PCI DSS staat voor Payment Card Industry Data Security Standard. Dit is een geldende beveiligingsnorm, die een aantal stappen beschrijft die bedrijven verplicht zijn te nemen om gegevens te beschermen.
Dit omvat vele lagen van beveiliging, van het gebruik van een VPN zoals NordVPN tot het installeren van een firewall. U moet ook alles goed documenteren. Doet u dat niet, dan riskeert u hoge boetes als er een inbreuk op uw gegevens plaatsvindt.
Hieronder zal ik enkele van de belangrijkste vereisten met u doornemen. Dit zal u helpen een beter inzicht te krijgen in het alomvattende beveiligingsplan dat u moet opstellen en uitvoeren. Dit is geenszins een volledige lijst; het betreft slechts enkele van de belangrijkste gebieden. Raadpleeg de PCI DSS-gids in zijn geheel.
Inhoudsopgave
PCI DSS-vereiste – een firewallconfiguratie installeren en onderhouden
De PCI DSS bevat tal van vereisten waaraan alle handelaars moeten voldoen om de naleving te waarborgen. De eerste stap bestaat erin de gegevens van de kaarthouder te beschermen door een firewallconfiguratie te installeren en te onderhouden. Wij zullen met u doornemen wat dit inhoudt en hoe onze dienst daarbij helpt.
Deze vereiste is eigenlijk de technisch moeilijkste van alle PCI DSS-normen. Het installeren en onderhouden van een firewall configuratie mag op het eerste gezicht eenvoudig klinken, maar er komt heel wat bij kijken, zoals u hieronder zult ontdekken.
Wat verwacht PCI als het gaat om het installeren en onderhouden van een firewallconfiguratie?
Het eerste wat u moet doen is het opstellen en installeren van router- en firewall-configuratiestandaarden, die moeten bestaan uit al het volgende:
- Een formele procedure voor het testen en goedkeuren van alle netwerkverbindingen en wijzigingen in router- en firewall-configuraties.
- Een diagram dat alle netwerken, netwerkapparaten en systeemcomponenten identificeert. Dit schema moet verbindingen bevatten tussen de gegevensomgeving van de kaarthouder (COB) en alle andere netwerken, met inbegrip van draadloze netwerken.
- U hebt ook een diagram nodig dat de gegevensstromen van de kaarthouder in al uw netwerken en systemen weergeeft.
- Voor elke internetverbinding moet er een firewall zijn. Dit geldt ook tussen een gedemilitariseerde zone (DMZ) en de interne netwerkzone.
- Om netwerkcomponenten te beheren, hebt u een beschrijving nodig van alle groepen, rollen en verantwoordelijkheden.
- Er zijn zakelijke rechtvaardiging en documentatie vereist met betrekking tot het gebruik van alle toegestane diensten, poorten en protocollen, alsmede alle beveiligingsmaatregelen die worden gebruikt voor onveilige protocollen.
- U moet alle sets router- en firewall-regels minstens om de zes maanden herzien.
Begrijp deze eis:
Wat u moet beseffen is dat zowel routers als firewalls een cruciale rol spelen als het gaat om netwerktoegangs- en -uitgangspunten. Zij verlenen geautoriseerde netwerktoegang en blokkeren ongewenste toegang, en dit onderstreept waarom het absoluut noodzakelijk is firewalls en routers te implementeren. De punten a tot en met g zijn in wezen PCI-richtsnoeren voor de stappen die moeten worden ondernomen om ervoor te zorgen dat deze eerste verdedigingslinie zo sterk is als zij moet zijn.
Laten we eens kijken hoe we de punten a-g kunnen uitvoeren:
-
- Formeel test-/goedkeuringsproces – Dit is van vitaal belang omdat het veiligheidsproblemen helpt voorkomen die ontstaan door een verkeerde configuratie van het netwerk, de firewall of de router. U moet ervoor zorgen dat alleen bevoegde gebruikers (met een wachtwoord) wijzigingen mogen aanbrengen en dat deze wijzigingen worden geregistreerd en bewaard.
