Payment Card Industry (PCI) Data Security Standard - Versione 1.1 Procedure di audit sulla sicurezza
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Payment Card Industry (PCI) Data Security
Standard
Procedure di audit sulla sicurezza
Versione 1.1
Release: settembre 2006Indice generale
Procedure di audit sulla sicurezza ................................................................................................................................................................................................. 1
Versione 1.1 ................................................................................................................................................................................................................................... 1
Indice generale ....................................................................................................................................................................................................................... 2
Introduzione ................................................................................................................................................................................................................................... 3
Informazioni sull'applicabilità dello standard PCI DSS .................................................................................................................................................................. 4
Valutazione della conformità ai requisiti PCI DSS ......................................................................................................................................................................... 5
Wireless .................................................................................................................................................................................................................................. 6
Outsourcing ............................................................................................................................................................................................................................ 6
Campionamento ..................................................................................................................................................................................................................... 6
Controlli compensativi............................................................................................................................................................................................................. 7
Istruzioni e contenuto della Dichiarazione di conformità ............................................................................................................................................................... 7
Riconvalida di elementi aperti ........................................................................................................................................................................................................ 8
Costruire e mantenere una rete protetta........................................................................................................................................................................................ 9
1° requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte ................................................................. 9
2° requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori. .............................................................. 13
Proteggere i dati dei titolari delle carte ........................................................................................................................................................................................ 17
3° requisito: Proteggere i dati dei titolari delle carte memorizzati ........................................................................................................................................ 17
4° requisito: Cifrare i dati dei titolari delle carte quando vengono trasmessi attraverso reti pubbliche aperte ..................................................................... 24
Rispettare un programma per la gestione delle vulnerabilità ...................................................................................................................................................... 27
5° requisito: Utilizzare e aggiornare con regolarità il software o i programmi antivirus ........................................................................................................ 27
6° requisito: Sviluppare e mantenere applicazioni e sistemi protetti .................................................................................................................................... 28
Implementare misure forti per il controllo dell'accesso ................................................................................................................................................................ 34
7° requisito: Limitare l'accesso ai dati dei titolari delle carte solo se effettivamente indispensabili per lo svolgimento dell'attività commerciale ............... 34
8° requisito: Assegnare un ID univoco a ogni utente che ha accesso ai computer. ............................................................................................................ 35
9° requisito: Limitare la possibilità di accesso fisico ai dati dei titolari delle carte ................................................................................................................ 40
Monitorare e testare le reti con regolarità .................................................................................................................................................................................... 44
11° requisito: Eseguire test periodici dei processi e dei sistemi di protezione. .................................................................................................................... 48
Adottare una politica per la protezione delle informazioni ........................................................................................................................................................... 51
12° requisito: Adottare una politica per la protezione delle informazioni rivolta a dipendenti e lavoratori a contratto ......................................................... 51
Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test) ......................................................................................... 58
Requisito A.1: I provider di hosting proteggono l'ambiente dati dei titolari delle carte ......................................................................................................... 58
Appendice B: Controlli compensativi ........................................................................................................................................................................................... 62
Informazioni generali sui controlli compensativi ................................................................................................................................................................... 62
Controlli compensativi per il Requisito 3.4............................................................................................................................................................................ 62
Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato ...................................................................................................................... 63
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 2Introduzione
Le "PCI Security Audit Procedures" sono le procedure di audit sulla sicurezza rivolte a tutti gli ispettori che svolgono i
controlli presso gli esercenti e i provider di servizi, i quali devono dimostrare la conformità delle loro attività ai requisiti PCI
DSS (Payment Card Industry Data Security Standard). Le procedure di audit e i requisiti descritti nel presente documento
fanno riferimento allo standard PCI DSS.
Contenuto del documento:
• Introduzione
• Informazioni sull'applicabilità dello standard PCI DSS
• Valutazione della conformità ai requisiti PCI DSS
• Istruzioni e contenuto della Dichiarazione di conformità
• Riconvalida di elementi aperti
• Procedure di audit sulla sicurezza
APPENDICI
• Appendice A: Applicabilità dello standard PCI DSS per i provider di hosting (con procedure e test)
• Appendice B: Controlli compensativi
• Appendice C: Foglio di lavoro sui controlli compensativi / esempio precompilato
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 3Informazioni sull'applicabilità dello standard PCI DSS
Nella seguente tabella sono illustrati gli elementi comunemente utilizzati riguardanti i dati dei titolari delle carte e i dati
sensibili per l'autenticazione, se è consentita o vietata la memorizzazione di ciascun elemento e se ciascun elemento è
sottoposto a protezione. La tabella non esaurisce l'argomento, tuttavia consente di illustrare i diversi requisiti che si
applicano a ciascun elemento.
Elemento Memorizz. Protezione PCI DSS
permessa richiesta REQ. 3.4
Numero account
Dati dei titolari delle carte Sì Sì Sì
primario (PAN)
Nome del titolare* Sì Sì* No
Codice di servizio* Sì Sì* No
Data di scadenza* Sì Sì* No
Striscia magnetica
Dati sensibili per l'autenticazione** No N/P N/P
intera
CVC2/CVV2/CID No N/P N/P
PIN / Blocco PIN No N/P N/P
* Questi elementi devono essere protetti se memorizzati insieme al PAN. Il livello di protezione deve essere conforme ai requisiti PCI DSS per la protezione generale
dell'ambiente dati del titolare. È inoltre possibile che altre normative (ad esempio leggi sulla protezione dei dati personali dei consumatori, sul diritto alla privacy, sul furto
dell'identità o sulla sicurezza dei dati) prevedano misure specifiche per la protezione degli stessi dati e persino la pubblica divulgazione delle pratiche aziendali per quanto
concerne la raccolta dei dati personali dei consumatori a fini commerciali. I requisiti PCI DSS non trovano tuttavia applicazione qualora i PAN non vengano memorizzati,
elaborati o trasmessi.
