PCI DSS står for Payment Card Industry Data Security Standard. Dette er en sikkerhetsstandard på plass, som skisserer noen av trinnene som bedrifter er forpliktet til å ta for å beskytte data.
Dette inkluderer mange lag med sikkerhet, fra å bruke en VPN som NordVPN til å installere en brannmur. Du må også dokumentere alt effektivt. Hvis du ikke gjør det, kan du risikere at du står overfor store bøter dersom et datainnbrudd skulle oppstå.
Nedenfor vil jeg ta deg gjennom noen av hovedkravene. Dette vil hjelpe deg å få en bedre forståelse av den omfattende sikkerhetsplanen du må etablere og implementere. Dette er på ingen måte en uttømmende liste; den dekker bare noen av hovedområdene. Vennligst se PCI DSS-veiledningen i sin helhet.
Innholdsfortegnelse
PCI DSS-krav – Installer og vedlikehold en brannmurkonfigurasjon
PCI DSS skisserer en rekke krav som alle selgere må følge for å sikre samsvar. Det første trinnet er å beskytte kortholderdata ved å installere og vedlikeholde en brannmurkonfigurasjon. Vi skal snakke deg gjennom hva dette innebærer og hvordan tjenesten vår hjelper.
Dette kravet er faktisk det mest teknisk utfordrende av alle PCI DSS-standardene. Installasjon og vedlikehold av en brannmurkonfigurasjon kan høres enkelt ut på overflaten, men det er mye som ligger i dette kravet, som du vil oppdage nedenfor.
Hva forventer PCI når det gjelder å installere og vedlikeholde en brannmurkonfigurasjon?
Det første du må gjøre er å etablere og installere konfigurasjonsstandarder for ruter og brannmur , som må bestå av alt av følgende:
- En formell prosedyre for testing og godkjenning av alle nettverkstilkoblinger og endringer i ruter- og brannmurkonfigurasjoner.
- Et diagram som identifiserer alle nettverk, nettverksenheter og systemkomponenter. Dette diagrammet må inkludere forbindelser mellom Cardholder Data Environment (CDE) og alle andre nettverk, med trådløse nettverk inkludert.
- Du trenger også et diagram som viser kortholderdatastrømmer på tvers av alle nettverkene og systemene dine.
- For hver Internett-tilkobling må det være en brannmur. Dette gjelder også mellom enhver demilitarisert sone (DMZ) og den interne nettverkssonen.
- For å administrere nettverkskomponenter trenger du en beskrivelse av alle grupper, roller og ansvarsområder.
- Forretningsbegrunnelse og dokumentasjon kreves i forhold til bruken av alle tillatte tjenester, porter og protokoller, samt eventuelle sikkerhetstiltak som brukes for usikre protokoller.
- Du må gjennomgå alle ruter- og brannmurregelsett minimum hver sjette måned.
Forstå dette kravet:
Det du må innse er at både rutere og brannmurer spiller en avgjørende rolle når det kommer til nettverksinngangs- og utgangspunkter. De vil gi autorisert nettverkstilgang og blokkere uønsket tilgang, og dette fremhever hvorfor det er viktig å ha brannmurer og rutere implementert. Points ag er i hovedsak PCIs retningslinjer for trinnene som må tas for å sikre at denne første forsvarslinjen er så sterk som den trenger å være.
Så la oss ta en titt på hvordan du implementerer points ag:
-
- Formell test-/godkjenningsprosess – Dette er viktig fordi det bidrar til å forhindre sikkerhetsproblemer som oppstår på grunn av feilkonfigurering av nettverket, brannmuren eller ruteren. Du må sørge for at kun autoriserte brukere (med passord) har tillatelse til å gjøre endringer og at disse endringene registreres og beholdes.
- Diagram som identifiserer nettverk, nettverksenheter og systemkomponenter – Disse diagrammene beskriver nettverkskonfigurasjon og kan brukes til å identifisere alle nettverksenhetsplasseringer. Uten det kan enheter ubevisst utelates fra sikkerhetskontrollene, noe som kan utgjøre en alvorlig risiko. Du bør automatisk generere og oppdatere nettverksdiagrammer.
- Kortholderdataflytdiagram – Dette identifiserer plasseringen av alle kortholderdata i nettverket. Dette lar deg administrere data mer effektivt.
