PaymentCardIndustry (PCI) Data Security Standard Odvětví platebních karet (PCI) Standard bezpečnosti dat (DSS)
Requirements and Security Assessment Procedures Požadavky a postupy posouzení bezpečnosti Verze3.1 Duben 2015
Změny v dokumentu Datum Verze Popis Strana Zavedení standardu PCI DSS v1.2 v dokumentu Požadavky Standardu bezpečnosti dat PCI a postupy posouzení bezpečnosti ( PCI DSS Requirements and SecurityAssessmentProcedures ) zrušením nadbytečných informací v různých dokumentech, a provedením obecných i Říjen 1.2 specifických změn podle dokumentu Postupy bezpečnostního auditu (PCI DSS Security Audit 2008 Procedures v1.1). Úplné informace viz dokument PCI Standard bezpečnosti dat - Přehled změn od verze 1.1 k 1.2 (PCI Data Security Standard SummaryofChangesfrom PCI DSS Version 1.1 to 1.2). Červenec 2009 1.2.1 Říjen 2010 2.0 Přidání věty, která byla nesprávně zrušena při přechodu z PCI DSS v1.1 na v1.2 5 Oprava pak (then) na než (than) v postupu testování, 6.3.7.a a 6.3.7.b 32 Odstranění šedivého zabarvení pro sloupce Zavedeny (In place) a Nezavedeny (Not in place)v testovacích postupech 6.5.b Pracovní tabulka náhradního řešení Vzor (Compensating Controls Worksheet Example) upraven text na začátku stránky Použijte tuto tabulku k definování náhradního řešení pro jakýkoli požadavek, označený jako Zavedeny prostřednictvím náhradního řešení. Aktualizovány a zavedeny změny verze 1.2.1. Podrobněji v PCI DSS Summary of Changes from PCI DSS Version 1.2.1 to 2.0 (PCI DSS Seznam změn PCI DSS verze 1.2.1. do 2.0) Listopad 2013 3.0 Aktualizace v2.0. Viz PCI DSS Summary of Changes from PCI DSS Version 2.0 to 3.0. Duben 2015 3.1 Aktualizace v3.0. Viz PCI DSS Podrobněji v Summary of Changes from PCI DSS Version 3.0 to 3.1 (PCI DSS Seznam změn PCI DSS verze 3.0 do 3.1) 33 64 strana2
Obsah Změny v dokumentu... 2 Úvod a přehled Standardu bezpečnosti dat PCI DSS... 5 Další materiály k PCI DSS... 6 Aplikace požadavků standardu PCI DSS... 8 Vztah mezi PCI DSS a PA-DSS... 10 Aplikace standardu PCI DSS pro PA-DSS... 10 Aplikace standardu PCI DSS pro dodavatele platebních aplikací... 10 Rozsah požadavků standardu PCI DSS... 11 Segmentace sítě..... 12 Bezdrátové technologie... 12 Spolupráce se třetími stranami poskytovateli služeb / Outsourcing... 13 Doporučené postupy implementace požadavků PCI DSS do běžného provozu... 14 Pro hodnotitele: Výběr vzorků provozních zařízení / systémových komponent... 16 Kontrola náhradních řešení... 17 Pokyny a obsah dokumentu Zpráva o shodě... 18 Postup vyhodnocení požadavků PCI DSS... 18 Podrobné požadavky a postupy posouzení bezpečnosti PCI DSS... 19 Vybudování a udržování bezpečné sítě a systémů... 20 Požadavek 1: Instalovat a udržovat konfiguraci firewallů za účelem ochrany dat držitelů karet... 20 Požadavek 2: Nepoužívat výchozí nastavení od dodavatele pro systémová hesla a jiné bezpečnostní parametry... 29 Ochrana dat držitelů karet... 37 Požadavek 3: Chránit uchovávaná data držitelů karet... 37 Požadavek 4: Zašifrovat přenos dat držitelů karet po otevřených veřejných sítích... 50 Udržování programu kontroly zranitelnosti... 55 Požadavek 5: Chránit všechny systémy proti malware a pravidelně aktualizovat antivirový software nebo programy... 55 Požadavek 6: Vyvíjet a udržovat bezpečné systémy a aplikace... 60 Zavedení přísných opatření a kontrol přístupů... 73 Požadavek 7: Omezit přístup k datům držitelů karet jen podle oprávněné potřeby... 73 Požadavek 8: Identifikovat a autentizovat přístup k systémovým komponentám... 76 Požadavek 9: Omezit fyzický přístup k datům držitelů karet... 85 strana3
Pravidelné monitorování a testování sítí... 95 Požadavek 10: Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet... 95 Požadavek 11: Pravidelně testovat bezpečnostní systémy a procesy... 103 Udržování politiky bezpečnosti informací... 111 Požadavek 12: Udržovat politiku zaměřenou na bezpečnost informací pro všechny pracovníky... 111 Požadavek A.1: Poskytovatelé sdíleného hostingu musí chránit prostředí dat držitelů karet... 122 Příloha B: Náhradní řešení... 125 Příloha C: Pracovní tabulka náhradního řešení... 126 Příloha D: Segmentace a výběru vzorků provozních objektů/systémových komponent... 128 strana4
Úvod a přehled Standardu bezpečnosti dat PCI DSS Standard bezpečnosti dat odvětví platebních karet (Payment Card Industry Data Security Standard PCI DSS) byl vyvinut za účelem podpořit a posílit bezpečnost dat držitelů karet, resp. údajů o platební kartě a k usnadnění globálního přijetí jednotných opatření k zabezpečení uvedených dat. Standard PCI DSS poskytuje základní technické a provozní požadavky vytvořené k ochraně dat držitelů karet (kartového účtu). PCI DSS se vztahuje na všechny subjekty podílející se na zpracování platebních karet včetně obchodníků, zpracovatelů (procesorů), acquirerů, vydavatelů a poskytovatelů služeb, a dalších subjektů, které uchovávají, zpracovávají nebo přenášejí data držitelů karet (CHD Cardholder data) a/nebo citlivá autentizační data (SAD Sensitive authentication data). Dále je uveden stručný přehled 12 bezpečnostních požadavků standardu PCI DSS. PCI Standard bezpečnosti dat - přehled Vybudování a udržování bezpečné sítě a systémů Ochrana dat držitelů karet Udržování programu kontroly zranitelnosti Zavedení přísnýchopatření a kontrol přístupů Pravidelné monitorování a testování sítí Udržování politiky bezpečnosti informací 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Instalovat a udržovat konfiguraci firewallůza účelem ochrany dat držitelů karet Nepoužívat výchozí nastavení od dodavatele pro systémová hesla a jiné bezpečnostní parametry Chránit uchovávaná data držitelů karet Zašifrovat přenos dat držitelů karet po otevřených veřejných sítích Chránit všechny systémy proti malware a pravidelně aktualizovat antivirový software nebo programy Vyvíjet a udržovat bezpečné systémy a aplikace Omezit přístup k datům držitelů karet jen podle oprávněné potřeby Identifikovat a autentizovat přístup k systémovým komponentám Omezit fyzický přístup k datům držitelů karet Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet Pravidelně testovat bezpečnostní systémy a procesy 12. Udržovat politiku zaměřenou na bezpečnost informací pro všechny pracovníky strana5