** I dati sensibili per l'autenticazione non devono essere conservati dopo l'avvenuta autorizzazione (neppure se cifrati).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 4Valutazione della conformità ai requisiti PCI DSS
I requisiti per la sicurezza PCI DSS si applicano a tutti i “componenti del sistema”, dove per componente del sistema si
intende qualunque componente, server o applicazione della rete che faccia parte o sia collegato all'ambiente dati dei titolari
delle carte. L'ambiente dati dei titolari delle carte è quell'area della rete in cui sono custoditi i dati dei titolari delle carte o i
dati sensibili per l'autenticazione. I componenti della rete includono, tra gli altri, firewall, switch, router, access point di tipo
wireless, dispositivi di rete e altri dispositivi di sicurezza. I server possono essere di vari tipi, ad esempio: Web, database,
autenticazione, posta, proxy, NTP (Network Time Protocol) e DNS (Domain Name Server). Le applicazioni comprendono
tutte le applicazioni acquistate e personalizzate, comprese le applicazioni ad uso interno o esterno (Internet).
Un'adeguata segmentazione della rete, in cui i sistemi per la memorizzazione, elaborazione e trasmissione dei dati dei
titolari delle carte siano sufficientemente isolati dal resto della rete, può ridurre le dimensioni dell'ambiente dati dei titolari
delle carte. L'ispettore di audit deve verificare che la segmentazione sia sufficiente a ridurre l'entità dell'audit.
Il provider di servizi o l'esercente può affidare a un soggetto terzo (provider) la gestione di componenti quali router, firewall,
database, sicurezza fisica e/o server. In tal caso, va valutato l'impatto sulla sicurezza dell'ambiente dati dei titolari delle
carte. I servizi pertinenti, forniti dal provider terzo, devono essere sottoposti a valutazione 1) nel corso dei controlli di audit
PCI presso ciascuno dei clienti del provider terzo oppure 2) durante il controllo di audit PCI che si svolge presso il provider
terzo.
Per quanto concerne i provider di servizi sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la
conformità di tutti i componenti del sistema in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi,
salvo diverse indicazioni.
Per quanto concerne gli esercenti sottoposti a un'ispezione annuale presso la propria sede, dovranno dimostrare la
conformità specifica di quei sistemi o componenti del sistema che sono implicati nei processi di autorizzazione delle
transazioni e in cui i dati dei titolari delle carte vengono memorizzati, elaborati o trasmessi. Tali componenti includono:
• Tutte le connessioni esterne alla rete dell'esercente (ad esempio, accesso remoto di dipendenti e società che emettono
carte di pagamento, accesso di soggetti terzi per l'elaborazione e la manutenzione dei dati).
• Tutte le connessioni da e verso l'ambiente di autorizzazione delle transazioni (ad esempio, connessioni per l'accesso di
dipendenti o di dispositivi quali firewall e router).
• Tutti gli archivi di dati esterni all'ambiente di autorizzazione delle transazioni, dove vengono custoditi più di 500.000
numeri di account. Nota: anche se alcuni archivi di dati o sistemi vengono esclusi dal controllo di audit, l'esercente è
comunque tenuto ad assicurare la conformità allo standard PCI DSS per tutti i sistemi in cui i dati dei titolari delle carte
vengono memorizzati, elaborati o trasmessi.
• Un ambiente POS (point-of-sale), ovvero il luogo fisico presso la sede dell'esercente in cui una transazione viene
accettata (ad esempio un negozio, un ristorante, un hotel, un distributore di benzina, un supermercato o simile).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 5• Se non è fornito nessun accesso esterno alla sede dell'esercente (tramite Internet, wireless, rete VPN, ,modem, banda
larga o tramite punti vendita e distributori automatici), l'ambiente POS potrebbe essere escluso dal controllo di audit.
Wireless
Se viene utilizzata la tecnologia wireless per memorizzare, elaborare o trasmettere i dati dei titolari delle carte (ad esempio,
per le transazioni POS, il “line-busting” o alleggerimento delle code alla cassa) o se una rete LAN wireless è connessa
all'ambiente dati dei titolari delle carte o ne fa parte (ad esempio, non è separata nettamente da un firewall), devono essere
applicati e rispettati i requisiti e i test eseguiti sugli ambienti wireless. La sicurezza dei sistemi wireless non ha ancora
raggiunto livelli di eccellenza, tuttavia i requisiti in questione obbligano ad adottare una serie di misure di protezione
wireless minime. Dal momento che le tecnologie wireless non offrono un livello di sicurezza accettabile, prima che una
società adotti una tecnologia wireless è necessaria una seria valutazione dei vantaggi e rischi. Un approccio valido
potrebbe essere iniziare a implementare la tecnologia wireless solo per la trasmissione di dati non sensibili e attendere che
la tecnologia wireless diventi più sicura prima di estenderla ad altre funzioni.
Outsourcing
Nel caso di entità che praticano l'outsourcing, ovvero delegano a terzi (in genere provider di servizi) la memorizzazione,
l'elaborazione o la trasmissione dei dati dei titolari delle carte, la Dichiarazione di conformità deve documentare il ruolo
svolto da ciascun provider di servizi. Inoltre i provider dei servizi sono tenuti a certificare la propria conformità ai requisiti
PCI DSS, indipendentemente dai controlli di audit svolti presso i loro clienti. Gli esercenti e i provider di servizi devono
altresì richiedere per contratto che tutti i soggetti terzi ad essi associati, con accesso ai dati dei titolari delle carte,
aderiscano allo standard PCI DSS. Per maggiori dettagli, fare riferimento al Requisito 12.8 descritto nel presente
documento.
Campionamento
L'ispettore di audit può scegliere di eseguire i test su un campione dei componenti del sistema, che dovrà essere
rappresentativo di tutti i tipi di componenti del sistema in uso e dovrà includere le varie combinazioni di sistemi operativi,
funzioni e applicazioni comunemente in uso nell'area ispezionata. Ad esempio, l'ispettore può scegliere i server Sun che
eseguono Apache WWW, i server NT che eseguono Oracle, i sistemi mainframe che eseguono le applicazioni legacy per
l'elaborazione delle carte, i server per il trasferimento dei dati che eseguono HP-UX e i server Linux che eseguono MYSQL.