- Diagram dat netwerken, netwerkapparaten & systeemcomponenten identificeert – Deze diagrammen beschrijven de netwerkconfiguratie en kunnen worden gebruikt om alle locaties van netwerkapparaten te identificeren. Zonder dit systeem kunnen apparaten onbewust buiten de beveiligingscontroles worden gehouden, wat een ernstig risico kan inhouden. U moet automatisch netwerk diagrammen genereren en bijwerken.
- Schema van de gegevensstroom van de kaarthouder – Dit identificeert de plaats van alle gegevens van de kaarthouder binnen het netwerk. Zo kunt u gegevens doeltreffender beheren.
- Firewalls voor alle internetverbindingen – Dit vermindert de kans dat een kwaadwillende via een onbeschermd netwerk in uw netwerk binnendringt, omdat de toegang doeltreffender wordt bewaakt en gecontroleerd. Zorg ervoor dat een PCI-conforme firewall is geïnstalleerd voor elke Internetverbinding, en ook tussen elke DMZ en de interne netwerkzone.
- Beschrijving van alle groepen, rollen en verantwoordelijkheden – Dit zorgt ervoor dat alle personeelsleden weten wie waarvoor verantwoordelijk is. Deze rollen kunnen worden beheerd via een gecentraliseerd beheersysteem.
- Documentatie en zakelijke rechtvaardiging voor alle toegestane diensten, poorten en protocollen – Hiermee kunt u alle andere protocollen, poorten of diensten verwijderen of uitschakelen.
- Herzie de regelset van de router en firewall om de zes maanden – voortdurende bijwerking is nodig om voortdurend aan de PCI DSS normen te voldoen.
U moet ook router- en firewallconfiguraties maken die verbindingen beperken tussen CDE-systeemcomponenten en onvertrouwde netwerken. Dit houdt in:
- Het verkeer moet worden beperkt, zowel inkomend als uitgaand, zodat de gegevensomgeving voor de kaarthouder alleen het noodzakelijke bevat. Al het andere, niet-gerelateerde verkeer moet worden gescheiden.
- De configuratiebestanden van de router moeten worden beveiligd en gesynchroniseerd.
- Controleer het verkeer door perimeter-firewalls te installeren tussen de CDE en alle draadloze netwerken. Configureer deze firewalls om alleen geautoriseerd verkeer toe te staan tussen de CDE en de draadloze omgeving.
Begrijp deze eis:
Stap twee omvat het tot stand brengen van de juiste firewallconfiguratie, zodat deze correct functioneert en het netwerkverkeer op een veilige en doeltreffende manier controleert. U moet ervoor zorgen dat er netwerkbeveiliging is geïnstalleerd tussen het interne, vertrouwde netwerk en eventuele externe, niet-vertrouwde netwerken. Als je dit niet doet, ben je kwetsbaar voor een aanval.
-
- Beperking van inkomend en uitgaand verkeer – Dit is nodig om ervoor te zorgen dat kwaadwillende aanvallers geen toegang krijgen tot uw netwerk door het gebruik van diensten, poorten of protocollen op een ongeoorloofde manier of via ongeoorloofde IP-adressen. Dit kan worden bereikt door een omgeving voor kaarthoudergegevens te creëren waarin alle inkomend en uitgaand verkeer wordt geweigerd, behalve betalingstransacties.
- Routerconfiguratiebestanden beveiligen en synchroniseren – Opstartconfiguratiebestanden worden vaak over het hoofd gezien omdat ze niet vaak worden gebruikt. Als ze echter niet met dezelfde beveiligde instellingen zijn bijgewerkt, kan een cybercrimineel een weg naar binnen vinden.
- Installeer perimeterfirewalls tussen alle draadloze netwerken en de CDE – Kwaadwillenden maken vaak misbruik van draadloze technologie om toegang te krijgen tot kaartgegevens. Daarom zijn firewalls nodig om de toegang van draadloze netwerken tot de gegevensomgeving van de kaarthouder te beperken.
Rechtstreekse toegang van het publiek tussen onderdelen van CDE-systemen en het internet moet worden verboden. Om dit te doen, moet je:
- Inkomend verkeer moet worden beperkt tot systeemcomponenten die geautoriseerde, openbaar toegankelijke diensten, protocollen en poorten leveren. Implementeer een DMZ om dit te bereiken.