Tento dokument, Požadavky a postupy posouzení bezpečnosti PCI Standardu bezpečnosti dat (PCI Data Security Standard Requirements and Security Assessment Procedures) spojuje 12 požadavků PCI DSS a odpovídající testovací postupy do nástroje revize bezpečnosti. Je navržen pro využití při vyhodnocování shody se standardem PCI DSS jako součást procesu revize subjektu. Následující části manuálu poskytují podrobné zásady a doporučené postupy pro posouzení subjektů, pro přípravu, provedení a zpracování výsledkůvyhodnocenídle standardupci DSS. Požadavky PCI DSS a revizní postupy začínají na straně 21. Standard PCI DSS představuje minimální informace k požadavkům ochrany dat držitelů karet (kartového účtu) a může být rozšířen dodatečnými kontrolami a postupy k dalšímu snížení rizika a takéna základě vyhovění místním, regionálním a kartovým pravidlům a zákonům a regulacím. Navíc legislativní nebo regulatorní požadavky mohou vyžadovat specifickou ochranu osobních údajů nebo jiných datových prvků (například jméno držitele karty). PCI DSS nenahrazuje místní nebo regionální zákony, vládní regulace nebo jiné právní požadavky. Další materiály k PCI DSS Internetové stránky Rady pro bezpečnostní standardy PCI (PCI Security Standards Council, PCI SSC) (www.pcisecuritystandards.org) obsahují řadu dalších materiálů k využití subjekty, které se zabývajíposuzováním PCI DSS, včetně: Dokumenty: o PCI DSS Přehled změn od verze 2.0 na 3.0 (PCI DSS Summary of Changes from PCI DSS version 2.0 to 3.0) o o o o PCI DSS Stručný přehled (PCI DSS Quick Reference Guide) PCI DSS a PA-DSS Slovník termínů, zkratek a akronymů (PCI DSS and PA-DSS Glossary of Terms, Abbreviations, and Acronyms) Doplňující informace a návody (Information Supplements and Guidelines) Postup prioritizace k PCI DSS (Prioritized Approach for PCI DSS) o Zprávao shodě (ROC) a instrukce k vyplnění (Report on Compliance (ROC) Reporting Template and Reporting Instructions ) o o Dotazníky pro vlastní vyhodnocení (SAQ), instrukce a návody pro SAQ (Self-assessment Questionnaires (SAQs) and SAQ Instructions and Guidelines) Osvědčení o shodě (AOC) (Attestations of Compliance (AOCs)) Často kladené otázky (Frequently Asked Questions (FAQs)) PCI pro internetové stránky drobných obchodníků (PCI for Small Merchants website) PCI školení a informativní webináře (PCI training courses and informational webinars) Seznam Kvalifikovanýchhodnotitelů bezpečnosti a Schválených poskytovatelů skenů(list of Qualified Security Assessors (QSAs) and Approved Scanning Vendors (ASVs)) Seznam schválených zařízení dle PTS a ověřených platebních aplikací dle PA-DSS (List of PTS approved devices and PA-DSS validated payment applications) strana6
Informace o výše uvedených materiálech k PCI DSS jsou k dispozici na www.pcisecuritystandards.org. Poznámka:Dokument Doplňující informace a návody doplňujeí požadavky PCI DSS a poskytuje další poznatky a doporučení vedoucí k dosažení bezpečnosti dle požadavků PCI DSS - ale nenahrazují, neruší ani nerozšiřují standard PCI DSS ani žádný z jeho požadavků. strana7
Aplikace požadavkůstandardu PCI DSS Standard PCI DSS je závazný pro všechny subjekty při zpracování platebních karet včetně obchodníků, zpracovatelů (procesorů), subjektů zajišťujících kartové transakce obchodníkům (acquirerů), vydavatelů platebních karet (issuerů) a poskytovatelů služeb. PCI DSS se vztahuje také na všechny další subjekty, které uchovávají, zpracovávají nebo přenášejí data držitelů karet a/nebo citlivá autentizační data. Data držitele karty a citlivá autentizačních data jsou definována dle následující tabulky: Data držitele karet zahrnují: Citlivá autentizační data Číslo karty (PAN,Primary Account Number) Kompletní data(uložená na magnetickém proužku nebo ekvivalent na čipu) Jméno držitele karty CAV2/CVC2/CVV2/CID Datum ukončení platnosti PINy /PIN bloky Servisní kód Číslo karty (PAN) je určujícím faktorem pro data držitele karet. Pokud se uchovává, zpracovává nebo přenáší jméno držitele karty, servisní kód a/nebo datum ukončení platnosti spolu s číslem karty (PAN), nebo jsou jinak tyto údaje přítomny společně s údaji držitelů karet (CDE Cardholder Data Environment), musejí být chráněny v souladu se všemi příslušnými požadavky PCI DSS. Standardy PCI DSS se vztahují na organizace,, kde údaje o účtu /čísle platební karty (data držitele karty a/nebo citlivá autentizační data) jsou uchovávana, zpracovávana nebo přenášena. Některé požadavky PCI DSS se mohou také vztahovat na organizace, které outsourcovaly své platební operace nebo správu prostředí CDE 1.Organizace, které outsourcovali správu svéhoprostředí CDE nebo platební operace prostřednictvím třetích stran, jsou zodpovědné za zajištění,zdaúdaje o účtu / čísle platební karty jsou třetí stranou chráněny podle příslušných požadavků PCI DSS. Tabulka na následující straně uvádí obecně používané prvky dat držitelů karet a citlivých autentizačních dat, bez ohledu na to, zda je jejich uchovávání povoleno nebo zakázáno, a zda musí být každý datový prvek chráněn. Výčet v této tabulce není vyčerpávající, je však předkládán jako příklad různých typů požadavků uplatňovaných na každý datový prvek. 1 V souladu s programem bezpečnosti dat u jednotlivých platebních společností (VISA, MasterCard, apod.) strana8
Datový prvek Ukládání povoleno Znečitelnění uchovávaných dat o kartě podle Požadavku 3.4 Data o účtu (kartovém) Data držitelů karet Citlivá autentizační data 2 Číslo karty (PAN) Ano Ano Jméno držitele karty Ano Ne Servisní kód Ano Ne Datum konce platnosti karty Ano Ne kompletní data z magnetického proužku nebo čipu 3 Ne Podle Požadavku 3.2 nelze uchovávat CAV2/CVC2/CVV2/CID 4 Ne Podle Požadavku 3.2 nelze uchovávat PIN/PINů 5 Ne Podle Požadavku 3.2 nelze uchovávat Požadavky 3.3 a 3.4 standardu PCI DSS se vztahují pouze na číslo karty (PAN). Je-li PAN uchováván s dalšími prvky dat držitele karty, pouze číslo karty musí být učiněno nečitelným podle Požadavku 3.4 standardu PCI DSS. Citlivá autentizační data (SAD) nesmí být po autorizaci uchovávána, a to ani v zašifrovaném tvaru. To platí, i když se číslo karty v prostředí nevyskytuje. Organizace by měly kontaktovat své acquirery nebo přímo jednotlivé platební brandy (kartové společnosti) k získání informace, zda se mohou citlivá autentizační data uchovávat před autorizací, na jak dlouho, a na požadavky týkající se jejich užití a ochrany. 2 Citlivá autentizační datanesmí být po autorizaci uchovávána (dokonce ani v zašifrované formě). 3 Úplná data obsažená na magnetickém proužku, ekvivalent dat uložených na čipu nebo v jiné formě nosiče. 4 Tří-čislicová nebo čtyř-číslicová hodnota vytištěná na přední nebo zadní straně platební karty 5 PIN (osobní idetifikační číslo/personalidentificationnumber) zadané držitelem karty během transakce za přítomnosti karty a/nebo zašifrovaný PIN blokátor obsažený v transakčním záznamu. strana9