Se tutte le applicazioni sono eseguite su un unico sistema operativo (ad esempio, NT o Sun), il campione dovrà includere
diverse applicazioni, ad esempio server dei database, server Web e server per il trasferimento dati.
Nel selezionare i campioni per i negozi degli esercenti o per gli esercenti in franchising, gli ispettori devono considerare
quanto segue:
• Se sono stati adottati processi PCI DSS standard e ogni negozio è obbligato a seguirli, il campione potrà essere più
piccolo di quanto non sia necessario in assenza dei processi standard, poiché è ragionevole ritenere che ogni negozio
sia in linea con gli standard.
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 6• Se i processi standard adottati sono più di uno (ad esempio, uno per ogni tipo di negozio), il campione dovrà essere
abbastanza ampio da includere una selezione di negozi per ogni tipo di processo.
• Se non sono stati adottati processi PCI DSS standard e ogni negozio è responsabile dei propri, il campione dovrà
essere più ampio e garantire che ogni negozio abbia compreso e implementato i requisiti PCI DSS in modo
soddisfacente.
Controlli compensativi
Gli eventuali controlli compensativi devono essere documentati dall'ispettore e comparire nella richiesta di Dichiarazione di
conformità, come mostra l'Appendice C – Foglio di lavoro sui controlli compensativi / esempio precompilato.
Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS.
Istruzioni e contenuto della Dichiarazione di conformità
Il presente documento deve essere utilizzato dagli ispettori come modello per la compilazione della Dichiarazione di
conformità. L'entità sottoposta al controllo di audit è tenuta al rispetto dei requisiti per le dichiarazioni di conformità previsti
dalle singole società che emettono le carte di pagamento, in modo da garantire che ciascuna di esse riconosca lo stato di
conformità dell'entità. Contattare le singole società che emettono le carte di pagamento per ricevere i requisiti e le istruzioni
per la certificazione. Durante la stesura della Dichiarazione di conformità, tutti gli ispettori sono tenuti a seguire istruzioni
specifiche sul formato e sul contenuto:
1. Indirizzi di contatto e data della dichiarazione
• Inserire i dati per contattare l'esercente/il provider di servizi e l'ispettore
• Data della dichiarazione
2. Riepilogo esecutivo
Inserire le seguenti informazioni:
• Descrizione dell'attività commerciale
• Elenco dei provider di servizi e di altre entità con cui la società condivide i dati dei titolari delle carte
• Elenco delle relazioni con i processor
• Indicare se l'entità è collegata direttamente a una società che emette carte di pagamento
• Per gli esercenti, i prodotti POS utilizzati
• Tutti le entità di proprietà per le quali è richiesta la conformità allo standard PCI DSS
• Tutti le entità internazionali per le quali è richiesta la conformità allo standard PCI DSS
• Tutte le reti LAN wireless e/o i terminali POS wireless connessi all'ambiente dati dei titolari delle carte
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 73. Descrizione della portata del lavoro e approccio seguito
• Versione del documento "Procedure di audit per la sicurezza" utilizzato per condurre l'ispezione
• Durata temporale dell'ispezione
• Ambiente sul quale si è concentrata l'ispezione (ad esempio, access point del cliente per Internet, rete aziendale interna, punti di
elaborazione per la società che emette le carte di pagamento)
• Tutte le aree escluse dall'ispezione
• Breve descrizione o diagramma dettagliato della topologia della rete e dei controlli
• Elenco delle persone ascoltate
• Elenco della documentazione letta
• Elenco dei componenti hardware e dei programmi software critici in uso (ad esempio, per database o cifratura)
• Se l'ispezione riguarda un MSP (Managed Service Provider), descrivere chiaramente quali dei requisiti elencati nel presente
documento si applicano all'MSP (e sono quindi inclusi nell'ispezione) e quali non sono inclusi nell'ispezione e dovranno invece
essere inclusi nelle ispezioni di competenza dei clienti dell'MSP Inserire informazioni su quali indirizzi IP dell'MSP sono stati
sottoposti a scansione durante le scansioni trimestrali delle vulnerabilità dell'MSP e quali indirizzi IP dovranno invece essere inclusi
nelle scansioni trimestrali di competenza dei clienti dell'MSP
4. Risultati delle scansioni trimestrali
• Riassumere i risultati delle ultime quattro scansioni trimestrali sotto forma di commento al Requisito 11.2
• Le scansioni devono coinvolgere tutti gli indirizzi IP accessibili dall'esterno (visibili sul Web) esistenti presso l'entità
5. Conclusioni e osservazioni
• Tutti gli ispettori sono tenuti ad utilizzare il seguente modello per fornire descrizioni e conclusioni circostanziate per ogni
requisito e ogni requisito secondario.
• Se pertinente, devono essere documentati tutti i controlli compensativi ritenuti equivalenti al "controllo implementato"
• Per una definizione dei controlli compensativi, si rimanda alla relativa sezione del Glossario PCI DSS.
Riconvalida di elementi aperti
Come riscontro della conformità è necessario un report dei “controlli implementati”. Se il report iniziale del
controllore/ispettore contiene alcuni “elementi aperti”, l'esercente/il provider di servizi dovrà trovare una soluzione per tali
elementi per poter completare l'iter della certificazione. Il controllore/ispettore dovrà quindi riverificare la soluzione adottata
e certificare che tutti i requisiti sono stati soddisfatti. Dopo avere verificato che il sistema è pienamente conforme, l'ispettore
rilascerà una nuova Dichiarazione di conformità e la presenterà coerentemente con le istruzioni ricevute (vedere paragrafo
precedente).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 8Costruire e mantenere una rete protetta
1° requisito: Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte
I firewall sono sistemi che controllano il traffico tra i computer da e verso la rete di un'azienda, nonché il traffico diretto
verso le aree più sensibili della rete interna di un'azienda. Il firewall esamina tutto il traffico in rete e blocca le trasmissioni
che non rispondono ai criteri di sicurezza specificati.
