Apakah Persediaan yang diperlukan untuk Pematuhan PCI DSS?

Dicatat oleh Zevenet | 11 Julai, 2022 | Teknikal

Pengenalan

Proses mencapai dan mengekalkan Pematuhan PCI DSS bukan mudah bagi mana-mana organisasi. Sama ada organisasi berskala besar, firma bersaiz sederhana atau syarikat kecil, PCI DSS boleh menjadi tugas yang sukar kerana ia terdiri daripada satu set keperluan keselamatan yang komprehensif. Mencapai pematuhan memerlukan pemahaman yang baik tentang rangka kerja keselamatan pembayaran dan pelaksanaan keperluan kawalan keselamatan. Organisasi memproses data kad pembayaran dijangka memenuhi Keperluan PCI DSS 12 untuk memastikan pematuhan dan menjamin persekitaran pembayaran. Keperluan ini berfungsi sebagai garis panduan bagi organisasi untuk melindungi rangkaian dan infrastruktur mereka daripada ancaman siber dan pelanggaran data. Menghuraikan keperluan ini, kami telah berkongsi beberapa petua berguna untuk disediakan Audit Pematuhan PCI DSS.

Memahami Keperluan Pematuhan PCI DSS

Pematuhan PCI DSS ialah piawaian dan rangka kerja keselamatan yang dikuatkuasakan oleh Majlis Piawaian Keselamatan PCI yang memfokuskan pada melindungi data pemegang kad. Piawaian ini mengandungi 12 Keperluan yang digariskan oleh majlis yang memberi tumpuan kepada langkah teknikal dan operasi untuk mendapatkan data pemegang kad pembayaran yang sensitif. Organisasi dijangka melaksanakan langkah keselamatan ini untuk mencapai dan mengekalkan Pematuhan PCI DSS. Oleh itu, diberikan di bawah ialah 12 keperluan yang diterangkan secara ringkas untuk pemahaman yang lebih baik tentang cara untuk menyediakan Pematuhan PCI DSS.

Keperluan PCI DSS 1: Pasang & Kekalkan Konfigurasi Firewall untuk Melindungi data Pemegang Kad
Pedagang dan Pembekal Perkhidmatan dikehendaki mengekalkan rangkaian selamat dengan konfigurasi tembok api dan penghala yang sesuai. Ini adalah untuk melindungi persekitaran data kad dan mencegah serangan siber.

Keperluan PCI DSS 2: Jangan Gunakan-Lalai Dibekalkan Vendor untuk Kata Laluan Sistem dan Parameter Keselamatan Lain
Sistem dan perisian disertakan dengan kata laluan dan tetapan lalai. Jadi, untuk memastikan keselamatan, pedagang dijangka memastikan pengerasan sistem, rangkaian dan peranti organisasi dengan kata laluan dan konfigurasi keselamatan yang kukuh. Selain itu, peniaga dijangka mendokumenkan prosedur pengerasan sistem dan mengikuti protokol dengan sewajarnya.

Keperluan PCI DSS 3: Lindungi Data Pemegang Kad Tersimpan
Peniaga dan Pembekal Perkhidmatan dikehendaki melaksanakan langkah yang sesuai untuk melindungi data pemegang kad yang disimpan. Menggunakan teknik penyulitan, data PAN harus dilindungi daripada pelanggaran data

Keperluan PCI DSS 4: Sulitkan Penghantaran Data Pemegang Kad merentas Rangkaian Terbuka atau Awam
Pedagang dijangka menyulitkan data pemegang kad dalam transit melalui rangkaian awam atau terbuka. Selanjutnya, mereka harus memastikan prosedur dan proses dasar keselamatan disediakan untuk menguatkuasakan langkah keselamatan dan keperluan penyulitan.

Keperluan PCI DSS 5: Gunakan dan Kemas Kini Perisian atau Program Anti-virus
Pedagang dijangka memastikan sistem dan aplikasi mereka dikemas kini dan dilindungi dengan pemasangan perisian anti-virus terkini pada peranti dan aplikasi. Ini adalah untuk memastikan perlindungan terhadap perisian hasad dan serangan siber lain.

Keperluan PCI DSS 6: Membangun dan Mengekalkan Sistem dan Aplikasi Selamat
Mengkaji pelaksanaan keselamatan dan memasang tampung keselamatan untuk mengurangkan risiko adalah penting. Mengemas kini patch keselamatan ini secara kerap adalah penting untuk mengelakkan potensi risiko penggodaman. Pedagang dikehendaki menampal semua sistem dalam persekitaran data kad dan melaksanakan keselamatan dalam semua fasa pembangunan. Selain itu, proses mesti disediakan untuk menemui kelemahan baharu dalam sistem dan aplikasi.