Vztah mezi PCI DSS a PA-DSS Aplikace standardu PCI DSS pro PA-DSS (PA-DSS - Payment Application DSS, Standard bezpečnosti dat platebních aplikací) Používání aplikace, která je ve shodě se Standardem bezpečnosti dat Platebních aplikací (PA-DSS), ještě samo o sobě nezaručuje, že subjekt je ve shodě s celým standardem PCI DSS, neboť tato aplikace musí být implementována do prostředí, které je ve shodě s požadavky PCI DSS a podle Implementačního průvodce standardu PA-DSS ( PA-DSS Implementation Guide ) poskytnutým dodavatelem platební aplikace. Všechny aplikace, které uchovávají, zpracovávají nebo přenášejí data držitelů karet jsou v rozsahu (scope) pro posouzení dle PCI DSS daného subjektu, včetně aplikací, které byly validovány podle PA-DSS. Posouzení dodržování požadavků PCI DSS by mělo ověřit, zdaplatební aplikace validovaná podle požadavků PA-DSS je náležitě konfigurována a bezpečně implementována podle požadavků PCI DSS. Pokud u platební aplikace dojde k úpravě (customization), bude během posouzení požadavků PCI DSS vyžadován hloubkový přezkum, neboť aplikace již nemusí představovat tu verzi, která byla validována dle požadavkůpa-dss. Požadavky PA-DSS jsou odvozeny z Požadavků a postupů posouzení bezpečnosti PCI DSS ( PCI DSS Requirements and Security Assessment Procedures )(definovaných v tomto dokumentu). Standard PA-DSS popisuje detailně požadavky na platební aplikaci, které musí být splněny tak, aby bylo docíleno shody s požadavky PCI DSS u zákazníka. Bezpečná platební aplikace, implementovaná v prostředí, které je ve shodě s požadavky PCI DSS, bude minimalizovat možné bezpečnostní narušení vedoucí ke kompromitování čísla karty, dat magnetického proužku nebo čipu, a kódů pro ověření karty (CAV2, CID, CVC2, CVV2), PINů a PIN bloků, a také omezí dopad ničivých účinků podvodů plynoucích z takovýchto narušení. PA-DSS Program Guide (Průvodce programem požadavků PA-DSS ) Zda se požadavky PA-DSS vztahují na danou platební aplikaci lze ověřit v manuálu PA-DSS Program Guide (Průvodce programem požadavků PA-DSS ), který je k dispozici na www.pcisecuritystandards.org. Aplikace standardu PCI DSS pro dodavatele platebních aplikací Požadavky PCI DSS se mohou vztahovat na dodavatele platebních aplikací, pokud dodavatel uchovává, zpracovává nebo přenáší data držitelů karet nebo má přístup k datům držitelů platebních karet u svých zákazníků (například v roli poskytovatele služeb). strana10
Rozsah požadavků standardu PCI DSS Bezpečnostní požadavky PCI DSS platí pro všechny systémové komponenty zahrnuté nebo napojené na prostředí dat držitelů karet. Prostředí dat držitelů karet (CDE - Cardholder data environment) sestává z pracovníků, procesů a technologií, které uchovávají, zpracovávají nebo přenášejí data držitelů karet nebo citlivá autentizační data. Systémové kompotnenty obsahují síťová zařízení, servery, počítače a aplikace. Příklady systémových komponent mimo jiné zahrnují: Systémy zajišťující bezpečnostní služby (např. autentizační servery), usnadňující segmentaci (např. vnitřní firewally) nebo mající dopad na bezpečnost prostředí dat držitelů karet (např. rozlišení jmen nebo přesměrovací servery,web redirection servers). Virtualizační komponenty, jako jsou virtuální stroje, virtuální přepínače/routery, virtuální zařízení, virtuální aplikace/pracovní stanice (desktops) a hypervisory (Pozn. překl.: monitory virtuálních strojů) Síťové komponenty včetně,ale nikoli výlučně, např. firewallů, přepínačů, routerů, bezdrátovýchmíst přístupu, síťových zařízení a dalších bezpečnostních zařízení. Servery (různé), mimo jiné pro internet, aplikace, databáze, autentizaci, e-mailovou poštu, proxy, Network Time Protocol( NTP) a Domain Name Server ( DNS). Aplikace zahrnující všechny zakoupené nebo na míru upravené vlastní aplikace, včetně interních a externích aplikací (na přiklad internet). Všechny ostatní komponenty a zařízení umístěná uvnitř nebo napojená na prostředí dat držitelů karet (CDE). Prvním krokem posouzení shody s požadavky standardu PCI DSS je přesné určení rozsahu posuzování. Minimálně jednou ročně a před výročním posouzenímby měl hodnocený subjekt potvrdit správnost rozsahu posouzení dle PCI DSS, a to identifikováním všech míst a toků dat držitelů karet a zajistit, že všechny systémy napojené do prostředí dat držitelů karet nebo při kompromitaci ovlivňující toto prostředí (např. autetizační servery), budou zahrnuty do rozsahu posouzení PCI DSS. Pro potvrzení přesnosti a vhodnosti rozsahu posouzení PCI DSS, proveďte následující kroky: o o o o Posuzovaný subjekt identifikuje a dokumentuje ve svém prostředí výskyt všech dat držitelů karet; ověří, že žádná data držitelů karet se nevyskytují mimo právě definované prostředí dat držitelů karet (cardholder data environment, CDE). Jakmile jsou všechnyvýskyty dat držitelů karet identifikovány a dokumentovány, subjekt ověří, že rozsah PCI DSS je odpovídající (např. výsledkem může být diagram nebo seznam výskytů dat držitelů karet). Subjekt vezme v úvahu jakákoli data držitelů karet nalézající se v rozsahu posouzení PCI DSS a v části prostředí dat držitelů karet. Pokud subjekt identifikuje data, která ještě nejsou zahrnuta do prostředí dat držitelů karet, taková data musí být bezpečně vymazána, migrována (přesunuta) do současně definovaného prostředí dat držitelů karet nebo musí být prostředí dat držitelů karet předefinováno, aby takováto data obsahovalo. Subjekt uchová dokumentaci prokazující, jak byl rozsah PCI DSS určen. Dokumentace bude uchována pro přezkum hodnotitelem a/nebo jako reference pro příští výroční posouzení souladu s požadavky PCI DSS. Při každém posouzení shody s PCI DSS je hodnotitel povinen ověřit, zda rozsah vyhodnocení je správně definován a dokumentován. strana11