È indispensabile proteggere tutti i sistemi contro eventuali accessi non autorizzati da Internet, sia che avvengano sotto la
forma di e-commerce, di navigazione in Internet dai browser dei dipendenti o di invio e ricezione della posta elettronica dei
dipendenti. Percorsi apparentemente insignificanti da e verso Internet possono spesso comportare passaggi non protetti
all'interno di sistemi chiave. I firewall rappresentano un meccanismo di protezione fondamentale per tutte le reti di
computer.
ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
1.1 Fissare standard per la 1.1 Richiedere e ispezionare gli standard di
configurazione dei firewall adottando le configurazione dei firewall e altra documentazione
seguenti misure: specificata più avanti per verificare che gli standard
siano completi. Completare tutte le voci in questa
sezione.
1.1.1 Un processo formale sia per 1.1.1 Verificare che gli standard di configurazione
l'approvazione e il collaudo di tutte le dei firewall includano un processo relativo a tutte le
connessioni esterne alla rete, sia per modifiche dei firewall, compresi il collaudo e
la modifica della configurazione dei l'approvazione del management di tutte le modifiche
firewall. apportate alle connessioni esterne e alla
configurazione dei firewall.
1.1.2 Un diagramma aggiornato 1.1.2.a Verificare che esista un diagramma aggiornato
della rete, con tutte le connessioni ai della rete e che in esso siano documentate tutte le
dati dei titolari delle carte, comprese connessioni ai dati dei titolari delle carte, comprese le
le eventuali reti wireless. reti wireless.
1.1.2.b Verificare che il diagramma venga aggiornato
regolarmente.
1.1.3 Obbligo di utilizzo di un 1.1.3 Verificare che gli standard di configurazione
firewall per ogni connessione Internet dei firewall prevedano l'uso obbligatorio di un firewall
e tra tutte le zone demilitarizzate in corrispondenza di ogni connessione a Internet e tra
(DMZ) e la zona della rete interna. la zona DMZ e Intranet. Verificare che il diagramma
della rete disponibile sia coerente con gli standard di
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 9ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
configurazione dei firewall.
1.1.4 Descrizione di gruppi, ruoli e 1.1.4 Verificare che gli standard di configurazione
responsabilità per una gestione logica dei firewall includano una descrizione dei gruppi, dei
dei componenti della rete. ruoli e delle responsabilità per una gestione logica dei
componenti della rete.
1.1.5 Elenco documentato dei 1.1.5 Verificare che gli standard di configurazione
servizi e delle porte necessarie per dei firewall includano un elenco documentato dei
l'attività commerciale. servizi/delle porte utilizzati per l'attività commerciale.
1.1.6 Giustificativi e 1.1.6 Verificare che gli standard di configurazione
documentazione per tutti i protocolli dei firewall includano i giustificativi e la
disponibili, diversi dagli standard documentazione relativa a tutti i protocolli disponibili
HTTP (hypertext transfer protocol), oltre a HTTP e SSL, SSH e VPN.
SSL (secure sockets layer), SSH
(secure shell) e VPN (virtual private
network).
1.1.7 Giustificativi e 1.1.7.a Verificare che gli standard di configurazione
documentazione per tutti i protocolli dei firewall includano i giustificativi e la
rischiosi di cui è consentito l'uso: ad documentazione relativa a tutti i protocolli rischiosi di
esempio, lo standard FTP (file cui è consentito l'uso: ad esempio, il protocollo FTP
transfer protocol) include la include la motivazione per cui viene utilizzato e le
motivazione per cui viene utilizzato funzioni di protezione implementate.
questo protocollo e le funzioni di 1.1.7.b Esaminare la documentazione e le
protezione implementate. impostazioni di ciascun servizio in uso a
dimostrazione della necessità e della sicurezza del
servizio.
1.1.8 Revisione trimestrale delle 1.1.8.a Verificare che gli standard di configurazione
regole fissate per i firewall e i router. dei firewall prevedano una revisione trimestrale delle
regole per i firewall e i router.
1.1.8.b Verificare che le regole vengano
effettivamente riviste ogni tre mesi.
1.1.9 Standard di configurazione dei 1.1.9 Verificare l'esistenza degli standard di
router configurazione per firewall e router.
1.2 Costruire una configurazione dei 1.2 Selezionare un campione di firewall/router 1) tra
firewall che impedisca il traffico da reti Internet e la zona DMZ e 2) tra la zona DMZ e la rete
e host di dubbia provenienza interna. Il campione dovrebbe includere il router interno
(untrusted), tranne che per i protocolli (choke) per Internet, il router e il firewall per la zona
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 10ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
indispensabili per l'ambiente dati dei DMZ, il segmento con i dati dei titolari delle carte nella
titolari delle carte. zona DMZ, il router perimetrale e il segmento interno
della rete con i dati dei titolari delle carte. Esaminare le
configurazioni dei firewall e dei router per verificare che
il traffico in entrata e in uscita sia limitato ai soli
protocolli necessari per l'ambiente dati dei titolari delle
carte.
1.3 Costruire una configurazione dei 1.3 Esaminare le configurazioni dei firewall per
firewall che limiti le connessioni tra i verificare che le connessioni tra i server di pubblico
server di pubblico accesso e tutti i accesso e i componenti in cui sono custoditi i dati dei
componenti del sistema in cui sono titolari delle carte siano limitate, nel seguente modo:
custoditi i dati dei titolari delle carte,
comprese le eventuali connessioni a
reti wireless. Tale configurazione dei
firewall dovrebbe includere:
1.3.1 Limitazione del traffico 1.3.1 Verificare che il traffico Internet in entrata sia
Internet in entrata agli indirizzi IP limitato agli indirizzi IP entro la zona DMZ.
(Internet Protocol) entro la zona DMZ
(filtri in ingresso).
1.3.2 Divieto per gli indirizzi interni 1.3.2 Verificare che gli indirizzi interni non passino
di passare da Internet alla zona DMZ. da Internet alla zona DMZ.