Keperluan PCI DSS 7: Hadkan Akses kepada Data Pemegang Kad mengikut Perniagaan yang Perlu Tahu
Pedagang dikehendaki melaksanakan kawalan akses yang kuat untuk mengehadkan akses kepada data pemegang kad. Ini menghalang capaian tanpa kebenaran kepada data kad sensitif dan potensi risiko pelanggaran data atau kecurian. Untuk ini, proses yang diperlukan mesti diwujudkan untuk memastikan bahawa akses kepada data pemegang kad dihadkan berdasarkan keperluan perniagaan yang perlu diketahui.

Keperluan PCI DSS 8: Kenal pasti & Sahkan Akses kepada Komponen Sistem
Akses kepada sistem dan data mesti dijejaki dan dipantau dengan kerap. Setiap pekerja yang diberi kuasa mesti diberikan ID unik sebagai sebahagian daripada langkah kawalan keselamatan yang kukuh. Ini adalah untuk mengesan aktiviti di sekitar mengakses sistem dan data dalam persekitaran kad untuk mengekalkan akauntabiliti

Keperluan PCI DSS 9: Hadkan Akses Fizikal kepada Data Pemegang Kad
Mengehadkan akses fizikal kepada data pemegang kad adalah bahagian penting dalam melaksanakan langkah kawalan keselamatan. Ini memerlukan pelaksanaan kawalan capaian di tapak, pemantauan log, dan mempunyai dasar dan proses keselamatan yang diperlukan. Selain itu, pedagang dikehendaki melindungi semua peranti dan sistem dengan langkah keselamatan fizikal dan mengekalkan sandaran semua data.

Keperluan PCI DSS 10: Jejaki dan Pantau Semua Akses kepada Sumber Rangkaian dan Data Pemegang Kad
PCI DSS memerlukan pengesanan masa nyata dan permotoran semua pusat akses termasuk sistem dan rangkaian yang terdiri daripada data kad. Ini adalah untuk mengenal pasti dan mencegah eksploitasi kelemahan dan ancaman kepada persekitaran data kad. Untuk implantasi log ini, pengurusan adalah penting untuk pengesanan aktiviti secara berkala.

Keperluan PCI DSS 11: Uji Sistem dan Proses Keselamatan secara kerap
Melakukan penilaian kerentanan dan ujian penembusan secara kerap adalah penting untuk menguji semua proses sistem untuk mencari kelemahan. Ini adalah untuk memastikan dan mengekalkan tahap keselamatan yang berterusan dalam persekitaran data kad. Semua sistem dan proses mesti diuji dengan kerap untuk memastikan keselamatan data dikekalkan sepanjang masa.

Keperluan PCI DSS 12: Mengekalkan Polisi yang Menangani Keselamatan Maklumat untuk Semua Kakitangan
Mencipta dan mengekalkan dasar yang menangani proses keselamatan maklumat adalah perlu dari sudut penguatkuasaan. Setiap pekerja dan vendor pihak ketiga harus mempunyai akses kepada dasar ini untuk mengetahui tanggungjawab mereka dengan lebih baik. Selanjutnya, dasar keselamatan maklumat mesti disemak setiap tahun untuk menyelaraskan program keselamatan siber pedagang dengan keperluan PCI DSS.

Sekarang setelah kita mengetahui keperluan teknikal dan operasi yang perlu dilaksanakan untuk mencapai PCI DSS, mari kita lihat bagaimana organisasi boleh bersedia untuk Audit Pematuhan PCI DSS.

Langkah-langkah Persediaan untuk Audit PCI DSS

Bersedia untuk audit Pematuhan PCI DSS boleh menjadi sangat tertekan. Ia memerlukan pusingan teliti penilaian penilaian dan pelaksanaan proses untuk memastikan audit akhir berjaya. Yang berkata, berikut adalah beberapa langkah yang boleh diikuti oleh seseorang untuk membuat persediaan Audit PCI DSS dan untuk memastikan ia berjaya.

Jangan Anggap Mematuhi - Keperluan Pematuhan PCI DSS sering dikemas kini oleh Majlis PCI. Kemas kini ini adalah berdasarkan teknologi yang berkembang dan landskap ancaman dalam industri. Dengan versi terkini PCI DSS 4.0 ditetapkan untuk dikeluarkan pada S1 2022, organisasi perlu berwaspada terhadap keperluan baharu yang akan diperkenalkan dan dikuatkuasakan oleh majlis. Tidak kira sama ada anda lebih awal mematuhi PCI DSS, audit akan datang sahaja yang akan mencadangkan sama ada anda terus mematuhi atau tidak. Audit pematuhan adalah penilaian untuk mengesahkan sama ada semua langkah keselamatan dilaksanakan dan selaras dengan keperluan keselamatan data terkini. Jadi, andaikan anda mematuhi audit PCI DSS anda sebelum ini boleh menjadi sebab organisasi anda tidak mematuhi audit Akan datang.

