In een reeks van 12 blogs behandelen we de 12 standaarden van de PCI DSS. In onze eerste blog hebben we de uitdagingen van de eerste standaard beschreven. Deze standaard richt zich voornamelijk op de beveiligingsmaatregelen rondom de bescherming van de cardholder data environment. Daarin werd uitgelegd welke hard- en software betrokken zijn bij het proces van verzenden, verwerken en/of opslaan van kaarthoudergegevens.

PCI DSS requirement 2 – Systeem hardening

Standaard 2 beschrijft de best practices voor de implementatie van beveiligingsconfiguratie op uw systemen en de benodigde documenten.

5 Stappen om te voldoen aan de tweede standaard

1) Het maken en schrijven van hardening documentatie kan als een lastige taak omschreven worden. Goede documentatie zorgt er echter wel voor datde hele organisatie een vastgesteld configuratiebeleid volgt en weet hoe dit toegepast moet worden. De hardening documentatie dient consistent zijn met bekende en geaccepteerde internationale safety standards. Voorbeelden hiervan zijn:

Houd er wel rekening mee dat deze organisaties algemene documentatie geschreven hebben en dat niet alle configuraties nodig zijn voor uw organisaties. Gebruik ze dan ook als richtlijn en controleer of de gekozen configuratie de juiste werking voor uw specifieke systeem toestaat.

2) In de tweede standaard staan veel specificaties waarmee rekening gehouden moet worden bij het schrijven van de hardening documenten. Een andere best practice is om bij elke hardening stap de specifieke standardaard te schrijven zodat geen van de vereiste gemist wordt.

3) Nadat de documentatie geschreven is, is het tijd om de hardening guide te testen en te implementeren op alle systemen in PCI DSS omgeving.

4) Als het testen en de implementatie eenmaal gelukt is kan de volgende stap beginnen, namelijk het verspreiden van de documentatie binnen het IT-team. Zo is iedereen op de hoogte van de stappen die ondernomen moeten worden en is er een vaststellend configuratiebeleid.

5) Het laatste waaraan gedacht moet worden is het up-to-date houden van de hardening guides. Er wordt aangeraden om deze te herzien wanneer er een software update geïmplementeerd wordt en er een kwetsbaarheid in de systemen zit.

Houd uw documentatie up-to-date

Goede documentatie is belangrijk om te voldoen aan deze standaard. Zorg ervoor dat deze documenten up-to-date zijn en worden gebruikt voor de verschillende systemen. Ze zijn belangrijk om de veiligheid van de kaarthouder data en om een veilig netwerkt te onderhouden. Het verzamelen van evidence is dan ook niet moeilijk bij deze standaard. Ook zullen er tijdens de audit samples gevraagd worden om te kijken of de systemen geconfigureerd zijn naar aanleiding van de hardening guide.

Lees meer over:
PCI DSS requirement 1: Protecting Cardholder data environment
PCI DSS requirement 2: Change your defaults
PCI DSS requirement 3: Don’t store cardholder data  
PCI DSS requirement 4: Encryption  
PCI DSS requirement 5: Update and Scan 
PCI DSS requirement 6: Develop and maintain secure systems and applications
PCI DSS requirement 7: Restrict access to CHD 
PCI DSS requirement 8: Identify, Authenticate, and Authorize  
PCI DSS requirement 9: Restrict physical access to Cardholder data