1.3.3 Attuazione di un meccanismo 1.3.3 Verificare che il firewall esegua il dynamic
di "dynamic packet filtering", che packet filtering. [Dovrebbero essere consentite solo le
consenta cioè soltanto alle connessioni consolidate e solo se associate a una
connessioni consolidate di accedere sessione attivata in precedenza (eseguire NMAP su
alla rete. tutte le porte TCP con i bit “syn reset” o ”syn ack”
impostati; una risposta significa che i pacchetti sono
ammessi anche se non fanno parte di una sessione
attivata in precedenza).]
1.3.4 Collocazione del database in 1.3.4 Verificare che il database sia in una zona della
una zona della rete interna rete interna nettamente separata dalla zona DMZ.
nettamente separata dalla zona DMZ.
1.3.5 Limitazione del traffico in 1.3.5 Verificare che il traffico in entrata e in uscita sia
entrata e in uscita a quello limitato a quello strettamente necessario per
indispensabile per l'ambiente dati dei l'ambiente dati dei titolari delle carte e che le
titolari delle carte. limitazioni siano documentate.
1.3.6 Protezione e sincronizzazione 1.3.6 Verificare che i file di configurazione dei router
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 11ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
dei file di configurazione del router. siano protetti e sincronizzati: ad esempio, i file di
Ad esempio, i file di configurazione in configurazione in esecuzione (per il regolare
esecuzione (per il regolare funzionamento dei router) e i file di configurazione
funzionamento dei router) e i file di eseguiti all'avvio (quando i dispositivi vengono
configurazione eseguiti all'avvio riavviati) hanno la stessa configurazione.
(quando i dispositivi vengono
riavviati) dovrebbero avere la stessa
configurazione.
1.3.7 Divieto di tutto il restante 1.3.7 Verificare che tutto il restante traffico in entrata
traffico in entrata e in uscita, se non e in uscita non coperto nei punti 1.2 e 1.3 precedenti
autorizzato in modo specifico. sia negato in modo esplicito.
1.3.8 Installazione di firewall 1.3.8 Verificare che siano installati dei firewall
perimetrali tra le reti wireless e perimetrali tra le reti e i sistemi wireless in cui sono
l'ambiente dati dei titolari delle carte; memorizzati i dati dei titolari delle carte e che tali
configurazione dei firewall affinché firewall neghino o controllino (se tale traffico è
impediscano tutto il traffico indispensabile per fini commerciali) tutto il traffico
proveniente dall'ambiente wireless o proveniente dall'ambiente wireless verso i sistemi in
controllino il traffico qualora questo cui sono memorizzati i dati dei titolari delle carte.
sia necessario per l'attività
commerciale.
1.3.9 Installazione di firewall 1.3.9 Verificare che nei portatili e/o nei computer
personali (software) su tutti i utilizzati dai dipendenti (ad esempio, i laptop di loro
computer portatili e i computer di proprietà) con connettività diretta a Internet e con
proprietà dei dipendenti (ad esempio, accesso alla rete dell'organizzazione sia installato e
i laptop dei dipendenti) che possono attivato un firewall personale. Tale software deve
connettersi direttamente a Internet e essere configurato dall'organizzazione in base a
che vengono utilizzati per accedere specifici standard e non deve essere modificabile dal
alla rete dell'organizzazione. dipendente.
1.4 Vietare l'accesso pubblico 1.4 Per verificare che sia effettivamente vietato
diretto tra le reti esterne e i componenti l'accesso diretto tra le reti pubbliche esterne e i
del sistema in cui sono custoditi i dati componenti del sistema in cui sono memorizzati i dati
dei titolari delle carte (ad esempio, dei titolari delle carte, eseguire la seguente procedura
database, registri e file trace). specifica per la configurazione di firewall/router
implementati tra la zona DMZ e la rete interna:
1.4.1 Predisporre una zona DMZ 1.4.1 Esaminare le configurazioni di firewall/router e
per filtrare e analizzare tutto il traffico, verificare che non vi sia nessun percorso diretto in
bloccando inoltre ogni percorso entrata o in uscita per il traffico Internet.
diretto per il traffico Internet in entrata
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 12ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
e in uscita.
1.4.2 Limitare il traffico in uscita 1.4.2 Esaminare le configurazioni di firewall/router e
dalle applicazioni delle carte di verificare che il traffico interno in uscita dalle
pagamento verso gli indirizzi IP della applicazioni con i dati dei titolari delle carte abbia
zona DMZ. accesso soltanto agli indirizzi IP entro la zona DMZ.
1.5 Implementare l'IP- 1.5 Per costituire il campione di componenti
masquerading per impedire che gli firewall/router di cui sopra, verificare che venga
indirizzi interni vengano tradotti o impiegata la tecnologia NAT o un'altra tecnologia
svelati in Internet. Utilizzare le basata sullo spazio indirizzi RFC 1918 per limitare la
tecnologie che implementano lo spazio trasmissione degli indirizzi IP dalla rete interna a
indirizzi RFC 1918, ad esempio le Internet (IP-masquerading).
tecnologie PAT (port address
translation) e NAT (network address
translation).
2° requisito: Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori.
Spesso gli hacker (esterni o interni a un'azienda) utilizzano le password predefinite e le altre impostazioni dei fornitori per
compromettere i sistemi. Queste password e impostazioni sono note alle comunità di hacker e sono facilmente reperibili in
quanto informazioni pubbliche.
ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
2.1 Cambiare sempre le impostazioni 2.1 Scegliere un campione di componenti del
predefinite dei fornitori prima di sistema, di server critici e di access point di tipo
installare un sistema nella rete: ad wireless e, con l'aiuto dell'amministratore del sistema,
esempio, aggiungere password, effettuare un tentativo di collegamento ai dispositivi
stringhe di comunità SNMP (simple utilizzando gli account e le password predefinite del
network management protocol) ed fornitore, in modo da verificare che sia gli uni che le
eliminare gli account superflui. altre siano stati effettivamente cambiati (utilizzare i
manuali dei prodotti e altre fonti reperibili su Internet
per trovare le combinazioni di account/password
preimpostate dai produttori).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 13ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
2.1.1 Per gli ambienti wireless, 2.1.1 Per quanto riguarda le impostazioni
cambiare le impostazioni predefinite predefinite del fornitore di ambienti wireless,
del fornitore wireless, tra le quali, ad verificare i seguenti punti:
esempio: chiavi WEP (wired • Le chiavi WEP predefinite sono state
equivalent privacy), identificativi SSID cambiate durante l'installazione e vengono
(default service set identifiers), cambiate ogniqualvolta un dipendente che
password e stringhe di comunità le conosce lascia la società o cambia
SNMP. Disattivare le trasmissioni mansione.
