambienti di test/sviluppo da quelli di produzione – Questo è necessario perché gli ambienti di sviluppo e di test non sono solitamente sicuri come gli ambienti di protezione.
    2. Separare le mansioni tra gli ambienti di produzione e gli ambienti di test/sviluppo – Questa fase riduce al minimo i rischi perché l’accesso al CDE e all’ambiente di produzione sarà limitato.
    3. Non utilizzare PAN live/ dati di produzione per lo sviluppo o i test – Questo aspetto è fondamentale perché i PAN live potrebbero offrire ai criminali informatici una via d’accesso, dato che i controlli di sicurezza non tendono a essere così rigorosi negli ambienti di sviluppo o di test.
    4. Prima che i sistemi di produzione diventino attivi, rimuovete gli account e i dati di prova – Se non rimuovete i dati e gli account di prova, potreste rivelare informazioni sul funzionamento dell’applicazione o del sistema.
    5. Per le modifiche del software e l’implementazione delle patch di sicurezza, è necessario modificare le procedure di controllo – I problemi di sicurezza possono verificarsi quando le patch di sicurezza e le modifiche del software non sono gestite correttamente.

Condividi

Abbonarsi

Per le ultime ricerche e notizie autentiche sui migliori host per il vostro sito web!

Articolo successivo

Messaggi correlati: