PCI DSS Masterclass - Von der Foundation zur Mastery | Taimur Ijlal | Skillshare
Drawer
Suchen

Playback-Geschwindigkeit


  • 0.5x
  • 1x (normal)
  • 1.25x
  • 1.5x
  • 2x

PCI DSS Masterclass - Von der Foundation zur Mastery

teacher avatar Taimur Ijlal, Cloud Security expert, teacher, blogger

Schau dir diesen Kurs und Tausende anderer Kurse an

Erhalte unbegrenzten Zugang zu allen Kursen
Lerne von Branchenführern, Ikonen und erfahrenen Experten
Wähle aus einer Vielzahl von Themen, wie Illustration, Design, Fotografie, Animation und mehr

Schau dir diesen Kurs und Tausende anderer Kurse an

Erhalte unbegrenzten Zugang zu allen Kursen
Lerne von Branchenführern, Ikonen und erfahrenen Experten
Wähle aus einer Vielzahl von Themen, wie Illustration, Design, Fotografie, Animation und mehr

Einheiten dieses Kurses

    • 1.

      Einführung

      8:02

    • 2.

      Übersicht der PCI DSS

      6:10

    • 3.

      Standardstruktur

      3:29

    • 4.

      PCI DSS Prozess ( Foundation )

      14:11

    • 5.

      PCI ( Implementierung )

      8:01

    • 6.

      Voraussetzung 1

      4:47

    • 7.

      Voraussetzung 2

      4:43

    • 8.

      Anforderung 3

      14:11

    • 9.

      Anforderung 4

      3:34

    • 10.

      Voraussetzung 5

      2:55

    • 11.

      Voraussetzung 6

      6:28

    • 12.

      Anforderung 7

      2:03

    • 13.

      Anforderung 8

      3:30

    • 14.

      Voraussetzung 9

      4:14

    • 15.

      Voraussetzung 10

      2:25

    • 16.

      Voraussetzung 11

      5:10

    • 17.

      Voraussetzung 12

      3:25

    • 18.

      Kompensationssteuerung

      2:25

    • 19.

      SAQ und seine Typen

      8:52

    • 20.

      PCI DSS v4 und die wesentlichen Änderungen

      13:18

    • 21.

      So machen Sie sich bereit

      2:03

    • 22.

      Vorwärts gehen

      2:12

  • --
  • Anfänger-Niveau
  • Fortgeschrittenes Niveau
  • Fortgeschrittenes Niveau
  • Jedes Niveau

Von der Community generiert

Das Niveau wird anhand der mehrheitlichen Meinung der Teilnehmer:innen bestimmt, die diesen Kurs bewertet haben. Bis das Feedback von mindestens 5 Teilnehmer:innen eingegangen ist, wird die Empfehlung der Kursleiter:innen angezeigt.

41

Teilnehmer:innen

--

Projekt

Über diesen Kurs

Der PCI DSS Standard gilt weltweit als Goldstandard für den Schutz von Karteninhaberdaten und wurde bisher von Millionen von Organisationen implementiert. Wenn du an der Beherrschung dieses Standards von Grund auf interessiert bist, dann ist dieser Kurs genau das Richtige für dich! Dieser Kurs setzt ZERO Kenntnis des Standards und lehrt die Kernanforderungen und die Umsetzung des Standards in jeder Umgebung

Darüber hinaus hat PCI DSS eine große Änderung mit der kürzlich veröffentlichten Version 4.0 durchlaufen. Dieser Kurs ist einer der ersten Kurse auf dem Markt, der die neue Version von PCI DSS v4.0 ausführlich behandelt und die neuen Anforderungen abdeckt, die in den nächsten Jahren in Kraft treten.

Machen Sie mit diesem Kurs den nächsten großen Schritt deiner Karriere

Themen:

· PCI DSS Übersicht

· PCI DSS des Standards

· PCI DSS vom Scoping bis zur abschließenden Prüfung

· Was sind die 12 PCI DSS

· Verschiedene Arten von SAQs

· PCI DSS v4.0 und die wesentlichen Änderungen im Standard

· Der Weg zur Implementierung von PCI DSS in deiner Umgebung

Zusätzlich zu einem vollständigen Überblick über den Standard erhältst du ausführbare Ratschläge vom Ausbilder, der über ein Jahrzehnt der Implementierung von PCI-DSS auf der ganzen Welt verfügt.

Triff deine:n Kursleiter:in

Teacher Profile Image

Taimur Ijlal

Cloud Security expert, teacher, blogger

Kursleiter:in
Level: Beginner

Kursbewertung

Erwartungen erfüllt?
    Voll und ganz!
  • 0%
  • Ja
  • 0%
  • Teils teils
  • 0%
  • Eher nicht
  • 0%

Warum lohnt sich eine Mitgliedschaft bei Skillshare?

Nimm an prämierten Skillshare Original-Kursen teil

Jeder Kurs setzt sich aus kurzen Einheiten und praktischen Übungsprojekten zusammen

Mit deiner Mitgliedschaft unterstützt du die Kursleiter:innen auf Skillshare

Lerne von überall aus

Ob auf dem Weg zur Arbeit, zur Uni oder im Flieger - streame oder lade Kurse herunter mit der Skillshare-App und lerne, wo auch immer du möchtest.

Transkripte

1. 1 - Einführung: Hallo, hallo zusammen. Mein Name ist femoris und ich bin der Schöpfer dieses Kurses, willkommener Diskurs , der PCI DSS Foundations to Mastery genannt wird . Jetzt ist der PCI DSS eines der heißesten Themen , und das schon seit 15 Jahren. Und es wird ehrlich gesagt heiß bleiben , solange der Zahlungsverkehr weiterläuft. Wenn Sie also daran interessiert sind, den PCI DSS-Standard von Grund auf neu zu lernen , ist dieser Kurs definitiv für Sie , wenn Sie bereits ein Experte sind. Ich meine, Sie haben einige Erfahrung in der Implementierung von PCI DSS, dann ist es immer noch für diesen Kurs, ich würde es trotzdem empfehlen, da es eine großartige Zusammenfassung für Sie sein wird nur einige der Kernkonzepte durchzugehen und praktische Ratschläge zu erhalten. Außerdem werde ich auf die neuen Updates des Standards eingehen , der in PCI DSS Version 4 enthalten ist. Und ehrlich gesagt, unabhängig davon, wie viel Technologie voranschreitet, Karteninhaberdaten immer noch eine der wichtigsten Datentypen , die es gibt, und sie müssen immer geschützt werden. Egal, ob Sie ein kleines Startup sind, ob Sie ein Fortune 500 , der Standard gilt normalerweise für Sie. Dieser Kurs. Ich habe es speziell entwickelt, um Menschen dabei zu helfen den PCI DSS-Standard von Grund auf zu beherrschen , okay? Sie müssen kein Experte für Kreditkartentransaktionen oder die Zahlungsbranche oder gar ein IT-Experte sein. Okay. Es basiert auf meiner eigenen Erfahrung von neun oder zehn Jahren und der Implementierung von PCI DSS. Ich habe es in mehreren Standards über mehrere Regionen hinweg implementiert . Ich kenne den Standard in- und auswendig. Es wird Sie dazu bringen, den PCI- und DSS-Standard zu verstehen und zu beherrschen. Und es gibt Ihnen das gesamte Wissen, das Sie benötigen, um es in jeder Umgebung ehrlich umzusetzen. Und ich versuche, Ihnen praktische Ratschläge zu geben. Ich möchte dich nicht langweilen und es wie einen Tod durch PowerPoint machen. Aber ich lese gerade eine Folie und du sagst nur, ich werde versuchen, dir eine zu geben, das so praktisch wie möglich zu machen . Was sind die wichtigsten Dinge, die Sie wissen müssen? Was sind die Fehler, die die Leute so großartig machen , Lass uns anfangen. Nur ein kurzer Hintergrund über mich Leute weiß nicht, wer dir diesen Kurs beibringt. Mein Name ist Dan Voltage Law. Okay. Ich war in den letzten 20 Jahren in verschiedenen Führungspositionen tätig, hauptsächlich im Nahen Osten. Okay. Ich werde also insgesamt rund 20 Jahre und Technologierisiken. Ich war über neun Jahre lang für die Überwachung der PCI DSS-Implementierung an ihren eigenen drei oder vier Standorten verantwortlich PCI DSS-Implementierung . Ich habe also eine sehr vielfältige Erfahrung und PCI, DSS. Okay. Derzeit bin ich also außerhalb von London ansässig. Ich bin ein Autor. Ich habe, ich blogge auch gerne und bin auch Lehrer und Ausbilder, was Sie hier sehen können. Ich bin auch Karrierecoach für Cybersicherheit. Normalerweise versuche ich Menschen zu helfen, wenn sie Erfolg haben wollen. Und wirklich, was er nannte, gehen Sie da rein und werden Sie ihre Karriere im Bereich Cybersicherheit verbessern. Ich habe einen YouTube-Kanal namens Cloud is Cloud Security Guy , den Sie sich ansehen können. Und normalerweise spreche ich über Dinge, die sich auf Cloud-Sicherheit, künstliche Intelligenz und Ratschläge zur geschlechtsspezifischen Cybersicherheit beziehen . Abgesehen von der Cybersicherheit war meine Reise also Höhen und Tiefen. Ich habe mehrere Auszeichnungen in der Branche gewonnen und mich seit vielen Jahren im Nahen Osten etabliert . Ich habe auch ein Buch über Governance künstlicher Intelligenz in der Cybersicherheit geschrieben. Und ich habe dieses Jahr zwei weitere Bücher vor. Ich hatte das Gefühl, dass dies ein Thema ist, das nicht genug behandelt wird. Also dachte ich, ich werde meinen Teil dazu beitragen, der Branche so viel Bewusstsein wie möglich für mein Geld zu schaffen so viel Bewusstsein wie möglich . Ich wurde wie ein globales Talentvisum für Großbritannien ausgezeichnet. Und ich helfe auch Menschen, die sich um eine Unterstützung durch britische Techniker bewerben. Ich habe versucht, ihnen bei ihren Bewerbungen so gut ich kann zu helfen . Das ist also nur eine Zusammenfassung darüber, wer ich bin. Ich verstehe nur, wer in diesem Kurs unterrichtet. Während und PCI, DSS-Leute. Also was ist der Grund? Warum sollten Sie, wenn Sie an diesem Kurs teilnehmen, natürlich einen Grund haben. Es könnte Teil Ihres Jobs sein. Oder vielleicht hat Ihr Unternehmen beschlossen, es als regulatorische Anforderung umzusetzen es als , wenn Sie keine Wahl haben. Alles, was Sie möglicherweise mit einer Geldstrafe belegt, wenn Sie nicht alles umsetzen. Oder vielleicht sagt ein Unternehmen einfach, dass es ein guter Standard ist , der implementiert werden muss, es ist eine gute Praxis. Also lasst uns weitermachen und einen der Gründe implementieren , okay. Meine Pod-Leute, VR, wie er den Umzug in eine bargeldlose Gesellschaft nannte, oder? Die kartenbasierten Transaktionen werden immer häufiger. Es können Kassenterminals, CashRegister, Smartphones sein, alles wird durch bargeldlose Transaktionen angetrieben. Und der Schutz dieser Transaktionen ist sehr wichtig. Wenn Sie das Gefühl haben, dass die Kunden das Gefühl haben, ihre Daten nicht schützen zu können, werden sie mit Ihnen Transaktionen tätigen, was Ihr Unternehmen zerstören wird. Ich meine, wenn Sie ein Händler oder Dienstleister sind, oder? Und die Leute wollen keine Transaktionen mit Ihnen haben, das ist zu einem großen Problem geworden. Hier kommt PCI DSS ins Spiel, das wie ein weltweit üblicher Standard zum Schutz von Karteninhaberdaten durchgesetzt ein weltweit üblicher Standard zum Schutz von Karteninhaberdaten durchgesetzt wird. Dieser Standard bleibt gültig, solange wie nennt man Leute, die Transaktionen tätigen, okay? Und es wird auf absehbare Zeit sehr wichtig sein. Es ist eine großartige Sache, in Ihrem Lebenslauf zu haben, eine großartige Erfahrung. Je nach Branche haben Sie möglicherweise auch keine Wahl. Sie müssen konform sein, wenn Sie Karteninhaberdaten speichern, übertragen oder verarbeiten, was wir sehen werden. Aber sie sind, wie gesagt, immer gute Gründe wissen, wie man einen PCI DSS-Standard implementiert, was einer der Gründe ist, warum ich diesen Kurs gemacht habe. Was deckt dieser Kurs ab? Und ich hoffe du verstehst jetzt, warum du PCI, DSS notieren solltest, okay? Was ist mit diesem Kurs? Oder was wird es dir beibringen? Es wird Ihnen zuallererst PCI DSS von Grund auf neu beibringen . Ich werde den Standard von Seite eins bis zum Ende nicht lesen . Okay. Niemand will das. Ehrlich gesagt, wenn du willst, dass ich Kugel für Kugel lese, ist das nicht der richtige Kurs für dich. Ich werde Ihnen die Absicht der, alle Anforderungen, verständlich machen . Was sind die praktischen Schritte dabei? Sie müssen sich den Standard nicht merken. Viele Leute haben angefangen, diesen Fehler zu machen. Okay. Ich werde erklären, wie der Standard funktioniert und wie die Implementierung am besten durchgeführt werden kann. Ich werde mich eingehend mit diesen 12 Anforderungen, den Standards, befassen und wir werden sie im Detail durchgehen. Okay? Ich gebe dir praktische Ratschläge, okay? Eigentlich Ratschläge basierend auf realen Implementierungen , die ich gemacht habe. Und zuletzt wird der Standard überarbeitet, okay? Die neuesten Updates für PCI, DSS für Punkte, was sind die wichtigsten Änderungen, die Sie beachten sollten? welche Dinge solltest du vorbereitet sein, was auch immer du denkst, dass du jetzt anfangen solltest. Weil die zweitausendvierundzwanzig fünfundzwanzig sehr nahe sind. Es sieht weit weg aus, wird aber kommen. Und vielleicht müssen Sie bestimmte Dinge tun, also möchte ich sicherstellen, dass Sie dafür bereit sind. Okay. Für wen ist dieser Kurs gedacht? Egal, ob Sie ein neuer Mitarbeiter mit begrenzten derzeitigen Kenntnissen oder ein erfahrener Systemadministrator sind begrenzten derzeitigen Kenntnissen oder . Dieser Kurs wird Ihnen, Ihrem Unternehmen, helfen , PCI, DSS oder Kommentare einzuhalten. Ich habe das gemacht, ich habe diesen Kurs wie ein Nachschlagewerk entworfen , das die schwierigsten Aspekte der PCI- und DSS-Konformität behandelt. Abhängig von Ihrem Hintergrund und Ihrer beruflichen Rolle lässt die Organisation einige Abschnitte möglicherweise relevanter als andere, okay. Sie können also ein IT-Auditor sein, der seine Umgebung anhand von PCI DSS prüft. Sie können wie, ich weiß nicht, ein QSEN ISAF sein, Leute, die sich auf die Prüfungen für PCI, DSS vorbereiten, vielleicht bereiten Sie sich darauf vor. Und dieses Beispiel gibt Ihnen einige großartige Inputs dazu. Es gibt ein paar gute Testfragen, praktische Ratschläge, sie sind in Ordnung. Sie könnten ein Risikoprofi sein. Und wer will den Standard verstehen, wie er ist, was sind die Risiken? Was sind die Dinge, die wir umsetzen müssen, okay? Oder Sie sind ein Geschäftsprofi. Ihr Unternehmen ist möglicherweise ein Unterstrich für PCI, DSS, und Sie möchten wissen, wie Sie es implementieren können. sind also all die Dinge, die die Menschen waren, für die oder für die der Standard gelten könnte. ein Klassenprojekt Informationen leitet , die Sie nicht anwenden, werden Sie sie vergessen. Okay? Das war mein ganzes Leben lang meine Erfahrung. Wenn Sie das Gelernte nicht umsetzen , werden Sie es vergessen. Am Ende dieses Kurses möchte ich, dass Sie in einer Stadt ausfüllen oder wir werden detailliert auf SAQ für einen physischen oder einen E-Commerce-Händler eingehen . Denken Sie also einfach an einen hypothetischen Händler. Sie akzeptieren kartenbasierte Transaktionen. Machen sie E-Commerce? Und ich möchte, dass Sie das ausfüllen und SEQ dafür hilft Ihnen nicht wirklich, es zu sperren und Ihnen wirklich zu verstehen, wie der PCI DSS-Standard funktioniert. Ich hoffe, ich habe dich für diesen Kurs begeistert und was werde ich dir beibringen? Und wie werden Sie etwas über den PCI DSS lernen. Lasst uns anfangen, Leute. Vielen Dank, dass Sie an diesem Kurs teilgenommen haben. Und wir sehen uns im nächsten Abschnitt. 2. 2 - Übersicht über PCI DSS: Okay Leute, Willkommen, Willkommen zum ersten Modul dieses Kurses, das PCI, DSS und Überblick über den Standard ist . Aber zuerst möchte ich Ihnen beibringen, was PCI DSS wahrscheinlich ist oder nicht, um implementieren die PCI DSS-Standards und -Anforderungen zu implementieren, oder? Sie verstehen nicht, was wir über Ideen hören, so funktioniert das. Was ist der Sinn dieses Standards, oder? Wir haben bereits so viele Standards. Um einen weiteren. Lernen wir mehr über PCI DSS. Von Grund auf würde ich empfehlen, dieses Modell auch wenn Sie bereits Erfahrung mit der Implementierung von PCI DSS haben , da Sie einen guten Überblick und eine Historie des Standards erhalten . Und ich werde Ihnen beibringen, wie der Standard strukturiert ist und wie einige der häufigsten Fehler auftreten, die Leute in etwa zehn Jahren der Implementierung von PCI DSS gemacht haben , okay? Okay. Zuallererst der PCI DSS-Standard, okay. Es wurde 2006 oder acht von den großen Kartenmarken Visa, MasterCard, American Express, Discovery, JCB gegründet oder acht von den großen Kartenmarken Visa, MasterCard, American Express, Discovery . Warum haben sie es getan? Einfach ausgedrückt, was ist historisch gesehen mit all diesen Farbschemata passiert? Sie hatten ihre eigenen Standards, sie hatten ihre eigenen Programme, also Compliance. Nehmen wir an, Sie sind ein Händler, oder? Wir möchten einstellen, dass Sie Visa-Karten akzeptieren möchten, okay? Visa hatte seinen eigenen Standard, den Sie einhalten müssen , bevor Sie dies tun konnten, dann Mastercard es nur dort , wenn Sie Mastercard akzeptieren möchten. Und einfach mit Amazon, wieder mit American Express, mache ich eine Geste. Sie können also verstehen, dass dies für Händler und Dienstleister zu einem großen Problem wurde . Die Menge an Zeit und Geld implementierte unterschiedliche Standards. Okay? Was also passiert ist, waren all die Standards, die zusammenkamen , und sie werden einen gemeinsamen Standard festlegen. Und dieser Standard wird für Personen gelten , die in der Zahlungsbranche tätig sind. Dadurch entfiel die Notwendigkeit jedes einzelne Versprechen einzuhalten, okay? Auf diese Weise müssen Sie, wenn Sie diese Daten speichern, verarbeiten und übertragen möchten , den Standard zum Schutz implementieren. Basierend auf Tausenden und Abertausenden von Ermittlungen gegen Händler , die verletzt wurden. Was bestätigt wurde, was das, wenn sie richtig umgesetzt hätten , dehnte sich aus. Okay. Wie nennst du sie haben zentriert richtig implementiert. Dies würde das Risiko, dass sie angegriffen oder kompromittiert werden, erheblich verringern . Ok, der Standard ist also sehr nützlich. Macht es Sie zu 100% sicher? Nein, absolut nicht. Aber es ist ein sehr guter Startschritt. Okay? wen ist es also anwendbar? Denken Sie grundsätzlich daran, dass Sie beim Speichern, Verarbeiten oder Übertragen von Unternehmen, die Zahlungskartendaten speichern , verarbeiten oder übertragen den Standard implementieren müssen , um Karteninhaberdaten zu verhindern. okay? Sie können ein Händler sein, es kann ein Dienstleister sein, Sie können eine Bank sein, Sie können ein Call Center sein. Wir können ein Technologieunternehmen sein. Es spielt keine Rolle, ob du diese drei Dinge tust. Eines der drei Dinge werden wir in den Geltungsbereich kommen. Wie viel muss man implementieren , da passiert der Unterschied. Aber seien Sie versichert, dass Sie in den Geltungsbereich kommen werden. Okay. Warum also? Du fragst dich vielleicht warum, okay. Ich bin schon sicher. Ich habe Kontrollen implementiert und all das usw. Warum muss ich den Standard anwenden? Okay. Was ist die Notwendigkeit für den Standard? Einfach ausgedrückt, basierend auf der alten Sache, dass Kriminelle dorthin gehen, wo das Geld in Ordnung ist? Das Gleiche. In einem digitalen Zeitalter Händler zu vielen Dienstleistern geworden, es wird ein neues Ziel für betrügerische Aktivitäten. Okay? Sie könnten also, es könnte Ihre Registrierkasse sein, es könnte Ihre primäre Verkaufsstelle sein. Es könnte ein Einkaufswagen sein, es könnte ein Wi-Fi-Netzwerk sein. Es können die PCs oder Arbeitsstationen sein, die Sie haben. Okay? Es ist zu einem ernsten Problem geworden, weil Angreifer wissen, dass ich selbst eines dieser Dinge kompromittieren kann. Ich könnte Zugang zu diesen Daten bekommen. Ich könnte damit vielleicht Betrug begehen. Deshalb ist es so wichtig, diese Sicherheitslücken zu verstehen. Sie können überall im Ökosystem der Kartenverarbeitung auftreten . Wie ich schon sagte, es könnte in mobilen Geräten, Verkaufsstellen, drahtlosen Hotspots passieren , an denen Einkaufsanwendungen übertragen werden und es könnte gehen, es könnte sein, dass es nicht in trockenem Miami ist, es könnte bei einem Dienstanbieter sein. Es könnte sich in Ihrer Cloud-Umgebung befinden. Okay, deshalb kommt der PCI DSS ins Spiel und hilft Ihnen wirklich, diese Umgebung zu sichern. Sie verstehen wirklich, was ich tun muss. Was muss ich nicht tun? Eine weitere Due-Diligence-Aktivität muss ich umsetzen. Okay? Es gibt also definitiv absolut 0, wenn er bei der Implementierung dieses Standards als Nachteil bezeichnet hat . Okay. Aus diesem Grund , das Zahlungsvorgänge verarbeitet und involviert, empfehle ich für jede Technologie, jedes Unternehmen , das Zahlungsvorgänge verarbeitet und involviert, immer, einen PCI DSS-Standard zu implementieren. Okay. Die Zeitleiste des Standards hat also ehrlich gesagt einen langen, langen Weg zurückgelegt. Und warum es so sehr überarbeitet wurde , weil es sich um ein lebendes Dokument handelt. Es wurde weiterentwickelt, um mit dem Stand des E-Commerce und der ausgefeiltesten Cyber-Bedrohungen Schritt zu halten. Und ehrlich gesagt, wie sich Technologien vor 1015 Jahren entwickelt haben, war die Cloud nicht so wichtig. Smartphone-Transaktionen fanden nicht so oft statt, aber nicht so oft. Okay. Angriffe für verschiedene, die keine ähnlichen Container in Cloud und Sowell hatten, da all diese Dinge aufgetaucht sind , ändert sich der Standard ständig. muss uns nicht gefallen. Sie müssen sich die Geschichte nicht merken und dies dient nur als Referenz. Aber wissen Sie nur, dass es verschiedene Iterationen durchlaufen hat um über die Technologien auf dem Laufenden zu bleiben. Im Jahr 2022 wurde die Version 4 veröffentlicht. Okay? Und nur um Ihnen klar zu machen, 2022 ist es soweit gekommen, richtig. Und es hat sich auf MFA, Multi-Faktor-Authentifizierung oder deren Rollen und Verantwortlichkeiten ausgeweitet Multi-Faktor-Authentifizierung oder . Und bis März bis 2024 sind viele neue Anforderungen gestellt worden. Zu diesem Zeitpunkt wird die PCA, die alte Version, die 3.20.1 ist, ausgemustert und vollständig durch 4 ersetzt. Du hast also ein bisschen Zeit. Und bis März 2025 werden die neuen Anforderungen offiziell in Kraft treten. Einige optionale Kommentare, okay. Diese basieren auf Prognosen des PCA Security Standards Council, der Stelle, die den Standard beibehält. Sie können sich ändern, aber der Zeitplan. Deshalb empfehle ich diese Leute immer wieder. Wenn Sie PCI in Betracht ziehen, schauen Sie sich noch heute die 4 Anforderungen an. Schieben Sie es nicht auf. Okay, das war also ein grundlegender Überblick über den Standard. Im nächsten Modul gehe ich auf die vesikuläre Architektur ein, wie der Standard aufgebaut ist, wie er funktioniert und wie er strukturiert ist. Also danke Leute, und wir sehen uns im nächsten Modul. 3. 2 - Standardstruktur: Okay Leute, willkommen zu diesem Modul, in dem es um die PCI DSS-Struktur geht, wie der Standard funktioniert. Einfach ausgedrückt, es ist sehr einfach. Es hat sechs Schulen und 12 Anforderungen. Leute konzentrieren sich normalerweise mehr auf die 12 oder Kommentare von eins bis k, wir müssen es implementieren, um PCI DSS-konform zu werden. Sie könnten Spielraum für einige haben, die ich für Väter merke. Aber so wurde der Standard im Grunde ziemlich einfach strukturiert. So kompliziert ist es nicht. Also die Ziele, das sind gemeinsame Schrittanforderungen, ehrlich gesagt, einige davon könntest du dir ansehen und sagen: Hey, okay, all diese Dinge mache ich schon. Aber das ist der springende Punkt. Da das, was Ihnen als gesunder Menschenverstand erscheint, für andere Umgebungen wie andere Händlerdienstleister möglicherweise kein für andere Umgebungen wie andere Händlerdienstleister , könnten sie sagen: Okay, ich muss keine Firewall implementieren, ich nicht muss das tun. Das sind meine Mandatsstaaten. Was sind also die sechs grundlegenden Kategorien? In der Regel geht es darum, ein sicheres Netzwerk für Firewalls oder andere Geräte aufrechtzuerhalten und aufzubauen . Sie sollten Karteninhaberdaten überall dort schützen , wo sie gespeichert sind. Sie sollten über ein Schwachstellenmanagementprogramm verfügen , um sicherzustellen , dass Ihre Systeme sicher bleiben. Okay. irgendwelche Probleme, sind Sie sich dessen bewusst? Wir sollten strenge Zugangskontrollmaßnahmen haben physisch oder logisch sein können. Sie sollten Ihr Netzwerk regelmäßig überwachen, okay? Sie nicht davon aus, dass Ihr Netzwerk sicher ist. Es könnte etwas passiert sein. Aus Sicht der Due-Diligence-Prüfung sollten Sie natürlich über ein hohes Maß an Governance verfügen , indem Sie Richtlinien bis hin zu Chartas durchführen, sicherzustellen, dass Schulungen stattfinden und die Mitarbeiter sich ihrer Anforderungen bewusst sind. Okay. Das sind also die Ziele. Die Ziele und die Anforderungen werden jedes dieser Ziele im Detail behandeln, Leute. Aber nur um Ihnen eine hohe Anforderung Wartung einer Firewall zu stellen, sollten Sie über eine Standardisierung verfügen. Sie sollten die Karteninhaberdaten schützen sie über das Netzwerk sichern, vor Albert schützen und Ihre Systeme aktualisieren. Dies sind die ersten sechs. Bei den nächsten sechs beschränken wir den Zugriff, sei es logisch oder physisch, mit eindeutigen Anmeldeinformationen, okay. Bitte teilen Sie keine Passwörter. Physische Sicherheit haben, protokollieren und überwachen, was VN, VN PT passiert, okay. Und dokumentieren und bewerten Sie Ihre eintretenden Risiken. Also das waren die 12 oder Kommentare Jungs. Diese scheinen zu viel zu sein. Okay, 12 Stunden wer wird sich das merken? Das bringt mich zu meinen häufigsten Fehlern, die Leute machen, wenn sie die Anforderungen umsetzen. Und ich möchte sichergehen, dass du nicht das gleiche Ticket für mich machst. Dann ist dies ziemlich oft einige der häufigsten Fehler, dass sie versuchen, sich den Standard zu merken. Okay. Bitte müssen Sie sich den Standard und die Kofferraumanforderungen nicht merken . Das macht keiner. Das musst du nicht tun. Du kannst einfach die Absicht der Funktion Comment verstehen , okay? Und dann, wenn Sie es implementieren können, solange Sie verstehen, was der Kommentar im Grunde beabsichtigt, können Sie mit dem PCI-Auditor viel Hin und Her haben und Sie können zufrieden stellen, schauen, Ich implementiere den Standard, vielleicht ist XYZ nicht implementiert, aber du hast andere Sachen gemacht. Wir schauen uns das im Detail an. Das bringt mich zu meinem nächsten Punkt. Ein weiterer Fehler, den die Leute machen ist, sich nicht früher mit dem QSR zu beschäftigen. Wenn Sie einen zur Verfügung stehenden PCI-Auditor haben, sollten von Anfang an mit ihm beschäftigen. Sag ihnen, ich mache das nicht, damit sie sich dessen bewusst sind. Vielleicht können Sie Fehler von Anfang an erkennen, wenn Sie Fehler machen. Okay. Das Audit behandelt dies nicht so, als ob Sie versuchen würden, Dinge sofort vor dem mit ihnen beschäftigten Auditor zu verbergen . Ich hoffe, Sie haben verstanden, wie der Standard strukturiert ist. Was sind die wichtigsten Ziele, die wichtigsten Anforderungen und welche Fehler Sie vermeiden sollten. Also werden wir im nächsten Modul den Prozess starten, okay? Die PCI, DSS auch als Prozess, es ist nicht so, dass Sie einfach weitermachen und mit der Implementierung der 12 Anforderungen beginnen können . Es gibt einen Standardprozess, dem wir folgen müssen, und wir werden uns eingehend damit befassen. Wenn Sie verstehen, dass der PCI DSS-Prozess wird, kann ich Ihnen versprechen, dass es einfacher wird. Also okay Leute, lasst uns zum nächsten Modul springen. Danke. 4. 3 - PCI DSS Prozess ( Foundation ): Hallo zusammen, Willkommen zu diesem Modul, in dem es um PCI DSS geht, den Prozess zu verstehen. Eine Sache, die ich erwähnen möchte, ist, dass viele Leute den Fehler machen. Viele Unternehmen machen den Fehler, dass sie sich für die Implementierung von PCI DSS entschieden haben Sie springen, laden den Standard herunter und beginnen einfach mit der Implementierung, oder? Sie sagen: Okay, ich muss die Multi-Faktor-Authentifizierung aktivieren . Ich muss meinen Server verhärten, ich muss XYZ patchen usw. So wollen Sie PCI DSS nicht starten. Das bereitet dich selbst vor. Wenn Sie PCI DSS-konform sein möchten, müssen Sie einen strukturierten Prozess befolgen. Sie können nicht einfach sofort mit der Implementierung der Anforderungen beginnen . Es wird nicht funktionieren. Sie werden viel Zeit verschwenden und Willis the Lewis sein , auch eine Menge Geld. Lassen Sie uns also sehen, wie Sie PCI, DSS und Umgebung am besten implementieren können? Es gibt zwei Phasen. Eine ist grundlegend, eine ist die Implementierungsphase. Wenn Sie die harte Arbeit in der Gründungsphase erledigen, wird die Implementierungsphase viel, viel einfacher. Die Implementierungsphase dauert in der Regel länger, ist aber viel einfacher weil wir eine feste Richtung haben. Okay, was sind die Schritte? Die wichtigsten Schritte, die Sie ausführen müssen, um PCI DSS erfolgreich in Ihrer Umgebung zu implementieren. Okay, lass uns anfangen. In diesem Modul gehe ich auf die grundlegenden ein. Erster Schritt, am wichtigsten, und manchmal wird er verpasst. Sammeln, Verwalten, Management-Unterstützung. Sie benötigen Managementunterstützung damit Ihr PCI DSS erfolgreich ist. Pci DSS, bitte beachten Sie dies sehr genau. Es ist kein IT-Projekt. Es befasst sich mit Menschen, Prozessen und Betriebstechnologien, die getestet und geschützt werden müssen . Es ist kein Projekt, aber es ist kein IT-Projekt. Viele Unternehmen befähigen die IT-Teams, diese umzusetzen. Du schaffst es, aber was wird passieren? Es wird entweder scheitern oder es wird eine einmalige Aktivität sein. Sie werden im ersten Jahr, im zweiten Jahr konform sein , die IT wird sich mit anderen Dingen beschäftigen. Hab alles vergessen. Sie haben also Ihre Zeit und Ihr Geld verschwendet. Sie müssen zuerst die Kultur ändern, wir brauchen einen Sponsor auf Managementebene, vorzugsweise den CEO oder den CEO, oder jemand könnte die Silbe haben. Sie brauchen diesen Mann, um eine klare Botschaft in der gesamten Organisation zu senden . Pci, DSS hat Priorität und wir werden es implementieren und bitte benennen Sie XYZ-Formeleinheiten. Sie werden das Budget genehmigen weil es Sie kosten wird , Sie müssen Dinge implementieren. Sie nicht davon aus, dass alles kostenlos sein wird, aber der Management-Support stellt sicher, dass Ihre Mitarbeiter jeder die Bedeutung davon verstehen. Und Sie werden Ihr Leben später erheblich erleichtern. Wenn größere Unternehmen eine kontinuierliche PCI- und DSS-Compliance wünschen, ist eine sehr starke Kultur der Zusammenarbeit, Kommunikation und des Engagements der Geschäftsleitung erforderlich . Bitte halte diesen Schritt nicht durch. Nominieren Sie einen Executive Sponsor, der das Budget genehmigt und an den Sie Ihre Projektaktualisierungen senden. Hey Leute, das ist der Status des PCI DSS. Machen Sie es also zu einem Projekt, aber machen Sie kein IT-Projekt. Sie können es von Ihrer Risikoabteilung aus ausführen, egal welche Abteilung Sie haben. Aber machen Sie es nicht zu einem IT-Projekt und stellen Sie sicher, dass Sie Managementunterstützung haben, okay? Okay. Zweiter Schritt. Was ist der zweite Schritt in die Gründungsphase? Es bedeutet, Ihre Verantwortung zu verstehen, aber was sind Sie? Sind Sie ein Händler, Ihr Dienstleister, IU oder Bank. Okay. Weil du verschiedene Prozesse, Technologien, Dinge hast , die im Umfang sind, okay? Sie werden interessiert sein, ich bin sicher, dass Sie wissen, dass Sie in PCI, DSS sind oder nicht. Aber Sie müssen herausfinden, was für ein Geschäft Sie machen. Ist der E-Commerce eine Verkaufsstelle, ist das Outsourcing? Normalerweise empfehle ich daher, sich an Ihre Karriere zu wenden. Es könnte eine Bank sein, es könnte ein Kartensystem wie Visa, MasterCard sein und sie fragen, ich mache XYZ, was muss ich tun, um PCI DSS-konform zu werden? Warum sage ich das? Weil der PCA Council, sagten sie dort unten, haben sie den PCR Standards Council weiß festgelegt, aber jede Zahlung brandneue Visa, MasterCard, sie haben ihre eigenen. Diese validieren es. Sie sollten sich also an die Zahlungsmarken oder die übernehmende Bank wenden . Okay. Das wird dir einen klaren Ton geben wofür er einen Ton genannt hat? Du musst es tun. einem vollständigen Audit müssen Sie einen Fragebogen ausfüllen, Esri Scans einreichen, diese Dinge können Sie auf ihren Websites herausfinden oder Sie können sie selbst kontaktieren. Ich würde empfehlen, beides zu tun , nur um sicherzustellen, dass es keine Unklarheiten gibt. Und später sind Sie nicht überrascht, wie ein Komet verwendet wird, der plötzlich auftaucht und Sie sich dessen nicht bewusst sind. Okay. Das ist also Nummer zwei. Was ist die Nummer Dritter? Dritter Teil. Sie haben also die Zahlungsbank oder den Acquirer kontaktiert. Jetzt erfahren Sie, was Ihre Compliance-Verpflichtung ist. Handelt es sich um einen Fragebogen zur Selbsteinschätzung oder um eine vollständige Prüfung? Es tut uns leid Cq. Der erste, SAQ, ist wie ein Fragebogen zur Validierung von Lisa. Was du tust, ist es selbst auszufüllen. Du musst es niemand anderem machen lassen. Du kannst es selbst machen. Okay. Wenn Sie kein vollständiges Audit durchführen müssen, können Sie einfach einen SAQ ausfüllen. Es ist eine Reihe von Ja- oder Nein-Fragen für jeden PCI, DSS oder Kommentar Sie füllen sie einfach aus 111, wir unterschreiben sie und übermitteln sie dann als Daten. Dies ist eine der einfacheren Möglichkeiten , ein PC-Audit weiterzugeben. Okay. Es ist also genau so, wie es sich anhört. Es ist ein Fragebogen zur Selbsteinschätzung. Sie können es selbst ausfüllen und es wird im Grunde gesagt, dass dies meine aktuelle Compliance-Haltung ist. Niemand wird es verifizieren. Dass deine Arbeit und du ehrlich sein müssen, bitte nimm das nicht lange. Sie müssen ehrlich sein, aber niemand wird überprüfen, ob Sie Ihr Prüfungsteam wirklich einchecken lassen können. Das ist der erste Teil. Oder Sie werden möglicherweise einer vollständigen Prüfung unterzogen , nämlich der Zahlung, die Granville für eine wichtige Einhaltung verlangt hat , und auch einer Konformitätsbescheinigung, bei der es sich um einen EOC handelt, der im Grunde eine vollständige Prüfung ist. Sie müssen sich an Ihren Q-Aufsatz wenden. Sie müssen sich mit dem Unternehmen in Verbindung setzen, das wie in ganz Großbritannien und den USA später besprochen wird. Sie rufen einen qualifizierten Sicherheitsgutachter an. Okay. Im Grunde hatten sie ein PCI DSS-Audit. Sie werden eine vollständige Prüfung durchführen. Sie werden kommen, um Ihre Umgebung zu beurteilen und zu sagen: Okay, das ist zufriedenstellend und geben Ihnen einen Bericht, dass die vollständige automatische Zivilbevölkerung Ihrer Zahlungsspanne bei Ihrer Bank vorgelegt wird. Okay. Aber dieser ist schwieriger, aber ich empfehle normalerweise das vollständige Audit durchzuführen, nur um sicherzustellen, dass es immer am besten ist ein Dritter herkommt und es überprüft. Okay? Dies sind also die beiden Compliance-Verpflichtungen Sie möglicherweise haben. Okay. Jetzt haben wir verstanden, dass ich PCA-konform machen muss. Und was mache ich jetzt? Ein sehr, sehr wichtiger Schritt, bitte überspringen Sie nicht. Dies legt den Umfang fest. Viele Organisationen haben Stärke. Sie haben diese Frage gestellt, okay, wo setze ich PCA-Ideen um, setze ich PCA-Ideen um, wenn ich 12 Niederlassungen in habe, weiß ich nicht, müssen 50 Länder und 5.000 Mitarbeiter PC-IDSs verhindern und alle von ihnen sie? Nein. Wie gesagt, Ihr Geltungsbereich befindet sich im Grunde genommen überall dort, wo die Karteninhaberdatenumgebung gespeichert, verarbeitet und übertragen wird . Das ist sehr schwer zu implementieren PCI, DSS. Viele Organisationen, die Probleme haben, herauszufinden , welche Systeme NPC-Vorstellungen vom Umfang haben und welche nicht. Okay. Dafür würde ich ein Datensatzdokument empfehlen. Ich werde versuchen, es zu berühren, wenn ich kann, heißt PCI, DSS Scoping und Netflix-Segmentierung Ergänzung. Okay. Ich glaube, kam im Mai 2017 heraus. Es gibt Ihnen wirklich eine Anleitung, um zu ermitteln, welche Systeme im Umfang enthalten sein müssen, welche Systeme nicht im Umfang enthalten sind und wie Sie Ihren Umfang durch Segmentierung tatsächlich reduzieren können . Sehr wichtige Leute, Sie müssen Ihr Geschäftsumfeld verstehen, insbesondere wie die Systeme mit Karteninhaberdaten interagieren. Über Karteninhaber werden Daten gespeichert und wir werden darauf eingehen. Aber Sie müssen sich wirklich mit Ihrem Unternehmen zusammensetzen. Setzen Sie sich nicht nur mit den IT-Leuten zusammen, die sich mit Ihrem Unternehmen zusammensetzen , denn während des gesamten Datenflusses von Karteninhabern müssen Sie Ihre Kontrollen darüber hinaus implementieren. Und das sind die Menschen, Prozesse und Technologien, auf denen die 12. PCI-Anforderungen umgesetzt werden. Okay, also was, welcher Rat beim Scoping ist ein sehr wichtiges Thema , das mir Zeit nehmen wird. Was kommt also in den PCS-Bereich? Sie müssen zuerst alle verbundenen Systeme auflisten, auflisten und bestätigen die das Verarbeiten, Speichern oder Übertragen von Karteninhaberdaten betreffen. Okay. Es gibt einige Richtlinien die das Ratsgeschenk einfach formuliert, jedes System, das übertragene Karteninhaberdaten oder sensible Daten speichert , oder jedes System, das sich im selben Netzwerk befindet, hat sie. Das ist ziemlich einfach. Ich denke das ist ziemlich logisch, oder? Und was ist okay, Abgesehen davon, alle Systeme, die sie bereitstellen, die mit ihnen verbunden sind, oder ihnen Sicherheit bieten. Okay. Also was kann das sein? Okay, ein System könnte direkt mit Ihrem Caudal verbunden und durch interne Netzwerkkonnektivität verzweigt sein. Oder es könnte indirekt verbunden sein, vielleicht wie eine Jump-Server-Verbindung. Oder es könnte sich auf Ihre, die Sicherheit Ihrer kardinalen Umgebung auswirken . Vielleicht ist es ein Webserver, ein DNS-Server oder vielleicht ein Server, der Sicherheit bietet, wie Epoxy zur Filterung des Netzwerkverkehrs. Vielleicht verteilt es Patches, Single Sign-On oder vielleicht ist es eine Firewall, die Ihre Karten-Online-Umgebung von den anderen segmentiert . Okay. Ihre Firewalls sind so konfiguriert, dass sie Ampeln blockieren , die in den Geltungsbereich kommen. Oder es unterstützt PCI, DSS oder Kommentare, vielleicht Zeitserver, Ihre SIM-Lösung. Okay? Also dieser Blick auf dieses Diagramm. Es wird dir helfen , das herauszufinden, okay? Und natürlich können Sie verstehen, dass das okay aussieht, verwaltete Dinge, viel System, der Umfang. Wie verkürzen Sie den Umfang von PCI DSS, okay, es gibt Dinge, die Sie tun können, um den Umfang von PCI DSS in Ihrer Umgebung tatsächlich zu reduzieren . Und das Wichtigste ist die Segmentierung. Ohne Segmentierung wird Ihr Netzwerk wie ein flaches Netzwerk. Was heißt das? Das bedeutet, dass sich alles im selben Netzwerk befindet. Okay. Ihre kaudale Umgebung, Ihre Sicherheitssysteme, Ihre Rasenkarte, ältere Systeme, die nichts zu tun haben. Aber Sie sind Karteninhaberdaten. Alle von ihnen sind dasselbe Netzwerk. Und was passiert ist, wenn eines der Systeme kompromittiert ist, wird Ihr Laptop möglicherweise die Verbindung zum Internet kompromittiert. Jetzt kann der Angreifer einfach von diesem Server in Ihre kaudale Umgebung springen . Ohne, wegen dieser Abflachung, wird alles im Umfang sein. Aus diesem Grund müssen Sie Ihr Netzwerk segmentieren. Und es verhindert, dass ein System außerhalb des Bereichs liegt. Sie werden also Ihre Umgebung, die nicht mit Karteninhabern zusammenhängt von Ihrer Karteninhaberumgebung trennen, okay? Und es verhindert , dass diese Systeme miteinander kommunizieren. Und selbst wenn diese nicht-kausale Umgebung gefährdet ist, weil sie nicht so sicher sein wird , hat dies keine Auswirkungen auf die Umgebung Ihres Karteninhabers, okay? Selbst wenn ein Angreifer in dieses Dokument eindringt, haben Sie keinen Zugriff auf die Umgebung des Karteninhabers. Okay? Deshalb ist es für den Angreifer schwierig Einstiegspunkt aus zu migrieren. Vielleicht war es wie ein Laptop oder Workstation für andere Systeme. Okay. Normalerweise verwenden die Leute Firewalls für die Segmentierung, verwenden die Leute Firewalls für die Segmentierung oder Sie können Zonen innerhalb Ihrer Fasern erstellen. Und schauen wir uns an, wie das passiert. Also nur ein einfaches Integral in Blau. So wird ein typisches Flugnetz aussehen, Leute. Das sieht also sehr innig aus. Du hast dein Netzwerk, oder? Die Server, Ihre Midas, heterolytische, Ihre Desktops, Ihre POS-Maschinen. Alle von ihnen haben sich mit einer Firewall derselben Firewall und mit dem Internet verbunden. Sie können also sehen, dass dies wie ein Albtraum ist , der darauf wartet, geschehen zu können. Einer von ihnen wird von einem Angreifer wie ein Strand. Er kann auf so ziemlich alles zugreifen, was Sie von dort in die Karteninhaberumgebung springen können . Das ist nicht der richtige Weg. Also was müssen wir tun, Leute? Wir schaffen ein sogenanntes segmentiertes Netzwerk. Wir erstellen also ein Segment innerhalb der grünen Zonen, innerhalb der Firewall. Und wir teilen es in kleinere Netzwerke wie das Cardano-Netzwerk auf, wie ein Bereitschaftsnetzwerk wie ein Unternehmensnetzwerk. Und Sie platzieren Firewalls oder andere Geräte dazwischen. Das schränkt also ihre Konnektivität ein. So wird ein Segment aussehen und es wird aussehen. Selbst wenn eine Umgebung kompromittiert ist, können Sie nicht zu Ihrer anderen Umgebung springen, okay? Da Sie andere Steuerelemente haben, kann die Segmentierung schwierig sein, insbesondere wenn Sie keinen technischen Hintergrund haben , okay? Daher würde ich immer empfehlen , dass Ihr Netzwerkteam es noch einmal überprüft. Sie haben nur, dass dein Risiko-Typ die Sicherheitsleute sind. Überprüfe es, überprüfe deine gesamte Segmentierung. Und das können Sie, wir werden uns das ansehen. Wie prüfen wir, ob die Segmentierung ordnungsgemäß durchgeführt wurde? Aber ich hoffe ihr habt verstanden, warum es so wichtig ist. Und jetzt können Sie sehen, wie es den Umfang Ihres PCI DSS-Netzwerks verkleinern wird , oder? Sie haben den Umfang und den Umfang außerhalb des Geltungsbereichs. Und nur um ganz klar zu sein, Leute, ein paar lustige Gespräche über außerhalb des Rahmens. Wir sprechen also über Systeme. Sie sind nicht im Umfang für PCI DSS enthalten, sodass Sie PCI DSS dort nicht implementieren müssen. Aber dann haben sie keinen Zugang zur kaudalen Umgebung. Aber wenn doch, dann musst du PCA implementieren, okay? Sie müssen Steuerelemente wie ich bereits erwähnt habe, Segmentierung und andere Dinge haben Segmentierung und andere Dinge um zu verhindern, dass sie Zugriff erhalten. In der PCA-Konsole haben sie also einige Hinweise gegeben. Sie sagen diese anderen Dinge, damit Karteninhaberdaten nicht verarbeitet werden können. Es kann nicht im selben Netzwerk sein, es kann dich nicht verbinden und du magst es einfach nicht so ziemlich alles. Wenn dies der Fall ist, um als außerhalb des Geltungsbereichs betrachtet zu werden, muss es all diese Grauzone erfüllen , und Sie müssen über Kontrollen verfügen , um dem Prüfer die Gewissheit zu geben, dass Sie nicht einfach ändere das morgen, oder? Sie können diese Metrik nicht einfach in dasselbe Netzwerk übertragen. Sie benötigen andere Steuerelemente wie Firewalls, physische Zugriffskontrollen, Multi-Faktor-Authentifizierung, Einschränkung des Administratorzugriffs oder aktive Überwachung dieser Metrik, um sicherzustellen, dass kein Netzwerk vorhanden ist Konnektivität. Okay? Und normalerweise Leute, eine Sache empfehle ich, und sie ist nicht beliebt. Warum es nicht erforderlich ist, PCI, DSS, ein Otoskop zu implementieren. Aber ich empfehle immer, dass Sie konsistente Implementierung von Shade nicht auditiert werden können, aber es ist nur eine bewährte Methode für die Sicherheit, da PCI, DSS ein so guter Kontrollstandard ist, Sie ihn implementieren sollten. auch in Netzwerken außerhalb des Gültigkeitsbereichs. Okay? So sieht es also aus, ein typisches Netzwerk. Okay, darüber habe ich gesprochen, als ich es erwähnt habe. Sie können hier also sehen, Leute, Sie haben eine Caligula-Umgebung oben rechts, Sie haben eine Point-of-Sale-Maschine, Ihre Koordinatensysteme. Es ist mit gemeinsamen Diensten wie Arktis-Territorium, Batching, Logging verbunden . Es gibt einen Jump-Server und Sie haben ein Netzwerk mit äußerem Geltungsbereich, also gibt es keine Konnektivität zwischen dem CDE, der Unternehmensleitung, okay. Es besteht eine Konnektivität zwischen den Shared Services und dem. Sie verstehen jedoch, dass es keine direkte Konnektivität gibt. Wenn es eine direkte Konnektivität gab, wird sie definitiv in den Geltungsbereich aufgenommen. Verwenden Sie dies also als allgemeine Anleitung dafür wie Sie Ihr Netzwerk segmentieren möchten. Okay, also das ist es, wovon ich gesprochen habe, Segmentierung. Es ist wie eine Kunst. Ehrlich gesagt ändert es sich je nach Größe des Netzwerks, je nachdem, wie viel Kontrolle Sie haben, wie viele technische Lösungen Sie haben wie gut Ihr Netzwerkteam ist? Und ich würde nur empfehlen Sie sich vorher an Ihren Prüfer wenden, ihm das Netzwerkdiagramm vor und nach der Segmentierung zeigen und sich von ihm beraten lassen. nicht davon aus, dass sie Ihnen nicht helfen können. Sie sind nicht dazu da, eine Prüfung zu scheitern. Sie sind als Partner da. Wir helfen dir weiter. Wenden Sie sich also an sie. Es wird Ihnen später eine Menge Probleme ersparen. Ich hoffe, das war für euch nützlich und damit war unsere Grundlagenphase abgeschlossen. Gehen wir also jetzt zur Implementierungsphase über. Danke. 5. 3 - PCI DSS (Implementierung): Hallo Leute, Willkommen zu diesem Modul, das der zweite Teil des PCI DSS-Prozesses ist. Jetzt haben wir den grundlegenden Teil genau dort abgeschlossen. Ich werde über den Implementierungsteil sprechen , der sehr wichtig ist. Jetzt. Sie haben die Grundlage geschaffen, Sie haben alle Grundlagen festgelegt. Jetzt beginnt der Spaß , PCI DSS in Ihrer Umgebung zu implementieren . Okay? Eines der wichtigsten Dinge, die Sie tun werden wenn Sie dies noch nicht getan wäre, Großbritannien, USA, zu engagieren. Grundsätzlich der qualifizierte Sicherheitsgutachter. Es ist eine Bezeichnung, die der PCA-Rat bestimmten Personen schenkt , dann sind sie definitiv qualifiziert, jetzt PCI-Spannungs- und Beratungsdienste und Audits durchzuführen . Um ein PCR zu werden, müssen Sie bestimmte Bildungsrekombinanten treffen bestimmte Bildungsrekombinanten eine Zertifizierung zu bestehen und eine entsprechende Schulung vom PCA Council zu absolvieren . Und dann werden Sie bei einer bestimmten Sicherheits- und Wirtschaftsprüfungsgesellschaft angestellt sein . Und in der Regel müssen sie dies jährlich zertifiziert werden. Sie luden die Hierarchie USA ein. Es ist eine unabhängige dritte Partei von Organisationen, die hier konkurrieren wollen, DSS-konform. Okay. Und sie wollen sichergehen, dass sie kommen und das Audit durchführen. Sie beraten Sie, wie Sie PCI DSS-konform werden können. Während des Pre-Sale-Audits wird das QSIF feststellen, ob Ihre Organisation die PCF-Kommentare, das Verzeichnis, zufriedenstellend erfüllt hat die PCF-Kommentare, das Verzeichnis, zufriedenstellend erfüllt , oder ob Sie vielleicht keine Rolle gespielt haben, aber Sie setzen eine andere Steuerung, sind Ausgleichssteuerungen. Wenn das ausreicht, füllt er ein ROC aus und berichtet über die Einhaltung, was wie ein umfassender Bericht ist, und eine AUC, die eine Konformitätsbescheinigung darstellt. Du und er ein Boot, das kann ich zuweisen. Anschließend senden Sie es zur Überprüfung an Ihr Zahlungsschema oder Ihre Bank. Im Grunde sind die drei SQS als dein Freund nicht da, um dich zum Scheitern zu bringen. Du bist schon Zai, der dir hilft. Wenn er Ihnen viele Beobachtungen gibt, glauben Sie mir, es ist zu Ihrem eigenen Vorteil , sicherzustellen, dass diese korrigiert werden. Okay. Eine Menge Leute , die einfach nur ein PC-Audit bestehen und damit fertig werden wollen . Okay. Sie haben das Gefühl, ihren Job gemacht zu haben. Beschäftige dich mit ihnen. Stellen Sie sicher, dass Sie verstehen, was die Anforderungen sind und warum er es tut. Behandelt wie ein Partner. Okay. Behandeln Sie ihn wie einen Partner , damit Sie die Anforderungen des PCI DSS vollständig erfüllen können . Okay, jetzt kannst du zur Kiva gehen und sagen, die ganze grundlegende Arbeit, die wir jetzt geleistet haben, kannst du den Umfang haben. Sie haben das Netzwerk segmentiert. Jetzt können Sie mit der Implementierung der PCI DSS-Anforderungen beginnen . diese werden wir Auf diese werden wir im nächsten Abschnitt näher eingehen. Also werde ich nicht zu viel Zeit damit verschwenden. Im Grunde genommen sind sie sowohl betriebsbereit als auch technisch. Schutz der Karteninhaberdaten steht immer im Mittelpunkt. Wir haben sechs Kategorien und 12 oder Kommentare, und ich werde darauf näher eingehen. Aber die PCL oder die QS sagen, dass sie normalerweise hereinkommen und er macht ein Filamentar wie ein Gap Audit. Okay. Und er gibt dir deine Ergebnisse. So sieht es also aus. Ich bin das erste Mal, das kann ich dir versichern. Wenn Sie zum ersten Mal ein Gap Audit durchführen, werden Sie ein Like haben Sie werden sehr deprimiert sein, wenn Sie die Ergebnisse sehen. Sie werden viele sein und viele Erkenntnisse werden kommen, denn egal wie viel Fundament Sie gemacht haben, all diese Dinge, von denen Sie nichts wussten. Sie werden feststellen, dass die Daten der Karteninhaber an den unvorstellbarsten Orten , die allen passieren, klar sind. Dies basiert auf meinen eigenen Erfahrungen mit der PCR in den letzten zehn Jahren. Okay. Aber es wird viele , viele Lücken geben. Keine Sorge, es ist eine Reise, kein Ziel. Sie erstellen also einen Aktionsplan mit einer langen Liste von Punkten und beginnen, daran zu arbeiten. Okay? Implementieren Sie schnelle Gewinne. Es wird Dinge geben, die Sie sofort umsetzen können. Fangen Sie an, daran zu arbeiten und holen Sie sich regelmäßig Updates, den QSEN, und konzentrieren Sie sich dann auf die langen. Hier habe ich dir gesagt, denk daran, wo du bist und was der gewünschte Zustand ist. Viele Unternehmen haben die Schlüsselwörter dafür. Sie können dies übrigens auch selbst tun, um es Ihnen mitzuteilen, oder Sie können ein völlig unabhängiges Unternehmen haben, wie ein separates Unternehmen aus den USA. Einige große Unternehmen, ich weiß, dass sie es so gemacht haben, okay. Ebenfalls. Es liegt also ganz bei Ihnen, wie Sie das machen. Okay? Aber wie gesagt, konzentriere dich auf die schnellen Bildschirme und dann wirst du diese Ergebnisse haben. Es wird einige Zeit dauern. Hier geht die Managementunterstützung, die ich gesprochen habe, an NP-Hard. Denn wenn der CEO, der CEO Ihnen hilft, glauben Sie mir, die Dinge werden sich bewegen. Andernfalls haben andere Abteilungen andere Prioritäten. Sie haben andere Dinge auf dem Teller, nicht ihre Aufgabe ist es, PCI DSS nicht zu machen. Sie werden viel Unterstützung erhalten, wenn Sie sich frühzeitig mit dem Management-Support in Verbindung setzen. Nehmen wir an, Sie haben es geschafft. Du reparierst alle Lücken. Nun was Also jetzt kommt der letzte Teil, das abschließende Audit ist. Vor dem Finale können Sie die Qualitätskontrolle testen. Okay. Reparieren Sie alles, kommen Sie rein und lassen Sie uns das abschließende Audit durchführen, sammeln Sie Ihre Dokumentation und Ihre Sicherheitsrichtlinien, Ihre Änderungskontrollvereinbarungen, Netzwerkdiagramm-Scanberichte, Dokumentation, Schulung weiter und weiter. Okay. Stellt sicher, dass alle Stakeholder aufeinander abgestimmt und bereit sind. Sie nicht davon aus, dass sie einfach alles fallen lassen und zu Ihren Besprechungen kommen , denn normalerweise muss der QSEN geplante Besprechungen haben , alle im Kalender buchen, ablegen und sicherstellen dass sie die Bedeutung dieses Zeitplans verstehen, diejenigen, die darüber berichten, Ihre Geschäftsleitung ebenfalls involviert ist, und die wichtigsten Personen aus den Bereichen IT , Sicherheitsanwendungen, Personalwesen , Recht, alle die Typen sind da. Gewohnheiten wie eine Art Team können Sie können eine Task Force für PCA bilden , und Sie können diese Kreditlobby-Unternehmen manchmal dazu bringen, dies zu tun. Leute, bitte stellt sicher genügend Zeit zur Verfügung steht, um die Ergebnisse zu korrigieren. Wenn Ihre PCI-Konformitätsfrist der 15. Mai ist, rufen Sie nicht den Prüfer und den 14. Mai an, Sie bitte nicht davon aus, dass er etwas finden möchte. Möglicherweise finden Sie etwas völlig Unerwartetes. Haben Sie einen Puffer von zwei Wochen, ein Monat hängt wahrscheinlich von Ihrer Umgebung ab, um sicherzustellen , dass Sie für den Fall, dass es völlig unerwartete Ergebnisse gibt , genügend Zeit für die Behebung haben sie. Jetzt. Herzlichen Glückwunsch. Sie haben möglicherweise „Audit“ gesagt. Der Prüfer wird den Bericht über die Einhaltung des ROC oder die Einhaltung dieser Entscheidung ausfüllen über die Einhaltung des ROC oder die Einhaltung , oder Sie benötigen dies möglicherweise nicht , wobei meine Ziffern einen Fragebogen zur Selbsteinschätzung ausfüllen. Und du hast den QSR überhaupt nicht gebraucht. Die Berichte sind der offizielle Mechanismus, mit dem Sie als Händler, Dienstleister oder Bank Ihre PCI-Konformität Ihrem Finanzinstitut melden, Ihre PCI-Konformität Ihrem Finanzinstitut melden z. B. eine Zahlung mit der Marke Visa, MasterCard. Und manchmal müssen Sie möglicherweise einen SEQ-Bericht über die Einhaltung einreichen . Manchmal müssen Sie vielleicht sogar einen Stan einreichen. Okay. Es kommt wirklich darauf an. Wie gesagt, es hängt davon ab, wie es gemacht wird. Manchmal müssen Sie möglicherweise auch vierteljährlich Netzwerk-Scan-Historien einreichen. Können wir über Deziliter sprechen. Es hängt wirklich von der Bezahlung wann es schwierig ist, Ihnen für jede Umgebung nur eine Einheitsgröße zu geben. Okay? Okay. Und jetzt bestehen Sie die PCR , mit der Sie sie eingereicht haben. Was jetzt? Sehr wichtige Leute, bitte, Sie müssen PCA als BAU-Prozess implementieren , um sicherzustellen, dass die Sicherheitskontrollen weiterhin ordnungsgemäß implementiert werden Sie müssen sie in Ihren BAU-Prozessen reparieren als Teil Ihrer Gesamtstrategie, wie es in die anderen Abteilungen, Betriebshandbücher, deren Techniker, der das gesagt hat? Nein, sie wissen, dass du das tun musst. Tragen Sie es in Ihren eigenen Kalender ein, die Standards, die Sie tun müssen, die Bewertungen, sie müssen die Anzeige machen. diese Weise können Sie die Wirksamkeit Ihrer Kontrollen überwachen und aufrechterhalten. Also selbst wenn du da bist, bist du nicht da, jemand anderes kommt rein, vielleicht bist du beurlaubt. Jeder weiß, was er tun muss. Okay? So können Sie Ihre Sicherheitskontrollen überwachen , um sicherzustellen , dass im Falle eines Fehlers ein Scan möglicherweise ein Viertel das andere Quartal nicht passiert. Wenn Sie eine Art Kalender haben, ist dies ein großartiger Mechanismus, um zu wissen, wie konsistent PCI DSS läuft , wenn Sie vierteljährlich Scans bestehen. Die Festplattencontroller sind jetzt ausgereift. Stellen Sie also bitte sicher, dass Sie im Rahmen einer BAU implementiert haben. Vergessen Sie es nicht und dann wachen Sie die Vorlesung auf, müssen plötzlich dieses Geschäft machen. So implementiert man PCI DSS im Grunde in seiner Umgebung, Leute, wie ich schon sagte, es ist ein lebendiger Prozess. Es ändert sich ständig, entwickelt sich weiter. Das erste Jahr wird schwierig sein. Am zweiten Tag wirst du sehen, wie du dich besserst. Im dritten Jahr könnten Sie vor großen Herausforderungen stehen. Verbessern Sie den Umfang weiter. Halten Sie nur, ich denke, mit dem Auditor wechseln Sie Ihre Prüfer regelmäßig. Verlassen Sie sich in den nächsten zehn Jahren nicht auf denselben Wirtschaftsprüfer . Das ist keine gute Praxis. immer wieder neue Dinge hinzu Ihrer Umgebung immer wieder neue Dinge hinzu und Sie werden definitiv sehen, wie Ihre Umgebung heranreift, es wird einfacher. Und Sie werden den gesamten Prozess der PCA-Konformität tatsächlich genießen . Okay Leute, damit ist der BCR-Prozess abgeschlossen. Lassen Sie uns nun tief in den Standard und die Anforderungen eintauchen den Standard und die Anforderungen über die ich zuvor gesprochen habe. Wir sehen uns im nächsten Modul. Danke. 6. 4 - Voraussetzung 1: Hallo zusammen. Willkommen zu diesem Modul, in dem wir einen tiefen Einblick in die PCI-Anforderungen geben werden. Zuvor haben wir über den Prozess gesprochen, über den Standard selbst. Jetzt werden sie sich eingehend mit den Anforderungen der einzelnen Studien befassen, okay? Wie bereits erwähnt, werde ich nicht jede Zeile jeder Anforderung durchgehen . Niemand will dafür essen. Dass Sie selbst ehrlich sprechen können, ist die Hauptsache, Sie sollten die Absicht hinter jeder Anforderung verstehen und versuchen, diese zu erfüllen. Pca ist ein technischer Standard. Einverstanden. Aber es gibt dir viel Spielraum. Fangen wir also mit dem ersten Kommentar an und schauen wir uns das an. Und denken Sie daran, dass Sie sich jederzeit an Ihr Handy wenden können. Wenn Sie also über eine Anforderung verwirrt sind, behandeln Sie ihn wie einen Sicherheitspartner. Okay, beginnen wir mit der ersten Anforderung, nämlich der Installation und Wartung einer Firewall. Nur um es noch einmal zusammenzufassen, wenn Sie sich an den Zweck einer Faser erinnern, der Hauptzweck einer Firewall. Warum setzt du hier eine Firewall ein? Ist potenziell schädlichen Verkehr zu filtern, ist die erste Verteidigungslinie. Und einfach ein Glasfasernetzwerk zu installieren macht es nicht sicher, oder? Wenn Ihre Glasfaser also nicht ordnungsgemäß konfiguriert und gewartet wird und die Wirksamkeit im Standardzustand nicht sicher ist. Zusammenfassend möchte ich sagen, dass eine ordnungsgemäß konfigurierte Firewall die erste Verteidigungslinie sein wird , um unerwünschten Netzwerkzugriff zu blockieren. Sie werden es zwischen Ihrem Netz, Ihren Systemen und dem Internet platzieren wollen, auch innerhalb Ihres Karteninhaber-Netzwerks und auch in Ihren anderen Netzwerken. Okay, du brauchst also mehrere Fasern. Normalerweise machen sie das so. Und die Firewall ist normalerweise wenn Sie Ihre Segmentierung durchführen, werden Sie auch Ihre Zonen erstellen. Also das war's. Wenn der Auditor kommt, wird er überprüfen, ob er herausfindet, dass Sie Ihre Firewall in wird er überprüfen, ob er herausfindet den letzten zwei Jahren nicht überprüft haben , das wird ein Problem sein. Wenn er sieht, dass Ihre Firewall immer noch die Standardkennwörter verwendet, z. B. einen vollständigen Zugriff auf das Internet. Nichts von diesen Dingen wird dir Probleme bereiten. Um es noch einmal zusammenzufassen, wir haben schon einmal darüber gesprochen, erinnern Sie sich, wie die Segmentierung funktioniert, oder? Ihre Regeln und Ihre neue Umgebung werden sich also im Laufe der Zeit ändern. Es wird nicht statisch sein. Sie werden also sicherstellen, dass die Segmentierung vorhanden ist und alle sechs Monate überprüft wird. Minimale. Mindestens alle sechs Monate müssen Sie Ihre Glasfaser überprüfen, sie als Dokumentation verlieren und dort einen Bericht erstellen, der belegt, dass Sie die Firewall tatsächlich überprüft haben . Wessen Leute erinnern sich daran? Andernfalls kann der Prüfer nicht wissen , ob Sie dies tun oder nicht. Und was sind die wichtigsten Maßnahmen. Wie ich bereits erwähnt habe, besteht ein häufiger Fehler, ein sehr, sehr häufiger Fehler, den die Leute machen, darin, anzunehmen , dass die Firewall wie eine Pump-Plug-and-Play-Technologie ist. Nach der Installation sind fast immer zusätzliche Anstrengungen erforderlich, um den Zugriff einzuschränken und die Datenumgebung Ihres Karteninhabers zu schützen . Das Endziel der Firewall besteht darin, potenziell schädlichen Internetverkehr und andere nicht vertrauenswürdige Netzwerke zu filtern potenziell schädlichen Internetverkehr . Wenn Sie also im E-Commerce arbeiten würden, wäre die Firewall zwischen Ihrem Internet und Ihrer verwirrten Umgebung vorhanden , oder? Also musst du, das ist der Punkt, an dem das Scoping und all die harte Arbeit, die wir zuvor geleistet haben, ins Spiel kommen. Also wirst du sicherstellen , dass all diese Dinge da sind. Sie werden eine Ablehnungsregel haben. Sie werden eine Pipe-Paketfiltereinheit haben. Jedes Mal, wenn Sie einen Port öffnen, müssen sie die nach oben öffnende IK-Einheit erneut verarbeiten. Wurde das von den Teams überprüft, wurde es nicht verifiziert. Wenn es nur eine Person tut, schaut es niemand an. Okay. Denken Sie daran, dass Sie es schützen müssen. Jeglicher ein- und ausgehender Verkehr aus der kaudalen Umgebung. Sie müssen Standards für Ihre Firewalls haben , was erlaubt ist, was nicht, und Sie müssen eine Art Überprüfung durchführen lassen. Offensichtlich wird niemand Ihre Firewall überprüfen oder niemanden stehlen. Ehrlich gesagt ist es nicht einmal möglich. Aber normalerweise stellen die Leute sicher, dass alles harmlos und francium ist. Und sie sind konfigurierte Alerts. Und wie nennt man jemanden, der es überwacht. Okay. Wenn Sie einen Bericht erstellen, meiner Meinung nach in der Regel dreihundert, werden meiner Meinung nach in der Regel dreihundert, fünfhundert Regeln in einer kleinen Umgebung auftauchen. Das ist also nicht einmal im Entferntesten praktikabel, aber der Auditor wird die IU überprüfen, um sicherzustellen, dass Ihre Firewall nicht nur etwas ist , das Sie einfach einmal einsetzen und alles vergessen. Sie sind wie Überprüfungen, Standards passieren. Es wird überprüft, überwacht und richtig platziert. Es wird also schauen, wo die Fingerabdrücke sind, auch das Glasfaser-Netzwerkdiagramm. Denken Sie also an diese Dinge und der Faserkilometer ist ziemlich einfach. Ich denke, ehrlich gesagt in Ihrem Körper nennt man Sicherheitsmoment. Es ist witzig. Es ist eines dieser Dinge , die sowieso da sein sollten. Der Unterschied zwischen PCA besteht jedoch darin wie viel Aufwand sie so viel Aufmerksamkeit und Ports investieren, die regelmäßigen Überprüfungen und Ihre Due Diligence stattfinden. Ausführen einer Sicherheitsregel ist alles, was erforderlich ist, um Ihre Firewall-Umgebung zu gefährden. Also alles, was ich habe dieses Konzept des Vertrauens, aber überprüfe, weil die Firewall sicherstellt , dass sie aus irgendeinem Grund eingerichtet sind und es eine Ewigkeit ist, wird der Datenverkehr blockiert. Okay. Stellen Sie sicher, dass Sie persönliche Glasfasern auch auf Ihren Laptops und Ihren PCAs, Ihren mobilen Plattformen, haben. Okay. Es handelt sich also nicht nur um eine Unternehmens-Firewall. Stellen Sie sicher, dass die Firewall-Sicherheit konsistent in Ihrem Netzwerk angewendet wird. Das ist also so ziemlich alles. Es ist eine einfache oder kommentierte ID, und Sie können sich den Standard ansehen , um zu sehen, was die Details wie Ablehnung sind. Und eines der Dinge , die passieren sollten, stellen Sie einfach sicher, dass diese Regeln da sind. Und Sie überprüfen und überwachen Ihre Firewall-Aktivitäten. 7. 4 - Anforderung 2: Hallo zusammen, Willkommen zu dieser Anforderung. In dieser Anforderung werden wir die zweite Anforderung behandeln, bei der es sich um Konfigurationsstandards handelt und um die grundlegende Härtung und Standardisierung Ihrer Karteninhaberumgebung. Wenn ich Ihnen ein Wort sagen würde, um dies zu beschreiben, oder zwei Wörter, um diese Anforderung zu beschreiben. Es könnten Standardeinstellungen sein. Traditionell verfügt jedes oder Gerät, Ihr Router oder Ihre Firewall, Ihr Router oder Ihre Firewall, Ihr Server, über bestimmte unsichere Standardeinstellungen, oder? PCM schreibt also vor, dass wir sicherstellen müssen, dass sie es sind. Sie behalten nicht ihre Standardeinstellungen bei und sind sicher, was auch immer Sie in Ihrer Caldwell-Umgebung einsetzen. Es wurde vor seinem Ausfall gesichert. Einstellung. Der einfachste Weg für einen Hacker, auf Ihr internes Netzwerk zuzugreifen. Zertifizierte trockene Standardpasswörter oder Exploits basierend auf Standardeinstellungen und Softwareeinstellungen in Ihrer Zahlungskarteninfrastruktur. Das würdest du nicht glauben. Ich habe schon oft Händler gesehen, die Standardpasswörter für die Verkaufsautomaten oder die Registrierkassen nicht ändern . Es ist, als hättest du ein Geschäft und hast es nachts unverschlossen gelassen. Okay? den allermeisten Fällen handelt es sich also um Standardpasswörter und -einstellungen für Netzwerkgeräte. Sie sind im Internet weithin bekannt. Diese Informationen wurden mit einigen sehr frei verfügbaren Tools bereitgestellt . Sie können Angreifern sehr einfach unbefugten Zugriff auf Ihre Umgebung ermöglichen. Sie können es so oft sichern, wie Sie möchten. Sie können so viele Follower setzen, wie Sie möchten. Aber wenn du das tust, habe ich diese Standardeinstellungen nicht verschoben , als du das Fenster offen gelassen hast. Du hast die Tür abgeschlossen, aber das Fenster offen gelassen. Was sind also die wichtigsten Punkte? Wie stellen Sie sicher, dass Standardkennwörter in verschiedenen Einstellungen bei der Installation gesichert werden? Verwenden Sie dieses Standardkennwort, 123 MVC, wissen Sie, die Standardkennwörter. Gibt es einen Prozess den sich der Prüfer ansehen wird, ist etwas vorhanden, mit dem Sie Ihre Standard-E/A nach einem Standard verhärten können . Okay. Wissen Sie, dass alle Systeme , die über ein Inventar verfügen, eine automatisierte Methode sind, um herauszufinden, wie viele Südstaatler es gibt? automatisierte Methode Was ist, wenn Sie möchten, Sie sollten 50 Server haben, aber wir haben tatsächlich 100 Server und diese 50 verbleibenden sind eigentlich nicht sicher. Woher weißt du davon? Okay. Auf Standards fällt der Barwert auf alle Industriestandards. Das sind also die Dinge, die Sie beachten müssen. Was sind die wichtigsten Maßnahmen, die ergriffen werden müssen? Beständigkeit ist hier die Hauptsache. Wenn Sie diesem Standard etwas wegnehmen , ist es Konsistenz. Sobald Sie also keinen Server hatten und das schaffen, müssen Sie es einfach machen, vorausgesetzt, Sie haben einen Harding-Standard erstellt, oder? Sie sagen, ich werde dem GUS-Benchmark folgen. Okay? Sie müssen sich für alle Umgebungen und die konsistente Art und Weise des Kunden bewerben . Sobald Sie das System konfiguriert haben und sichergestellt haben, dass alles da ist. Du hast noch andere Arbeit zu erledigen, oder? Sie müssen sicherstellen, dass dieses Inventar aktuell ist. Es ist eigentlich eine Zuordnung zur Umgebung. Oft benutzen die Leute ein automatisiertes System. Niemand wird es manuell machen. Okay? Auf diese Weise, wenn es ein System in der kaudalen Umgebung , das nicht zur Verwendung zugelassen ist. Es kann entdeckt werden, warte. Normalerweise verwende ich eine Art Systemverwaltungssoftware , um dieses Inventar zu erhalten. Sie können über die verwendete Hardware oder die Software, die da ist, berichten . Und da neue Geräte online gekauft werden , können sie Standards durchsetzen, okay. Administrator erhält eine Warnung, wenn Ihr System nicht mit Ihrem internen Standard übereinstimmt. Normalerweise habe ich oft gesehen, wie Unternehmen Tools verwendet haben. Okay. Sie benötigen also eine sichere Methode zur Verwaltung der Umgebung und des Inventars aller Elemente, der gesamten Hardware und Software sowie der dokumentierten Konfigurationsstandards. Sie müssen sie nicht von Grund auf neu erstellen, verwenden Sie so etwas wie den GUS-Benchmark, okay? Und Sie müssen eine sichere Möglichkeit haben auf Ihre Systeme zuzugreifen. Stellt sicher, dass alle Standardwerte entfernt werden. Wie macht man das? Es sind viele Tools verfügbar, okay. Normalerweise sieht es so aus. Okay. Wenn Sie also einen Server oder eine Firewall oder eine Appliance in einer beliebigen Stadt oder einem Bundesstaat einrichten einen Server oder eine Firewall oder eine , wird Ihr Team einige Abhärtungen vornehmen. Sie werden ein bisschen scannen. Sie werden sich den Bericht ansehen. Es wird ihnen sagen, okay. Es ist nicht gemäß der GUS-Benchmark verhärtet. Dieses Passwort ist da, diese Dinge sind da. All diese Dinge sind Passworteinstellungen gibt es nicht. Wissen Sie, der grundlegende Teil der Passworteinstellungen und all diese Dinge. sind nicht da, dass der Administrator die Arbeit erledigen wird , und sie werden sie verhärten. Wie setzt man das konsequent durch? Normalerweise verwenden die Leute so etwas wie ein goldenes Bild oder sie haben eine Art Skript, das alles umschaltet. Und darüber hinaus haben sie einen Scan , der ständig stattfindet. Dieser Scan wird durchgeführt und es wird auf Verstöße geprüft . Sie sollten diese Tools also in Ihrer Umgebung haben. Der Prüfer wird sich das ansehen und sicherstellen, dass sicherstellen es Abweichungen von Ihren Standards gibt. Okay, Sie sollten einen Prozess haben, um dies zu beheben. Stellen Sie also sicher, dass diese Dinge, wie gesagt, nur daran denken, dass keine Standardeinstellungen oder Härtung und Standardisierung und ein Überwachungsprozess vorhanden sind, um sicherzustellen , dass alles in Ordnung ist standardisiert in Ihrer Karteninhaberumgebung. Okay, das ist offensichtlich ziemlich einfach. Ich bin sicher, Sie denken vielleicht, dass das schon da ist. Nun, wenn es schon da ist, dann formalisiere es und sieh dir die Anforderungen an, wenn es etwas gibt , das du nicht sinnvoll bist. Okay. Danke Leute. Wir sehen uns im nächsten Video. 8. 4 - Anforderung 3: Hallo zusammen, Willkommen zu diesem Modul. Nun, dies ist wahrscheinlich die wichtigste Voraussetzung für PCI DSS Wenn Leute über PCI DSS sprechen, sprechen sie oft nur deshalb über diese spezielle Anforderung erfasst im Grunde genommen, was PCI DSS als n. Es ist eines dieser einzigartigen Dinge, die PCI DSS hat. Okay. Und ich spreche über den Schutz von Karteninhaberdaten. Ich kann mich nicht erinnern, was ich dir vorhin gesagt habe , dass ich keine Anforderungen auswendig gelernt habe Es trifft nicht auf diesen zu. Sie sollten diese Anforderung auf jeden Fall in- und auswendig kennen da sich der Prüfer darauf am meisten konzentrieren wird. Okay. Dies ist der Punkt, an dem Sie möglicherweise die Prüfung nicht bestehen können, wenn Sie die Prüfung nicht ordnungsgemäß befolgen . Das ist also sehr, sehr wichtig. Wenn wir also über Karteninhaberdaten sprechen, sprechen wir im Grunde genommen von allen Informationen , die gedruckt, übertragen oder auf einer Zahlungskarte gespeichert werden, okay? Wenn Sie Zahlungskarten akzeptieren möchten und von Ihnen erwartet wird , dass Sie diese Daten schützen, unabhängig davon, ob sie gedruckt oder in einer Datenbank, einem internen öffentlichen Netzwerk oder vielleicht in einer Cloud gespeichert sind. So wissen die wesentlichen Parteien, wo Sie diese Daten speichern und was Sie nicht brauchen, um sie nicht zu speichern. Und finden Sie heraus, wo Sie diese Daten speichern. Sie möchten nicht, dass der Auditor es findet. Du willst es selbst herausfinden, okay? Das sind also die Dinge. PCI, DSS ist sich also sehr, sehr klar darüber, was Sie speichern können und was nicht. Und Sie sollten wissen, was Sie speichern, wo Sie speichern und wie Sie es speichern, um sicherzustellen , dass Sie den PCI DSS-Standards entsprechen. Also nur um einen Blick darauf zu werfen, wenn du über Karneval sprichst , über die Elemente, wovon reden wir? Es gibt etwas, das sich die Kontonummer nennt, die Karteninhabernummer, im Grunde die Pfanne, die wir nennen werden Das ist eine 16-stellige Zahl. Wir haben Dinge wie den Namen des Karteninhabers, das Ablaufdatum, den Servicecode. Auf der Rückseite müssen Sie die Daten und die Magnetstreifendaten verfolgen , und Sie haben den CVD-Code Sie für E-Commerce-Transaktionen verwenden können. Wenn Sie diese Daten speichern, müssen sie grundsätzlich geschützt werden. Dann speicherst du es zeigte diese Daten. Es muss geschützt werden, wenn Sie das Delta drucken, es muss geschützt werden. Das Problem tritt normalerweise auf, wenn Menschen diese Daten unwissentlich verzerren und nicht schützen Hier kommt die überwiegende Mehrheit der Probleme ins Spiel. Also was bedeutet PECSA und wie was sollte gelagert werden? Okay? Zuallererst, also teilt es die Daten in zwei Elemente auf, okay? Sie sprechen von Karteninhaberdaten und sensiblen Authentifizierungsdaten. Okay. Also dein Pan, dein Servicecode zur Erkundung des Karteninhabers, das sind Servicecode zur Erkundung des Karteninhabers, Karteninhaberdaten. Du kannst es lagern, aber du musst es schützen. Und die andere, bei der es sich vertrauliche Authentifizierungsdaten wie die Daten, den CVD-Code, die PIN und den Pin-Block handelt, die PIN, die Sie bei einer Transaktion eingeben handelt, die PIN, die Sie bei einer Transaktion vertrauliche Authentifizierungsdaten oder SAD, speichern Sie sie nicht. Wenn nicht, müssen Sie es nicht speichern, nachdem die Transaktion autorisiert wurde. Okay. Dann können diese großen Kompromisse, die passiert sind, böswillige Menschen, die in den meisten Fällen diese großen Kompromisse, die passiert sind, böswillige Menschen, die herausfinden, dass diese Daten gespeichert werden , und sie verwenden sie, um Ihre Karte zu reproduzieren und eine betrügerische Transaktionen. Der CPP-Code ist Ihnen bewusst , dass der dreistellige Code , den Sie für die E-Commerce-Transaktionskarte verwenden , keine Transaktionen darstellt. Der Pin-Block ist also natürlich der Pin , den Sie verwenden. Es wird ein Pin-Block. Es wird verschlüsselt. Aber selbst wenn es verschlüsselt ist, kann man es nicht speichern, Leute, um sich nur daran zu erinnern, ich denke Dinge, die man speichern kann, wenn es Produktionen ist. Also denke ich Dinge, die man nicht lagern kann, okay? Und das ist die Hauptsache, die Sie beachten müssen , wenn Sie den Guardiola-Namen speichern , und wie nennt man sie, wenn Sie die Pfanne lagern, müssen Sie sie verschlüsseln. Oder wenn Sie es zeigen, müssen Sie möglicherweise andere Dinge tun. Also werde ich, was ich tun werde ist, weil sie viele, viele Möglichkeiten haben , das zu tun. Wie nennt man es schützen. Dann speichern Sie es, wenn Sie es zeigen, wenn Sie es drucken. Ich möchte eins nach dem anderen gehen. Was sind die Schritte , die PCA Ihnen mitteilt? Also zuerst ist Maskierung oder was ist Maskierung von Videos normalerweise, wenn Sie sie auf Bildschirmen oder Quittungen von Ausdrucken anzeigen . Es ist nicht zu verwechseln mit den anderen Anforderungen wie dem Lagern, okay? Wenn Sie also auf dem Bildschirm angezeigt werden, wenn Sie vertikal stehen und diese Person nicht verpflichtet ist, es zu sehen. Okay? Was Sie also tun können, ist , die Pfanne zu maskieren, im Grunde können Sie XXX so wie die Kartennummern sind. Abgesehen davon bekommst du das Maximum. Du kannst uns die ersten sechs und die letzten vier zeigen. Alles andere kannst du einfach ausblenden. Sie können also sehen, dass dies der Lagertank ist. Wenn es auf dem Bildschirm geteilt wird können Sie vollständig maskieren, okay, wir sprechen nicht darüber, wie die Daten gespeichert werden. Wir sprechen darüber , wann es gezeigt wird. Okay. Wenn die Computerbildschirme von Missy und wenn es nicht geschäftlich notwendig ist, den gesamten Bereich anzuzeigen den gesamten Bereich anzuzeigen wie Ihre Callcenter-Agenten oder andere Personen, haben sie möglicherweise einen ordentlichen Blick auf den gesamten Bereich. okay, das musst du dokumentieren. Aber neunmal von Dingen, die Sie nicht brauchen. Okay? Es gibt also grundsätzlich bestimmte Ziffern während der Anzeige, sogar an Feiertagen, unabhängig davon, wie die Pfanne gelagert wird, Sie können den Geschmack maskieren. Okay, der