NL +31 (0)20 4232420 / SP +34 937 379 542 info@fortytwo.nl
Netwerksegmentatie is het verdelen van een computernetwerk in subnetten. Als het juist uitgevoerd is, verbetert Netwerksegmentatie de netwerkbeveiliging en -prestaties. Hoewel netwerksegmentatie niet vereist is voor PCI DSS, wordt het wel sterk aanbevolen.

 

Het verdelen van een computernetwerk (netwerksegmentatie) voorkomt niet dat een aanvaller uw netwerk binnendringt, maar beperkt wel de invloed en toegang van de aanvaller. Organisaties die creditcard informatie, financiële informatie, onderzoeks- en ontwikkelingsinformatie en intellectueel eigendom in hun netwerk hebben, moeten deze gegevens segmenteren en dit op een ander netwerk dan het hoofdnetwerk plaatsen.

 

Dus als u creditcardgegevens verwerkt en het gedeelte met creditcardgegevens is te segmenteren, dan is alleen het netwerksegment dat is opgegeven onderworpen aan PCI DSS. Het betekent dat alleen de PCI DSS-criteria toegepast hoeft te worden op dit netwerksegment. Wat u tijd en moeite bespaart.

 

Verplicht voor merchants en serviceproviders

 

Merchants en serviceproviders moeten de juiste implementatie en functionaliteit van netwerksegmentatie testen als onderdeel van de PCI-penetratietest. Netwerksegmentatie wordt als volgt gedefinieerd in eis 11.3.4 van PCI DSS:

“Als segmentatie wordt gebruikt om CDE te onderscheiden van andere netwerken, voer dan ten minste jaarlijks penetratietests uit en na eventuele wijzigingen in segmentatiemethoden en isoleer alle out-of-scope-systemen van CDE om te verifiëren dat segmentatiemethoden functioneel en efficiënt zijn.”

Voor dienstverleners (PCI DSS-eis 11.3.4.1) wordt gesteld dat segmentatietests ten minste elke 6 maanden of na een significante verandering in segmentatie moeten worden uitgevoerd.

De merchant of dienstverlener moet op dezelfde manier segmentatietests uitvoeren. Het enige verschil tussen beide is de frequentie van de segmentatietest.

 

PCI Netwerksegmentatie

 

Netwerksegmentatie heeft verschillende doelen. Het helpt bij het verminderen van knelpunten en obstakels in het totale netwerk en het scheiden van belangrijke segmenten van andere segmenten. Hierdoor wordt netwerkbeheer eenvoudiger.

 

Elke organisatie moet zich houden op haar segmentatieproces en -procedures in overeenstemming met de bedrijfsbehoeften. Een grote organisatie bijvoorbeeld, waarvan de activiteiten alle soorten betalingen dekken, kan kaarthoudergegevens (CHD) in het ene segment bewaren en andere gegevens in verschillende segmenten.

 

Een Cardholder Data Environment (CDE) maakt deel uit van het netwerk dat kaarthouderinformatie opslaat, verwerkt en verzendt. Doorgaans valt een kaarthoudergegevensomgeving binnen de PCI-scope en vallen andere niet-scope-segmenten buiten de scope van de PCI.

 

De gegevens van de kaarthouder omvatten de naam, het kaartnummer, de verval- of servicecode van de kaarthouder en het CVV. Informatie van kaarthouders mag nooit worden gecompromitteerd of gelekt.

 

Volgens PCI DSS-standaard 11.3.4 moet de kaarthoudergegevensomgeving (CDE) altijd veilig zijn en beperkte toegang hebben tot andere segmenten. Verder zou de CDE alleen beschikbaar moeten zijn via een intern netwerk en geen toegang hebben tot externe bronnen.

 

Met andere woorden, er mogen geen ongeoorloofde koppelingen worden gemaakt tussen PCI binnen het bereik en PCI buiten het bereik, en beperkte toegang tot PCI binnen het bereik moet in elke situatie worden verleend.

3 belangrijkste omgevingen

 

In PCI DSS-terminologie zijn er 3 hoofdomgevingen waar onderscheid ingemaakt wordt. Het begrijpen van de taal gedefinieerd door PCI DSS is van cruciaal belang voor het doorstaan ​​van netwerksegmentatietests.

  1. CDE Systemen – systemen die direct gevoelige authenticatiegegevens (SAD) of kaarthoudergegevens (CHD) verwerken, opslaan of verzenden, of die rechtstreeks met dergelijke systemen zijn verbonden. Deze systemen of apparaten worden ook wel Categorie 1 or Niveau 1.
  2. Verbonden of betrokken systemen — Systemen die CDE-services leveren of verbindingen hebben met CDE-systemen die de systeembeveiliging binnen de CDE mogelijk schaden. Deze systemen of apparaten kunnen ook worden aangeduid als Gedeelde Services, Niveau 2, or Categorie 2.
  3. Out of Scope Systems (ook bekend als systemen van Niveau 3 of Categorie 3) —Systemen die geen verbinding maken met de CDE.

PCI-compliance is van toepassing op zowel de CDE (Categorie 1) als Verbonden (Categorie 2) systemen. Categorie 3-systemen zijn daarentegen vereist voor het testen van netwerksegmentatie, omdat uit de segmentatietest blijkt dat Categorie 3 Categorie 1 niet kan bereiken en vice versa.

 

Wanneer wordt vastgesteld dat Categorie 3 Categorie 1 niet kan bereiken in netwerksegmentatietests, wordt de test als succesvol beschouwd. Een PCI-segmentatietest die alleen gericht is op Categorie 3 en Categorie 1 komt niet in aanmerking omdat de tests ook Categorie 2 moeten bevatten.

 

Verder moeten PCI-segmentatiecontroles op de CDE zowel buiten als binnen het bedrijfsnetwerk worden uitgevoerd, met de nadruk op segmentatiecontroles van buiten de CDE.

 

Het doel van het uitvoeren van segmentatietests binnen en buiten de CDE, evenals andere delen van het netwerk, zoals internet, is ter ondersteuning van de analyse en resultaten van de QSA-beoordeling van firewallregels en gespecificeerd in de PCI DSS 1.3-vereiste.

 

Wil je meer weten over hoe netwerksegmentatie uw organisatie kan helpen? Neem contact op met onze QSA via info@fortytwo.nl

Lees meer over hoe netwerksegmentatie kan helpen de omvang en kosten van een PCI DSS-audit te verminderen: 4 eenvoudige tips om de kosten van PCI DSS te verlagen