- Brannmurer for alle Internett-tilkoblinger – Dette reduserer sjansene for at en ondsinnet person kommer inn i nettverket ditt via et ubeskyttet nettverk fordi tilgangen overvåkes og kontrolleres mer effektivt. Sørg for at en PCI-kompatibel brannmur er installert for hver Internett-tilkobling, så vel som mellom enhver DMZ og den interne nettverkssonen.
- Beskrivelse av alle grupper, roller og ansvar – Dette sikrer at alt personell er klar over hvem som er ansvarlig for hva. Disse rollene kan administreres via et sentralisert styringssystem.
- Dokumentasjon og forretningsbegrunnelse for alle tillatte tjenester, porter og protokoller – Dette lar deg fjerne eller deaktivere alle andre protokoller, porter eller tjenester.
- Gjennomgå ruter- og brannmurregelsettet hver sjette måned – Konstant oppdatering er nødvendig for å kontinuerlig møte PCI DSS-standarder.
Du må også bygge ruter- og brannmurkonfigurasjoner som begrenser tilkoblinger mellom CDE-systemkomponenter og ikke-klarerte nettverk. Dette innebærer:
- Trafikken skal begrenses, både inngående og utgående slik at Kortholderdatamiljøet kun inneholder det som er nødvendig. All annen, ikke-relatert trafikk må adskilles.
- Ruterkonfigurasjonsfiler må sikres og synkroniseres.
- Kontroller trafikken ved å installere perimeterbrannmurer mellom CDE og alle trådløse nettverk. Konfigurer disse brannmurene til kun å tillate autorisert trafikk mellom CDE og trådløst miljø.
Forstå dette kravet:
Trinn to innebærer å oppnå riktig brannmurkonfigurasjon slik at den fungerer korrekt og kontrollerer nettverkstrafikken på en sikker og effektiv måte. Du må sørge for at nettverksbeskyttelse er installert mellom det interne, klarerte nettverket og eventuelle eksterne, ikke-klarerte nettverk. Hvis du ikke gjør dette, er du sårbar for et angrep.
-
- Begrens innkommende og utgående trafikk – Dette er nødvendig for å sikre at eventuelle ondsinnede angripere ikke får tilgang til nettverket ditt gjennom bruk av tjenester, porter eller protokoller på en uautorisert måte eller via uautoriserte IP-adresser. Oppnå dette ved å opprette et kortholderdatamiljø der all inngående og utgående trafikk nektes unntatt betalingstransaksjoner.
- Sikre og synkronisere ruterkonfigurasjonsfiler – Oppstartskonfigurasjonsfiler blir ofte oversett på grunn av sjelden bruk. Men hvis de ikke er oppdatert med de samme sikre innstillingene, kan en nettkriminell finne en vei inn.
- Installer perimeter brannmurer mellom alle trådløse nettverk og CDE – Ondsinnede personer utnytter ofte trådløs teknologi for å få tilgang til kortdetaljer. Dette er grunnen til at det er behov for brannmurer for å begrense tilgangen fra trådløse nettverk til kortholderens datamiljø.
Direkte offentlig tilgang mellom alle CDE-systemkomponenter og Internett må være forbudt. For å gjøre dette må du:
- Innkommende trafikk må begrenses til systemkomponenter som leverer autoriserte offentlig tilgjengelige tjenester, protokoller og porter. Implementer en DMZ for å oppnå dette.
- Innenfor DMZ må innkommende Internett-trafikk begrenses til IP-adresser.
- Direkte forbindelser mellom CDE og Internett, enten inngående eller utgående, må være forbudt.
- Du må oppdage og blokkere eventuelle forfalskede kilde-IP-adresser slik at de ikke kan komme inn i nettverket. Iverksette anti-spoofing-tiltak for å oppnå dette.
- Uautorisert utgående trafikk fra CDE til Internett bør ikke tillates.
- ‘Etablerte’ tilkoblinger skal bare tillates inn i nettverket.
- Eventuelle systemkomponenter som lagrer kortholderdata må adskilles fra DMZ og andre ikke-klarerte nettverk og i stedet plasseres i en intern nettverkssone.
- Rutinginformasjon og private IP-adresser må ikke utleveres til uautoriserte parter.
Forstå dette kravet:
De to foregående trinnene har fokusert på beskyttelsen som tilbys av brannmurer . Brannmuren beskytter i hovedsak forbindelsene fra de offentlige systemene til CDE. Alt dette vil imidlertid være fullstendig verdiløst hvis du tillater direkte tilgang mellom offentlige systemer og CDE.