erste Schritt ist das Maskieren. Finde heraus, wo du es maskieren musst. Und eigentlich sollte Maskierung nur bei jemandem, der eine Geschäftsanforderung hat, die Standardeinstellung sein. Wenn Ihr System in der Lage ist, es zu maskieren, schalte ich es einfach auf der ganzen Linie ein, nachdem Sie sich beim Unternehmen erkundigt haben. Okay. Das war also der erste, der maskiert wird. Die zweite Umkehrung ist eine Verkürzung. Sie können die Daten auch kürzen, wenn Sie sie speichern. Kürzung ähnelt der Maskierung, aber da haben Sie keine XXX unserer Daten, wir verwerfen einfach diese Ziffern. Sie können hier sehen, dass dies eine vollständige Pan-Nummer ist. Und wenn Sie es in einer Datenbank speichern, könnten Sie es einfach verwerfen, okay? Im Grunde macht es die Karte also unlesbar. Ein Segment dieser Daten wird entfernt. Und es wird normalerweise verwendet, ich habe gesehen, dass es in Datenbanken und Dateien verwendet wird. Selbst wenn ein Angreifer bis heute Zugriff erhalten kann, kann er nichts tun, da diese Ziffern entfernt wurden. Manchmal können Unternehmen dies auch als Methode verwenden. Das ist mehr auf dem Lager, okay? Okay, was gibt es sonst noch? Sie können einseitig hashen. Dann speichern Sie Daten. Was ist der Einweg-Hash? Es ist wie ein kryptografischer Prozess. Es nimmt Ihre Daten und konvertiert sie in einen anderen String-Typ. Jedes Mal, wenn Sie es auf einer Pfanne machen, wird es ein anderes Ergebnis zeigen. Warum nennst du es einen Einweg-Hash? Weil es immer noch umkehrbar ist. Sie können diese Vertikale also nicht aus dem Hash erhalten. Du kannst die Kartennummer nicht zurückbekommen. Okay? also viel Zeit verwendet Es wird also viel Zeit verwendet, um zu überprüfen, ob Daten geändert wurden oder nicht, aber Sie können sie auch zum Speichern verwenden, okay? Im Grunde erstellen Sie also einen irreversiblen Einweg-Hash Ihrer Daten. Es liegt an Ihnen, ob Sie diesen Prozess nutzen möchten . Ich habe gesehen, wie es benutzt wurde. Denke nur daran, dass du von diesem Hash nicht zurückkehren kannst. Du kannst es nicht für zukünftige Transaktionen verwenden, okay? Weil diese Daten irreversibel geändert werden. So wie wir manchmal Süßigkeiten brauchen, die Sie nicht lagern müssen, so wie Sie es tun, müssen Sie nicht maskieren. Es dient nicht nur zum Abschneiden und Sie benötigen diese Daten nicht, Sie können sie auch als Hash speichern. Das ist eine Möglichkeit wie möglich. Also haben wir über Trunkation-Leute gesprochen, nur um zurückzugehen. Das war also kaukasisch. Wenn du es speicherst, ist das Hashing. Jetzt kennst du den Unterschied. Eine Sache sehr, sehr wichtig Leute. Sie können keine verkürzten und gehashten Versionen derselben Zahlungskarte speichern . Virginia kaudale Umgebung. Okay? Denn was passiert ist, dass diese korreliert werden können. Was meine ich damit? Wenn der Angreifer Zugriff hat, wie nennt man das abgeschnittene und das Band und die gehashten Versionen der Datensatznummer, kann er tatsächlich den ursprünglichen Plan basierend auf diesen beiden Daten zurückerhalten . Wenn Sie es also in Datenbanken und flachen Dateien wie Tabellenkalkulationen oder vielleicht wie Backup-Audit-Logs speichern , müssen Sie es möglicherweise schützen und nicht zusammen speichern. Okay. Er war einer der beiden, aber lagere sie nicht zusammen. Viele Leute, die ich gesehen habe, vergessen manchmal diese Anforderung und das Abschneiden und Hashing werden gleichzeitig durchgeführt . Bitte tu das nicht. Okay, was gibt es sonst noch? Tokenisierung. Die Tokenisierung ist ein sehr einfacher Vorgang. Was passiert ist manchmal, dass man gesehen hat , dass man es schneidet, wenn man es hasht. Das 16-stellige Format ändert sich, oder? Es ist keine 16-stellige Zahl mehr. Die Tokenisierung ist ein Prozess, der die ursprüngliche Kartennummer ersetzt. Eine weitere 16-stellige Zahl. Auch das nennt man ein Zeichen. Der Token mag wie eine legitime Karteninhabernummer aussehen, ist es aber nicht, er hat für einen Angreifer keinen Wert. Okay? Normalerweise ist dies reversibel, sodass Sie tokenisieren können, dass Sie etwas haben, das sodass Sie tokenisieren können, dass Sie als Token-Volt bezeichnet wird. Also mit dem Formular dieses Tokens können Sie die ursprüngliche Kartennummer zurückholen, die ursprüngliche Kartennummer zurückholen, okay, Sie können sie zurückbekommen. Tokenisierung, normalerweise habe ich sie gesehen. Sie wird verwendet, wenn Leute nur Karteninhaber- und Karteninhaberdaten für zukünftige Transaktionen speichern möchten . Sie möchten jedoch sicherstellen, dass es sicher ist, und sie möchten nicht, dass dieses Format geändert wird. Also ich meine, du kannst es gibt mehrere Möglichkeiten, das zu tun. Du kannst es aus der Pfanne machen. Sie können es nach dem Zufallsprinzip generieren. Sie können ein Token haben, wobei ein Token-Tresor erstellt wird, bei dem es sich um die Tokenisierung und D-Tokenisierungsdaten handelt. Es gibt mehrere Möglichkeiten, dies zu tun. Verstehen Sie einfach das Token, das den Speicher bewahrt, formatieren Sie die 16-stellige Pan, und Sie können es umkehren, damit es tokenisieren und D tokenisieren kann. Manchmal können Ihre Datenbanken große Datenmengen speichern, die beim Hashing herauskommen würden , und sie benötigen eine 16-stellige Zahl. Tokenisierung hilft Ihnen also. Tokenisierung manchmal nehme ich sie sogar aus dem Geltungsbereich. Aber darum gibt es noch viel zu tun. Das ist also der grundlegende Unterschied zwischen Tokenisierung und anderen Funktionen. Schließlich ist die Verschlüsselung, die am häufigsten vorkommt. Die Verschlüsselung ähnelt der Tokenisierung insofern , als Japan durch andere wertlose Daten ersetzt wird . Die Verschlüsselung ist jedoch etwas anders, da sie zunächst nicht das Originalformat beibehält. Und es verwendet einen Schlüsselmanager wie eine Wand mit einem kryptografischen Schlüssel. Und es wird wie ein Schlüsselmanager verwendet, weil Ihr Kind einen Schlüssel und einen Algorithmus verwendet, um eine riesige Zahl zu generieren, Sie die ursprüngliche Kartennummer nicht aus diesen Daten abrufen können . Okay? In der Regel nimmt die Datengröße , als würde das Originalformat nicht beibehalten. Es liegt also ganz bei Ihnen, was Sie verwenden möchten. Manche Leute bevorzugen die Tokenisierung weil sie dieses Format in der 16-stelligen Zahl wiederherstellen möchten dieses Format in der 16-stelligen Zahl andere bevorzugen Verschlüsselung. In der Regel hängt es von Ihren Geschäftsanforderungen ab. Weiß nur eine Sache. Ich habe über einen Schlüssel gesprochen, als ob du einen Schlüssel brauchst, um diese Daten zu verschlüsseln. Also diesen Schlüssel müssen Sie diesen Schlüssel auch mit einem anderen Schlüssel verschlüsseln, und Sie müssen ihn separat speichern . Es ist so, als könnten Sie sich auf die Anforderung beziehen. Wissen Sie nur, wenn Sie Daten verschlüsseln, Daten eines Karteninhabers müssen Sie sie mit einem Schlüssel verschlüsseln und diesen Schlüssel auch schützen Sie müssen diesen Schlüssel erneut verschlüsseln. Denken Sie also daran, dass wenn Sie über Verschlüsselung sprechen, ich weiß, dass es ein Lottoschein ist, Leute. Gehen Sie das einfach durch, überarbeiten Sie es und langsam, langsam beginnen Sie es zu verstehen. Sie müssen nicht implementieren, all diese Dinge sind Zahlen, die Sie einfach mit Verschlüsselung oder Hashing oder Tokenisierung auskommen können . Kennen Sie einfach diese verschiedenen Abteilungen. Okay? Dann sprechen Sie, wie ich mich erinnere, davon, dass ich darüber gesprochen habe, unsere Daten zu finden. Sie müssen also Ihre Datenquellen überprüfen, um sicherzustellen, dass das NADH Karteninhaberdaten unverschlüsselt speichert. Sie haben keine sensiblen Authentifizierungsdaten. Sehen Sie sich Ihre Transaktionsprotokolle, die Transaktionsdaten und Ihre Ablaufverfolgung an. Versuchen Sie, wie Sie wissen, manchmal schalten Leute die Ablaufverfolgung zur Fehlerbehebung ein. Oft fängt das an, unverschlüsselte Daten zu speichern, okay. Schauen Sie sich Ihre Datenbankschemas an. Schemas können Ihnen zeigen, ob dort eine Kartennummer vorhanden ist . Okay. Schauen Sie sich Ihre Backups an, alle vorhandenen Speicher-Crash-Dump-Dateien. Okay. Ihr DLP, viele, viele Dinge beginnen gerade von links. Sie können sich Ihre Zahlungsterminals ansehen, unabhängig davon, ob Sie alle Daten, die Sie speichern, alle vertraulichen Authentifizierungsdaten beherrschen oder abschneiden . Sie speichern keine Daten unbestimmt. Schau dir deine Bildschirme und Berichte an. Okay. Gibt es jemanden, der Daten anzeigen muss , können Karteninhaberdaten, wenn nicht, nur Musselin, das in den Berichten abgeschnitten ist, wenn nicht, nur Musselin, das in den Berichten abgeschnitten ist, diese Extremität, diese trostlosen Daten, verwenden. Was ist, wenn du es aushältst? Okay. Was ist, wenn jemand Fernzugriff hat, kann er diese Daten aushalten. Haben wir DLP-Steuerelemente? Was ist mit Datenbanken und Speicher? Okay. Also, wenn Sie diese Daten speichern, haben wir dort eine Protonenverschlüsselung? Gibt es vertrauliche Authentifizierungsdaten? Normalerweise haben die Leute ein Tool, das die Datenbanken scannt und ihnen Bericht erstattet. Sie können das nicht manuell machen. Es wird Millionen von Datensätzen geben, das können Sie nicht manuell machen. Und zuletzt die Dateifreigabe. Oft Dateifreigaben oder ein blinder Fleck. Die Leute wissen nicht, dass Mitarbeiter Karteninhaberdaten in Excel oder so genannte flache Dateien ablegen Excel oder so genannte , und sie wissen es nicht und plötzlich machen sie das Audit, es kommt auf. Stellen Sie also sicher, dass Sie diese auch scannen, und stellen Sie sicher, dass sie nicht exfiltriert werden können. Diese anderen Dinge, Leute, ich habe mehr Zeit damit verbracht , weil es sehr, sehr wichtig ist, das zu wissen. Also wichtige Maßnahmen. Finden Sie heraus, dass die Daten des ersten Grafikkarteninhabers nicht nur die technische Methode verwenden, sondern auch mit den Leuten sprechen Karteninhaber-Datendiagramm zeichnen. Setzen Sie sich mit Ihrem Unternehmen zusammen und finden Sie heraus , wie der Datenfluss vom Zeitpunkt der den Karteninhaber bis zur Datenerfassung über den Karteninhaber bis zur Autorisierung und Speicherung aussieht. Okay. Sie finden es also in Datenbanken, Dateifreigaben, sogar E-Mails, Sie finden es als Cloud-Outsourcing-Anbieter. Und zum Schluss möchte ich darüber sprechen, okay, was ist, wenn Sie PCA Control Sowjet nicht implementieren können? Ich möchte das im Hinterkopf behalten. Wir werden später über etwas sprechen, das als Kompensationskontrollen bezeichnet wird . Das ist also etwas, das Sie beachten müssen. Was ist, wenn Sie nicht verschlüsseln können , weil es sich um eine veraltete Anwendung handelt, oder? Also was wirst du das tun? Ich möchte also, dass du das im Hinterkopf behältst. Okay. Was bedeutet das? Sie benötigen eine Datenaufbewahrungsrichtlinie. Vielleicht müssen Sie die Karteninhaberdaten nach 30 Tagen nicht mehr stoppen , okay. Löschen Sie es einfach, dann brauchen Sie es nicht mehr zu behalten. Sie sollten ein Datenflussdiagramm haben. Der Prüfer wird fragen, wie Sie zunächst herausfinden, wo Ihre Daten gespeichert sind? Haben wir ein Tool, das regelmäßig Ihre Server, Datenbanken, Laptops und die wichtigsten Leute scannt , speichern Sie bitte keine sensiblen Authentifizierungsdaten. Nachdem Ihre Kartenautorisierung abgeschlossen ist. Bringen Sie Ihren Truck auf Daten oder MOOC. Wir hören nicht in Blöcken um Kiefern auf Kundeneingängen zu maskieren. Und wenn Sie es speichern, die Karteninhaberinformationen, dann bitte Maskottchen oder abgeschnitten oder Sicherheit zur Verschlüsselung. Stellen Sie sicher, dass es sich um die Datenbanken handelt oder dass so wenige Personen wie möglich auf deren Speicher zugreifen. Okay. Das war also die Anforderung, Leute. Ich hoffe es war nicht zu viel. Nehmen Sie sich Zeit, gehen Sie zum Standard. Die Hauptsache ist herauszufinden, wo sich Ihre Karteninhaberdaten befinden, und entsprechend geschützt. Speichern Sie dann keine Daten, es sei denn, Sie benötigen sie nicht. Gehen Sie dieses Modell einfach noch einmal durch. Es wird überarbeitet. Sie haben also eine bessere Vorstellung davon und machen sich Notizen und versuchen dann , es in ihrer Umgebung zu implementieren. Das kann ich dir garantieren. Wenn Sie im Kartengeschäft tätig sind, finden Sie Karteninhaberdaten dort, wo Sie nicht erwartet haben, sie zu finden. Das ist eine übliche Sache. Hab keine Angst davor. Stellen Sie einfach sicher, dass Sie über einen Prozess verfügen , um das Problem in Zukunft zu beheben. Okay, Leute, wir sehen uns jetzt im nächsten Abschnitt. Hoffentlich hast du jetzt eine bessere Idee und wir sehen uns im nächsten Modul. 9. 4 - Anforderung 4: Hallo Leute, Willkommen zu diesem Modul. Dieses Modul ist relativ kurz. Es ist ziemlich einfach , Daten, offene und öffentliche Netzwerke zu sichern . Das ist ziemlich einfach. Denke ich. Ich glaube nicht, dass ich das zu viel erklären muss , aber berechne es. Ich meine, wenn Sie es über ein offenes und öffentliches Netzwerk senden , haben Sie zwei verschlüsselte, oder? Sie möchten nicht, dass sich die Leute nur diese Daten ansehen. Dies wird es an einen Drittanbieter-Prozessor senden , vielleicht Backups, vielleicht über die Cloud. Und am wichtigsten ist, dass Cyberkriminelle diese Übertragung über Guardiola-Daten möglicherweise abfangen können . Daher ist es wichtig, Kontrollen vorzunehmen , die ihre Verschlüsselung verwenden kann. Sie können jede Verschlüsselung mit TLS der starken kryptografischen Einheit und all diesen anderen Steuerelementen vornehmen. Möglicherweise haben Sie Kassenterminals, die Daten über das Internet oder drahtlos oder GPRS senden . Sie haben Verschlüsselung darüber, über Ihre Geiger und andere Mobilfunktechnologien. Okay. Und was ist mit Messaging? Wie E-Mail, Instant Messaging, SMS, Chat. Damit können Sie auch Karteninhaberdaten senden. Sie müssen also Richtlinien und Steuerelemente wie DLP einrichten. Es ist also sehr, sehr wichtig, diese Dinge zu haben. Es gibt eine Mischung aus technischen und betrieblichen Kontrollen. Sie denken vielleicht, es ist sehr einfach, aber glauben Sie mir, besonders wenn Sie Kassenterminals verwenden, was oft passiert , sind Kassenterminals , die alte Versionen von TLS verwenden, TLS 1.1, und wir verwenden nicht die neueren Versionen wie 1.21.3. Sie müssen sicherstellen, dass Sie einen Plan für die Migration haben. Bauen Sie einfach die Datenflussdiagramme , über die wir zuvor in gemeinsamen drei gesprochen haben Sie werden das Cardo-Datum kennen an dem NBC nach draußen gesendet wird. Ich möchte sichergehen, dass es verschlüsselt ist. Wenn sie über offene öffentliche Netzwerke gesendet werden. Du möchtest nicht sicherstellen , dass diese Verschlüsselung oder sie interne Richtlinien haben keine klaren Kartennummern per SMS, über Chat oder über Slack-Teams zu senden . Bitte hab das nicht. Okay? Sie möchten Ihre Kassenterminals überprüfen , um sicherzustellen, dass sie ordnungsgemäß verschlüsselt werden. Wenn Sie sie nicht warten, wenden Sie sich an einen Anbieter, der sich an den Anbieter wendet und sicherstellt, dass diese Kassenterminals nicht anfällig für bekannte Exploits wie Standardschwachstellen sind . Normalerweise ist es der Anbieter, der Ihnen sagt, dass Sie Ihre eigenen Tests durchführen können. Ebenfalls. Oft stellen diese Unternehmen sicher, dass ihre Kassenterminals bereits nach PCI DSS zertifiziert sind. Sie können die modale Nummer überprüfen. Sie können auf die Website gehen und tatsächlich den Mörtel Lendenwirbel einsetzen, diese Version einsetzen und sehen, wo es einen Lebensstil gibt , der zertifiziert ist. Dies wird normalerweise als rosa Transaktion PDF-Standard bezeichnet. Und ich denke, es gibt noch einen Standard, aber Sie können ihn auf ihrer Website überprüfen. Es wird Ihnen sofort mitgeteilt, ob dieses Gerät sicher ist oder nicht, und zertifiziert Daten gemäß dem PCI DSS-Standard. Das ist so ziemlich das, was es ist. Ihr stellt sicher, dass ihr ein Inventar all eurer Daten habt , die verschickt werden. Oft sind es die Kassenterminals. Stellen Sie sicher, dass Sie die Kontrolle über Ihre Endbenutzer-Nachrichten wie E-Mails, Pufferzeit, was auch immer Sie verwenden, haben. Diese Kontrollen müssen vorhanden sein, um zu verhindern, dass Karteninhaberdaten über das öffentliche Netzwerk gesendet werden . Okay, das schließt diesen speziellen Abschnitt ab. Und zum Schluss stellen wir einfach sicher, dass Sie TLS 1 nicht verwenden, deaktivieren Sie all diese unsicheren Protokolle. Sie möchten diese frühen Implementierungen von SSL und TLS nicht verwenden , da dies sehr leicht zu kompromittieren ist. Es wird nicht als sicher angesehen . Erkundigen Sie sich bei Ihrer Verkaufsstelle nach ihrem Point of BI-Anbieter und haben Sie eine Art Plan. Wenn Sie feststellen, dass Ihre Point-of-Sale-Geräte es verwenden, benötigen Sie einen Risikominderungsplan und einen Migrationsplan indem Sie ihn in den nächsten 12 Monaten oder 18 Monaten belassen Ihre Point-of-Sale-Geräte es verwenden, benötigen Sie einen Risikominderungsplan und einen Migrationsplan, indem Sie ihn in den nächsten 12 Monaten oder 18 Monaten belassen. um alles auf TLS 1.2 zu migrieren, denn glauben Sie mir, der Auditor wird Sie das fragen. Okay, das schließt es ab, Leute. Wir sehen uns im nächsten Modul. Danke. 10. 4 - Anforderung 5: Hallo Leute, Willkommen in diesem Bereich. Diese Anforderung ist, denke ich, am einfachsten für Sie verteilt, was bedeutet, dass es nur ein größeres Problem gibt als nicht PCI DSS zertifiziert zu sein. Diese Anforderung betrifft Antivirus Anti-Malware-Programme, die auf allen Systemen installiert werden müssen , die häufig von Malware betroffen sind. Sie müssen sicherstellen, dass Sie dort eine Antivirenlösung haben , die sich dort befindet, dass alles in der Kardinalumgebung, Sie möchten sicherstellen, dass es vorhanden ist. Es steht regelmäßig, ist regelmäßig auf dem neuesten Stand. Und Sie sollten einen Prozess haben, um herauszufinden , ob ein neuer Angriff stattfindet. Wie werden Sie herausfinden, ob ein Zero-Day-Exploit stattfindet oder ob plötzlich Malware alle Systeme beeinträchtigt? Hast du eine Art herauszufinden, was passiert, welche Alarme kommen, okay. Stellen Sie daher in der Regel sicher, dass ein PCSS Anti-Malware auf Systemen implementiert , die häufig betroffen sind. Die Leute nehmen es für Windows, aber Sie sollten es auch auf Linux setzen, viele der Linux-Server-Varianten, die es gibt, unterstützen Anti-Malware. Stell sicher, dass es da ist. Sei nicht faul auf Linux. Und stellen Sie sicher, dass Sie Anti-Malware durchgängig implementiert haben . Du scannst es. Und was passiert. Oft setzen die Leute gerne eine Anti-Malware ein, aber wenn eine Warnung kommt, schaut sie sich niemand an. Okay? Sie möchten also sicherstellen, dass diese Warnungen in gewisser Weise irgendwohin gehen tatsächlich eine Aktion ausführen , die auf dieser Warnung basiert, sodass das Kompromissfenster sehr kurz sein muss. Diese Dinge stellen sicher, dass Ihre Antikörper auf dem neuesten Stand sind und dass Warnmeldungen gesendet werden. Okay, gehe hier von nichts aus. Wie gesagt, die wichtigsten Punkte sind die Bereitstellung von Antivirenprogrammen auf häufig betroffenen Systemen und nicht häufig betroffenen Systemen Bitte Leute, wenn Sie eine Art Linux oder etwas anderes haben , wenn es eine Möglichkeit gibt, Anti-Malware zu implementieren, bitte bereitstellen. Seien Sie nicht faul, okay, stellen Sie sicher, dass es aktualisiert wird, wenn Sie auf automatisches Scannen eingestellt sind und wenn etwas passiert, werden diese Warnungen irgendwohin gehen. Okay. Ihre Definition sollte aktuell sein. Es sollte Ihrem IT-Administrator nicht möglich sein kann aber nicht einfach Antivirus White deaktivieren. Stellen Sie sicher, dass dort eine Aufgabentrennung besteht. Und Sie sollten sicherstellen, dass einige Praktiken , die, wenn Sie sie aufrufen , um Systeme regelmäßig zu bewerten, wie vielleicht ein altes Legacy-System AS 424 Tandem HP nicht all diese stoppen alte Systeme , die viele Leute nicht mehr benutzen. Lassen Sie jedoch eine Art regulatorische Risikobewertung durchführen, um herauszufinden, ob Branchenwarnungen veröffentlicht werden . Vielleicht ist in letzter Zeit ein neuer Virus herausgekommen , den Sie nicht kennen, und der diese Systeme beeinträchtigt. Stellen Sie also bitte sicher, dass diese Kontrollen vorhanden sind und dass dies dokumentiert ist, dass sie diesem Prüfer die Gewissheit geben können , dass Sie einen Prozess haben, tot ist und Sie weit darüber hinausgehen. Okay? Sie betrachten die Branchentrends und führen Kontrollen ein , die vorhanden sein müssen. Das ist also ein ziemlich einfach zu erfüllender Standard. Ich denke nicht, dass es irgendwelche Schwierigkeiten geben sollte. Normalerweise Menschen, die auf Probleme stoßen , wenn sie sich diese Legacy-Systeme ansehen. Abgesehen davon denke ich, dass Implementierung einfach sein sollte. Danke Leute. Wir sehen uns im nächsten Modul. 11. 