SSID. Abilitare le tecnologie di • L'identificativo SSID predefinito è stato
accesso protetto WiFi (WPA e WPA2) cambiato.
per la cifratura e l'autenticazione (se
la tecnologia WPA è disponibile). • La trasmissione dell'identificativo SSID è
stata disabilitata.
• Le stringhe di comunità SNMP predefinite
sugli access point sono state cambiate.
• Le password predefinite sugli access point
sono state cambiate.
• La tecnologia WPA o WPA2 è abilitata (se
il sistema wireless supporta la tecnologia
WPA).
• Altre impostazioni predefinite del fornitore
del sistema wireless sono state cambiate
(se disponibili).
2.2 Sviluppare standard di 2.2.a Esaminare gli standard di configurazione
configurazione per tutti i componenti dell'organizzazione per i componenti della rete, i
del sistema. Assicurarsi che tali server critici e gli access point di tipo wireless,
standard affrontino tutte le vulnerabilità verificandone la coerenza con gli standard di System
della sicurezza note e siano coerenti Hardening che sono accettati, ad esempio, da enti
con gli standard di System Hardening quali il SANS, il NIST e il CIS.
che sono accettati, ad esempio, da enti 2.2.b Verificare che gli standard di configurazione del
quali il SysAdmin Audit Network sistema includano tutte le voci descritte più avanti (da
Security Network (SANS), il National 2.2.1 a 2.2.4)
Institute of Standards Technology
(NIST) e il Center for Internet Security 2.2.c Verificare che gli standard di configurazione
(CIS). vengano applicati per la configurazione di tutti i nuovi
sistemi.
2.2.1 Implementare una sola 2.2.1 Per un campione di componenti del sistema,
funzione primaria per server (ad di server critici e di access point di tipo wireless,
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 14ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
esempio, utilizzare server diversi per verificare che per ogni server venga implementata
svolgere funzioni di server Web, una sola funzione primaria.
server di database e server DNS).
2.2.2 Disattivare tutti i servizi e i 2.2.2 Per un campione di componenti del sistema,
protocolli non sicuri che non sono di server critici e di access point di tipo wireless,
strettamente necessari (cioè quei ispezionare i servizi del sistema abilitati, i daemon e i
servizi e protocolli che non servono protocolli. Verificare che non siano attivati servizi e
direttamente per eseguire la funzione protocolli non necessari o non sicuri, altrimenti ne
specifica di un dispositivo). dovrà essere giustificata e documentata la presenza
(ad esempio, il protocollo FTP non è utilizzato o è
cifrato tramite la tecnologia SSH o altro).
2.2.3 Configurare i parametri di 2.2.3.a Fare domande agli amministratori del
protezione del sistema in modo da sistema e /o ai responsabili della sicurezza per
prevenire eventuali abusi. verificare che conoscano le impostazioni dei
parametri di sicurezza di base per i sistemi operativi,
i server dei database, i server Web e i sistemi
wireless in uso.
2.2.3.b Verificare che le impostazioni dei parametri
di sicurezza di base siano incluse negli standard di
configurazione del sistema.
2.2.3.c Per un campione di componenti del
sistema, di server critici e di access point di tipo
wireless, verificare che i parametri di sicurezza di
base siano impostati correttamente.
2.2.4 Rimuovere tutte le funzionalità 2.2.4 Per un campione di componenti del
superflue, quali script, driver, sistema, di server critici e di access point di tipo
sottosistemi, file system e server Web wireless, verificare che siano state rimosse tutte le
non utilizzati. funzionalità superflue (ad esempio, script, driver,
funzioni, sottosistemi, file system ecc.). Verificare
che le funzionalità attivate siano documentate e
supportino la configurazione protetta. Verificare
inoltre che sui sistemi inclusi nel campione siano
presenti solo funzionalità documentate.
2.3 Cifrare tutto l'accesso 2.3 Per un campione di componenti del sistema, di
amministrativo che non è originato server critici e di access point di tipo wireless,
dalla console. Utilizzare tecnologie verificare che l'accesso amministrativo non
quali SSH, VPN o SSL/TLS (transport proveniente dalla console sia cifrato:
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 15ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
layer security) per la gestione basata • Osservando un amministratore mentre
sul Web e altri tipi di accessi effettua l'accesso a ogni sistema, in modo
amministrativi che non sono originati da constatare che viene richiamato un
dalla console. metodo di cifratura (ad esempio, SSH)
prima della richiesta di inserimento della
password dell'amministratore.
• Esaminando i servizi e i file dei parametri
nei sistemi, in modo da constatare che per
l'uso interno non sono disponibili Telnet o
altri comandi di accesso remoto.
• Verificando che l'accesso
dell'amministratore all'interfaccia di
gestione wireless è cifrato tramite
SSL/TLS. In alternativa, controllare che gli
amministratori non possano connettersi in
remoto all'interfaccia di gestione wireless
(tutta la gestione dell'ambiente wireless
avviene solo dalla console).