-
- Implementer en DMZ – Denne administrerer tilkoblinger mellom Internett og tjenester som bedrifter må ha tilgjengelig for publikum. Dette vil stoppe nettkriminelle fra å bruke Internett for å få tilgang til ditt interne nettverk. Begrens all trafikk for å sikre at du overholder retningslinjene.
- Begrens innkommende trafikk til IP-adresser i DMZ – Dette sikrer at ingen uautoriserte har tilgang. Forby direkte tilkoblinger mellom Internett og CDE – Dette hindrer ufiltrert tilgang fra å oppstå mellom pålitelige og ikke-klarerte miljøer. La oss derfor si at en nettkriminell innhenter sensitiv informasjon; de vil ikke være i stand til å sende det fra nettverket ditt til en ikke-klarert, ekstern server. Du kan oppnå dette ved å nekte all inngående og utgående trafikk unntatt betalingstransaksjoner.
- Implementer anti-spoofing-tiltak – Ondsinnede angripere prøver ofte å etterligne en IP-adresse slik at du tror den kommer fra ditt eget nettverk. Det må settes inn tiltak for å stoppe dette.
- Forby uautorisert utgående trafikk fra CDE til Internett – Du må kontrollere trafikken slik at kun autorisert kommunikasjon er tillatt. Du kan gjøre dette ved å nekte all inngående og utgående trafikk bortsett fra betalingstransaksjoner.
- Tillat kun etablerte tilkoblinger til nettverket – Du trenger en brannmur som utfører en stateful pakkeinspeksjon. Dette innebærer å opprettholde hver tilkoblings status gjennom brannmuren slik at du vet om et svar er autorisert eller en nettkriminell prøver å lure brannmuren slik at de kan finne en vei inn.
- Segreger systemkomponenter som lagrer kortholderdata fra DMZ – Det er færre lag for nettkriminelle å trenge gjennom hvis kortholderinformasjon lagres i DMZ. Dette gjør det lettere for dem å få tilgang. Kortholderdata må være innenfor et segregert nettverk.
- Rutinginformasjon og private IP-adresser må ikke avsløres til uautoriserte parter – Du må sørge for at private IP-adresser avsløres, ellers kan en hacker oppdage hva IP-adressen er og få tilgang til nettverket ditt. Krev at alle brukere logger på, og sørg for autorisert avsløring fra en administrator på hvert sted, og du bør forby rutingprotokoller og annonser.
Personlig brannmurprogramvare må installeres på alle ansatteeide enheter og mobiler som kobles til Internett når de brukes for å få tilgang til nettverket eller utenfor nettverket.
Forstå dette kravet:
En personlig brannmur er nødvendig for å beskytte mobiler og ansatteeide enheter mot et Internett-basert angrep . Dette er viktig, siden disse enhetene er mer utsatt for brudd fordi de er utenfor bedriftens brannmur, og derfor blir de hovedmål for hackere. Derfor, hvis dine ansatte bruker sine bærbare datamaskiner til jobbformål og kobler til når de er utenfor nettverket, er det ditt ansvar å sørge for at de har personlig brannmurprogramvare installert.
Driftsprosedyrer og sikkerhetspolicyer for administrasjon av brannmurer må være dokumentert og kjent for alle parter som er berørt.
Forstå dette kravet:
For å sikre at du fortsetter å forhindre uautorisert nettverkstilgang, må du administrere retningslinjene og prosedyrene som er på plass i forhold til brannmurer og rutere, og sikre at de er godt dokumentert og oppdatert.
PCI DSS-krav – Ikke bruk leverandørens standardinnstillinger for systempassord og ekstra sikkerhetsparametere
For å oppnå PCI DSS-samsvar, står det i avsnitt to at du må endre eventuelle standardverdier som leveres av leverandøren, uten unntak. Dette gjelder alle standardpassord, inkludert de som brukes av Point-of-Sale (PoS)-terminaler, applikasjonskontoer, operativsystemer og mye, mye mer.
Hva forventer PCI når det gjelder å unngå alle leverandørleverte standarder?
Som allerede kort berørt, må du sørge for at du endrer leverandørens standardinnstillinger , og du må deaktivere eller fjerne alle uønskede standardkontoer . Det er ingen unntak fra denne regelen – hvert passord og sikkerhetsparameter må endres.