Segmentace sítě Segmentace sítě, nebo izolace (segmentování), prostředí dat držitelů karet od zbytku sítě subjektu není požadavkem PCI DSS. Nicméně se velmi doporučuje jako metoda, která může omezit: Rozsah posouzení shody s požadavky PCI DSS Náklady na posouzení shody s požadavky PCI DSS Náklady a obtíže spojené s realizací a udržováním kontroly požadavků PCI DSS Rizika pro organizaci (omezením formou konsolidace dat držitelů karet do menšího počtu lépe kontrolovatelných umístění) Bez odpovídající síťové segmentace (někdy označované jako tzv. flat network ) je předmětem posouzení souladu s požadavky PCI DSS celá síť. Síťové segmentace lze dosáhnout pomocí celé řady fyzických nebo logických prostředků, jako jsou správně konfigurované interní síťové firewally, routery se seznamem silných kontrol přístupů nebo pomocí jiných technologií, které omezují přístup k určitému segmentu sítě. Pokud má být systémová komponenta mimo rozsahposouzení PCI DSS, musí být náležitě izolována (segmentována) od prostředí dat držitelů karet, aby v případě kompromitování této komponenty nedošlo k narušení bezpečnosti prostředí dat držitelů karet. Důležitým předpokladem redukce rozsahu prostředí dat držitelů karet je jasné porozumění obchodním potřebám a procesům týkajícím se uchovávání, zpracování nebo přenosu dat držitelů karet. Omezením dat držitelů karet na co nejmenší počet umístění eliminací nadbytečných dat a konsolidací dat nezbytných, může vyžadovat změnu dlouhodobých provozních/obchodních postupů. Vytvoření diagramu toku dat držitelů karet napomůže plnému pochopení toku všech dat držitelů karet a zajistí, že příslušná síťová segmentace bude efektivní z hlediska izolace prostředí dat držitelů karet. Pokud je zavedena síťová segmentace a bude použita ke zmenšení rozsahu posouzení požadavků PCI DSS, musí hodnotitelověřit, zda je segmentace dostatečná ke snížení rozsahuvyhodnocení. Z celkového pohledu adekvátní síťová segmentace odděluje systémy, které uchovávají, zpracovávají nebo přenášejí data držitelů karet od těch, které tyto úkony neprovádějí. Ačkoliv adekvátnost specifické implementace síťové segmentace je velmi rozmanitá a závisí na řadě faktorů, jako jsou konfigurace dané sítě, použité technologie a další možná kontrolní opatření. Příloha D: Segmentace a výběr vzorků zařízení/systémových komponentůposkytuje více informací o dopadu segmentace sítě a výběru vzorků na rozsah posouzení dle požadavků PCI DSS. Bezdrátové technologie Pokud je použita bezdrátová technologie k uchovávání, zpracování nebo přenášení dat držitelů karet (např. POS transakce na prodejním místě, line-busting pozn. překl.: interaktivní nákup v obchodě s pomocí tabletů) nebo pokud je bezdrátová lokální síť (WLAN) součástí dat držitelů karet neboje na ně napojena, platí zde požadavky a testovací postupy standardu PCI DSSpro bezdrátové prostředí a musí být provedeny (např. Požadavky 1.2.3, 2.1.1, a 4.1.1). Před zavedením bezdrátové technologie by měl subjekt důkladně zvážit nezbytnost této technologie ve vztahu k riziku. Zavedení bezdrátových technologií zvažujte pouze pro přenos jiných než citlivých dat. strana12
Spolupráce se třetími stranami poskytovateli služeb / Outsourcing U poskytovatelů služeb je vyžadováno podstoupení každoročního vyhodnocení v jejich provozu, musí být provedeno ověření shody s požadavky u všech systémových komponent v prostředí dat držitelů karet. Poskytovatelé služeb nebo obchodníci mohou využít třetí stranu - poskytovatele služeb, která pro ně bude uchovávat, zpracovávat nebo přenášet data držitelů karet nebo bude spravovat komponenty jako např. routery, firewally, databáze, fyzické zabezpečení a/nebo servery. V takovém případě to může mít vliv na bezpečnost prostředí dat držitelů karet. Strany musí jasně identifikovat služby a systémové komponenty, které jsou zahrnuty do rozsahu posouzení požadavků PCI DSS u poskytovatele služeb, specifické požadavky PCI DSS pokryté u poskytovatele služeb a další požadavky, u kterých mají odpovědnost za jejich zařazení do vlastního přezkoumání standardu PCI DSS zákazníci poskytovatele služeb. Například, poskytovatel hostingu má zřetelně definovat, které z jeho IP adres budou skenovány jako součást procesu v jejich čtvrtletnímskenování zranitelnosti, a za které IP adresy má odpovědnost jeho zákazník, aby je zahrnul do svéhovlastního čtvrtletníhoskenování. Poskytovatelé služeb jsou zodpovědní za prokázání souladu s PCI DSS a mohou být požádáni kartovými společnostmi, aby tak učinili. Poskytovatelé služeb by měli kontaktovat svého acquirera a/nebo kartovou společnost, aby určili vhodný způsob ověření shody. Pro třetí strany - poskytovatele služeb se nabízejí dvě možnosti, jak ověřovat shodu: 1) Roční posouzení: Poskytovatelé služeb mohou provést roční posouzení shody s PCI DSS sami a předložit potvrzení svým zákazníkům jako důkaz shody, nebo 2) Posouzení (vícenásobné) na vyžádání: Pokud poskytovatelé služeb nepodstoupí vlastní roční posouzení shody s PCI DSS, budou si muset nechat své služby prověřit na žádost zákazníků a/nebo se účastnit posouzení shody s PCI DSS spolu s každým ze svých zákazníků a výsledky jednotlivýchhodnocení poskytnout příslušnému zákazníkovi(zákazníkům). Pokud třetí strana podstoupí svoje vlastní posouzení shody s PCI DSS měla by poskytnout svým zákazníkům adekvátní důkazy potvrzující, že rozsah posouzení shody s PCI DSS poskytovatele služby pokryl služby vztahující se ke konkrétnímu zákazníkovi a že relevantní požadavky PCI DSS byly přezkoumány a shledány účinnými. Specifický typ důkazů poskytnutý poskytovatelem služeb svým zákazníkům bude záviset na smlouvě uzavřené mezi těmito stranami. Například, poskytnutí osvědčení AOC (Attestation of Compliance, Osvědčení o shodě) a/nebo odpovídající části zprávy poskytovatele služeb ROC (Report on Compliance, Zpráva o shodě) (upravené vzhledem k ochraně důvěrných informací) může poskytnout všechny nebo některé informace. Obchodníci a poskytovatelé služeb musí navíc spravovat a monitorovat shodu s PCI DSS všech přidružených třetích stran poskytovatelů služeb, které mají přístup k datům držitelů karet. Podrobnosti viz Požadavek 12.8 v tomto dokumentu. strana13