2.4 I provider di hosting sono 2.4 Eseguire le procedure dalla A.1.1 alla A.1.4
obbligati a proteggere tutti gli ambienti (Appendice A, “Applicabilità dello standard PCI DSS
e i dati delle entità che ospitano Tali per i provider di hosting (con procedure e test)” per i
provider devono soddisfare gli specifici controlli di audit PCI di provider di hosting
requisiti descritti nell'Appendice A: condiviso, verificando che i provider di hosting
"Applicabilità dello standard PCI DSS condiviso proteggano l'ambiente e i dati delle entità
per i provider di hosting". ospitate (esercenti e provider di servizi).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 16Proteggere i dati dei titolari delle carte
3° requisito: Proteggere i dati dei titolari delle carte memorizzati
La cifratura è un componente fondamentale della protezione dei dati dei titolari delle carte. Anche nel caso in cui un hacker
riuscisse a superare gli altri meccanismi di controllo della rete e a conquistare l'accesso ai dati cifrati, se non è in possesso
delle chiavi crittografiche giuste non sarà in grado né di leggere, né di utilizzare i dati. Vi sono altri metodi di protezione dei
dati che dovrebbero essere presi in considerazione come ulteriori misure di riduzione dei rischi. Ad esempio, altri modi di
ridurre i rischi sono: non memorizzare i dati dei titolari delle carte se non è strettamente necessario; troncare i dati dei
titolari delle carte se il PAN completo non serve; non inviare il PAN in messaggi di posta elettronica non cifrati.
ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
3.1 Ricorrere alla memorizzazione 3.1 Richiedere ed esaminare le politiche aziendali
dei dati dei titolari delle carte nella sulla conservazione e la distruzione dei dati, eseguendo
misura minore possibile. Sviluppare le seguenti procedure:
politiche per la conservazione e • Verificare che le politiche e le procedure
l'eliminazione dei dati. Limitare la prevedano dei requisiti legali, normativi e
quantità di dati memorizzati e il periodo commerciali per la conservazione dei dati,
di conservazione al minimo necessario inclusi requisiti specifici per la conservazione
per fini commerciali, legali e/o dei dati dei titolari delle carte (ad esempio, i
legislativi, come definito nelle politiche dati dei titolari delle carte devono essere
per la conservazione dei dati. conservati per il periodo X per le ragioni
commerciali Y).
• Verificare che le politiche e le procedure
prevedano regole per la distruzione dei dati
quando questi non sono più necessari per
motivi legali, normativi o commerciali, inclusa
la distruzione dei dati dei titolari delle carte.
• Verificare che le politiche e le procedure
prevedano regole per tutti i luoghi in cui i dati
dei titolari delle carte vengono memorizzati,
inclusi i server dei database, i sistemi
mainframe, le directory per il trasferimento
dei dati, le directory per la copia dei dati
(utilizzate per il trasferimento dei dati tra i
server) e le directory per la normalizzazione
dei dati tra i trasferimenti tra server.
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 17ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
• Verificare che le politiche e le procedure
prevedano un processo programmatico
(automatico) per rimuovere, almeno
trimestralmente, i dati dei titolari delle carte
conservati oltre i termini commerciali previsti
o, in alternativa, che includano i requisiti per
un controllo di audit almeno trimestrale,
mirato a verificare che i dati dei titolari delle
carte non siano conservati oltre i termini
commerciali previsti.
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 18ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
3.2 Non conservare i dati sensibili 3.2 Se si ricevono dati sensibili per l'autenticazione,
per l'autenticazione dopo l'avvenuta richiedere ed esaminare i processi per l'eliminazione di
autorizzazione, neppure se cifrati. tali e dati e verificare che essi diventino irrecuperabili.
La natura dei dati sensibili per Per ogni elemento dei dati sensibili di autenticazione,
l'autenticazione è descritta nei punti da eseguire la seguente procedura:
3.2.1 a 3.2.3.
3.2.1 Non conservare il contenuto 3.2.1 Per un campione di componenti del sistema, di
completo di nessuna traccia della server critici e di access point di tipo wireless,
striscia magnetica (che si trova sul esaminare quanto segue e verificare che il contenuto
retro della carta, in un chip o in altre di ogni traccia della striscia magnetica sul retro della
posizioni). I dati in questione sono carta non sia conservato in nessuna circostanza:
denominati traccia completa, • Dati delle transazioni in entrata
traccia, traccia 1, traccia 2 e dati • Registri delle transazioni
della striscia magnetica. • File storici
Nel normale corso degli affari, • File Trace
potrebbe essere necessario • Registri di debug
conservare i seguenti elementi della • Vari schemi dei database
striscia magnetica: nome del titolare • Contenuto dei database
dell'account, numero account
primario (PAN), data di scadenza e
codice di servizio. Per ridurre i rischi
al minimo, conservare soltanto gli
elementi che sono effettivamente
necessari per la propria attività
commerciale. NON conservare MAI
elementi quali il codice CVC o CVV
o il PIN Verification Value.
Nota: per maggiori informazioni,
consultare il “Glossario”.
3.2.2 Non conservare il codice CVC 3.2.2 Per un campione di componenti del sistema, di
o CVV (un numero a tre o a quattro server critici e di access point di tipo wireless,
cifre stampato sul fronte o sul retro di esaminare quanto segue e verificare che il codice a tre
una carta di pagamento) utilizzato o a quattro cifre stampato sul fronte della carta o sul
per verificare le transazioni in cui non riquadro della firma (dati CVV2, CVC2, CID, CAV2)
è materialmente presente la carta. non venga memorizzato in nessuna circostanza:
Nota: per maggiori informazioni, • Dati delle transazioni in entrata
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 19ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
consultare il “Glossario”. • Registri delle transazioni
• File storici
• File Trace
• Registri di debug
• Vari schemi dei database
• Contenuto dei database
3.2.3 Non conservare il PIN 3.2.3 Per un campione di componenti del sistema, di
(personal identification number) o il server critici e di access point di tipo wireless,
blocco PIN cifrato. esaminare quanto segue e verificare che i PIN siano
cifrati e che i blocchi PIN cifrati non vengano
conservati in nessuna circostanza:
• Dati delle transazioni in entrata
• Registri delle transazioni
• File storici
• File Trace
• Registri di debug
• Diversi schemi dei database
• Contenuto dei database
3.3 Mascherare il PAN quando è 3.3 Richiedere ed esaminare le politiche scritte e
visibile (non dovrebbero essere visibili controllare la visualizzazione online dei dati delle carte
più di sei cifre all'inizio e quattro cifre di credito, allo scopo di verificare che i numeri delle carte
alla fine). siano mascherati (salvo nei casi in cui sia effettivamente
Nota: questo requisito non può essere necessario visualizzarli).
