Een van de belangrijkste standaard van PCI DSS is zonder twijfel de eerste. Deze standaard bevat een reeks vereisten met hoge prioriteiten die helpen bij het bepalen van de scope.
Naast het bepalen van de scope richt de eerste standaard zich ook op de bescherming van de card data environment (CDE). Deze beschermingsmaatregelen beschermen de kaarthoudergegevens (CHD) onder andere tegen diefstal.
3 hoofdpunten voor PCI DSS Requirement 1
Hieronder zijn de drie belangrijke stappen weergegeven waar rekening mee gehouden moet worden:
1) Implementeer een perimeter-firewall die het netwerk kan segmenteren in minimaal drie beveiligde segmenten:
-
-
-
- De Internettoegang
De communicatie naar of van het internet moet worden beperkt tot alleen de DMZ (Demilitarized zone). - Het Interne netwerk (beveiligd netwerk)
In dit segment zijn alle apparaten verbonden die vertrouwelijke informatie opslaan en / of verwerken. Het is dat deze apparaten nooit met het internet communiceren. Zij communiceren alleen met de DMZ of het beveiligde interne netwerk. - Gedemilitariseerde gebieden (DMZ)
In dit netwerksegment verbinden alle apparaten die communiceren tussen het internet en het interne netwerk.
- De Internettoegang
-
-
Het kan zijn dat het netwerk mogelijk meer segmenten nodig heeft. Er kunnen meer geschikte segmenten toegevoegd worden die nodig zijn voor de werkzaamheden van de organisatie. De genoemde segmenten hierboven behoren tot het basisconcept.
2) Benodigde documentatie:
-
-
-
-
-
- Netwerkdiagram en Dataflow-diagram
Deze diagrammen moet zo gedetailleerd mogelijk zijn en moeten bij elke wijziging aangepast worden. - Het netwerk control change proces
Dit proces laat zien hoe een verandering in het netwerk aangevraagd en behandeld moet worden. Elke verandering in het netwerk moet namelijk hetzelfde proces doorlopen dat de verandering beheerst en autoriseert. - De rule set review process
De herziening van de regels moet worden uitgevoerd om te controleren of alle configuraties van het apparaat overeenstemmen met standaards van PCI DSS. Controleer of alle wijzigingen in de firewall zijn aangebracht via de juiste procedures. - Configuratiestandaard
Documenteer de configuratie van elk van de firewallparameters die de naleving van PCI DSS verifiëren. - Het netwerkbeleid
Dit garandeert de naleving van alle principes waarop PCI DSS is gebaseerd om een beveiligd netwerk te onderhouden.
- Netwerkdiagram en Dataflow-diagram
-
-
-
-
3) Naast goede documentatie is het van belang om het bewijs van acties of gemaakt wijzigingen te bewaren. Het bijhouden van het bewijsmateriaal zal de audit vergemakkelijken. Bij het ontwikkelen van procedures moet er nagedacht worden welk bewijs er gegenereerd moet worden bij elke stap.
Lees meer over:
PCI DSS requirement 1: Protecting Cardholder data environment
PCI DSS requirement 2: Change your defaults
PCI DSS requirement 3: Don’t store cardholder data
PCI DSS requirement 4: Encryption
PCI DSS requirement 5: Update and Scan
PCI DSS requirement 6: Develop and maintain secure systems and applications
PCI DSS requirement 7: Restrict access to CHD
PCI DSS requirement 8: Identify, Authenticate, and Authorize
PCI DSS requirement 9: Restrict physical access to Cardholder data