Doporučené postupy implementace požadavků PCI DSS do běžného provozu K zajištění stálého a náležitého provádění bezpečnostní kontroly měly by být požadavky PCIDSSimplementoványdoběžných provozních procesů (Business-as-usual, BAU) jako součástcelkovébezpečnostní strategiesubjektu. Subjektu to umožníprůběžně sledovatúčinnost svýchbezpečnostních kontrolaudržovat svéprostředí ve shodě spcidssmezijednotlivými vyhodnoceními dle PCIDSS. Příkladytoho, jakzačlenit PCIDSSdoběžných provozních procesů mimo jiné zahrnují: 1. Monitorování řízení zabezpečení jako jsou firewally, systémy detekce průniků / systémy prevence průniků (intrusion-detection systems/intrusion-prevention systems, IDS/IPS),monitorování integrity souborů (file-integrity monitoring, FIM), anti-virové programy (AV), kontrola přístupů, apod. k zajištění jejich efektivní a předpokládané činnosti. 2. Zajištění, že všechna selhání v řízení zabezpečení jsou detekována a je na ně včasně reagováno. Procesy reagování na selhání v řízení zabezpečení by měly zahrnovat: Obnovení řízení zabezpečení Identifikování příčin selhání Identifikace a řešení jakýchkoli bezpečnostních problémů, které zapříčinily selhání řízení zabezpečení Implementace opatření (jako jsou procesní nebo technické kontroly) k prevenci opakování příčin selhání Obnovení monitorování řízení zbezpečení, třeba rozšířeným monitorováním po určité období k ověření efektivního fungování řízení 3. Přezkum změn v prostředí (například při doplnění nových systémů, změnách konfigurace systému nebo sítě) před dokončením změny, a provedením následujících kroků: Určete možný dopad na rozsah PCI DSS (například nové pravidlo firewallu, které povoluje spojení mezi systémem v prostředí dat držitele karet a dalším systémem, může vyvolat zahrnutí dalšího systému nebo sítě do rozsahu PCI DSS). Identifikujte požadavky PCI DSS vztahující se na systémy nebo sítě ovlivněné změnami (například je-li nový systém v rozsahu PCI DSS, bude se muset konfigurovat podle standardů konfigurace systému, včetně FIM (file-integrity monitoring), AV (anti-virus), záplat (patches), auditovatelných záznamů (audit logging), apod., a bude se muset přidat do čtvrtletního plánu skenovánízranitelnosti). Aktualizujte rozsah posouzení dle PCI DSS a implementujte příslušné bezpečnostní kontroly. 4. Změny v organizační struktuře (například sloučení společností nebo akvizice) by měly vést k formálnímu přezkumu jejich vlivu na rozsah posouzení a požadavky PCI DSS. 5. Provádění pravidelných přezkumů a komunikace k potvrzení skutečnosti, že požadavky PCI DSS jsou stále účinné a pracovníci dodržují bezpečné postupy. Pravidelné prověrky by měly zahrnovat všechna zařízení a místa, včetně prodejních míst,datových center, apod., a zahrnovat prověrku systémových komponent (nebo vzorků systémových komponent), aby se ověřilo, že požadavky PCI DSS jsou stále účinné například byly uplatněny konfigurační standardy, záplaty a antivirové programy jsou aktuální, auditovatelné záznamy (audit logs) byl prověřeny, apod. Frekvence pravidelných přezkumů by měla být určena subjektem, na základě velikosti a komplexnosti jeho prostředí. Tyto přezkumy také mohou ověřit, zda je udržována příslušná evidence například auditovatelné logy, zprávy o skenovánízranitelnosti, prověrky firewallů, apod. a posloužit k usnadnění přípravy subjektu na dalšívyhodnoceníshody. strana14
6. Přezkum hardwarových a softwarových technologií by měl proběhnout nejméně jednou ročně, aby se ověřilo, že jsou i nadále podporovány dodavatelem a vyhovují bezpečnostním požadavkům subjektu, včetně PCI DSS. Pokud se zjistí, že technologie nejsou nadále dodavatelem podporovány nebo již nevyhovují bezpečnostním požadavkům subjektu, subjekt musí připravit plán nápravy, a to podle potřeby včetně výměny technologie. Kromě výše uvedených postupů může organizace zvážit oddělení povinností pracovníků s bezpečnostními funkcemi, takže bezpečnostní a/nebo auditorské funkce jsou odděleny od funkcí provozních. Napříkladv prostředí, kdy jeden pracovník vykonává vícenásobné role (na přiklad administrátorské a bezpečnostní operace) povinnosti mohou být přiřazeny takovým způsobem, aby nikdo neměl celkovou odpovědnost (end-toend) za procesy bez nezávislé kontroly. Například odpovědnost za konfiguraci a odpovědnost za schvalování změn by měly být přiřazeny různým osobám. Poznámka: Tyto osvědčené postupy pro implementaci PCI DSS do běžných provozníchprocesů jsou poskytnuty pouze jako doporučení a vysvětlení a nenahrazují aninerozšiřují požadavky PCI DSS. strana15
Pro hodnotitele: Výběr vzorků provozních zařízení/systémových komponent Výběr vzorků (sampling) hodnotitelům (assessors)usnadníposouzení u velkého počtu provozních zařízení a/nebo systémových komponent. I když jeprohodnotitele přijatelnévybrat vzorky provozních zařízení/systémových komponentjako součást jejichpřezkumu shodypcidss u subjektu, pro subjekt není přijatelnéaplikovat požadavkypcidsspouze navzorekjejichprostředí(například požadavkyna čtvrtletnískenovánízranitelnostiplatí provšechny komponentysystému). Stejně taknení přijatelnéprohodnotitele přezkoumatpouzevzorekpožadavkůstandardu PCIDSS. Vzhledem k celkovémurozsahu a složitostiposuzovaného prostředí, můžehodnotitel nezávisle zvolitreprezentativní vzorkyprovozních zařízení/ systémových komponents cílem posouditsoulad subjektu s požadavkypcidss. Tyto vzorky musí býtdefinovány nejprvepro provozníobjekt apak pro systémové komponentyv rámci každéhovybraného provozního zařízení. Vzorkymusíbýtreprezentativnímvýběremze všechdruhů a umístění provozních zařízení, stejně jako ze všechdruhůsystémovýchkomponentv rámci vybraných provozních objektů. Vzorkymusí být dostatečněrozsáhlé, abyposkytlyhodnotiteli jistotu, že kontrolní opatření jsou implementována podle očekávání. Příklady provozních zařízenímimo jiné zahrnují kanceláře subjektu, obchody, sklady, umístění frančíz, zpracovávací zařízení, datová centra a další typy zařízení v různých lokalitách. Vzorky by měly zahrnovat systémové komponenty za každé vybraný provoznízařízení. Například pro každé vybrané provozní zařízení je třeba uvažovat různé operační systémy, funkce a aplikace, které se nacházejí v prověřované oblasti. Například hodnotitel můžedefinovat v rámci provozního zařízenívzorek, který zahrne servery Sun provozující software Apache, servery Windows provozující databázi Oracle, systémy hlavních počítačů provozující historické (legacy) aplikace pro zpracování karet, servery přenosu dat provozující HP-UX a Linux servery provozující MySQL. Pokud jsou všechny aplikace provozovány pod jedinou verzí operačního systému (například Windows 7 nebo Solaris), vzorek by měl zahrnovat škálu aplikací (například databázové servery, webové servery, servery přenosu dat). Při nezávislém výběru vzorků provozníchobjektů/ systémových komponent by měli hodnotitelé brát v úvahu následující: Pokud jsou uplatňovány standardní, centralizované bezpečnostní a provozní procesy a kontroly požadavků PCI DSS, které zajišťují důslednost a kterými se každé provozní zařízení / systémová komponenta musí řídit, může být vzorek menší než je nezbytné pro případ, kdy nejsou uplatňovány žádné standardní procesy / kontroly. Vzorek musí být dostatečně rozsáhlý, aby poskytnul hodnotiteli postačující ujištění, že je každé provozní zařízení/ systémová komponenta konfigurována podle standardního procesu. Hodnotitel musí ověřit, zdastandardizované, centralizované kontroly jsou implementovány a pracují efektivně. Pokud existuje a je uplatňován více než jeden typ standardního bezpečnostního a/nebo provozního procesu (například u různých typů provozních zařízení/ systémových komponent), musí být vzorek dostatečně rozsáhlý, aby zahrnoval provozní zařízení/systémové komponenty zajišťované jednotlivými typy procesu. Pokud nejsou zavedeny žádné standardní procesy a kontroly požadavků standardu PCI DSS a každé provozní zařízení/ systémová komponenta je řízena nestandardními procesy, musí být vzorek dostatečně rozsáhlý, aby se hodnotitel ujistil, že každéprovozní zařízení/ systémová komponenta má přiměřeně implementovány požadavky PCI DSS. strana16