Når det gjelder alle trådløse miljøer som overfører kortholderinformasjon eller kobler til kortholderdatamiljøet (CDE), må du endre alle trådløse leverandørstandarder ved installasjon . Dette inkluderer slike som standard SNMP-fellesskapsstrenger, passord og trådløse krypteringsnøkler .
Forstå dette kravet:
Standardinnstillinger er ofte publisert og godt kjent i hackermiljøer. Dette gjør systemet ditt mer sårbart, ettersom ondsinnede personer lett kan få tilgang ved å bruke standardpassord, kontonavn, innstillinger og lignende, og derfor begrenser du tilgangen ved å endre alle standardinnstillingene.
Når det gjelder å endre alle standarder for trådløse leverandører, er dette viktig fordi hvis du ikke klarer det, kan en nettkriminell enkelt komme inn på nettverket ditt og angripe det. Dette skjer siden de fleste trådløse nettverk er implementert uten tilstrekkelige sikkerhetskonfigurasjoner på plass, noe som gir hackere muligheten til å fange opp data og passord ved å avlytte trafikk.
Det neste kravet innebærer utvikling av konfigurasjonsstandarder for alle systemkomponentene dine. Alle kjente sikkerhetssårbarheter må løses, og de må være i samsvar med bransjeaksepterte systemherdestandarder. For å gjøre dette, må du følge trinnene nedenfor:
- Det må bare være én primærfunksjon implementert for hver server. Dette er avgjørende for å sikre at servere som trenger varierende sikkerhetsnivåer ikke eksisterer samtidig på samme server.
- Kun protokoller og tjenester som er nødvendige for funksjonen til systemet må aktiveres.
- For alle nødvendige protokoller eller tjenester som anses som usikre, må du implementere ekstra sikkerhetsfunksjoner.
- Forhindre misbruk gjennom konfigurasjon av systemsikkerhetsparametere.
- Unødvendig funksjonalitet må fjernes, inkludert slike som unødvendige webservere, filsystemer, undersystemer, funksjoner, drivere og skript.
Forstå dette kravet:
PCI har implementert dette kravet for å bekjempe de mange kjente svakhetene som følger med bedriftsapplikasjoner, databaser og operativsystemer. Selv om det er sårbarheter, er det også måter å fikse dem på, og trinn ae er gitt for å sikre at virksomheten din håndterer eventuelle svakheter i systemet ditt
Så, la oss ta en titt på de fem punktene som er nevnt her:
- Implementer én primærfunksjon per server – Hvis du har to serverfunksjoner, og de er plassert på samme server, men krever ulike sikkerhetsnivåer, vil en av serverfunksjonene bli kompromittert. Dette er fordi behovene til funksjonene med høyere sikkerhet vil bli redusert som følge av tilstedeværelsen av funksjonene med lavere sikkerhet.
- Aktiver bare nødvendige protokoller og tjenester – Det er mange protokoller som gir ondsinnede innsidere en enkel måte å kompromittere et nettverk på. Derfor har PCI implementert dette kravet for å sikre at virksomheter kun aktiverer protokoller og tjenester som er nødvendige for å redusere risikoen for et angrep .
- Implementer ekstra sikkerhetsfunksjoner for usikre protokoller og tjenester – Hvis du aktiverer sikkerhetssystemer før nye servere distribueres, kan du sikre at de ikke er installert i et miljø med usikre konfigurasjoner. Ytterligere sikkerhetsfunksjoner vil også redusere sjansen for et brudd fordi hackere ikke vil kunne utnytte nettverkets ofte brukte kompromisspunkter.
- Konfigurer systemsikkerhetsparametere – Dette er avgjørende for å unngå misbruk, og du kan oppnå dette gjennom en rekke metoder, inkludert rollebasert autorisasjon, malbaserte brannmurregler og sikre revisjonslogger.
- Fjern unødvendig funksjonalitet – Dette kravet sikrer at ondsinnede personer ikke har noen ekstra muligheter til å kompromittere systemet ditt.
Du må bruke sterk kryptografi for å kryptere all administrativ tilgang som ikke er konsoll.
Forstå dette kravet:
Uten kryptert kommunikasjon og sikker autentisering kan en hacker enkelt stjele informasjon med det formål å få tilgang til nettverket, bli administrator og til slutt stjele data.