4 - Anforderung 6: Hallo zusammen, willkommen zu dieser Lektion. Und in der Ansicht VHDL sind wir auf halbem Weg durch das Array zu Cram und Six, das sichere Systeme entwickelt und wartet. Okay? Und das ist eine dieser Abteilungen, die viele Leute hassen, weil es mit Patchen zu tun hat. Schon wieder. Ich glaube nicht, dass irgendjemand gerne patcht, aber leider ist es ein obligatorischer Bestandteil jedes Sicherheitssystems. Und Sie müssen über ein System verfügen, um anfällige Systeme zu patchen. Warum tust du das? Es ist ziemlich einfach, oder? Sicherheitslücken in Systemen und Anwendungen. Sie können Kriminellen ermöglichen, Kontrollen zu umgehen und auf Karteninhaberdaten zuzugreifen. Die meisten dieser Sicherheitslücken können durch die Installation von Sicherheitspatches beseitigt werden . Als sie Patches lieferten, haben wir uns von Microsoft oder Ihrem Drittanbieter entschieden. Und es ist, als würde es in die Sicherheitslücke gesteckt werden und was wir Asper PCIe nennen. Bei allen kritischen Systemen müssen die kürzlich veröffentlichten Software-Patches installiert sein, ich denke, es ist so schnell wie möglich innerhalb von 30 Tagen. Und andere können Sie innerhalb von 90 Tagen tun, aber das ist wirklich eines der schwierigsten Dinge, die zu erreichen sind. Du kannst verstehen warum. Aufgrund kritischer Server sind Server sehr kritisch und es können nicht nur Ausfallzeiten auftreten. Und gleichzeitig gibt es Angreifer, die bezahlt werden und dies möglicherweise ausnutzen. Und es wird gefährlicher, wenn es das nicht ist. Eine interessante Sache. So wie Sie einen sehr starken Patch-Management-Prozess für die Implementierung kritischer Sicherheitspatches benötigen starken Patch-Management-Prozess für die Implementierung kritischer Sicherheitspatches , ist dies einer der schwierigsten und wichtigsten für Kommentare und PCI. Okay? Also was musst du tun? Nun, Sie müssen sicherstellen, dass die Patch-Management-Richtlinien vorhanden sind, und über einen Prozess verfügen. Woher wissen Sie, dass einige kritische Patches eintreffen? Sie müssen darüber verfügen, dass auch ein Change-Management-Prozess für chemische Änderungen vorhanden sein muss. Woher wissen Sie, dass Ihre Änderungen keine neuen Sicherheitsprobleme mit sich bringen, richtig. Und wie ich bereits erwähnt habe, haben Sie einen Monat, einen Monat, was wir dort Installation nennen. Manchmal können die Unternehmen es nicht erfüllen. Sie müssen es haben als andere Kompensationskontrollen. Sie benötigen ein System , mit dem Sie schnell Patches erstellen, Patches in der Testumgebung bereitstellen und dann für die Produktion bereitstellen können. Ich weiß, es ist sehr, sehr schwer zu treffen, aber es ist etwas aus Ihrer Sicherheitslage. Pci, DSS kann Ihnen hier tatsächlich helfen, weil IT- und IT-Teams manchmal faul werden können, wenn es um die Implementierung von Patches geht , und PCI DSS wird Ihnen hier wirklich helfen. Und es wird Ihnen helfen, die Technologieteams dazu zu bringen , Patches so schnell wie möglich zu implementieren. Dies ist eher aus Sicht des Betriebssystems. Sie gilt für Bewerbungen. Außerdem werden Patches auf Anwendungsebene verfügbar sein. Aber von der Anwendungsseite führen Anforderungen sechs einige neue Dinge ein, die Sie für das Verständnis zur Verfügung haben müssen . Was sind Sie. Wenn Sie also Anwendungen entwickeln , müssen Ihre Entwickler Schulungen zu Sicherheitslücken in Anwendungen haben , mit denen Sie vertraut sind, in Ordnung? Es ist wahrscheinlich ein allgemeiner Standard für Anwendungssicherheit. Sie sollten in Bezug auf diese Sicherheitsanfälligkeiten geschult werden. Gleichzeitig sollte Ihr Quellcode überprüft werden. Ebenfalls. Sie sollten etwas an Ort und Stelle haben das Ihren Code überprüft und Sie wissen lässt, ob es hier neue Sicherheitslücken gibt und Ihre Entwicklung und Ihr Drama keine Live haben können Daten des Karteninhabers. Manchmal machen die Leute das zum Testen. Sie haben die Guardiola-Umgebung in Tests oder UAT oder ähnliches gesteckt , bitte. Man kann nicht absolut nicht zulassen , dass die Sache passiert. Okay. Und wenn Sie dann in die Produktion wechseln, sollte der Raman-Tag dort ein richtiger Change-Management-Prozess sein. Wenn es sich um eine Anwendung mit Internetanschluss handelt, müssen Sie etwas abschwächen. Wie mindert man dieses Risiko? Sie können entweder eine Webanwendung wie einen Stifttest durchführen lassen, okay? Wie abstrakte Ereignisse, bei denen ich Sie wissen lasse, ob es Sicherheitslücken gibt oder Sie eine Webanwendungs-Firewall haben können , wissen Sie, ich bin mir sicher, dass Sie sich dessen bewusst sein müssen. Idealerweise würde ich beide empfehlen. Ich glaube nicht, dass das eine das andere ersetzt. Sie sollten einen VAV haben und Sie sollten keinen Anwendungssicherheitstest haben. Also arbeiten sie alle zusammen. Sie müssen verstehen, dass Sie Codeüberprüfungen durchführen, Ihre Schulungsentwickler und CCA-sichere Aufzeichnungstechniken durchführen. Sie stellen sicher, dass kein Knorpel vorhanden ist, es gibt Daten als Tests oder UAT. Sie stellen sicher, dass das richtige Kettenmanagement vorhanden ist. Und dann haben Sie einen Web-App-Scan und Apps die Kopplung. All dies hat also wirklich dazu beigetragen, das Risiko zu verringern, dass ein Problem jemandem passiert, wissen Sie, wie häufig wissen Sie, wie häufig Sicherheitslücken auf Anwendungsebene sind, oder? Wenn Sie sie jedoch ordnungsgemäß implementieren, sie wirklich dazu bei, die Sicherheitsrisiken von Anwendungen zu mindern. Und sie haben wirklich dazu beigetragen, Ihre Sicherheitslage zu verbessern. Okay. Geht weiter, Leute. Was sind also die wichtigsten Aktionen, die es gibt? Denken Sie nur daran, dass Sie über Richtlinienformeln für die Anwendungssicherheit verfügen sollten Richtlinienformeln für die Anwendungssicherheit die an Ihre Entwickler verteilt werden. Sie sollten ein sicheres Codierungs-Training und eine Code-Überprüfung durchführen. Etwas, das Sie wissen lässt, ob es unsicheren Code gibt und ihn nicht Produktion weiterleiten lässt. Sie können gängige kommerzielle Tools verwenden , die den Entwicklern wirklich helfen. Sie können auch ein ähnliches Open-Source-Tool haben. Drittens, woher wissen Sie, ob es in der Entwicklungsumgebung eine Pan gibt? Dort müssen Sie Ihr Scannen erweitern. Sie müssen sicherstellen, dass es keine Only-Maske oder eine unterbrochene Maske gibt oder nicht einmal verschlüsselt wurde. Sie beherrschen dort nur abgeschnittene oder mögen komplette Zahlen. Die Entwicklungsumgebung. Wie ich bereits erwähnt habe, sollten Sie einen Web Application Firewall Plüsch der Web Application Firewall und einen Test des Anwendungssicherheitsstifts durchführen. Und natürlich das Kettenmanagement. Denken Sie also daran, dass die Anwendungssicherheit niemals perfekt sein wird, okay? Sie werden niemals die Zeit haben zu sagen, dass meine Anwendungssicherheit jetzt perfekt geworden ist. Ich kann es beenden. Nein, nein. Deshalb müssen Sie diesen Prozess immer weiter verfeinern. Es braucht nur eine Sicherheitslücke, bis der Angreifer hereinkommt und Ihre Umgebung gefährdet, oder? Also Patching und Anwendungssicherheit, alle haben sich aber zusammengetan. Dies ist eine der schwierigeren Kommentare, hat jedoch einen der größten Vorteile Ihre Sicherheitslage wenn Sie sie ordnungsgemäß implementiert haben. Also ich hoffe du hast es jetzt verstanden, da all das zusammen funktioniert, wie gesagt, ich bin mir sicher, dass du in geheimen Anwendungen finden wirst, du wie alte Windows-Versionen finden wirst die nicht gepatcht werden können. Sie müssen es also berücksichtigen. Entfernen Sie sie entweder aus Ihrer aktuellen Umgebung oder fügen Sie andere Steuerelemente hinzu. Sie tun es immer. Oft habe ich Anwendungen gesehen, die auf alten Legacy-Anwendungen ausgeführt werden. Sie können es vielleicht visualisieren, Sie können es containerisieren. Sie können etwas, in eine Art Citrix, etwas einfügen, das den Tag eingekapselt, festgelegt oder entfernt. Es gibt viele Möglichkeiten, dies zu tun, erreichen Sie Ihre USA und ich bin sicher, er wird Ihnen helfen. Aber stellen Sie einfach sicher , dass Sie sich dieser Sicherheitslücken bewusst sind und sie Sie nicht in einer Vase erwischen, okay. Okay, Leute, ich gehe zum nächsten erneuten Commit über. Danke. Und wir sehen uns in der nächsten Lektion. 12. 4 - Anforderung 7: Hallo Leute, Willkommen zu dieser Lektion. Dies ist einer von ihnen, der leichter zu kommentieren ist, insbesondere nach dem letzten. Und das hat mit der Zugangsbeschränkung zu tun, okay? Wenn Sie dem Prinzip der geringsten Rechte folgen , sollten Sie es grundsätzlich befolgen, wenn Sie es nicht befolgen. Aber wenn Sie sie hinzufügen, wird dies einfach da Ihr Knorpelschaden sehr empfindlich ist. Sie sollten so etwas wie eine rollenbasierte Zugriffskontrolle haben , die sicherstellt, dass nur die Personen, die eine legitime Anforderung haben, Karteninhaberdaten einzusehen , dies richtig machen. Sie möchten Ihre erweiterten Benutzerkonten, die keinen Grund haben , sich die Karteninhaberdaten anzusehen, nicht, sie kommen rein. PCA benötigt also eine aktuelle Liste, wie eine rollenbasierte Zugriffskontrollmatrix. Ich bin mir sicher, dass du diese Matrix haben wirst, oder? Das solltest du haben. Der Wirtschaftsprüfer wird es übernehmen. Diese Liste hat nicht jede Rolle. Welche Rolle hat was für Dinge, die Zugriff haben, welches ist das aktuelle Privileg , wird es wirklich benötigt? Also basierend darauf und Sie sollten dies regelmäßig zertifizieren, oder? Sie sollten sich ansehen, ob die IT Zugang hat, ich weiß nicht, so wie Programmierer Zugang zur Produktion haben, oder? Haben Systemadministratorzugriff auf Application Database Writer, sollten sie das Recht haben? Diese Dinge müssen Sie also dokumentieren und formalisieren. Darüber hinaus müssen Sie regelmäßige Überprüfungen durchführen. Also ja, das brauchen wir. Was sind die wichtigsten Aktionen sind geschriebene Richtlinien für alle wie detaillierte Zugriffskontrollen, dokumentierte Zugriffskontrolle. Du solltest es der Stelleneinstufung zuordnen, oder? Wenn es also einen Network Security Administrator gibt, sollten Sie keinen Zugriff auf Ihre Produktionsdatenbank haben , oder? Warum brauchst du Zugriff darauf? Macht all diese Wörter in der Öffentlichkeit am wenigsten privilegiert definiert werden , das ist der Schlüssel hier. Und Sie sollten eine detaillierte schriftliche Richtlinie haben nur diese Anbauer haben Zugriff auf Karteninhaberdaten. Nur der Datenbankadministrator kann Lesezugriff auf die Datenbank und all diese Dinge haben . Dies wird Ihnen wirklich, wirklich helfen und Sie sollten diese regelmäßig vierteljährlich und täglich haben . Stellen Sie sicher, dass diese von allen Benutzern überprüft und erneut zertifiziert werden . Das ist also eine ziemlich einfache Wirtschaft. Viele Unternehmen haben gesehen, dass sie bereits über etwas verfügen, entweder manuell oder automatisiert. Sie müssen es also nur für Ihre Karteninhaberumgebung formalisieren . Dies schließt es für diese Anforderung ab. Gehen wir zum nächsten über. 13. 4 - Anforderung 8: Hallo Leute, Willkommen in dieser speziellen Klasse. Und dies ist wiederum eine der relativ leicht zu erfüllenden Anforderungen, wenn Sie bereits eine gute Sicherheitshygiene einhalten, die UniqueID-Potenziale nutzt. PCS gibt also an, dass grundlegende gute Anmeldeinformationen wie Ihr Parser alle 90 Tage geändert werden sollten, was Länge und Komplexität haben sollte. Früher waren es sieben Charaktere jetzt wurden sie endlich aktualisiert. Wenn Sie jedoch etwas wie Active Directory oder ein Single Sign-On verwenden , setzen sie normalerweise eine strenge Kennwortrichtlinie durch. Sie möchten kein Passwort haben , das von einem Hacker leicht für automatisierte Tools gebrochen werden kann , oder? Da die Rechenleistung von Jahr zu Jahr zunimmt, wird die Rechenleistung immer leistungsfähiger. Brute Forcing wird immer einfacher. Sie benötigen also komplexe Passwörter, es einem Angreifer sehr, sehr schwer machen , sie zu kompromittieren. Okay? Sie möchten keine Standard-Benutzernamen haben, keine Administratoren oder KPIs haben, die ihn dazu führen , dass ich immer noch sehe diese Leute einige sehr grundlegende Dinge verwenden. Sie möchten also nicht, dass solche Dinge leicht durch Social-Engineering-Angriffe oder Brute-Forcing-Angriffe durchbrochen werden können durch Social-Engineering-Angriffe oder Brute-Forcing-Angriffe durchbrochen . Okay, das ist sehr einfach, aber es ist so wichtig dass PCAs es zu einem Separatorklima gemacht haben. Ein weiteres sehr wichtiges Thema ist MFA, Multi-Faktor-Authentifizierung. Wenn Sie nicht wissen, was es ist, müssen Sie sich dessen sicher bewusst sein, aber zusätzlich zu der Benutzer-ID und dem Passwort benötigen Sie in PCI DSS einen weiteren Faktor für den Fernzugriff oder den administrativen Zugriff. Das kann also etwas sein, das Sie haben, wie ein einmaliges Passwort, wie ein Token oder etwas, das Sie wie eine Biometrie sind, wissen Sie das können Dinge sein wie etwas, das Sie haben, eine Smartcard, physisches, logisches Sicherheitstoken, einmaliges Passwort in Ihrem Smartphone, okay. Und etwas, was Sie sind, wäre eine Biometrie wie Fingerabdruck-Retina-Scan, Pumpendruck, Iris-Scan, alles andere, was aus Ihrer biologischen Perspektive für Sie einzigartig ist . Sie können also zusätzlich zu der Benutzer-ID und dem Passwort eine dieser beiden verwenden. Aber denken Sie daran, dass sie unabhängig voneinander sein müssen, z. B. wenn einer kompromittiert wird oder nicht betroffen ist. Wenn Ihr Smartphone beispielsweise kompromittiert ist und ein Angreifer Zugriff auf das einmalige Passwort OTP erhält , er immer noch keinen Zugriff auf Ihre Benutzer-ID und Ihr Passwort, oder? Sie müssen also unabhängig voneinander sein. Denken Sie also daran, dass Sie in diesem speziellen Kommentar Administratorzugriff für den Remote-Zugriff und Multi-Faktor-Authentifizierung für den Remote-Zugriff und Multi-Faktor-Authentifizierung für Ihr administrativer Zugriff. 1 Leute zu beachten, das wird viel härter werden NPCI Version vier. Okay, ich werde in einem anderen Abschnitt näher darauf eingehen, in dem wir nur die Anforderungen der PCA-Version vier diskutieren, aber denken Sie daran. Der Rat macht dies jetzt in Zukunft etwas schwieriger. Okay, was sind die wichtigsten Maßnahmen, um Leute zu ergreifen? Auf jeden Fall sollten Sie ein Passwort und MFA-Standard durchsetzen. Dies ist der p-Wert. Dies sind die minimalen positiven Kommentare, und dies sind die MFA-Anforderungen für Herabstufungen oder administrativen Zugriff. Stellen Sie sicher, dass Ihre Remote-Konten. Oft hatten Sie Zugang zu Anbietern, Geschäftspartnern, Beratern, oder? Und sie müssen überwacht und deaktiviert werden , wenn sie nicht verwendet werden. Du solltest nur sie haben. Dann wie und wann sie benutzen. Viele Leute setzen Anwendungen von Drittanbietern wie VDI oder ähnliches ein. Ich meine, es liegt an Ihnen, wie Ihre Umgebung konfiguriert ist, aber haben Sie das einfach eingerichtet. Und das wird wirklich so sein, also ist das im Grunde eine einfache Anforderung an den gesunden Menschenverstand. Ich bin mir sicher, dass Sie viele dieser Dinge bereits haben werden. Wenn nicht definitiv, sollten Sie MFA für Ihre Verwaltungsumgebung haben , insbesondere wenn es sich um die Karteninhaberdatenumgebung handelt. Habe das auf jeden Fall durchgesetzt. Okay Leute, also das schließt diesen Kommentar ab. Gehen wir zum nächsten über. 14. 4 - Voraussetzung 9: Hallo Leute. Willkommen zum Kommentar des Distrikts. Es sagt wie ein Bereich , den ich immer als blinden Fleck betrachte, nämlich wenn es um PCI geht, DSS, was physische Sicherheit ist. Viele Unternehmen führen viele technische Kontrollen durch, vergessen aber die physische Seite von Dingen wie Ausdrucken und Berichten. Viele Unternehmen, wissen Sie, sie haben Backoffice, egal welche Wiederholungsabrechnung sie speichern, als würden sie die Kartennummer speichern. Sie bewahren physische Kopien der aktuellen Karte auf. Und Sie werden nicht glauben, dass diese offen verfügbar sind, oder? Sie müssen also über Vorkehrungen verfügen, um Dinge wie Datendiebstahl und sensiblen Zugang zu sensiblen Bereichen zu schützen . Sie sollten über Richtlinien und Verfahren für die physische Sicherheit verfügen. Sie können nur wie zum Beispiel nur vertrauliche Informationen aufbewahren. Arbeitsplatz sicherte sie in einem verschlossenen Bereich. Außenstehende können nicht einfach reinkommen. Nicht-Mitarbeiter müssen Ausweise tragen und speichern keine sensiblen Informationen. Das offene V in meiner, einer meiner Unternehmen, haben wir nach den Bürozeiten die Straßen gereinigt . Wir haben immer nachgesehen, ob jeder seinen Schreibtisch aufgeräumt hat, oder? Es gibt dort keine sensiblen Informationen. Das sind also Kontrollen, die gesunder Menschenverstand sind, aber leider werden Sie aus irgendeinem Grund verpasst , oder? Also was sind die Dinge, die du haben musst? Es muss über eine angemessene physische Sicherheitspolitik verfügen die hervorhebt, welche anderen sensiblen Bereiche hervorgehoben werden. Eine Sache, die ich vergessen habe zu erwähnen Ihre Netzwerkbuchsen, oder? Sie möchten nicht, dass Menschen einfach ihre Laptops anschließen und Ihre Zielumgebung verbinden. Die physischen Medien oder Backups und andere Dinge sollten gesichert sein und eine strenge Kontrolle sollte vorhanden sein. Was ist, wenn jemand die Umwelt nicht gefährden kann? Was ist, wenn in der Lage ist, auf Gag zuzugreifen, Zugriff auf das Backup-Band zu erhalten, richtig. Welches hat alle Informationen, die Sie wie ein in Sicherheit bringen müssen, sind dafür deutlich gekennzeichnet. Dokumente sollten vertrauliche Dinge enthalten, um geschreddert zu werden , und Sie müssen in der Lage sein, Medien zu vernichten, oder? Diego sagte, zerstöre es aufgrund seiner Klassifizierung. Viele dieser Dinge tun sie wahrscheinlich, aber Sie werden möglicherweise nicht auf Ihre Karteninhaberumgebung ausgedehnt . Stellen Sie sicher, dass sie verlängert werden. Sie sollten sich mit Ihren physischen Sicherheitsteams abstimmen, um sicherzustellen , dass Sie ordnungsgemäß geschult werden. Sensible Bereiche sind abgesperrt. Nicht jeder Mitarbeiter kann einfach in Ihre lichtempfindlichen Bereiche gehen . Also alle diese Kontrollen Metrodorus ungezwungen, um eine ordnungsgemäße CCTV-Abdeckung zu haben. Es sollte eine Mischung aus präventiven und detektiven Kontrollen sein. Im Grunde die gleichen Dinge, die Sie in Ihre Umgebung stecken, oder? Ihre technische Umgebung wie Segmentierung. Segmentierung, Sie blockieren diesen Bereich. CCTV ist wie ein auditives und weißes Abzeichen und ein Passwort-Abzeichen und Pins. Sie sind wie MFA. All diese Dinge repliziert man einfach in eine physische Umgebung. Eine einzigartige Umgebung, Leute, wenn Sie Kassenterminals haben, wie Kassenmaschinen. Sie sollten ein vollständiges Inventar davon haben. Sie sollten über ein aktuelles Inventar verfügen. Du solltest wissen, wo sie sind. Was ist der physische Standort, Seriennummer, nacktes Modell. Warum? Weil es es überprüfen sollte. Was ist, wenn jemand daran manipuliert hat, aber wenn jemand es durch ein anderes C ersetzt hat, dann eine andere Umgebung, normalerweise viele Unternehmen, die sie pflegen, wie Vorteile davon, oder? Was ist, wenn jemand reingegangen ist, daran manipuliert hat, ein Gerät injiziert hat und Sie nichts davon wissen, oder? Du kannst es im Grunde machen, könntest es jeden Tag tun, jeder Monat basiert darauf was für ein Level du hast, okay. Sie sollten Videoüberwachung haben. Das sind sehr subtile Geräte, okay? Stellen Sie sicher, dass das Top vollständig eingeschränkt ist. Und Sie sollten Mitarbeiter sensibilisieren , die täglich mit diesen Dingen interagieren , wie eine Kassiererin, wer hat diese Art von Maschine am Verkaufsort, oder? Du solltest wissen, ob es jemand ersetzt hat. Wenn ein Gerät da ist, sollten Sie wissen können, ob jemand etwas hat, Sie sollten in der Lage sein, die Seriennummer zu überprüfen. Die grundlegende Physik. Das sind einfache Dinge, die man haben kann wie ein Videotraining. Sie können physisch besuchen und ihnen beibringen und so, aber nur um sicherzustellen, dass das Risiko einer Substitution besteht, jemand das Gerät ersetzt, wenn etwas oder da ein anderes Gerät böswillig ist oder wie das Manipulieren, das Gerät manipulieren oder ein anderes Gerät darauf legen . Diejenigen, die Weste tragen , müssen gemildert werden. Aus Sicht von PCI DSS. Sie sind wie viele, viele gängige Schulungen sogar auf der PCAOB-Website verfügbar sind. Sie können sie finden. Es ist wie eine einzigartige Sache von PCI, die anderen physischen Kontrollen, die Sie möglicherweise bereits ausführen. Aber das ist etwas Einzigartiges und du solltest sicherstellen, dass du es in deiner Umgebung hast, okay? Okay, das schließt dieses erneute Commit ab. Gehen wir zum nächsten über. 15. 4 - Voraussetzung 10: Hallo Leute, Willkommen zu dieser Lektion , in der wir fast das Ende erreicht haben, was eine übliche Zehn ist, Protokollierung und Überwachung. Protokollierung und Überwachung. Wissen Sie, es ist eines dieser Dinge, die fast viele Unternehmen tun. Fast jedes Unternehmen tut das, aber nur sehr wenige Unternehmen machen es richtig. Denn was passiert, ist dass sie oft nur Sachen aufnehmen. Aber niemand ergreift auf der Grundlage dieser Warnungen intelligente Maßnahmen , oder? Sim-Lösungen, Sie haben Sicherheitsinformationen und Eventmanagement. Sie senden alle Protokolle dorthin, möchten aber nicht wirklich umsetzbare Alerts erstellen. Du verfeinerst nicht wirklich dieselben Dinge. Sie müssen alles erfassen, was sich in der Karteninhaberdatenumgebung befindet PCI hat tatsächlich eine minimale Liste von Ereignissen , die erfasst werden sollten. Okay? Die meiste Systemsoftware generiert Protokolle zum Sichern des Betriebssystems, der Browserpause, der Firewall, all diese Dinge, die Sie erfassen sollten, okay. Stellen Sie also sicher, dass diese Dinge da sind. Egal, ob Sie eine SIM-Lösung oder eine andere Sache haben, Sie müssen alles erfassen. Und darauf basierend habe ich umsetzbare Alarme. Okay. Was wir also angefangen haben , ist zu überprüfen ob Sie über ein automatisiertes Audit-Protokoll-Tracking für alle Sicherheitsereignisse verfügen . Wie machst du das? Ist es so, als ob jemand es nicht sieht und im Grunde ein automatisiertes System schreibt. Gibt es einen Prozess, um Protokolle und Sicherheitsereignisse täglich zu überprüfen. Normalerweise ist es wie eine SIM-Lösung. Vielleicht haben Sie ein SOC-Team, oder Sie haben ähnliche Schichten, oder Sie lassen uns ein System übernehmen, das administrative Benachrichtigungen erhält. Es kommt wirklich darauf an, wie du es machst. Möglicherweise haben Sie, wenn Sie dies in der Cloud tun, eine Automatisierung, aber der Prozess muss vorhanden sein. Ihre Auditprotokolle müssen mindestens ein Jahr und die letzten drei Monate vorhanden sein . Es müssen Online-Logs sein. Du solltest es sein, dass du die letzten 90 Tage nicht archivieren kannst , okay. Du musst es online haben. Und was werden sie irgendwann PCI erfassen, DSS ist sehr spezifisch. Wie Admin-Aktivitäten fehlgeschlagene Anmeldungen sind, Änderungen an Eskalationen der Kontoberechtigungen. Und Sie sollten festhalten, was sie wussten, wer der Benutzer war, was das Ereignis war, was das Datum und die Uhrzeit war, ob es ein Erfolg war, was für ein Fehler, wo es passiert ist, all diese Dinge. Sie werden es leicht innerhalb des Standards finden. Aber stellen Sie sicher, dass Sie es aufnehmen. Stellen Sie sicher, dass Sie diese Steckplätze zur Verfügung haben, und testen Sie sie. nicht davon aus, dass Sie diese Protokolle in Ordnung haben werden. Testen Sie es und stellen Sie sicher , dass diese Ereignisse erfasst werden. Viele SIM-Lösungen, sie haben bereits vordefinierte Vorlagen für PCI DSS, durch die es nicht so schwierig sein sollte. Stellen Sie einfach sicher, dass diese eingeschaltet sind. Dass dieser ziemlich einfach war. Gehen wir zum nächsten über. 16. 