Analisis Jurang Pematuhan – Jika organisasi anda menjalani penilaian PCI DSS buat kali pertama, adalah sangat penting bagi anda untuk mengenal pasti di mana tahap pematuhan anda berdasarkan "Seadanya", apakah jurang utama anda dan juga pelaburan yang diperlukan. Untuk ini, organisasi anda mesti terus menjalankan analisis jurang terhadap keperluan Pematuhan PCI DSS dengan segera. Ini adalah untuk menilai dan mengesahkan kekurangan dalam keperluan dan berusaha ke arah merapatkan jurang dalam sistem. PCI DSS ialah proses yang berterusan dan memerlukan semakan dan pengemaskinian tetap prosedur dan proses dasar untuk menyelaraskan operasi perniagaan dengan standard keselamatan dan matlamat keselamatan siber. Oleh itu, menjalankan analisis jurang dan memulihkan potensi jurang pematuhan adalah penting, terutamanya sebelum audit akhir untuk memastikan Pematuhan PCI DSS. Sekali lagi ini bukan hanya dari sudut pematuhan tetapi juga dari perspektif memperkukuh keselamatan sistem, rangkaian dan infrastruktur.

Alamat Semua Keperluan PCI DSS – Organisasi perlu memastikan bahawa mereka telah memenuhi semua 12 keperluan yang digariskan dalam rangka kerja PCI DSS untuk memastikan pematuhan dengan rangka kerja standard keselamatan. Memahami keperluan dan implikasinya adalah penting untuk organisasi melaksanakan langkah-langkah yang perlu untuk pematuhan. Semua keperluan perlu dipenuhi sepenuhnya mengikut kesesuaian. Gagal memenuhi walaupun satu daripada keperluan ini boleh mengakibatkan audit yang tidak berjaya dan ketidakpatuhan kepada PCI DSS. Jadi, adalah wajib bahawa 12 keperluan dipenuhi dan semua langkah keselamatan yang diperlukan dilaksanakan dalam persekitaran data kad organisasi.

Cipta Rangkaian dan Rajah Aliran Data – Organisasi mesti mencipta dan mengekalkan gambarajah rangkaian yang tepat untuk memahami ketersambungan rangkaian merentas organisasi serta aliran data kad di seluruh rangkaian organisasi. Ini memberikan gambaran tentang rangkaian dan sistem organisasi yang berurusan dengan data kad termasuk menyimpan, memproses dan menghantar data kad. Mencipta gambarajah rangkaian dengan perwakilan visual carta aliran data yang menggambarkan proses organisasi anda dan aliran data kad sensitif membantu mengenal pasti kelemahan dalam operasi. Oleh itu, berdasarkan gambarajah rangkaian terperinci sedemikian, organisasi boleh mengutamakan langkah keselamatan merentas sistem, aplikasi, rangkaian dan semua pusat akses yang berurusan dengan data kad.

Penilaian risiko - Penilaian Risiko adalah bahagian penting dan penting dalam sebarang program pematuhan dan keselamatan siber. Adalah penting bagi organisasi menentukan dan memahami pendedahan risiko yang mereka hadapi. Menilai risiko dan mengklasifikasikan tahap pendedahan risiko berdasarkan keterukan adalah penting untuk perniagaan mengutamakan pelaksanaan keselamatannya. Untuk ini, organisasi mesti menjalankan penilaian risiko setiap tahun untuk mengenal pasti aset kritikal yang terdedah kepada ancaman dan kelemahan. Penilaian sedemikian membantu organisasi mengambil langkah proaktif untuk menjamin rangkaian sistem dan data mereka daripada ancaman siber yang berkembang. Ia juga membantu menyelaraskan program keselamatan siber mereka dengan keperluan PCI DSS sentiasa.