- Binnen de DMZ moet inkomend internetverkeer beperkt worden tot IP-adressen.
- Rechtstreekse verbindingen tussen de COB en het internet, zowel inkomend als uitgaand, moeten worden verboden.
- U moet alle vervalste bron-IP-adressen opsporen en blokkeren, zodat ze het netwerk niet kunnen binnenkomen. Implementeer anti-spoofing maatregelen om dit te bereiken.
- Onbevoegd uitgaand verkeer van de CDE naar het Internet mag niet worden toegestaan.
- “Gevestigde” verbindingen mogen alleen in het netwerk worden toegelaten.
- Alle systeemcomponenten die kaarthoudergegevens opslaan, moeten worden afgezonderd van de DMZ en andere niet-vertrouwde netwerken en in plaats daarvan in een interne netwerkzone worden geplaatst.
- Routing-informatie en privé-IP-adressen mogen niet aan onbevoegden worden bekendgemaakt.
Begrijp deze eis:
De vorige twee stappen hebben zich geconcentreerd op de bescherming die firewalls bieden. De firewall beschermt in wezen de verbindingen van de openbare systemen naar de CDE. Dit alles zal echter volkomen waardeloos zijn indien men rechtstreekse toegang tussen de openbare systemen en het COB toestaat.
-
- Implementeer een DMZ – Dit beheert verbindingen tussen het Internet en diensten die bedrijven voor het publiek beschikbaar moeten hebben. Dit zal cybercriminelen ervan weerhouden het internet te gebruiken om toegang te krijgen tot uw interne netwerk. Beperk al het verkeer om er zeker van te zijn dat je aan de regels voldoet.
- Beperk inkomend verkeer tot IP-adressen in de DMZ – Dit zorgt ervoor dat onbevoegden geen toegang hebben. Verbied directe verbindingen tussen het Internet en de CDE – Dit verhindert ongefilterde toegang tussen vertrouwde en niet-vertrouwde omgevingen. Stel dat een cybercrimineel gevoelige informatie bemachtigt, dan kan hij die niet van uw netwerk naar een onvertrouwde, externe server sturen. U kunt dit bereiken door alle inkomend en uitgaand verkeer te weigeren, behalve betalingstransacties.
- Implementeer anti-spoofingmaatregelen – Kwaadwillende aanvallers proberen vaak een IP-adres te imiteren zodat u denkt dat het van uw eigen netwerk afkomstig is. Er moeten maatregelen komen om dit te stoppen.
- Verbied ongeoorloofd uitgaand verkeer van de CDE naar het Internet – U moet het verkeer zo regelen dat alleen geautoriseerde communicatie wordt toegestaan. U kunt dit doen door alle inkomend en uitgaand verkeer te weigeren, met uitzondering van betalingstransacties.
- Laat alleen gevestigde verbindingen toe in het netwerk – U heeft een firewall nodig die een stateful packet inspection uitvoert. Dit houdt in dat de status van elke verbinding door de firewall wordt bijgehouden, zodat u weet of een reactie geautoriseerd is of dat een cybercrimineel de firewall probeert te misleiden om een weg naar binnen te vinden.
- Scheid systeemonderdelen die kaarthoudergegevens opslaan van de DMZ – Er zijn minder lagen voor cybercriminelen om binnen te dringen als kaarthouderinformatie wordt opgeslagen binnen de DMZ. Dit maakt het makkelijker voor hen om toegang te krijgen. De gegevens van de kaarthouder moeten zich in een gescheiden netwerk bevinden.
- Routinginformatie en privé-IP-adressen mogen niet aan onbevoegden worden bekendgemaakt – U moet ervoor zorgen dat privé-IP-adressen worden bekendgemaakt, anders kan een hacker ontdekken wat het IP-adres is en zich toegang tot uw netwerk verschaffen. Verplicht alle gebruikers zich aan te melden, zorg voor geautoriseerde vrijgave door een beheerder op elke locatie, en verbied routeringsprotocollen en advertenties.