applicato ai dipendenti e ad altri
soggetti che devono necessariamente
visualizzare il PAN completo, né può
sostituirsi ad altri requisiti più severi
relativi alla visualizzazione dei dati dei
titolari delle carte (ad esempio, nelle
ricevute di pagamento POS).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 20ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
3.4 Rendere quantomeno illeggibile 3.4.a Richiedere ed esaminare la documentazione sul
il PAN in qualunque punto esso sia sistema utilizzato per proteggere i dati memorizzati, tra
memorizzato (compresi i dati su cui il fornitore, il tipo di sistema/processo e gli algoritmi
supporti digitali portatili, supporti di di cifratura (se pertinenti). Verificare che i dati siano resi
backup, registri e i dati ricevuti da o illeggibili tramite uno dei seguenti metodi:
conservati nelle reti wireless) • Hash a senso unico (indici hash) del tipo SHA-1
adottando le seguenti misure:
• Troncatura o masking
• Funzioni forti di hash one-way
• Token e PAD indicizzati, con i PAD custoditi in
(indici hash)
luoghi sicuri
• Troncatura
• Crittografia forte, ad esempio Triplo-DES a 128
• Token e pad indicizzati (i pad bit o AES a 256 bit, con le procedure e i
devono essere custoditi in un processi associati per la gestione delle chiavi.
luogo sicuro)
3.4.b Esaminare varie tabelle da un campione di server
• Crittografia forte con relativi dei database per verificare che i dati siano resi illeggibili
processi e procedure di (cioè che non siano memorizzati sotto forma di testo
gestione delle chiavi normale).
Il PAN è l'informazione MINIMA 3.4.c Esaminare un campione di supporti rimovibili (ad
relativa all'account che deve essere esempio, nastri di backup) per constatare che i dati
resa illeggibile. siano resi illeggibili.
Se per qualsiasi ragione un'azienda
non fosse in grado di cifrare i dati dei 3.4.d Esaminare un campione di registri di audit per
titolari delle carte, consultare constatare che i dati dei titolari delle carte siano stati
"depurati" o rimossi dai registri.
l'Appendice B, "Controlli
compensativi." 3.4.e Verificare che i dati dei titolari delle carte ricevuti
da reti wireless siano resi illeggibili in qualunque modo
siano conservati.
3.4.1 Se si utilizza la cifratura su 3.4.1.a Se viene utilizzata la cifratura su disco,
disco (anziché la cifratura del verificare che l'accesso logico ai file system cifrati sia
database a livello di file o colonna), implementato attraverso un meccanismo distinto da
l'accesso logico deve essere gestito quello dei sistemi operativi nativi (ad esempio, che non
indipendentemente dai meccanismi utilizzi account locali o account di Active Directory).
nativi di controllo dell'accesso al 3.4.1.b Verificare che le chiavi di decifratura non
sistema operativo (ad esempio, siano memorizzate nel sistema locale (ad esempio,
evitando di utilizzare gli account del memorizzare le chiavi in un disco floppy, un CD-ROM
sistema locale o di Active ecc. custodito in un luogo sicuro e reperibile solo
Directory). Le chiavi di decifratura all'occorrenza).
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 21ULTIMA DATA
NON
REQUISITI PCI DSS TEST ESEGUITI RISPETTATI UTILE /
RISPETTATI
COMMENTI
devono essere necessariamente 3.4.1.c Verificare che i dati dei titolari delle carte
legate agli account utente. presenti sui supporti rimovibili siano cifrati in
qualunque modo siano conservati (la cifratura su disco
spesso non permette di cifrare i supporti rimovibili).
3.5 Proteggere le chiavi di cifratura 3.5 Verificare i processi per la protezione delle chiavi di
utilizzate per cifrare i dati dei titolari cifratura utilizzate per cifrare i dati dei titolari delle carte,
delle carte da qualunque tentativo di prevenendone la divulgazione e l'uso improprio nel
divulgazione e di uso improprio: seguente modo:
3.5.1 Limitare l'accesso alle chiavi 3.5.1 Esaminare gli elenchi degli accessi degli utenti
al minor numero possibile di soggetti per verificare che l'accesso alle chiavi di crittografia sia
fidati. effettivamente limitato a pochi soggetti.
3.5.2 Conservare le chiavi in 3.5.2 Esaminare i file di configurazione del sistema
sicurezza nel minor numero possibile per verificare che le chiavi di crittografia siano
di luoghi e formati. conservate in un formato cifrato e che le chiavi di
cifratura delle chiavi siano custodite separatamente
dalle chiavi di cifratura dei dati.
3.6 Documentare dettagliatamente 3.6.a Verificare l'esistenza di procedure per la gestione
e implementare tutti i processi e le delle chiavi utilizzate a scopo di cifratura dei dati dei
procedure principali di gestione delle titolari delle carte.
chiavi per la cifratura dei dati dei titolari 3.6.b Solo per i provider di servizi: se il provider di
delle carte, tra cui: servizi condivide le chiavi con i propri clienti ai fini della
trasmissione dei dati dei titolari delle carte, verificare che
il provider di servizi fornisca a ogni cliente la
documentazione necessaria con tutte le istruzioni per
conservare e cambiare in modo sicuro le chiavi di
cifratura del cliente (utilizzate per la trasmissione di dati
tra cliente e provider di servizi).
3.6.c Esaminare le procedure di gestione delle chiavi
ed eseguire le seguenti operazioni:
3.6.1 Generazione di chiavi forti 3.6.1 Verificare che le procedure di gestione delle
chiavi prevedano la generazione di chiavi forti.
3.6.2 Distribuzione protetta delle 3.6.2 Verificare che le procedure di gestione delle
chiavi chiavi prevedano la distribuzione protetta delle chiavi.
3.6.3 Memorizzazione protetta delle 3.6.3 Verificare che le procedure di gestione delle
chiavi chiavi prevedano la memorizzazione protetta delle
chiavi.
Copyright 2006 PCI Security Standards Council LLC.
Procedure di audit sulla sicurezza v 1.1 22Puoi anche leggere