Dette trinnet krever at du opprettholder en beholdning av systemkomponenter. Dette må inkludere alle komponenter som er i PCI DSS-omfanget.
Forstå dette kravet:
Hvis du ikke overholder dette kravet, kan du glemme systemkomponenter, og derfor kan de bli ekskludert fra konfigurasjonsstandardene dine.
Dokumenter alle operasjonelle prosedyrer og sikkerhetspolicyer for håndtering av leverandørstandarder, så vel som andre sikkerhetsparametere.
Forstå dette kravet:
Trinn fem er designet for å forhindre usikre konfigurasjoner ved å sikre at alt personell følger de daglige driftsprosedyrene og sikkerhetspolicyene som er på plass.
Delte vertsleverandører må beskytte hver enhets kortholderdata og vertsmiljø.
Forstå dette kravet:
Hvis flere klienter er vert på samme server via en vertsleverandør, kan en klient kompromittere en annens data ved å legge til usikre skript og funksjoner. Dette kravet er utformet for å bekjempe dette.
PCI DSS-krav – Overføringen av kortholderdata må være kryptert på tvers av alle åpne, offentlige nettverk
Denne delen av PCI DSS-kravene er utformet for å sikre at du har sterke krypteringskontroller på plass hver gang kortholderdata overføres. Dette er designet for å hindre nettkriminelle i å avskjære eller viderekoble data når de er i transitt.
For å beskytte kortholders data under transport over åpne, offentlige nettverk, må du bruke sikkerhetsprotokoller og sterk kryptografi. Noen vanlige eksempler på åpne, offentlige nettverk inkluderer satellittkommunikasjon, trådløs teknologi og Internett.
For å sikre implementering av sterk kryptering for overføring og autentisering, må du dessuten bruke beste bransjepraksis når trådløse nettverk enten er koblet til kortholderdatamiljøet (CDE) eller overfører kortholderdata.
Forstå dette kravet:
Dette kravet er avgjørende fordi data som sendes over åpne, offentlige nettverk er sårbare for avlytting fra ondsinnede individer.
Den andre delen av trinn én, angående trådløse nettverk, er viktig fordi nettkriminelle ofte avlytter trådløs kommunikasjon via verktøy som er gratis og allment tilgjengelig. Ved å bruke beste bransjepraksis kan du stoppe dette fra å skje.
Du bør aldri bruke sluttbrukermeldingsteknologi for å sende ubeskyttede PAN-er. Gode eksempler på meldingsteknologi for sluttbrukere inkluderer direktemeldinger og e-post.
Forstå dette kravet:
Dette kravet er på plass fordi sluttbrukermeldingsteknologier enkelt kan avlyttes. Du må bare sørge for at du ikke bruker disse verktøyene når du sender PAN.
Dokumenter alle operasjonelle prosedyrer og sikkerhetspolicyer for kryptering av overføringer av kortholderdata. Sørg for at disse prosedyrene og retningslinjene er kjent for alle som er berørt av dem.
Forstå dette kravet:
Dette kravet er avgjørende for å sikre kontinuerlig effektiv styring av sikker overføring av kortholderdata.
PCI DSS-krav – Utvikle og vedlikeholde sikre applikasjoner og systemer
PCI DSS-samsvar er en kontinuerlig prosess, og dette kravet innebærer utvikling og vedlikehold av sikre applikasjoner og systemer. Hensikten med dette er å sørge for at du holdes oppdatert med eventuelle sårbarheter som kan ha en innvirkning på miljøet ditt og utgjøre potensielle problemer. Fra sikkerhetssjekker til oppdateringer, det er mange måter å oppfylle dine forpliktelser på.
Det første trinnet for å oppfylle dette PCI DSS-kravet er å etablere prosesser for å identifisere eventuelle sikkerhetssårbarheter . For å gjøre dette må det etableres et risikorangeringssystem for alle nyoppdagede sårbarheter, som vil avhenge av risikovurderingsstrategien og -miljøet.
Forstå dette kravet:
Dette kravet er etablert fordi organisasjonen din vil være åpen for nye sårbarheter hvis du ikke holder deg oppdatert med alle potensielle risikoer. Gjennomfør ukentlige kontroller av sikkerhetstjenester for å sikre at eventuelle nye sårbarheter blir plukket opp umiddelbart.