Persoonlijke firewall-software moet worden geïnstalleerd op alle apparaten en mobiele telefoons van werknemers die verbinding maken met het internet wanneer deze worden gebruikt om toegang te krijgen tot het netwerk of buiten het netwerk.
Begrijp deze eis:
Een persoonlijke firewall is nodig om mobiele telefoons en apparaten van werknemers te beschermen tegen een aanval via internet. Dit is absoluut noodzakelijk, aangezien deze apparaten vatbaarder zijn voor inbreuken omdat ze zich buiten de bedrijfsfirewall bevinden, en dus het doelwit bij uitstek worden van hackers. Als uw werknemers hun laptop voor werkdoeleinden gebruiken en verbinding maken wanneer zij zich buiten het netwerk bevinden, is het daarom uw verantwoordelijkheid ervoor te zorgen dat zij persoonlijke firewall-software hebben geïnstalleerd.
De operationele procedures en het beveiligingsbeleid voor het beheer van firewalls moeten worden gedocumenteerd en bekend zijn bij alle partijen die ermee te maken krijgen.
Begrijp deze eis:
Om ongeoorloofde netwerktoegang te blijven voorkomen, moet u het beleid en de procedures met betrekking tot firewalls en routers beheren en ervoor zorgen dat deze goed gedocumenteerd en bijgewerkt zijn.
PCI DSS-vereiste – Gebruik geen standaardwaarden van de leverancier voor systeemwachtwoorden en extra beveiligingsparameters
Om PCI DSS-naleving te bereiken, bepaalt deel twee dat u alle door de leverancier geleverde standaardwaarden moet wijzigen, zonder uitzondering. Dit geldt voor alle standaardwachtwoorden, ook voor die van betaalterminals, applicatieaccounts, besturingssystemen, en nog veel meer.
Wat verwacht PCI als het gaat om het vermijden van alle door de leverancier geleverde standaardwaarden?
Zoals reeds kort is aangestipt, moet u ervoor zorgen dat u de door de leverancier geleverde standaardwaarden wijzigt, en moet u alle niet-vereiste standaardaccounts uitschakelen of verwijderen. Er zijn geen uitzonderingen op deze regel – elk wachtwoord en elke beveiligingsparameter moet worden gewijzigd.
Voor alle draadloze omgevingen die kaarthouderinformatie verzenden of verbinding maken met de omgeving voor kaarthoudergegevens (CDE), moet u bij de installatie alle standaardinstellingen van de draadloze leverancier wijzigen. Dit omvat onder meer de standaard SNMP-community-strings, wachtwoorden en draadloze coderingssleutels.
Begrijp deze eis:
Standaardinstellingen worden vaak gepubliceerd en zijn goed bekend in hackersgemeenschappen. Dit maakt uw systeem kwetsbaarder, omdat kwaadwillenden gemakkelijk toegang zouden kunnen krijgen door gebruik te maken van standaard wachtwoorden, accountnamen, instellingen en dergelijke, en door alle standaardinstellingen te wijzigen, beperkt u dus effectief de toegang.
Het is van vitaal belang dat u alle standaardinstellingen van draadloze leveranciers wijzigt, want als u dat niet doet, kan een cybercrimineel gemakkelijk uw netwerk binnendringen en het aanvallen. Dit gebeurt omdat de meeste draadloze netwerken worden geïmplementeerd zonder adequate beveiligingsconfiguraties, wat hackers de kans geeft gegevens en wachtwoorden te ontfutselen door het verkeer af te luisteren.
De volgende eis betreft de ontwikkeling van configuratienormen voor al uw systeemcomponenten. Alle bekende kwetsbaarheden in de beveiliging moeten worden aangepakt en zij moeten in overeenstemming zijn met de door de industrie aanvaarde normen voor systeemverharding. Om dit te doen, moet u de onderstaande stappen volgen:
- Voor elke server mag slechts één primaire functie geïmplementeerd zijn. Dit is noodzakelijk om ervoor te zorgen dat servers die verschillende beveiligingsniveaus vereisen, niet naast elkaar op dezelfde server kunnen bestaan.
- Alleen protocollen en diensten die noodzakelijk zijn voor het functioneren van het systeem mogen worden ingeschakeld.