Vzorky systémových komponent musí zahrnovat každý používaný typ a kombinaci. Například je-li vzorkována aplikace, vzorek musí zahrnovat všechny verze a platformy pro každý typ aplikace. Pro každé využití výběru vzorků, hodnotitel musí: Dokumentovat důvody rozhodnutí pro výběr techniky a velikost vzorku, Dokumentovat a ověřit standardizované procesy dle PCI DSS a kontroly použité k určení velikosti vzorku, a Vysvětlit jaká je vypovídající hodnota vzorkua jeho reprezentativnost vzhledem k celkovému množství. Hodnotitelmusí zdůvodnit výběr vzorků při každém vyhodnocení. Má-li se použít metoda výběruvzorků, pak se musí pro každéposouzení použít odlišné vzorky pro provozní zařízenía systémové komponenty. Další informace viz také: Dodatek D: Segmentace a výběr vzorků provozních zařízení/ systémových komponent. Kontrola náhradních řešení Každoročně musí být každá kontrola náhradního řešení(compensating Control) dokumentována, revidována a ověřena hodnotitelem a zahrnuta do předložené Zprávy o shodě (Report on Compliance, ROC), podle Přílohy B: Kontrola náhradních řešení a Přílohy C: Výkaz kontroly náhradních řešení. Pro každou kontrolu náhradního řešení musí být vyplněnpracovní tabulka náhradního řešení/compensating Controls Worksheet(Příloha C:). Navíc by výsledky kontroly měly být dokumentovány ve Zprávě o shodě, ROC, v odpovídající sekci požadavků PCI DSS. Další podrobnosti o kontrole náhradních řešení viz výše uvedené Přílohy B a C. strana17
Pokyny a obsah dokumentu Zpráva o shodě Pokyny ke Zprávě o shodě (Report on Compliance, ROC) a její obsah je nyní popsán v šabloně pro PCI DSS ROC (PCI DSS ROC Reporting Template). Šablona pro PCI DSS ROC musí být použita jako šablona pro vytvoření Zprávy o shodě, ROC. Hodnocený subjekt by měl při tvorbě zprávy dodržovat požadavky každé kartové společnosti (VISA, MasterCard atp.), aby zajistil, že každá kartová společnost uzná status shody daného subjektu. Kontaktujte jednotlivé kartové společnosti nebo acquirera za účelem zjištění požadavků a pokynů. Postup vyhodnocení požadavků PCI DSS 1. Potvrďte rozsah posouzenípci DSS. 2. Proveďte posouzení PCI DSS v prostředí, pro každé prostředí uplatněte testovacích postupy. 3. Dokončete příslušnou zprávu o posouzení(tj. Dotazník vlastního hodnocení, Self-AssessmentQuestionnaire (SAQ) nebo Zprávu o shodě, Report on Compliance (ROC)), včetně dokumentace všech kontrol náhradních řešení, podle příslušných vysvětlení a instrukcí PCI. 4. Dokončete Osvědčení o shodě (AttestationofCompliance) pro poskytovatele služeb nebo obchodníky v celé šíři. Osvědčení o shodě je dostupné na internetových stránkách PCI SSC. 5. Předložte dotazníky SAQ nebozprávu o shodě (ROC) a Osvědčení o shodě, spolu s dalšími vyžadovanými dokumenty jako jsou ASV skenovací zprávy svému acquirerovi (za obchodníky) nebo kartové společnosti nebo jinému vyžadujícímu subjektu (za poskytovatele služeb). 6. V případě potřeby proveďte nápravu všech požadavků, které nebyly v průběhu posouzení v souladu a poskytněte aktualizovanou zprávu strana18
Podrobné požadavky a postupy posouzení bezpečnosti PCI DSS Pro požadavky a postupyposouzení bezpečnostipci DSS jsou záhlaví jednotlivých sloupců tabulky definována následovně: PCI DSS Požadavky Tento sloupec definuje požadavky Standardu bezpečnosti dat (DSS); shoda s PCI DSS bude validována (ověřena) vůči těmto požadavkům. Testovací Procedury V tomto sloupci jsou uvedeny procesy, které musí hodnotitel provést, aby ověřil, zda požadavkům PCI DSS bylo vyhověno a jsou účinné. Vysvětlení Tento sloupec popisuje záměr nebo bezpečnostní hledisko v pozadí každého požadavku PCI DSS. Tento sloupec obsahuje pouze vysvětlení a jeho smyslem je umožnit porozumění záměru každého požadavku. Vysvětlení v tomto sloupci nenahrazuje ani nerozšiřuje požadavky PCI DSS a testovací postupy. Poznámka: Požadavky PCI DSS nejsou pokládány za splněné, pokud nebyly implementovány kontroly nebo se jejich dokončení plánuje někdy v budoucnosti. Po té, co určité otevřené nebo nesplněné položky jsou subjektem vyřešeny, hodnotitel pak znovu vyhodnotí, zda náprava je úplná a že všem požadavkům bylo vyhověno. Další zdroje informací k dokumentování vyhodnocenípci DSS jsou na internetových stránkách PCI SSC: Ohledně instrukcí k vyhotovení Zprávy o shodě (ROC), odkazujeme na Šablonu pro PCI DSS ROC (PCI DSS ROC Reporting Template). Ohledně instrukcí k vyhotovení Dotazníku pro vlastní vyhodnocení(saq), odkazujeme napci DSS Instrukce a návody pro SAQ(PCI DSS SAQ Instructions and Guidelines). Ohledně instrukcí k předložení Zprávy o ověření shody s PCI DSS, odkazujeme na Osvědčení o shodě s PCI DSS (PCI DSS Attestations of Compliance). strana19
