Deze blog maakt deel uit van een blogserie over de 12 vereisten van PCI DSS. We bespreken de gemeenschappelijke uitdagingen en leggen uit wat voor soort bewijs nodig is om aan de vereiste te voldoen. Hier bespreken we:
Requirement 11: Test regelmatig beveiligingssystemen en -processen
De systeemkwetsbaarheden worden voortdurend ontdekt, namelijk waarom systeemcomponenten en aangepaste software regelmatig moeten worden getest om ervoor te zorgen dat beveiligingscontroles een veilige omgeving blijven weerspiegelen.
10 uitdagingen en stappen om te overwegen
- Ongeautoriseerde draadloze apparaten kunnen worden geïmplementeerd in een component van het systeem om te worden gebruikt als pad om toegang te krijgen tot kaarthoudergegevens. Een inventaris van geautoriseerde draadloze apparaten kan beheerders helpen om snel ongeautoriseerde apparaten te identificeren via een driemaandelijks detectieproces voor draadloze toegangspunten en proactief de openbaarmaking van CDE te minimaliseren.
- Voer driemaandelijkse interne vulnerability scans uit en los ze op volgens op de kwetsbaarheidsclassificatie van de entiteit die werd gedefinieerd op basis van vereiste 6.1.
- Voer driemaandelijkse externe vulnerability scans uit. In dit geval moet het worden uitgevoerd door een Approved Scanning Vendor (ASV) die is goedgekeurd door de Payment Card Industry Security Standards Council (PCI SSC).
- Voer ten minste jaarlijks een externe penetratietest uit en na elke belangrijke upgrade of wijziging van de infrastructuur of applicatie, bijvoorbeeld een update van het besturingssysteem, een toegevoegd subnet of een nieuw web server in de omgeving.
- Voer ten minste jaarlijks een interne penetratietest uit en na elke belangrijke upgrade of wijziging van de infrastructuur of applicatie, bijvoorbeeld een update van het besturingssysteem, een subnet toegevoegd of een nieuwe webserver in de omgeving.
- In alle gevallen moeten de kwetsbaarheden die tijdens penetratietesten worden gevonden, worden gecorrigeerd en de test herhalen om de correcties te verifiëren.
- Als de ASV-scans, interne vulnerability scans, externe penetratietesten en interne penetratietesten kwetsbaarheden zijn met een CVSS-score van 4.0 of hoger, moet u deze identificeren, corrigeren en de analyse herhalen totdat alle kwetsbaarheden zijn gecorrigeerd .
- Als het segmentatienetwerk wordt gebruikt om de CDE te isoleren van andere netwerken, penetratietests uit te voeren om te verifiëren dat de segmentatiemethoden operationeel en effectief zijn, en alle systemen die buiten het bereik vallen te isoleren van systemen in de CDE.
- Onthoud dat alle scans moeten worden uitgevoerd door gekwalificeerd personeel .
- Implementeer IDS / IPS -hulpmiddelen (Intrusion Detection / Intrusion Prevention) om netwerkverkeer te vergelijken met bekende “handtekeningen” en / of verdacht verkeersgedrag dat de beveiliging in gevaar zou kunnen brengen. Deze tool genereert waarschuwingen die moeten worden gecontroleerd voordat bedreigingen kunnen worden gestopt.
Dit is een van de vereisten die verschillende technische implementaties omvat om bedreigingen te beheersen en te voorkomen. Aarzel niet om advies in te winnen van experts in het veld. Het zal de weg vergemakkelijken voor naleving van PCI DSS.
Hulp nodig bij de implementatie van PCI DSS? Onze QSA’s kunnen helpen .
Lees meer over:
PCI DSS-vereiste 1: bescherming van de gegevensomgeving van kaarthouders
PCI DSS-vereiste 2: verander uw standaardinstellingen
PCI DSS-vereiste 3: niet doen kaarthoudergegevens opslaan
PCI DSS-vereiste 4: versleuteling
PCI DSS-vereiste 5: Bijwerken en scannen
PCI DSS-vereiste 6: Ontwikkel en onderhoud veilige systemen en applicaties
PCI DSS-vereiste 7: toegang tot CHD beperken
PCI DSS-vereiste 8: identificeren, verifiëren en autoriseren
PCI DSS-vereiste 9: fysieke toegang tot kaarthoudergegevens beperken
PCI DSS-vereiste 10: volg en bewaak alle toegang tot netwerkbronnen en kaarthoudergegevens