- Voor alle vereiste protocollen of diensten die als onveilig worden beschouwd, moet u extra beveiligingsvoorzieningen implementeren.
- Voorkom misbruik door de configuratie van systeembeveiligingsparameters.
- Onnodige functionaliteit moet worden verwijderd, met inbegrip van overbodige webservers, bestandssystemen, subsystemen, functies, stuurprogramma’s en scripts.
Begrijp deze eis:
PCI heeft deze eis ingevoerd om de vele bekende zwakke punten van bedrijfsapplicaties, databases en besturingssystemen te bestrijden. Er zijn kwetsbaarheden, maar er zijn ook manieren om ze te verhelpen, en de stappen a-e worden gegeven om ervoor te zorgen dat uw bedrijf de zwakke punten in uw systeem aanpakt
Laten we dus eens kijken naar de vijf punten die hier genoemd zijn:
- Implementeer één primaire functie per server – Als je twee serverfuncties hebt, en die bevinden zich op dezelfde server maar vereisen verschillende beveiligingsniveaus, zal één van de serverfuncties in gevaar komen. Dit komt doordat de behoeften van de hoger beveiligde functies zullen afnemen als gevolg van de aanwezigheid van de lager beveiligde functies.
- Schakel alleen noodzakelijke protocollen en diensten in – Er zijn veel protocollen die kwaadwillende insiders een gemakkelijke manier bieden om een netwerk te compromitteren. Daarom heeft PCI deze eis ingevoerd om ervoor te zorgen dat bedrijven alleen protocollen en diensten inschakelen die nodig zijn om het risico van een aanval te verkleinen.
- Extra beveiligingsfuncties implementeren voor onveilige protocollen en services – Als u beveiligingssystemen inschakelt voordat nieuwe servers worden ingezet, kunt u ervoor zorgen dat ze niet worden geïnstalleerd in een omgeving met onveilige configuraties. Extra beveiligingsvoorzieningen verkleinen ook de kans op een inbraak, omdat hackers niet kunnen profiteren van de vaak gebruikte compromispunten van het netwerk.
- Configureer systeembeveiligingsparameters – Dit is van cruciaal belang om misbruik te voorkomen, en u kunt dit bereiken via een aantal methoden, waaronder rolgebaseerde autorisatie, sjabloongebaseerde firewallregels, en beveiligde auditlogs.
- Overbodige functionaliteit verwijderen – Deze eis zorgt ervoor dat kwaadwillenden geen extra mogelijkheden hebben om uw systeem te compromitteren.
Je moet sterke cryptografie gebruiken om alle niet-console administratieve toegang te versleutelen.
Begrijp deze eis:
Zonder versleutelde communicatie en veilige authenticatie zou een hacker gemakkelijk informatie kunnen stelen met de bedoeling toegang te krijgen tot het netwerk, beheerder te worden, en uiteindelijk gegevens te stelen.
In deze stap moet u een inventaris van systeemcomponenten bijhouden. Deze moet alle componenten bevatten die binnen het PCI DSS toepassingsgebied vallen.
Begrijp deze eis:
Als u zich niet aan deze eis houdt, bestaat de kans dat u systeemonderdelen vergeet.
Documenteer alle operationele procedures en het beveiligingsbeleid voor het beheer van de standaardwaarden van verkopers, alsmede andere beveiligingsparameters.
Begrijp deze eis:
Stap vijf is ontworpen om onveilige configuraties te voorkomen door ervoor te zorgen dat al het personeel de dagelijkse werkprocedures en het beveiligingsbeleid volgt.
Shared hosting providers moeten de gegevens van de kaarthouder en de gehoste omgeving van elke entiteit beschermen.
Begrijp deze eis:
Als meerdere clients via een hostingprovider op dezelfde server worden gehost, kan de ene client de gegevens van de andere compromitteren door onveilige scripts en functies toe te voegen. Dit voorschrift is bedoeld om dit tegen te gaan.
PCI DSS-vereiste – De overdracht van gegevens van kaarthouders moet over alle open, openbare netwerken worden gecodeerd
Dit onderdeel van de PCI DSS-vereisten moet ervoor zorgen dat u over sterke encryptiecontroles beschikt wanneer gegevens van kaarthouders worden doorgegeven. Dit is bedoeld om te voorkomen dat cybercriminelen onderweg gegevens onderscheppen of omleiden.