Polisi & Proses Dokumen – Dokumen mengenai dasar pematuhan, proses, prosedur dan kontrak serta perjanjian vendor perlu terkini dan dikemas kini dari semasa ke semasa. Mengekalkan semua dokumen yang berkaitan sebagai bukti dalam audit PCI DSS adalah penting. Dokumen tersebut hendaklah terdiri daripada semua langkah keselamatan yang dilaksanakan, prosedur dan proses yang menguatkuasakan pelaksanaan dasar pematuhan yang ditetapkan dalam organisasi. Rekod sedemikian jelas menunjukkan usaha organisasi ke arah melaksanakan dan mengekalkan Pematuhan PCI DSS. Audit PCI DSS melibatkan pengesahan dokumen yang berkaitan dengan prosedur, dasar dan rekod yang berkaitan dengan pelaksanaan dasar. Oleh itu, organisasi mesti memastikan semua dokumentasi dikemas kini dan konsisten dengan operasi harian. Ia juga penting untuk ambil perhatian bahawa sebarang perubahan dalam dasar, prosedur atau proses operasi perlu didokumenkan dan dikemas kini dalam rekod dengan kerap.

Pematuhan vendor pihak ketiga – Walaupun organisasi menyumber luar aktiviti pemprosesan data kepada vendor pihak ketiga, ia masih menjadi tanggungjawab mereka untuk memastikan ia mematuhi. Pedagang perlu memastikan bahawa vendor pihak ketiga yang mereka berurusan sedar akan tanggungjawab mereka dan memproses data dengan mematuhi keperluan PCI DSS. Kegagalan untuk memastikan pematuhan mereka boleh mengakibatkan pelanggaran data dan ketidakpatuhan kepada PCI DSS untuk organisasi anda juga. Ini akan merugikan organisasi jika langkah-langkah yang perlu tidak dilaksanakan untuk memantau aktiviti mereka. Atas sebab ini yang melibatkan vendor pihak ketiga dan pihak berkepentingan lain dalam pematuhan dan keselamatan siber, program ini adalah penting.

Menjalankan Penilaian Dalaman – Menjalankan penilaian dalaman dari semasa ke semasa adalah penting untuk mengenal pasti jurang dalam proses dan kelemahan dalam sistem. Ini membantu dalam proses pemulihan dan merapatkan jurang dalam program pematuhan. Menjalankan penilaian dalaman tahunan adalah penting kerana ia menjadikan Audit Pematuhan DSS PCI akhir tanpa kerumitan. Organisasi akan mempunyai peluang yang lebih baik untuk mencapai Pematuhan PCI DSS dengan menjalankan pra-penilaian dan audit dalaman sedemikian sebelum yang terakhir. Organisasi akan bersedia dengan dokumen yang diperlukan sebagai bukti dan telah melaksanakan langkah keselamatan yang diperlukan untuk memastikan Pematuhan PCI DSS.

Pemikiran Akhir
Pematuhan PCI DSS tidak dapat dielakkan untuk pedagang dan penyedia perkhidmatan dalam industri kad pembayaran. Mereka perlu sentiasa memastikan mereka memenuhi semua keperluan dan memastikan pematuhan dengan standard dan rangka kerja keselamatan pembayaran pada setiap masa. Atas sebab ini, kami amat mengesyorkan organisasi mempertimbangkan untuk menggunakan perunding dan juruaudit pematuhan yang profesional dan berpengalaman untuk memastikan program pematuhan mereka berada di landasan yang betul dan mengikut keperluan PCI DSS. Audit dalaman dan penilaian yang kerap oleh profesional berpengalaman mencerminkan komitmen dan usaha organisasi anda untuk mendapatkan data dan persekitaran kad serta mencerminkan pendekatan dan inisiatif proaktif mereka untuk memenuhi kewajipan pematuhan mereka untuk melindungi data sensitif.

TERIMA KASIH KEPADA:

Narendra Sahoo

ON SAHAM:

Blog Terkait

Dihantar oleh zenweb | 30 Ogos 2022
Penjagaan kesihatan sangat terdedah kepada ancaman keselamatan, sama seperti industri lain. Pada masa kini, serangan siber dalam penjagaan kesihatan adalah perkara biasa yang membawa kepada banyak risiko, khususnya risiko keselamatan…
16 SukaComments Off tentang Kepentingan Rangka Kerja Keselamatan Siber dalam Penjagaan Kesihatan
Dihantar oleh zenweb | 02 Ogos 2022
7 Sebab ZEVENET ialah perisian Pengimbangan Beban terbaik pada tahun 2022 Penyelesaian pengimbangan beban tidak lagi seperti dahulu. Apabila teknologi bertambah baik, ancaman juga…
61 SukaComments Off on 7 Reasons ZEVENET ialah perisian Pengimbangan Beban terbaik pada tahun 2022
Dihantar oleh zenweb | 20 Julai 2022
Pusat operasi rangkaian (NOC) ialah lokasi pusat di mana pasukan IT dalam organisasi memantau prestasi rangkaian. NOC menyediakan pelayan, pangkalan data, ruang cakera keras, dan…
54 SukaComments Off mengenai Pusat Operasi Rangkaian, Definisi dan 4 Amalan Terbaik Teratas