4 - Voraussetzung 11: Hallo Leute. Wir sind bei der zweitletzten Anforderung, die Durchführung von Schwachstellenscans ist und PET ist in Ordnung. Warum machen wir diese Dinge, Leute? Einfach ausgedrückt, diese müssen Sie herausfinden, was die Schwächen in Ihrer Umgebung sind , oder? Sie möchten nicht warten, bis ein Angreifer kommt und Ihre Umgebung gefährdet, oder? Schwachstellenscans und PTs sind eine der besten Methoden, um herauszufinden, für welche Art von Angriffen Sie anfällig sind. Va ist wie ein Schwachstellenscanner ein automatisierter High-Level-Scan. Okay. Sie führen gerade einen Scan durch. Normalerweise haben sie es. Sie haben eine Art Software , die die Umgebung scannt und Ihnen einen Bericht gibt, oder? Sie müssen dies vierteljährlich intern und extern ausführen . Und PT Ich bin mir sicher, dass Sie bereits wissen, dass es wie ein Detail zum Anfassen ist. Normalerweise gibt es eine echte Person, die versucht, Schwachstellen in Ihrem System zu erkennen und auszunutzen. Und dies muss wiederum intern und extern sein , sowohl in Ihrer Umgebung. PCR verlangt, dass diese Dinge auf mehreren Ebenen passieren, okay? Sie können es einfach in einer Ebene tun und es als effektiv bezeichnen. Wir werden detailliert darauf eingehen, wovon ich spreche, über welche Art von Schichten ich spreche, bevor wir gehen. Eine Sache sehr wichtig Leute, wenn Sie eine öffentlich zugängliche Guardiola-Umgebung haben, richtig? Öffentliche IPs. Pcr verlangt von Unternehmen, die sich wie extern via Scan verhalten und es und ESV-Scan nennen, um herauszufinden, ob sie potenzielle Fehler aufweisen. Das kannst du nicht selbst machen. Sie müssen von einer Firma namens „ Approved Scanning Vendor“ durchgeführt werden , die als ASP bezeichnet wird. Okay? Du kannst es nicht selbst machen. Sie müssen sich an diese Firma wenden. Was also passiert, ist, dass Sie diesem Unternehmen in Rechnung gestellt werden und der Scan vierteljährlich durchgeführt wird. Sie müssen die höchste Sicherheitsanfälligkeit beheben. Also musst du es so lange machen, bis du bestanden hast. Und sie werden dir einen bestandenen Scan geben. Und normalerweise muss man sich den Autoschemata oder dem Rohling unterwerfen. Das ist also nicht etwas, das man einfach scannt und vergisst es. Sie müssen es mindestens vierteljährlich tun und Sie müssen es bestehen. Das ist eines der wichtigsten Dinge. Dies ist normalerweise eine sehr gute Voraussetzung, da Öffentlichkeit einer Umgebung mit hohem Risiko ähnelt. Sie müssen in der Lage sein, es zu scannen und die Sicherheitslücken zu kennen. Okay, also behalte das einfach im Hinterkopf. Ihre Bank oder Ihr Zahlungsschema wird Ihnen in der Regel mitteilen, ob Sie, wir haben früher über die Verpflichtungen gesprochen. Ihre Bank oder Ihre Zahlungsmarke wird Ihnen also mitteilen, ob Sie dazu verpflichtet sind oder nicht. Aber denken Sie daran, ich habe Ihnen gesagt, dass wir das auf mehreren Ebenen tun müssen. Darüber habe ich also gesprochen. Nehmen Sie einfach eine Ansicht auf hoher Ebene ein. Wenn Sie aus dem Internet schauen, müssen ASP-Scans und eine PD durchgeführt werden. Okay. Aus externer Sicht in Ihrer Kardinalumgebung hatten Sie in Ihrer Kardinalumgebung keine vierteljährlichen Visa-Scans, eine jährliche Vergütung für PT und eine sogenannte Überwachung der Dateiintegrität. Was ist eine Dateiintegritätsüberwachung? Wenn Sie sich dessen nicht bewusst sind, handelt es sich im Grunde genommen um eine Software, die für die Umgebung für alle kritischen Änderungen an Dateien steht , okay. Möglicherweise haben Sie vertrauliche Dateien in Ihrer Umgebung. Sie erwarten nicht, dass sie sich ändern Eine Software zur Überwachung der Dateiintegrität teilt Ihnen mit, ob diese Datei geändert wird, und gibt eine Warnung aus. Das müssen Sie also auch in Ihrer Umgebung haben. Angenommen, Ihre verwirrte Anwendung hat eine vertrauliche Konfigurationsdatei , die sich nicht ändern soll. Was ist, wenn das seltsam wird? Okay, also diese Lösung zur Überwachung der Dateiintegrität gibt eine Warnung aus und sendet sie an Sie, die da sein sollte. Und abgesehen davon, wenn Sie eine drahtlose Umgebung haben, müssen Sie Kandidaten für drahtlose Cans freigeben , um sicherzustellen , dass die neue unsichere oder möglicherweise betrügerische drahtlose Umgebung Zugangspunkte. Nach der Erstellung haben wir normalerweise drei Tools und kommerzielle Tools. Sie können die gesamte Umgebung scannen und wir werden herausfinden ob es dort Sicherheitslücken oder Gewaltpunkte im Straßenverkehr gibt. Und wir haben über Segmentierung gesprochen. Erinnerst dich? Wir haben gesagt, dass, okay, für die Segmentierungsperspektive etwas sein sollten, das dort fallen wird. Und das wird normalerweise eine Firewall und IDS und IPS sein. Wir machen also etwas, das als Segmentierungsdose bezeichnet wird Was ist der Segmentierungsscan? Segmentierungen kann tatsächlich jemand versuchen, die Segmentierung zu gefährden? Aus der Karteninhaberumgebung versucht er also, in die Nicht-Cloud-Umgebung oder vom Nicht-Guardiola-Umami-Geschmack zu springen vom Nicht-Guardiola-Umami-Geschmack Der Sprung zum Cardo, der Umgebung. Er prüft die Angemessenheit der erfolgten Segmentierung, ob sie gut ist oder nicht. Deshalb ist es so wichtig, Leute, wie all diese Dinge, die man tun muss, die verschiedenen Zeiten, in denen sie sind, irgendwie wusste ich, dass sie irgendwie ein halbes Halbjahr in deinen Kalender aufgenommen wurden. Wir haben über einen BAU-Prozess gesprochen, oder? Darüber habe ich gesprochen. Normalerweise sollten Sie, was Unternehmen tun und PCL-Mandate durchführen, über eine Methodik für Penetrationstests verfügen . Und Sie sagen, was extern, intern, wie was, was wird jährlich passieren? Was passiert nach jeder Änderung? Wenn sich die Segmentierung ändert, wie werden Sie das testen? Wie werden Sie die erste Anwendungsebene machen? Wie werden Sie einen Schalter verlegen? Können alle ihr Dokument in einer richtigen Formel dokumentieren einer richtigen Formel lassen und es allen zur Verfügung stellen. Auf diese Weise erhalten Sie also keine Baumwollüberraschung und verpassen einen kritischen Scan, den Sie durchführen sollten. Dies ist ein hohes Niveau, wie ein bisschen simpel, aber es zeigt Ihnen, was die Standards in Ihrer Umgebung tun sollten. Also ich hoffe das, das war so, als ob es dir Klarheit gibt. Fang damit an. Anfänglich wird es sehr überwältigend und wird langsam, langsam wie eine BAU für Sie. Sobald Sie es in Ihren BAU-Prozess aufgenommen haben, werden Sie feststellen, dass es viel einfacher wird. Okay, Leute. Okay, das schließt den vorletzten ab. Also sollten wir zum letzten übergehen. 17. 4 - Voraussetzung 12: Hallo zusammen, willkommen zu dieser Lektion. Jetzt haben wir die letzte Anforderung des Parameters Alpha erreicht , nämlich Dokumentation und Risikobewertungen. vorherige war also eine sehr technische Anforderung in Bezug auf Pen-Tests und b, a und P, D und all diese Dinge. Jetzt sprechen wir über etwas , das viel einfacher ist, Dokumentation und Risikobewertungen. Also hier Leute, wir sprechen über etwas, das Sie tun müssen Aus Sicht der Due Diligence muss der Prüfer wissen, dass alle Ihre Informationssicherheitsrichtlinien stark formalisiert wurden, andere Sachen weg von dem, was sie tun sollten und was sie nicht tun sollten. Dies hilft, Sie zu schützen, falls etwas passiert und ein Verstoß vorliegt. Dann können Sie beweisen, dass Sie alles aus Ihrer Perspektive getan haben. Sie müssen sicherstellen, dass Ihre Sicherheitsrichtlinien genehmigt und von allen Mitarbeitern, die sie bestätigt haben, angerufen , kommuniziert und unterzeichnet wurden. Okay. Wenn Sie ein Dienstanbieter sind, benötigen Sie eine sogenannte PCI DSS-Charter. Es heißt, wer für PCI DSS verantwortlich ist und wer das Programm implementieren wird und wer für PCI, DSS verantwortlich ist. Es muss Ihnen sagen , wer die verantwortliche Person ist und wie sie mit der Geschäftsleitung kommunizieren wird, okay. Abgesehen davon benötigen Sie auch ein Inventar aller Drittanbieter, die Personen oder Drittanbieter auslagern, Personen oder Drittanbieter auslagern die Zugriff auf Ihre grundlegende Umgebung haben. Denn wenn sie möglicherweise Kompromisse für Ihre Umgebung eingehen , müssen Sie eine Liste aller Drittanbieter haben Drittanbieter und wissen, ob sie PECS-zertifiziert sind oder nicht. Okay. Du musst die Liste haben. Die meisten von ihnen sind normalerweise verfügbar und Sie können dies als Teil Ihres Kalenders festlegen, aber stellen Sie sicher, dass diese dunklen, dunklen Dokumentationen überfällig sind. Es ist also ziemlich einfach zu kommentieren, dass es hauptsächlich um Dokumentation geht. Es dauert sehr lange. Wenn Sie jedoch mit Ihrer TSA arbeiten, sind diese häufig bereits vorgefertigte Vorlagen verfügbar. Damit sollten Sie also in der Lage sein, etwas Zeit zu sparen. Wie ich bereits erwähnt habe, müssen Sie eine schriftliche Konformitäts - und Sicherheitsrichtlinie haben. Die Charta sollte für Ihren Dienstleister da sein. Sie müssen sicherstellen, dass ich eine vierteljährliche Überprüfung durchführe, um sicherzustellen, dass alle die Anforderungen erfüllen, die alle zur Sicherheit der Illustration unterzeichnet haben durchführe, um sicherzustellen, dass alle die Anforderungen erfüllen, die alle zur Sicherheit der Illustration unterzeichnet . Und schließlich, eine sehr wichtige Risikobewertung, verlangt die PCR, dass jeder eine jährliche Risikobewertung durchführt , um kritische Vermögenswerte zu identifizieren. Eine Scratch-Schwachstelle ist in Ordnung da dies Ihnen hilft, Risiken zu priorisieren. Und wenn Sie dies proaktiv angehen, zahlt sich das auf lange Sicht wirklich aus. Das ist etwas, was sie sagt, etwas, was die Leute denken, dass dies jedes Jahr wie ein Formalitätsnachmittag ist. Aber wenn Sie es richtig machen und ihm die richtige Zeit und den richtigen Respekt geben, kann ich Ihnen sagen, dass Risikobewertungen so viele Probleme proaktiv identifizieren können , viel mehr, bevor der Prüfer feststellt dass ich dies vorher kennzeichnen möchte, weil Risikobewertungen in der kommenden Überarbeitung, die PCI DSS-Version dafür ist, sehr, sehr wichtig werden in der kommenden Überarbeitung, die PCI DSS-Version dafür ist, sehr, sehr wichtig . Wenn Sie dies tun und sich nicht zu sehr darauf konzentriert haben, könnte dies zu einem Problem für Sie werden. Konzentrieren Sie sich also auf jeden Fall darauf. Ich werde in der zukünftigen Klasse mehr darüber sprechen, in der nächsten Klasse, die ich habe, die sich mit PCI DSS 4 befasst. Aber bitte nehmen Sie keine Risikobewertung vor, mag Kunstformformformformalität, die Sie tun müssen , und vergessen Sie es. Okay? Konzentrieren Sie sich also wirklich, Sie werden nicht kopieren und einfügen, was Sie letztes Jahr getan haben und Sie konzentrieren sich wirklich darauf und es wird sich auf lange Sicht definitiv auszahlen. Okay, damit das deine Klage beendet, Leute, ich hoffe, das war nützlich für dich. Kommen wir zu einem sehr wichtigen Thema , das wir behandeln müssen, nämlich die Kompensationskontrollen. Das passiert, wenn Sie eine Anforderung nicht erfüllen können. Ich sehe dich in der nächsten Klasse. 18. 4 - Kompensationssteuerung: Hallo Leute. Also sehr, sehr kurze Klasse, aber das ist sehr wichtig. Jetzt hast du alle Anforderungen an die Trails abgedeckt, oder? Aber was passiert, wenn Sie eine PCI-Anforderung nicht verpassen können? Okay? Nehmen wir ein Beispiel. Sie müssen Pflaster innerhalb von 30 Tagen auftragen, oder? Kritische Patches. Was ist, wenn wir keinen Patch anbringen können? Oder was ist, wenn Sie die Überwachung der Dateiintegrität nicht implementieren können? Was passiert dann? Es gibt also etwas, das als kompensierende Steuerung bezeichnet wird. Dies geschieht, wenn ein, wenn eine Partei eine voreingestellte Wohnung nicht treffen kann, Sie illegitime Gründe haben. Es ist nicht da, faul zu sein, vielleicht unterstützt das System es nicht oder sie tun es nicht. Da gibt es einige Einschränkungen. Aber was du tust, ist eine andere Steuerung dort zu platzieren, okay? Vielleicht kannst du es nicht flicken. Aber Sie haben 24-Seven Monitoring und Sie haben andere Tools, die Sie sofort warnen, wenn jemand versucht, diesen Patch auszunutzen. Okay? Es kommt also wirklich darauf an. Daten sind wirklich wie eine Kunst. Was sagst du? Es ist, als müsstest du beim QSEN sitzen, ihm verständlich machen, was du getan hast, wie du dieses Risiko gemindert hast und die Effektivität davon variieren. Es ändert sich von Umgebung zu Umgebung von wenigen ästhetischen USA. Okay? Denken Sie jedoch daran, dass Sie wirklich gut in Risikobewertungen sein müssen , um dies zu tun. Kurz gesagt, die kompensierende Kontrolle, Sie müssen ein Blatt ausfüllen, um es an den Wirtschaftsprüfer zu senden. Wie sieht es aus? Es ist wie dieser. Wie ich das Beispiel genommen habe. Das heißt, du musst das beenden. Sie müssen zeigen, was die Einschränkungen sind, okay, warum Sie sich bei einem Kommentar nicht treffen können, wie zum Beispiel warum können Sie dieses Quartal nicht patchen oder warum können Sie die Überwachung der Dateiintegrität nicht implementieren, dann müssen Sie die alte Definition. Was sind die Kontrollen, die Sie implementiert haben? Was ist das Ziel dieser Kontrollen? Was ist das Risiko, dass aufgrund des Patches nicht da ist oder so, Und wie hat der Prüfer dichte Kompensationskontrollen validiert? Und wie stellen Sie sicher , dass niemand diese Bedienelemente manipuliert ? Das ist also etwas , das wir überprüfen werden. Und du musst ihn wirklich zufrieden stellen, um sicherzustellen , dass du nicht nur etwas hast , das du da reingesteckt hast, um zu entkommen? Nein, darüber hast du nachgedacht und es richtig implementiert. Also bitte, Kompensationskontrollen sind ein sehr wichtiges Thema. Sie werden nicht ersetzt, aber sie sind eine neue Art , Dinge zu tun, die sich ergeben, die als maßgeschneiderter Ansatz bezeichnet wird. Ich werde in der PCI DSS-Version für das Modul darüber sprechen . Aber wissen Sie nur, dass sie kompensierende Kontrollen sind Sie tun müssen, wenn Sie eine bestimmte Anforderung nicht erfüllen können . Und es gibt noch andere Möglichkeiten dies zu tun, die sich ergeben. Okay Leute, also das schließt das Anforderungsmodul ab. Ich hoffe es hat dir gefallen und ich hoffe du hast ein paar Dinge gelernt und wir sehen uns im nächsten Modul. Danke. 19. 5 - SAQ und seine Typen: Hallo zusammen, willkommen zu dieser Lektion. Jetzt werden wir über die Arten von Fragebögen zur Selbsteinschätzung sprechen , die Sie für die PCI- und DSS-Anforderungen erfüllt haben , oder? Und nur um es kurz zusammenzufassen, der SAQ, der Fragebogen zur Selbsteinschätzung. Es ist wie ein Validierungstool für Händler und Dienstleister, um die Ergebnisse der PCI DSS-Bewertung zu melden. Wenn Sie kein vollständiges Audit durchführen und kein ROC einreichen müssen, schreiben Sie einen Bericht über die Einhaltung. Je nachdem, wie Sie die in den Daten gespeicherten Daten verarbeiten, sind sie unterschiedlich SET war , dass er ausfüllen muss. Wenn Sie beispielsweise keinen E-Commerce-Shop haben , müssen Sie möglicherweise etwas anderes ausfüllen. Oder wenn Sie eine Konstante haben, ist es so, als ob Sie dazu verpflichtet wären. Die Art und Weise, wie Sie Daten verarbeiten, verändert den Typ des Vesikulars. Ich habe gesehen, dass die Leute manchmal verwirrt sind, wenn es um die Ausführung geht. Also die Typen von ihnen, weil sie wie in der Nähe sind. Also dachte ich, es wäre gut, nur eine Anleitung zu geben welche Art von SEQ für welche Art von Szenario erforderlich ist. Schauen wir uns das mal an. Nur eine kurze Zusammenfassung. Was ist die Grundvoraussetzung, nur um Sie wissen zu lassen Wenn Sie kein vollständiges Audit durchführen müssen, müssen Sie in der Regel einen SAQ ausfüllen, der normalerweise für kleine Händlerdienstleister bestimmt ist . Es ist eine Reihe von Fragebögen. Es kann ziemlich lang sein. Es ist, als würde das manchmal bis zu 87 Seiten umfassen, Ja- oder Nein-Fragen. Und wie gesagt, es gibt acht Mal, also benutze und je nachdem , welche Art von Umgebung du hast, wirst du diese auswählen. Versuchen Sie nicht, dies selbst zu tun, wenn Sie das erste Mal den USA oder Ihrem Zahlungsplan nachfragen können. Und sie fragten sie, welche Art von SEQ ich ausfüllen soll. Es sollte also nicht schwierig sein , sofern Sie Ihre Hausaufgaben richtig machen. Dies sind die Arten von SKUs. Ich lese nicht von einem langweiligen Tisch ab. Ich weiß, dass niemand will, dass ich das mache. Aber das sind die Begriffe um acht Arten von azyklischen Audioanrufen. Also lass uns einen Blick darauf werfen. Sehr der Fragebogen zur Selbsteinschätzung. Was sagt die PCA-Leitlinie aus? Dies ist der Fall, wenn Ihr Unternehmen die Erfassung und Verarbeitung von Karteninhaberdaten an PCI-konformen Drittanbieter vollständig selbst vorgenommen hat Verarbeitung von Karteninhaberdaten an . Wenn Sie in Bezug auf Karteninhaberdaten nichts unternehmen, haben Sie alles vollständig ausgelagert. Normalerweise habe ich das in Szenarien gesehen, in denen es einen vollständigen E-Commerce gibt, ähnlich wie in einer E-Commerce-Umgebung , in der Sie auf Ihrer Website nichts tun , wenn die Benutzer klicken auf diese, als würden sie zu einer anderen Person weitergeleitet und dort findet die Transaktion statt. Und du kommst einfach zurück und sagst: Okay, die Transaktion war erfolgreich. Du musst nichts tun. Für diese Art von Szenarien. Ich habe gesehen, dass ein SAQ am besten als vollständiges Outsourcing geeignet ist . Und es ist so, als würden Sie zu keinem Zeitpunkt eine Prozessübertragungskarte speichern . Dies ist also für die grundlegende Qualitätssicherung, die normalerweise am besten für dieses Szenario geeignet ist. Es gibt noch eine namens SQL-API. Es gibt also wieder eine E-Commerce-Umgebung, und die Erfassung der Verarbeitung von Karteninhaberdaten wurde in Ordnung an einen PCI-konformen Dritten ausgelagert . Es ist also ähnlich wie das vorherige, aber was passiert in diesem Fall? Sie kontrollieren den Fluss der Karteninhaberdaten zum Dienstanbieter. Okay? Was also passiert, möchten Kunden in der Regel mehr Anpassung an die Umgebung. Sie kontrollieren also, wie die Website Karteninhaberdaten sendet , und sie sind so, wie Sie es nennen. Sie nehmen keine Karteninhaberdaten entgegen, kontrollieren aber den Ablauf, wie die Benutzer zur Zahlungseintreibung auf die Website weitergeleitet werden. Normalerweise passiert das, wenn sie nicht mögen, dass der Drittanbieter Standardseiten ist und sie einige Anpassungen vornehmen möchten. Für diese Art von Szenarien, in denen eine sichere API verwendet wird , ist dies normalerweise die richtige Wahl für Ihre Compliance-Dokumentation. Okay. Fragebogen B. B. Dies sind die vier , die Versandhandel und telefonische Bestellungen durchführen, bei denen Sie Zahlungsterminals von der Bank genehmigen möchten . Sie sind normalerweise analoge Leitungen, keine analogen Telefonleitungen. Sie haben also keine elektronische Verarbeitung und Speicherung von Daten. Im Grunde handelt es sich um Telefonleitungen nicht einmal mit Voice-Over-IP wie analog verbunden sind. Sie werden diese Händler sehen, die normalerweise irgendwie von der Welt abgeschnitten sind , so weit für jeden Händler, den sie nur für das fühlen , was er die Terminals und die Zahlungsterminals nannte mit den Telefonleitungen verbunden, weil sie keine Internetverbindung haben Internetverbindung und so etwas nicht haben. Das benutzen sie für solche Fragen. Seq B wird verwendet. Ich habe es nicht benutzt. Ich habe nicht gesehen, dass es so oft benutzt wurde. Das ist das Szenario, in dem Sie dieses verwenden werden. Was ist SEQ BIP? In diesem Fall haben wir wieder den Versandhandel, den telefonischen Bestellvorgang und die Zahlungsterminals, aber Sie erhalten es auch persönlich. Und es ist mit einem IP-Netzwerk verbunden . Also wie nennst du? Es ist nicht, es ist nicht wie einer analogen Verbindung, hier haben Sie eine IP-Verbindung. Plötzlich haben sie möglicherweise Zugang zum Internet oder zu einem solchen WLAN. Normalerweise führt dies zu schnelleren Verarbeitungszeiten, aber dann müssen Sie mehr Farben einsetzen, sind mehr Sicherheitskontrollen vorhanden und Sie müssen dieses Netzwerk segmentieren , okay? Denn in diesem Fall werden die Zahlungsdaten über das Netzwerk übertragen. Hier kommt also das BIP ins Spiel. Wenn Sie es anhand des Namens überprüfen können. Ip. In den vorherigen 22 gibt es hier nur analoge Telefonleitungen. Es ist ein IP-Netzwerk. Okay. Was bedeutet Aufsatz Q. C. Okay. Ja, in diesem Fall erhalten Sie die Daten des Karteninhabers persönlich und wiederum Versandhandel und verwenden ein Point-of-Sales-System. Was war das in der vorherigen. Das war also wie ein Zahlungsterminal der Justiz. Aber hier haben Sie ein Kassenterminal und das zeigt nicht die vollständigen Kartendaten. Denken Sie daran, wo er über die Speicherung von Kartendaten gesprochen hat. Normalerweise haben Sie hier also diese Registrierkassen und sie sind mit einer Rückseite eines Servers verbunden . Und dieser Server könnte draußen gehostet werden. Aber genau das ist das Szenario. Sie haben also ein Point-of-Sale-Terminal, das nicht zum Speichern der Tankkartendaten konfiguriert ist . Und Sie haben gerne einen genauen bis etwa einen Backend-Server. Normalerweise habe ich diese Einzelhändler gesehen, diese großen Registrierkassen benutzten, oder? Hier gilt der SAT normalerweise für C v, t. Und für diesen Fall kann man, selbst wenn man nur vom Namen selbst ausgeht, selbst wenn man nur vom Namen selbst ausgeht, sagen, dass dies wie das virtuelle Terminal eines Verbit ist. In einigen Fällen haben Sie also kein physisches Terminal. Okay? Hier haben Sie also ein virtuelles Terminal. Und normalerweise gibt es eine Workstation, die an einem bestimmten Ort für die Zahlungsabwicklung vorgesehen ist . Manchmal, wenn Sie zulassen, dass Ihre Kunden Self-Service tun können und all das, richtig? Hier kommt das ins Spiel. Okay, P2. P2, P0, P2P steht also für Punkt-zu-Punkt-Verschlüsselung. Das ist also ein Standard, den der PCI Council eingeführt hat. Dann werden alle Daten ab dem Zeitpunkt der Erfassung verschlüsselt , den der Punkt zur Verarbeitung zurücksendet. Wenn Sie also ein Händler sind, müssen Sie es nicht tun. Es handelt sich um einen vollständig Offshore-Standard, jedoch den Umfang der Piaget Compliance reduziert. Ich habe gesehen, dass viele Servicecodes nicht von der Bank als Lösung für Händler angeboten als Lösung für Händler wenn sie die Komplexität reduzieren möchten. Wir möchten uns nicht die Mühe machen, uns um Zahlung und all das zu kümmern. Normalerweise müssen dafür spezielle Terminals vorgesehen sein. Okay? Anschließend wird die Transaktion zur an den Dienstanbieter zurückgesendet Entschlüsselung und Verarbeitung an den Dienstanbieter zurückgesendet. Die Hauptsache ist also, dass wir validierte Punkt-zu-Punkt-Verschlüsselungsterminals verwenden . Okay? Wenn Sie das verwenden, ist dies ein Fragebogen. Dieser Fragebogen ist viel einfacher als die anderen, und das ist der springende Punkt. Sie möchten den Compliance-Aufwand reduzieren. Sie möchten diese große, große Frage nicht ausfüllen, und dies wird zu einem Anreiz für Händler, diese Art von Lösungen zu übernehmen. Okay? Und jetzt sind wir bei der letzten, was die Sicherheit viel ist und so alles, was nicht auf die vorherigen Kriterien zutrifft. Und Sie möchten nicht, dass Sie Karteninhaberinformationen speichern und kein geschichtetes Punkt-zu-Punkt-System verwenden. Und im Grunde gilt eines der vorherigen Kriterien nicht für Sie als Sicherheit. Ich habe oft gesehen, dass Händler damit angefangen haben, weil Sie in diesem Szenario nur den sichersten Ansatz wählen und nur ihre Sicherheit auffüllen, weil sie sich nicht die Mühe machen wollen herauszufinden, was genau wie die Feinabstimmung der datensicheren Kommentare ist, füllen sie einfach ihre Sicherheit und die eingereichten. Dies gilt also Händler und die Dienstleister, auch für Dienstleister. Ich war viele, viele Jahre bei einem Dienstleister. Im Grunde ist es nicht so, dass eine Zahlung wie Visa oder MasterCard verlief , und Sie sind nicht wie eine Bank, oder? Sie führen Ihre Verarbeitung, Speicherung und Übertragung von Karteninhaberdaten jedoch im Auftrag eines Bankangebotshändlers durch. Du lädst also im Grunde alles ab, okay? In der Regel führen Dienstleister das vollständige Audit durch, da ihre Umgebung viel kritischer ist. Du bist du hast keine Daten. Entität, Sie haben Beta. Gott weiß wie viele Unternehmen Hunderte von Banken sind, Hunderttausende von Händlern. Regel führen sie also das vollständige Audit durch, aber Sie können ihre Sicherheit erhöhen. Sie sollten sich bei Ihrem permanenten Lauf erkundigen und herausfinden, was seiner Meinung nach auf Sie zutrifft. Ich würde empfehlen, wenn Sie ein Dienstleister sind , die vollständige Prüfung durchzuführen, sich nicht auf einen sicheren Schlüssel verlassen da dieser nicht unabhängig verifiziert wird. Versuchte damit zu tun, das vollständige Audit immer durchzugehen. Vor allem, wenn Sie ein Dienstleister sind. Okay, Leute. Das schließt also den Körper, der SEQ-Teil genannt wird. Und ich sehe Sie im nächsten Modul, das sehr wichtig ist mit den wichtigsten Änderungen in Version 4 des Standards zu tun hat . Danke Leute. Wir sehen uns in der nächsten Lektion. 