Om gegevens van kaarthouders te beveiligen tijdens de overdracht over open, openbare netwerken, moet u beveiligingsprotocollen en sterke cryptografie gebruiken. Enkele veel voorkomende voorbeelden van open, openbare netwerken zijn satellietcommunicatie, draadloze technologieën en het Internet.
Bovendien moet u, om te zorgen voor de implementatie van sterke encryptie voor transmissie en authenticatie, de beste praktijken in de sector toepassen wanneer draadloze netwerken verbonden zijn met de omgeving voor kaarthoudergegevens (CDE) of kaarthoudergegevens verzenden.
Begrijp deze eis:
Deze eis is noodzakelijk omdat gegevens die via open, openbare netwerken worden verzonden, kwetsbaar zijn voor onderschepping door kwaadwillige personen.
Het tweede deel van stap één, betreffende draadloze netwerken, is van essentieel belang omdat cybercriminelen vaak draadloze communicatie afluisteren via instrumenten die gratis en overal beschikbaar zijn. Door de beste praktijken in de sector toe te passen, kunt u dit voorkomen.
Gebruik nooit messaging-technologieën voor eindgebruikers om onbeschermde PAN’s te verzenden. Belangrijke voorbeelden van eindgebruiker-berichten technologieën zijn instant messaging en e-mail.
Begrijp deze eis:
Deze eis is gesteld omdat berichtenverkeerstechnologieën van eindgebruikers gemakkelijk kunnen worden onderschept. U moet er alleen voor zorgen dat u deze hulpmiddelen niet gebruikt bij het verzenden van PAN.
Documenteer alle operationele procedures en het beveiligingsbeleid voor het versleutelen van de overdracht van gegevens van kaarthouders. Ervoor zorgen dat deze procedures en beleidslijnen bekend zijn bij iedereen die ermee te maken krijgt.
Begrijp deze eis:
Dit vereiste is absoluut noodzakelijk om de veilige overdracht van gegevens van kaarthouders voortdurend doeltreffend te beheren.
PCI DSS-vereiste – veilige toepassingen en systemen ontwikkelen en onderhouden
PCI DSS-naleving is een continu proces, en deze eis impliceert de ontwikkeling en het onderhoud van veilige toepassingen en systemen. Het doel hiervan is ervoor te zorgen dat u op de hoogte blijft van alle kwetsbaarheden die een impact kunnen hebben op uw omgeving en potentiële problemen kunnen opleveren. Van veiligheidscontroles tot updates, er zijn vele manieren om aan uw verplichtingen te voldoen.
De eerste stap om aan deze PCI DSS vereiste te voldoen is het vastleggen van processen voor het identificeren van kwetsbaarheden in de beveiliging. Om dit te doen moet er een risicoclassificatiesysteem worden opgezet voor nieuw ontdekte kwetsbaarheden, dat afhankelijk zal zijn van uw risicobeoordelingsstrategie en omgeving.
Begrijp deze eis:
Deze eis is gesteld omdat uw organisatie open zal staan voor nieuwe kwetsbaarheden als u niet op de hoogte blijft van alle potentiële risico’s. Wekelijkse controles van beveiligingsdiensten om ervoor te zorgen dat eventuele nieuwe kwetsbaarheden onmiddellijk worden opgemerkt.
Installeer door de leverancier verstrekte beveiligingspatches om alle software en systemen te beschermen tegen bekende kwetsbaarheden.
Begrijp deze eis:
Een van de grootste bedreigingen voor bedrijven is de voortdurende stroom van aanvallen met behulp van exploits die op grote schaal worden gepubliceerd. Stap twee is dus bedoeld om te voorkomen dat kwaadwillenden misbruik maken van deze exploits om uw systeem onklaar te maken of aan te vallen. Door de meest recente beveiligingspatches te gebruiken, kunnen alle bekende kwetsbaarheden worden bestreden.
