Conformité PCI DSS en 2010

Le Payment Card Industry Data Security Standard ou PCI DSS, est toujours source de confusion pour les marchands de cartes de paiement en 2010.

Une enquête récente de la norme PCI DSS connaissance et la compréhension révélé les faits suivants:

• 35% des détaillants / hôtellerie / loisirs organisations interrogées ne comprends toujours pas les exigences de conformité
• Si il ya une bonne compréhension au sein de marchands de niveau 1 (6 millions de transactions par an), 44% de niveau 2 et de niveau 3 marchands ne comprennent pas les exigences de la norme PCI DSS
• 90% sont soit encore à travailler sur la mise en œuvre des mesures conformité PCI DSS identifiés dans les enquêtes pré-audit, ou ne sont pas conformes et ne rien faire, ou laisser à la dernière minute

Que devez-vous faire en tant que fournisseur de services IT de votre organisation?

Un certain nombre de solutions «vérification de la conformité» automatisé pour la norme PCI DSS sont disponibles qui fournissent généralement les fonctions suivantes

Vérification de la conformité (alias de périphériques durcissement) - généralement, «out of the box" PCI DSS ainsi que «sur ordre» rapports vous permettent de tester rapidement les paramètres de sécurité critiques pour les serveurs Windows et postes de travail, serveurs Unix, les serveurs Linux et les périphériques réseau, y compris appareils sans fil, et les firewalls. Les meilleures solutions fourniront des détails sur vos démarches administratives, les services techniques de sécurité des données et des mécanismes techniques de sécurité. En général, ces rapports seront probablement identifier des failles de sécurité dans les paramètres de configuration pour commencer. Une fois réparé cependant, vous pouvez générer ces rapports encore à prouver aux auditeurs que vos serveurs sont conformes. Utilisant le changement intégré de suivi que vous pouvez garantir que les systèmes restent conformes.

Suivi des modifications - une fois que vos pare-feux, serveurs, stations de travail, commutateurs, routeurs, etc sont tous dans un état conforme à la norme PCI DSS vous devez vous assurer qu'ils le restent. La seule façon de le faire est de vérifier régulièrement les paramètres de configuration n'ont pas changé parce imprévus, des changements sans-papiers sera toujours faite pendant que quelqu'un possède les droits d'administrateur pour le faire! La solution PCI DSS logiciel de conformité va alerter lorsque des modifications imprévues sont détectés par le logiciel serveur à l'aide de fichiers surveillance de l'intégrité, ou les pare-feu et des systèmes de protection contre les intrusions, et tout autre périphérique réseau au sein de votre 'infrastructure Conforme ».

Prévue Audit Trail Changement - lorsque des modifications ne doivent être apportées à un serveur PCI DSS, pare-feu ou un périphérique réseau, vous devez vous assurer que les changements sont approuvés et documentés. Une solution logicielle automatisée pour PCI DSS rend cela facile et simple, réconciliant toutes les modifications apportées à la RFC ou l'enregistrement d'approbation des changements

Dispositif de durcissement doivent être appliquées et vérifiées. Un SSD PCI bonne solution d'audit de conformité fournira des modèles automatisés pour une configuration durci (sécurisé et compatible) pour les serveurs et postes de travail et les périphériques réseau pour montrer où le travail est nécessaire pour être en conformité, et par la suite, permettra de suivre tous les changements planifiés et non planifiés qui affectent la l'état trempé de votre infrastructure. L'état de l'art des logiciels de vérification de la conformité couvre les clés de registre et les valeurs, la surveillance de l'intégrité des fichiers, contrôle de l'intégrité d'accueil, le service et le processus de liste blanche / liste noire, les comptes utilisateurs, les logiciels installés, les correctifs, les droits d'accès, le vieillissement de mot de passe et bien plus encore.

Gestion des journaux d'audit - Tout d'audit et les journaux d'événements de tous les serveurs Windows, serveurs Unix, les serveurs Linux, pare-feu et dispositifs de protection contre les intrusions doit être analysé, filtré, corrélés et intensifié de manière appropriée. Journal d'audit et les messages du journal des événements doivent être stockés dans un endroit sûr, à l'intégrité d'assurance, dépositaire de la période de conservation requise pour lesquels des normes PCI DSS est de 12 mois.

Corrélation de sécurité de l'information et des journaux d'audit - en outre, vous devez mettre en œuvre journal d'audit et de la collecte du journal des événements de tous les périphériques ayant des capacités de corrélation pour l'identification de sécurité et puissant signature de l'événement «minière» et des capacités d'analyse. Ceci fournit une sécurité complète de conformité PCI DSS net pour s'assurer, par exemple, pour ne citer que quelques mises à jour antivirus, compléter avec succès, protection contre les intrusions hôte est activé à tout moment, les règles de pare-feu ne sont pas modifiés, les comptes utilisateur, les droits et les autorisations ne sont pas modifiées sans l'autorisation et les correctifs sont mis en œuvre....