Installer sikkerhetsoppdateringer fra leverandøren for å beskytte all programvare og systemer mot kjente sårbarheter.
Forstå dette kravet:
En av de største truslene mot bedrifter er den kontinuerlige strømmen av angrep ved bruk av utnyttelser som er bredt publisert. Trinn to er derfor utviklet for å sikre at ondsinnede personer ikke utnytter disse utnyttelsene for å deaktivere eller angripe systemet ditt. Bruk av de nyeste sikkerhetsoppdateringene kan bekjempe alle kjente sårbarheter.
Alle eksterne og interne programvareapplikasjoner må utvikles sikkert . Dette kravet er delt opp i en rekke trinn –
- Før applikasjoner frigis til kunder eller blir aktive, må du fjerne passord, bruker-IDer, tilpassede applikasjonskontoer, utviklingsapplikasjonskontoer og testapplikasjonskontoer.
- Før utgivelsen må du se gjennom den tilpassede koden for å identifisere mulige kodingssårbarheter.
Forstå dette kravet:
Dette kravet er satt på plass fordi sikkerhetssårbarheter kan introduseres ondsinnet eller utilsiktet hvis sikkerhet ikke er inkludert under kravdefinisjonen, design-, analyse- og testfasene av programvareutvikling. La oss ta en titt på trinn ‘a’ og ‘b’ mer detaljert nedenfor.
- Fjern passord, bruker-IDer, tilpassede applikasjonskontoer, utviklingsapplikasjonskontoer og testapplikasjonskontoer – Disse elementene må fjernes slik at informasjon om applikasjonens funksjon ikke gis bort.
- Se gjennom den tilpassede koden for å identifisere mulige kodingssårbarheter – Dette trinnet er viktig fordi ondsinnede personer ofte utnytter sikkerhetssårbarheter i tilpasset kode for å få tilgang til et nettverk og kompromittere data.
Når det gjøres endringer i systemkomponenter, må du følge endringskontrollprosedyrer og prosesser, som er skissert i trinnene nedenfor:
- Tilgangskontroller må brukes for å skille test-/utviklingsmiljøer fra produksjonsmiljøer.
- Oppgaver må skilles mellom produktmiljøer og test/utviklingsmiljøer.
- Du bør ikke bruke live PAN-er/produksjonsdata for utvikling eller testing.
- Før produksjonssystemer blir aktive, må du fjerne testkontoer og data.
- For programvareendringer og implementering av sikkerhetsoppdateringer må du endre kontrollprosedyrer. Se nedenfor:
- Dokumenteffekt.
- Dokumenter godkjenning av endringen av autoriserte parter.
- Bekreft at endringen ikke vil ha en negativ effekt på systemsikkerheten gjennom funksjonalitetstesting.
- Back-out prosedyrer.
Forstå dette kravet:
Denne delen av PCI-samsvar er avgjørende fordi alt av følgende kan oppstå hvis endringskontroller ikke implementeres og dokumenteres på riktig måte – ondsinnet kode kan bli introdusert, behandlingsuregelmessigheter kan dukke opp, og sikkerhetsfunksjoner kan enten bli gjort ubrukelige, bevisst utelatt eller utilsiktet utelatt . La oss ta en titt på trinnene nevnt ovenfor i mer detalj:
-
- Skille test-/utviklingsmiljøer fra produksjonsmiljøer – Dette er nødvendig fordi utviklings- og testmiljøer vanligvis ikke er like sikre som beskyttelsesmiljøer.
- Skille oppgaver mellom produksjonsmiljøer og test-/utviklingsmiljøer – Dette trinnet vil minimere risikoen fordi tilgangen til CDE og produksjonsmiljøet vil være begrenset.
- Ikke bruk live PAN-er/produksjonsdata for utvikling eller testing – Dette er avgjørende fordi live PAN-er kan gi nettkriminelle en vei inn siden sikkerhetskontrollene ikke pleier å være like strenge i utviklings- eller testmiljøer.
- Før produksjonssystemer blir aktive, fjern testkontoer og -data – Hvis du ikke fjerner testdata og -kontoer, kan du gi bort informasjon om applikasjonen eller systemets funksjon.
- For programvareendringer og implementering av sikkerhetsoppdateringer, må du endre kontrollprosedyrer – Sikkerhetsproblemer kan oppstå når sikkerhetsoppdateringer og programvareendringer ikke administreres riktig.