Vybudování a udržování bezpečné sítě a systémů Požadavek 1: Instalovat a udržovat konfiguraci firewallů za účelem ochrany dat držitelů karet Firewally jsou zařízení, která kontrolují autorizované datové přenosy mezi firemní sítí (interní) a nedůvěryhodnými sítěmi (externími), i přenosy do/z citlivých oblastí v rámci důvěryhodné interní sítě subjektu. Příkladem citlivé oblasti v rámci důvěryhodné sítě subjektu je prostředí dat držitelů karet. Firewall prověřuje veškeré síťové přenosy a blokuje ty, které nesplňují stanovená bezpečnostní kritéria. Všechny systémy musí být chráněny před neautorizovaným přístupem z nedůvěryhodných sítí, ať již jde o přístupy do systému prostřednictvím internetu (jako je e-commerce), přístup zaměstnanců k internetu prostřednictvímwebového prohlížeče na stolních počítačích, přístupy zaměstnanců k e-mailům, vyhrazená spojení typu business to business, přístupy prostřednictvím bezdrátových sítí nebo jiných zdrojů. Často zdánlivě bezvýznamné cesty z/do nedůvěryhodných sítí mohou představovat nechráněné cesty do klíčových systémů. Firewally jsou klíčovým ochranným mechanismem jakékoliv počítačové sítě. Jiné systémové komponenty mohou vykonávat funkčnost firewallu, za předpokladu, že vyhovují minimálním požadavkům na firewally definovaných v Požadavku 1. Pokud jsou jiné systémové komponenty použity v rámci prostředí dat držitelů karet k zajišťování funkčnosti firewallu, pak musí být zahrnuty v rozsahu a vyhodnocování dle Požadavku 1. PCI DSS Požadavky Testovací Procedury Vysvětlení 1.1Zavést konfigurační standardy pro firewally a routery, které zahrnují následující kroky: 1.1 Přezkoumat konfigurační standardy firewallů a routerů a další dokumentaci specifikovanou níže a ověřit, že standardy jsou kompletní a implementovány dle následujících kroků: Firewally a routery jsou klíčové komponenty architektury, které řídí vstup do sítě a výstup ze sítě. Jsou to softwarová nebo hardwarová zařízení, která blokují nežádoucí přístup a spravují autorizovaný přístup do sítě a výstup ze sítě. Konfigurační pravidla a postupy pomohou zajistit, aby první obrannálinie organizace (kterou firewall představuje) zůstala při ochraně jeho dat odolná. 1.1.1 Formální proces schvalování a testování všech síťových připojení a změny konfigurací firewallů a routerů 1.1.1.a Prověřit dokumentované postupy a ověřit, zda existuje formální proces pro testování a schválení všech bodů: Síťová spojení Změny v konfiguraci firewallu a routeru 1.1.1.b Dotázat se odpovědného pracovníka ohledně vzorku síťového spojení a prověřit záznamy, zda síťová spojení byla schválena a otestována. Dokumentovaný a implementovaný proces pro schvalování a testování všech spojení a změn firewallů a routerů napomůže při prevenci bezpečnostních problémů způsobených nesprávnou konfigurací sítě, routeru nebo firewallu. Bez formálního odsouhlasení a testování změn by nemusely být aktualizovány záznamy o změnách, což by mohlo vést k rozporuplnosti mezi strana20
1.1.1.c Identifikovat vzorek aktuálních změn provedených u konfigurace firewallu a routeru, porovnat jej se záznamem změny a dotázat se odpovědného pracovníka, zda změny byly schváleny a ověřeny. dokumentací sítě a skutečnou konfigurací. 1.1.2 Aktuální diagram sítě identifikující všechna spojení mezi prostředím dat držitelů karet a dalšími sítěmi, včetně sítí bezdrátových. 1.1.3 Aktuální diagram zobrazující všechny toky dat držitelů karet napříč systémy a sítěmi. 1.1.4 Požadavky na firewall na každém internetovém připojení a mezi každou demilitarizovanou zónou (DMZ) a zónou vnitřní sítě. 1.1.2.aPrověřit diagram(-y) a prohlédnout konfigurace sítě a ověřit, zda existuje aktuální diagram sítě a zda dokumentuje všechna spojení na data držitelů karet, včetně všech bezdrátových sítí. 1.1.2.bDotázat se odpovědných pracovníků a ověřit, zda diagramy jsou udržovány aktuální. 1.1.3Zkontrolovat diagram toku dat a dotázat se pracovníků, zda diagram: znázorňuje všechny toky dat držitelů karet napříč systémy a sítěmi, je udržován aktuální a aktualizuje se podle potřeby při změnách prostředí. 1.1.4.aZkontrolovat konfigurační standardy firewallu a ověřit, zda zahrnují požadavky na firewall na každém internetovém připojení a mezi každou demilitarizovanou zónou (DMZ) a zónou vnitřní sítě. 1.1.4.bOvěřit, zda aktuální diagram sítě je konzistentní s konfiguračními standardy firewallu. 1.1.4.c Prověřit konfigurace sítí a ověřit, že firewall je umístěn u každého internetového připojení a mezi každou demilitarizovanou zónou (DMZ) a zónou vnitřní sítě, a to podle dokumentovaných konfiguračních standardů a diagramů sítě. Diagramy sítí popisují, jak jsou sítě konfigurovány a identifikují umístění všech síťových zařízeních. Bez aktuálních síťových diagramů by zařízení mohla být přehlédnuta a nevědomky vynechána z bezpečnostních kontrol implementovaných pro PCI DSS a ponechána zranitelná vůči zneužití. Diagramy toků dat držitelů karet identifikují umístění všech dat držitelů karet, která se uchovávají, zpracovávají nebo přenášejí v rámci sítě. Diagramy sítě a toku dat držitelů karet napomáhají organizaci porozumět a udržovat přehled o rozsahu jejího prostředí, a to znázorněním toků dat držitelů karet napříč sítěmi a mezi jednotlivými systémy a zařízeními. Použití firewallu na každém internetovém připojení do (a ze) sítě a mezi každou demilitarizovanou zónou (DMZ) a vnitřní sítí umožňuje organizaci monitorovat a řídit přístup a minimalizovat možnost, aby zlovolný jedinec získal přístup do vnitřní sítě prostřednictvím nechráněného připojení. strana21
1.1.5Popis skupin, rolí a odpovědností pro správu síťových komponent 1.1.5.aOvěřit, zda konfigurační standardy firewallů a routerů zahrnují popis skupin, rolí a odpovědností pro správu komponent sítě. 1.1.5.bDotázat se pracovníků zodpovědných za správu komponent sítě, a potvrdit, že role a odpovědnosti jsou přiřazeny v souladu s dokumentací. Tento popis rolí a přidělení odpovědnosti zajišťuje, že pracovníci si jsou vědomi, kdo je odpovědný za bezpečnost všech komponent sítě a že ti, kdo jsou pověřeni správou komponent si jsou vědomi své odpovědnosti. Pokud nejsou role a odpovědnosti formálně přiděleny, zařízení by mohla zůstat nespravovaná. 1.1.6 Dokumentování a provozní zdůvodnění používání veškerých povolených služeb, protokolů a portů, včetně dokumentování bezpečnostních charakteristik implementovaných pro protokoly považované za nezabezpečené. Příklady nezabezpečených služeb, protokolů a portů jsou mimo jiné FTP, Telnet, POP3, IMAP, a SNMP v1 a v2. 1.1.6.a Ověřit, zda konfigurační standardy firewallů a routerů zahrnují dokumentovaný seznam všech služeb, protokolů a portů včetně provozního zdůvodnění každého z nich například hypertextový přenosový protokol (HTTP, hypertext transfer protocol) a protokoly Secure Sockets Layer (SSL), Secure Shell (SSH) a Virtual Private Network (VPN). 1.1.6.b Identifikovat nezabezpečené přípustné služby, protokoly a porty a ověřit, zda jsou bezpečnostní prvky dokumentovány pro každou službu. 1.1.6.cPrověřit firewallové a routerové konfigurace, a ověřit, zda dokumentované bezpečnostní prvky jsou implementovány pro každou nezabezpečenou službu, protokol a port. K napadení často dochází vzhledem k nepoužívaným nebo nezabezpečeným službám a portům a četné organizace nezáplatují zranitelná místa svých služeb, protokolů a portů, které nepoužívají (i když zranitelná místa jsou stále přístupná). Srozumitelným definováním a dokumentováním služeb, protokolů a portů, které jsou nezbytné pro jejich činnost mohou organizace zajistit, že všechny ostatní služby jsou deaktivovány nebo odstraněny. Pokud jsou nezabezpečené služby, protokoly a porty nezbytné pro zabezpečení provozu, mělo by být riziku spojenému s těmito protokoly jasně porozuměno a organizací akceptováno. Použití protokolů by mělo být zdůvodněné a měly by být dokumentovány a implementovány bezpečnostní prvky umožňující těmto protokolům bezpečné použití. Pokud tyto nezabezpečené služby, protokoly a porty nejsou nezbytné pro zabezpečení provozu, měly by být deaktivovány nebo odstraněny. strana22