Alle externe en interne softwaretoepassingen moeten veilig worden ontwikkeld. Deze eis is opgesplitst in een aantal stappen –
- Voordat applicaties aan klanten worden vrijgegeven of actief worden, moet u wachtwoorden, gebruikers-ID’s, accounts voor aangepaste applicaties, accounts voor ontwikkeltoepassingen en accounts voor testapplicaties verwijderen.
- Controleer vóór de vrijgave de aangepaste code om mogelijke kwetsbaarheden in de codering op te sporen.
Begrijp deze eis:
Deze eis is gesteld omdat kwetsbaarheden in de beveiliging met kwade opzet of onopzettelijk kunnen worden geïntroduceerd indien de beveiliging niet wordt meegenomen in de omschrijving van de eisen, het ontwerp, de analyse en de testfasen van de softwareontwikkeling. Laten we de stappen “a” en “b” hieronder nader bekijken.
- Verwijder wachtwoorden, gebruikers-ID’s, accounts voor aangepaste toepassingen, accounts voor ontwikkelingstoepassingen en accounts voor testtoepassingen – Deze items moeten worden verwijderd om te voorkomen dat informatie over het functioneren van de toepassing wordt prijsgegeven.
- Controleer de aangepaste code op mogelijke kwetsbaarheden in de codering – Deze stap is belangrijk omdat kwaadwillenden vaak beveiligingslekken in aangepaste code misbruiken om toegang te krijgen tot een netwerk en gegevens te compromitteren.
Wanneer er wijzigingen aan systeemcomponenten worden aangebracht, moet u de procedures en processen voor wijzigingsbeheer volgen, die in de onderstaande stappen worden beschreven:
- Toegangscontrole moet worden gebruikt om test-/ontwikkelingsomgevingen te scheiden van productieomgevingen.
- De taken moeten worden gescheiden tussen productomgevingen en test-/ontwikkelingsomgevingen.
- U mag geen live PAN’s/productiegegevens gebruiken voor ontwikkeling of tests.
- Voordat de productiesystemen actief worden, moet u de testaccounts en -gegevens verwijderen.
- Voor softwarewijzigingen en de implementatie van beveiligingspatches moet u de controleprocedures wijzigen. Zie hieronder:
- Document impact.
- Documenteer de goedkeuring van de wijziging door de bevoegde partijen.
- Door middel van functionaliteitstests moet worden nagegaan of de wijziging geen nadelige gevolgen heeft voor de veiligheid van het systeem.
- Back-out procedures.
Begrijp deze eis:
Dit onderdeel van PCI-compliance is van het grootste belang, omdat al het volgende kan gebeuren als de wijzigingscontroles niet correct worden uitgevoerd en gedocumenteerd – er kan kwaadaardige code worden geïntroduceerd, er kunnen onregelmatigheden in de verwerking optreden, en beveiligingsvoorzieningen kunnen buiten werking worden gesteld, opzettelijk worden weggelaten, of per ongeluk worden weggelaten. Laten we de bovengenoemde stappen eens nader bekijken:
-
- Scheid test-/ontwikkelingsomgevingen van productieomgevingen – Dit is nodig omdat ontwikkelings- en testomgevingen gewoonlijk niet zo veilig zijn als beschermingsomgevingen.
- Scheid taken tussen productieomgevingen en test-/ontwikkelomgevingen – Deze stap zal het risico minimaliseren omdat de toegang tot de CDE- en productieomgeving beperkt zal zijn.
- Gebruik geen live PAN’s/productiegegevens voor ontwikkeling of testen – Dit is van cruciaal belang omdat live PAN’s cybercriminelen een ingang kunnen bieden, aangezien de beveiligingscontroles in ontwikkelings- of testomgevingen doorgaans niet zo streng zijn.
- Verwijder testaccounts en -gegevens voordat de productiesystemen actief worden – Als u testgegevens en -accounts niet verwijdert, kunt u informatie weggeven over de werking van de applicatie of het systeem.
- Voor softwarewijzigingen en de implementatie van beveiligingspatches moet u de controleprocedures wijzigen – Beveiligingsproblemen kunnen ontstaan wanneer beveiligingspatches en softwarewijzigingen niet goed worden beheerd.