20. 6- PCI DSS v4 und die wichtigsten Änderungen: Hallo zusammen. Okay, wir haben also das letzte Kapitel erreicht, das das letzte und das zukunftsweisendste ist, welches die wichtigsten Änderungen in den Nullen der Version 4 sind. Sie könnten also wissen, dass Version 4 Ehemann in der Öffentlichkeit veröffentlicht wurde. Dies war das Ergebnis verschiedener Bemühungen des PCA-Rates, den Standard zu aktualisieren. Du machst es nicht relevanter. Der Grund, warum ich diesen Abschnitt nicht gemacht habe , ist, dass ich möchte, dass Sie ruhig bleiben und sich weiterhin auf Ihre Compliance-Bemühungen mit der aktuellen Version des Standards konzentrieren Ihre Compliance-Bemühungen mit . Nehmen Sie sich gleichzeitig etwas Zeit, um PCI DSS Version 4 zu lesen und zu planen. Versuchen Sie nicht, 4 jetzt zu implementieren, da Sie älter werden, da dies eine große Änderung darstellt. Sie können nicht einfach sofort mit der Implementierung beginnen. Sie müssen vollständig verstehen, was die Änderungen sind und wie sie in das Gesamtbild passen. Okay Leute, also nur ein Kabel, du bist nicht ganz aufgeregt und beginnst sofort mit der Implementierung. Worüber sprechen wir also? Zunächst einmal, warum hat sich der Standard geändert? Wenn also eine größere Überarbeitung stattfinden sollte, könnte das eine Frage sein. Man könnte sagen, warum hat die PCA-Konsole eine so große Neufassung des PCI DSS vorgenommen. Und der PCI DSS ist ein ziemlich ausgereifter Standard aus Gründen, aus denen sie sicherstellen wollen , dass es Sicherheitsstandards benötigt, die Bedürfnisse der Zahlungsbranche, oder? Weil sich die Technologie weiterentwickelt. Wir hatten vorher keine Cloud und andere Dinge davor, oder? Und sie haben es aus Sicherheitsperspektive reifer gemacht. Sicherheit war nicht so sehr wie das, was wir hier Link zum Risikomanagement und ausgereiften Prozessen nennen . Unternehmen verfügen jetzt über innovative Technologien, mit denen sie die Anforderungen erfüllen können. Erinnerst du dich, was ich dir vorher gesagt habe? Versuche die Absicht zu verstehen. Versuch nicht, dir den Standard zu merken, okay? Weil dir das nicht helfen wird. Und es gibt Ihnen viel Flexibilität unterstützt auch zusätzliche Methoden. Sie haben es also viel flexibler gemacht , viel offener. Sie können viele Diskussionen mit der QS führen, denken Sie daran, aber sehr, sehr wichtig. Aber Leute, Sie müssen sich auf das Risikomanagement als Methodik konzentrieren . Sei nicht nur technisch. Verstehe wie es ist. Wie funktioniert Management? Wenn du es nicht schon weißt. Die wichtigste Zeitleiste, nur für mich um dieses Diagramm zu verstehen, der Standard, der neue bleibt bis zum 31. März 2024 Option. Und dann wird diese Version drei die ältere Version, 3.2.1, gehen , sie wird zurückgezogen. Danach werden Ihre Audits nur für PCI DSS Version 4.2 durchgeführt. Einige der neuen Anforderungen werden auch erst am 31. März 2025 verbindlich. Bis zu diesem Zeitpunkt wird es als Best Practice angesehen. Okay. So viele Kommentare wurden dem Standard hinzugefügt, ihre Zukunft datiert März 2055, wie ich bereits sagte, damit die neuen Prozesse entwickelt werden können, bevor Kommentare durchgesetzt werden können. Das ist der Grund, warum ich mich konzentriere. Ich habe es zu einem separaten Standard gemacht weil ich dich nicht verwirren wollte, richtig. Ich werde mich auf die großen Veränderungen konzentrieren. Sie haben also bis zum 31. März 2024 Zeit, um die neuen Anforderungen zu verstehen und in die Standards umzusetzen. Und die Frage ist, dass wir kommen werden. Sie können mit der Prüfung anhand des Standards beginnen. Okay. Jetzt scheinen zwei Jahre viel zu sein, aber sie sind wirklich keine Würfel. Bitte unterschätzen Sie nicht, wie schnell die Zeit vergeht und wie schnell sich die Dinge ändern. Du wirst eine starke Tasse bekommen. Andere Dinge. Ich werde dir beibringen, wie du dich auf die Dinge konzentrieren kannst, auf die du dich konzentrieren kannst, und was sind die Dinge, die du tun solltest, okay? Okay? Das Erste ist also, dass es keine so große Kette ist, sondern ein Scoping. Früher war Scoping, wenn man sich diese Art von Scoping anschaut als würde es zu einer ersten Diskussion kommen. Es war in der Einleitung. Es war nicht Teil der Anforderungen des Standards, aber jetzt hat der Rat es in die Anforderungsstandards aufgenommen. Okay? Und sie haben es zu einer rückverfolgbaren Anforderung gemacht , die sofort für Version 4 wirksam wird. Das ist also nicht wie zukünftige Daten in anderen. Okay? Sie müssen also Ihre Scoping-Übung dokumentieren. Wenn Sie ein Händler sind, müssen Sie dies jährlich tun , und wenn Änderungen auftreten oder ähnliches, wenn Sie ein Dienstleister sind, müssen Sie dies alle sechs Monate tun. Oder ein Patron sind Datenstrukturdaten. Wenn Sie also ein Händler sind, stellen Sie sicher, dass Sie Ihre Scoping durchführen, Sie sollten trotzdem dokumentieren Ihre Scoping-Übung jährlich dokumentieren. mag es ein bisschen mühsam sein ersten Mal mag es ein bisschen mühsam sein, aber dann wird es einfacher. Wenn Sie ein Dienstleister sind, sollten Sie wissen, dass Sie dies nach dem 31. März 2025 alle sechs Monate tun müssen. Aber nach größeren Veränderungen, wie etwas, das sich in einer Weise geändert hat, wie die Systemprozesse der Menschen müssen Sie dies berücksichtigen. Okay. Was gibt es sonst noch eine Speicherung sensibler Authentifizierungsdaten? Nun, Sie sollten keine sensiblen Authentifizierungsdaten speichern, sondern nach der Autorisierung. Also haben wir das schon einmal besprochen , oder? Einige Organisationen. Bevor die Transaktion autorisiert wird, speichern sie die Daten also vorübergehend. Es wurde empfohlen, dass okay. Wenn Sie es für eine Minute, eine halbe Stunde speichern, was auch immer empfohlen wurde, sollten Sie versuchen, ein geschütztes Recht zu verschlüsseln. Es war nicht erforderlich. Nun, es ist nicht mehr so, dass es nach dem 31. März 2025 keine Empfehlung mehr sein wird . Was passiert ist, ist, dass sie viele Angriffe gesehen haben. Angreifer können versuchen, sie zu kompromittieren, sie sind im Speicher verschwunden, dieser temporäre Speicher, sie versuchen, ihn zu gefährden. Okay. Selbst wenn Sie es fünf Minuten lang aufbewahren, werden sie es wissen und versuchen, es aus dem Speicher zu holen. Sie werden also sogar innerhalb des Speichers, aber dann im temporären Speicher, müssen Sie ihn verschlüsseln. Okay. Also behalte das einfach im Hinterkopf. Und das wäre nach dem 31. März 2025 keine Empfehlung mehr. Okay. Was gibt es sonst noch Fernzugriff. Also, wenn Sie den Fernzugriff auf die Karteninhaberumgebung verwenden , okay? Dann müssen Sie das Kopieren und die Verlagerung des Karteninhaberdatenfalls verhindern . Jemand kann diese Daten kopieren und einfügen. Dies wurde bereits erwähnt, in der Standardempfehlung wird eine Anforderung sein. Viele Unternehmen haben gesehen, was sie früher getan haben, um eine Richtlinie dafür aufzustellen. Aber jetzt muss es durch eine Technologie durchgesetzt werden, okay? Normalerweise sollte es einfach nicht zu schwierig sein. Normalerweise, wenn Sie in Ihrer Fernzugriffssoftware Einstellungen haben , die das Kopieren und Einfügen verhindern, oder wenn Sie DLP-Funktionen haben, okay? Je nachdem, was Sie haben und Ihr aktueller Prozess trotz allem sehr einfach ist, kann es etwas schwierig sein. Möglicherweise müssen Sie in ein paar weitere Technologien investieren . Dies ist alles, was Sie benötigen, um einige Steuerelemente zu verwenden. Denken Sie also bei dieser Anforderung daran. Okay, Webanwendungs-Firewall. Das ist also ziemlich einfach, Leute. Denken Sie daran, ich habe Ihnen gesagt, dass Sie die Web Application Firewall oder Application Painter verwenden können. Es war eine Empfehlung. Nun, jetzt musst du es haben. Es ist nicht länger optional. Okay. Sie benötigen nach dem 21. März 2025 ein Ventil. Ehrlich gesagt, Sie sollten ein Rough haben, wie ich es Ihnen zuvor gesagt habe, versuchen Sie nicht, mit sicheren Codierungsüberprüfungen auszukommen oder sich zu ärgern, Sie sollten standardmäßig eine Webanwendungs-Firewall haben. Wenn Sie das also nicht tun, beginnen Sie sofort damit und beginnen Sie mit der Budgetierung dafür. Überspringt auf Zahlungsseiten. Das ist also ziemlich interessant. Dies war früher wie eine Ergänzung des PTA-Rates. Dies darf zunächst nicht Teil des PCI-Standards sein. Wenn Sie E-Commerce-Seiten mit laufenden Skripten haben, müssen Sie wissen, was müssen wir tun, wenn Ihre Skripte geladen werden? Sie müssen sicherstellen, dass sie autorisiert sind und niemand diese Skripte manipulieren kann. Und Sie haben eine Bestandsaufnahme aller laufenden Skripte. Warum? Warum passiert das? Da das Phänomen Skimming Payments, Skimming genannt wird , haben Angreifer diese Zahlungsseiten kompromittiert und ihre eigenen Skripte injiziert oder die vorhandenen Skripte manipuliert. Okay, es ist also so, als würdest du deine Daten eingeben, aber diese Daten werden tatsächlich auf der Seite des Angreifers eingegeben und der pH-Wert ist echt, oder? Aber sie haben sich nur mit dem Drehbuch verglichen. Es ist also nicht einmal wie ein Phishing-Angriff da die URL dieselbe bleibt. Deshalb ist dies jetzt persönlich ein sehr guter Kommentar , da der E-Commerce begonnen hat. Es ist, als würde fast der E-Commerce langsam die physische Welt übernehmen. Und Sie sollten diese Steuerelemente haben. Schauen Sie sich das auf jeden Fall an. Wenn Sie eine E-Commerce-Engine haben die federbelastet ist, schauen Sie sich an, wie Sie dies implementieren werden. Und Sie können sich die E-Commerce-Beilage des PCA-Rates ansehen . Das ist auch ein sehr gutes Dokument , das näher darauf eingeht. Okay. Was sind sonst noch die MFA-Anforderungen? Daher wurde die MFA ein wenig erweitert. Also, wie rufen Sie jetzt an, wenn wir erhalten haben , dass es jetzt für Admin- und Fernzugriff gedacht ist. Es wird erweitert um den Zugriff auf die Karteninhaberumgebung abzudecken. Okay. Also noch eine Sache. Also haben sie ein Detail hinzugefügt. Es kann ein bisschen schwierig sein. Was ist das, was früher passiert ist? Normalerweise geben Sie bei den meisten MFA-Lösungen Ihre Benutzer-ID und Ihr Passwort ein, oder? Klicken Sie auf Enter, und dann wird ein weiterer Bildschirm angezeigt. Dann musst du deinen MFA-Code eingeben, oder? Jetzt. All dies muss gleichzeitig geschehen. Es ist also nicht wie ein erstmaliges Benutzer-ID-Passwort. Und dann geben sie den anderen Faktor direkt unter dem Token ein. Jetzt müssen sie gleichzeitig auftreten und sie können Ihnen nicht sagen welche Weise das Benutzer-ID-Passwortfeld in Token fehlschlägt. Sie können diese Informationen nicht preisgeben. Daher sollten die meisten Anbieter es aktualisieren. Aber etwas, das man im Hinterkopf behalten sollte. Eine andere Sache war endlich eine gute Sicht. Wie ich Ihnen bereits sagte, waren die PCI-DSS-Passwortanforderungen früher sieben. Jetzt haben sie es endlich auf 12 aktualisiert. Sie sollten kein größeres Problem sein. Wenn Sie jedoch einige Ihrer Systeme haben , die aktualisiert werden müssen, müssen Sie möglicherweise die Kennwortrichtlinie oder ähnliches ändern . Behalte das im Hinterkopf. Ein kleines Problem ist, dass sie sich geändert haben, sie haben die Verweise auf Firewalls und Router entfernt. Jetzt haben sie es tatsächlich erwähnt, Sicherheitskontrollen und Anti-Malware. Sie haben es mehr im Einklang mit der Branchenterminologie gemacht. Die meisten Unternehmen verwenden jetzt kein Konstrukt von Antivirenprogrammen, um etwas Anti-Malware wiederzuverwenden. Okay. Was gibt es sonst noch? Authentifiziertes Scannen. Also intern per Scannen muss es jetzt authentifiziert werden. Es bedeutet jetzt, dass Sie einfach Ihre Ports und Dienste scannen und einen Via-Scan aufrufen können. Wenn Sie also einen Server oder etwas Ähnliches haben, Sie ihm normalerweise einen Server oder geben Sie die Appliance oder die Benutzer-ID und das Passwort an. Es meldet sich bei diesem Computer an und führt einen vollständigen Scan durch. Okay, mach dich bereit für einen viel größeren Bericht, wenn du das nicht schon tust, ehrlich gesagt, wir sollten das schon tun. Sie sollten immer authentifizierte Scans durchführen. Okay, aber wenn du es nicht bist und wenn du das anschaltest, wird Yoga , denn jetzt wird es schauen, authentifizieren und tatsächlich einen viel tieferen Scan machen. Es werden viele Dinge auftauchen, okay Leute, also seid bereit für den Anfang, das jetzt zu tun. Ein wichtiger Teil dieser neuen Anforderung ist, dass die Anmeldeinformationen, die Sie eingeben, sicher eingegeben und gespeichert werden müssen. Okay. Also sieh dir das an. Wenn Sie so etwas wie einen Passwort-Tresor haben oder vielleicht viele dieser Lösungen integrieren können , können sie in Password Works integriert werden, sodass Sie ihn nicht manuell eingeben müssen und lagere es überall. Okay. Denk einfach daran. Schließlich, okay, die meiner Meinung nach persönlich größte Änderung war die Einführung von Customize Controls. Was ist also früher passiert? Wie ich Ihnen bereits sagte , könnten Unternehmen, die zuvor die Anforderungen nicht erfüllen konnten, eine sogenannte Ausgleichskontrolle vorschlagen und damit umgehen, ihren Kommentar nicht zu erfüllen. Zum Beispiel können Sie Karteninhaberdaten nicht verschlüsseln , indem Sie ein anderes Steuerelement festlegen. Und das ist wie eine Minderung dieses Risikos. Viel Zeit neugierig ist, dass ihnen die Frage gestellt wird, richtig. Der Wirtschaftsprüfer Die Unternehmen haben mich gefragt, okay, wir haben eine Sicherheit, aber ich kann die spezifische Anforderung nicht erfüllen, aber ich habe sichere Kontrollen. Okay. Die Reaktion war früher in Ordnung, da Sie eine Ausgleichskontrolle implementieren können, die eine vorübergehende Lösung darstellt bis Sie die Anforderung erfüllen, bis Sie dies endgültig behoben haben. Okay? In Version vier des Standards haben sie versucht, dieses Szenario zu lösen, indem sie dieses Konzept des maßgeschneiderten Ansatzes eingeführt haben. Also Kundenunternehmen, die über ausgereifte Sicherheit verfügen, okay? Und sie haben andere Steuerelemente, sie können die Anforderung auf andere Weise erfüllen. Es ist also keine kompensierende Kontrolle einer viel komplexeren und viel besseren Möglichkeit ähnelt, die Anforderung zu erfüllen. Okay? Also frühere Dinge, die bisherige Vorgehensweise und es wurde ein definierter Ansatz genannt. Pci wurde implementiert und wird als definierter Ansatz bezeichnet. Jetzt wirst du einen separaten Abschnitt namens „Customized Approach“ haben , okay? Und im Grunde werden Sie ein neues Steuerelement vorschlagen, das heißt die Anforderungen. Sie entschädigen also nicht Sie kompensieren keine Lücke. Okay. Sie setzen ein neues ein, das das PSA-Ziel erfüllt, und das ist natürlich, dass es vom PCI-Auditor bewertet wird. Dies ist eine großartige Lösung für Unternehmen , die die Anforderungen nicht direkt erfüllen können, aber über ausgereifte Risikomanagementpraktiken verfügen und über innovative Technologien verfügen. Okay? Wie würde es aussehen? Es ist ein bisschen so. Der alte, der den Ansatz definierte, war, nun, ich habe eine PCI-Anforderung und kann sie nicht erfüllen, also werde ich eine ausgleichende Kontrolle einführen. Ich kompensiere mangelnde Kontrolle und werde kurzzeitig dokumentarisch. Der Prüfer pflegte zu sagen: Okay, wir akzeptieren es jetzt, vielleicht müssen wir nach einem Jahr , fünf Jahren eine Lösung implementieren. Okay, jetzt habe ich eine Pizza, die ich nicht treffen kann, ich habe eine maßgeschneiderte Steuerung, ich habe sie gemacht und sie erfüllt das Ziel der Anforderung. Der PCI-Standard besagt, dass XYZ nicht passieren sollte, kognitive Fähigkeiten nicht gestohlen werden sollten. Okay, ich erfülle die Anforderung und habe das implementiert. Sie können also immer noch kompensierende Kontrollen durchführen, aber diese neuen Ansätze sind viel strategischer, um dies zu erreichen. Also, wie gesagt, denk daran, dass du nicht wie kurzfristig kompensierst . Jetzt implementieren Sie einen langfristigen Ansatz zur ordnungsgemäßen Sicherung Ihrer PCI-Anforderungen. Okay? So sieht der Standard aus, damit sie ihn sich ansehen und stylen können. Sie müssen nicht sofort mit der Implementierung beginnen. Und es mag ein bisschen überwältigend erscheinen. Also gebe ich dir den Rat für diese Auszeichnung. Was kann man dagegen tun, wie kann man sich darauf konzentrieren, okay? Und nur um das klarzustellen, Leute, diese Verwaltung und Dokumentation sind ein großer Fokus auf den neuen Bereich. Wenn Sie also Ihre Aktivitäten ausführen, müssen Sie eine gezielte Risikoanalyse durchführen, um herauszufinden, warum Sie Dinge tun. Sie müssen sicherstellen, dass diese abgezeichnet sind. Wenn Sie benutzerdefinierte Kontrollen einführen, müssen diese von Ihrem Chief Risk Officer oder CEO abgezeichnet werden . Jemand Senior, okay. Das ist nicht so, wie ich es zuvor erwähnt habe. Pci DSS ist kein IT-Projekt. Aber in der neuen haben sie viel mehr Wert darauf gelegt. Dass Sie klar definierte Rollen und Verantwortlichkeiten haben müssen. Angepasste Steuerelemente müssen abgezeichnet werden. Und eine gezielte Risikobewertung muss durchgeführt werden. Denken Sie nicht, dass Sie einfach ein Excel-Blatt mit einer Spalte erstellen können , in der steht, dass ich eine Risikobewertung durchgeführt habe. Nein, so wird es nicht akzeptiert. Wie macht man das? 21. 6 - So komme ich vorbereitet: Wenn Sie Michael Lumia schon früher über Gap Assessment kennen , dasselbe. Okay. Was sind die wichtigsten Dinge, auf die Sie sich im Moment konzentrieren sollten? Lesen Sie zunächst die PCI DSS-Version für Standard, machen Sie sich mit den größten Änderungen vertraut, die auf Ihren Compliance-Prozess auswirken können, sich auf Ihren Compliance-Prozess auswirken können, und beginnen Sie dann mit einer Lückenbewertung, okay? Implementieren Sie für mich Änderungen. Bewährung wegen Input. Sie haben Zeit, fangen früh an und werden während Ihres Gesprächs keine Probleme haben . Okay, vergessen Sie nicht, Ihren aktuellen Standard 3.211 weiter zu implementieren , aber denken Sie darüber nach, wie Sie Risikobewertungen durchführen werden. Eher eine formellere Risikobewertung ist eine Dokumentation erforderlich , okay? Und die meisten Unternehmen müssen Prozesse hinzufügen und Fähigkeiten erwerben , um dies richtig zu tun. Finden Sie heraus, welche Zertifizierungen es gibt. Beginne mit dir zu konzertieren. Und der Würfel, obwohl sie derzeit kein 4-Assessment durchführen können derzeit kein 4-Assessment , bis sie formell geschult wurden. Aber es wird sehr, sehr schnell passieren. Okay. Aber holen Sie uns das wird Ihnen Ratschläge geben, aber bitte warten Sie nicht bis 2024, um mit der Umstellung auf PCI DSS für Fido zu beginnen, verteilen Sie Ihre Bemühungen die nächsten Jahre und es wird Ihnen gut gehen, okay? Okay. Denk einfach an diese Dinge. Konzentrieren Sie sich sogar verstärkt auf die Dokumentation. Gezieltes Risikomanagement begann in diesen Baum zu investieren, und es gibt viele, viele Zertifizierungen für das Risikomanagement. Sie können sich diese Zertifizierungen ansehen. Ich werde keinen bestimmten nominieren. kannst du dir ansehen. Es wäre eine gute Idee, in Zertifizierungen und Risikomanagement zu investieren . Diese sind nicht technisch, aber sie vermitteln Ihnen die Methoden für die Durchführung ordnungsgemäßer Risikobewertungen. Okay Leute. Okay, das schließt die Version 4 ab. Ich hoffe, Sie verstehen jetzt die großen Veränderungen, die sich ergeben, wie Sie dies tun können. Es scheint, wie gesagt, zwei Jahre, es scheint weit weg zu sein. Sie kann sehr kurz sein, sie kann sehr lang sein. Verteilen Sie Ihre Bemühungen und haben einen geeigneten Aktionsplan und Sie sollten damit einverstanden sein. Okay, Leute, ich hoffe das war nützlich. Das schließt alles zusammen und danke, dass Sie an dieser Schulung teilgenommen haben. Jetzt kommen wir zur Schlussfolgerung. Und in diesem Kurs danke ich Ihnen vielmals, dass Sie in dieser Zeit bei mir geblieben sind. 22. 7 - Vorwärts: Okay Leute, herzlichen Glückwunsch zum Ende dieses Kurses. Ich hoffe du fandest es interessant. Langweilig war es nicht. Ich habe versucht, es so praktisch wie möglich zu gestalten und dir so viele umsetzbare Ratschläge wie möglich für das Klassenprojekt zu geben. Ich möchte dich nur daran erinnern, dass wir über Essex gesprochen haben. Ich möchte, dass Sie einen SAQ sammeln, es so einfach wie Sicherheit machen oder irgendjemanden für einen physischen E-Commerce-Händler , der Sie wirklich über die verschiedenen Standards und Abteilungen unterrichtet . Es gibt Ihnen eine gute Vorstellung von den anderen Kommentaren , füllen Sie sie aus. Lassen Sie mich wissen, wie Sie vorgehen und ob Sie seitdem vor Herausforderungen stehen, wenden Sie sich an mich und lassen Sie es ob Sie seitdem vor Herausforderungen stehen mich wissen. Okay. Was kannst du sonst noch tun, Leute? Sie können sich das PCI ISA-Programm, Internet Security Assessor, ansehen , das eine Internistenzertifizierung ist, die Sie für Ihr Unternehmen durchführen können. Es macht Sie fast gleichwertig mit den USA, aber Sie sind es nicht, Sie sind, Sie sind nicht wie bei usaid, Sie sind über Ihrem eigenen internen Auditor, aber es gibt Ihnen die vollständige Schulung zum Verhalten diese Prüfungen. Wenn Sie daran interessiert sind, was es auf jeden Fall herauskommt. Wie gesagt, warte nicht auf das Audit. Bitte beginnen Sie sofort mit der Implementierung dieses Wissens. Und Sie werden definitiv dies ist der beste Weg, um dieses Wissen zu behalten , oder sagen wir, ein umsetzbarer Tipp, den ich Ihnen geben kann Erstellen Sie ein PCI-Dokument oder ein Handbuch für Ihr Unternehmen für den E-Commerce, wie implementieren Sie diese Anforderungen Tagesrate für Ihr Unternehmen. Und Sie werden viel lernen, glauben Sie mir, Sie werden viel über Ihr Unternehmen lernen und wie die verschiedenen Kommentare dazu passen. Und am wichtigsten ist , dass Sie heute eine Lücke gegen die PCI DSS Version 4 ist 0, verschieben Sie sie nicht für das nächste Jahr oder das Jahr danach, sonst werden Sie ernsthafte Probleme haben. Fangen Sie heute an, es zu spielen. Nehmen Sie das Wissen, das ich Ihnen beigebracht habe, und präsentieren es Ihrem Management. Dies sind die Dinge, die wir tun müssen. Okay, Leute, das schließt es ab. Vielen Dank, dass Sie an dieser Schulung teilgenommen haben. Bitte hinterlassen Sie eine Bewertung. Wenn Sie dachten, dass dieses Training nützlich wunderbar ist, lassen Sie es mich bitte wissen. Wenn Sie erwischt haben, dass dieses Training das Schlimmste war , das Sie je besucht haben, lassen Sie es mich bitte wissen, damit ich nicht beleidigt werde. Und ich werde das nutzen, um sein Training zu verbessern oder zu nehmen. Wenn Sie interessiert sind, können Sie mich auf meinem Kanal erreichen, wie den Cloud-Sicherheitsfachmann und andere Kurse, die ich hier habe. Okay, verbinden Sie sich mit mir auf LinkedIn. Ich helfe dir gerne weiter, wenn du irgendwelche Probleme hast. Okay, und das erreicht das Ende dieses Kurses, Leute, vielen Dank. Ich hoffe, dir hat dieses Training genauso viel Spaß gemacht wie mir. Schauen Sie sich meine anderen Kurse an und kontaktieren Sie mich. Ich wünsche Ihnen alles Gute Ihre PCI DSS-Reise und wir sehen uns in anderen Kursen. Vielen Dank und viel Glück.