1.1.7 Požadavek revize firewallových a routerových sad nejméně každých šest měsíců 1.1.7.a Ověřit, zda konfigurační standardy firewallů a routerů vyžadují přezkum souborů firewallových a routerových pravidel nejméně každých šest měsíců. 1.1.7.bZkontrolovat dokumentaci vztahující se k ověření souborů pravidel a dotažte se odpovědných pracovníků, zda jsou soubory firewallových a routerových pravidel přezkoumány nejméně každých šest měsíců. Tento přezkum dává organizaci příležitost, aby nejméně každého půl roku odstranila jakákoli nepotřebná, zastaralá nebo nesprávná pravidla a zajistila, že všechna pravidla povolují jen autorizované služby a porty, které jsou v souladu s dokumentovanými provozními důvody. Organizace s vysokým výskytem změn v souborech firewallových a routerových pravidel mohou zvážit provádění těchto přezkumů ještě častěji, aby soubory pravidel odpovídalyprovozním potřebám. 1.2Vytvořit firewallovou a routerovou konfiguraci, která omezuje připojení mezi nedůvěryhodnými sítěmi a jakýmikoliv systémovými komponentami v prostředí dat držitelů karet. Poznámka: Nedůvěryhodná síť je jakákoliv síť, která je externí pro sítě náležející posuzovanémusubjektu a/nebo která se vymyká subjektu z možností kontroly nebo řízení. 1.2.1 Omezit příchozí i odchozí přenosy na ty, které jsou nezbytné pro prostředí dat držitelů karet, a zejména odmítnout všechny ostatní přenosy. 1.2Prověřit konfigurace firewallů a routerů a provést následující kroky k ověření, zda připojení jsou omezena mezi nedůvěryhodnými sítěmi a systémovými komponentami v prostředí dat držitelů karet: 1.2.1.a Zkontrolovat konfigurační standardy firewallů a routerů a ověřit, zda identifikují příchozí i odchozí přenosy nezbytné pro prostředí dat držitelů karet. 1.2.1.bZkontrolovat konfigurační standardy firewallů a routerů a ověřit, zda omezují příchozí i odchozí přenosy pouze na ty, které jsou nezbytné pro prostředí dat držitelů karet. 1.2.1.c Zkontrolovat konfigurační standardy firewallů a routerů a ověřit, zda ostatní příchozí i odchozí přenosy jsou odmítnuty; například s použitím příkazu zakázat všechny nebo implicitním odmítnutím po příkazu povolit. Je nezbytné, aby se instalovala ochrana sítě, mezi interní, důvěryhodnou sítí a jakoukoli nedůvěryhodnou sítí, která je externí a/nebo která se vymyká subjektu z možností kontroly nebo řízení. Jestliže není toto opatření správně implementováno, znamená to, že subjektu bude hrozit neautorizovaný přístup ze strany zlovolných jedinců nebo softwaru. Aby funkčnost firewallu byla účinná, musí být správně konfigurován, aby řídil a/nebo omezovalpřenosy dovnitř nebo ven ze sítě subjektu. Tento požadavek je zacílen na znemožnění přístupu zlovolným jedincům do sítě subjektu prostřednictvím neautorizovaných IP adres nebo použitím služeb, protokolů nebo portů neautorizovaným způsobem (například odesláním dat získaných z vaší sítě ven na nedůvěryhodný server.) Implementování pravidla, které odmítne jakýkoli provoz dovnitř i ven, který není potřebný pro specifický účel, zabrání vzniku zranitelností, které by umožnily nezamýšlené nebo potenciálně škodlivé komunikace dovnitř nebo ven. strana23
1.2.2 Zabezpečit a synchronizovat konfigurační soubory routerů. 1.2.2.a Zkontrolujte konfigurační standardy routerů a ověřte, zda jsou zabezpečeny před neautorizovaným přístupem. 1.2.2.b Zkontrolovat konfigurace routerů a ověřit, zda jsou synchronizovány například běžící (nebo aktivní) konfigurace se shoduje s konfigurací při startu (start-up konfigurace, používaná při bootování, spouštění zařízení). Pokud spuštěné (nebo aktivní) konfigurační soubory routeru obsahují aktuální, bezpečné nastavení, start-up soubory (které jsou používány při re-startu nebo bootování routerů) musí být aktualizovány se stejným bezpečnostním nastavením, aby se zajistilo použití těchto nastavení při spuštění start-up konfigurace. Vzhledem k tomu, že se konfigurační soubory start-upu spouštějí jen příležitostně, jsou tyto často opomíjeny a nejsou aktualizovány. Když se router restartuje a zavádí se konfigurace startupu, která nebyla aktualizována se stejným bezpečnostním nastavením jako je pro spuštěnou konfiguraci, může to vyvolat oslabení pravidel, cožmůže umožnit zlovolným jedincům přístup do sítě. 1.2.3 Instalovat perimetrové (hraniční) firewally mezi všemi bezdrátovými sítěmi aprostředím dat držitelů karet a konfigurovat tyto firewally tak, aby odmítaly nebo povolovaly (pokud jsou takové přenosy nutné z provozních důvodů) pouzeautorizované přenosy mezi bezdrátovým prostředíma prostředím dat držitelů karet. 1.2.3.a Zkontrolovat konfigurace firewallů a routerů a ověřit existenci perimetrových firewallů mezi všemi bezdrátovými sítěmi a prostředím dat držitelů karet. 1.2.3.b Ověřit, zdafirewally odmítají nebo povolují (pokud jsou takové přenosy nutné z provozních důvodů) pouze autorizované přenosy mezi bezdrátovým prostředím a prostředím dat držitelů karet. Známá (nebo neznámá) implementace a zneužívání bezdrátové technologie v rámci sítě je obvyklou cestou k podvodnému získání přístupu k síti a k datům držitelů karet. Jestliže je instalováno nějaké bezdrátové zařízení nebo síť bez vědomí subjektu, mohl by zlovolný jedinec snadno a nepozorovaně proniknout do sítě. Jestliže firewally neomezují přístup z bezdrátových sítí do prostředí platebních karet, podvodníci, kteří získali neautorizovaný přístup do bezdrátové sítě, se mohou snadno připojit do prostředí platebních karet a proniknout k informacím o účtech. Firewally musí být instalovány mezi všemi bezdrátovými síti a prostředí platebních karet, bez ohledu na účel prostředí, ke kterému je bezdrátová síť připojena. To může zahrnovat mimo jiné korporátní sítě, obchodní prodejny, hostitelské sítě, skladové prostředí, apod. strana24