Transkripte
1. 1 - Einführung: Hallo, hallo zusammen. Mein Name ist femoris und ich bin
der Schöpfer dieses Kurses, willkommener Diskurs
, der
PCI DSS Foundations to Mastery genannt wird . Jetzt
ist der PCI DSS eines der heißesten Themen ,
und das
schon seit 15 Jahren. Und es wird ehrlich gesagt heiß bleiben
, solange der
Zahlungsverkehr weiterläuft. Wenn Sie also daran
interessiert sind,
den PCI DSS-Standard
von Grund auf neu zu lernen , ist
dieser Kurs
definitiv für Sie ,
wenn Sie bereits
ein Experte sind. Ich meine, Sie haben einige Erfahrung
in der Implementierung von PCI DSS, dann ist es immer noch
für diesen Kurs, ich würde es trotzdem empfehlen, da es eine großartige Zusammenfassung für Sie sein
wird nur einige
der Kernkonzepte durchzugehen
und praktische Ratschläge
zu erhalten. Außerdem werde ich auf die neuen
Updates des Standards eingehen , der
in PCI DSS Version 4 enthalten ist. Und ehrlich gesagt, unabhängig davon, wie
viel Technologie voranschreitet, Karteninhaberdaten immer noch eine
der wichtigsten Datentypen , die es gibt, und sie müssen
immer geschützt werden. Egal, ob Sie
ein kleines Startup sind, ob Sie ein Fortune 500 , der Standard gilt
normalerweise für Sie. Dieser Kurs. Ich habe es
speziell entwickelt, um Menschen
dabei zu helfen den PCI DSS-Standard
von Grund auf zu beherrschen , okay? Sie
müssen kein Experte für Kreditkartentransaktionen oder die Zahlungsbranche
oder gar ein IT-Experte sein. Okay. Es basiert auf meiner eigenen Erfahrung
von neun oder zehn
Jahren und der Implementierung von PCI DSS. Ich habe es
in mehreren Standards
über mehrere Regionen hinweg implementiert . Ich kenne den Standard
in- und auswendig. Es wird Sie dazu bringen, den PCI- und DSS-Standard zu verstehen und zu
beherrschen. Und es gibt Ihnen
das gesamte Wissen, das Sie benötigen, um es in
jeder Umgebung ehrlich umzusetzen. Und ich versuche, Ihnen praktische Ratschläge zu
geben. Ich möchte dich nicht langweilen und es wie einen Tod
durch PowerPoint
machen. Aber ich lese gerade eine
Folie und du sagst nur, ich werde versuchen, dir eine zu
geben, das
so praktisch wie möglich zu machen . Was sind die wichtigsten Dinge, die
Sie wissen müssen? Was sind die
Fehler, die die Leute
so großartig machen , Lass uns anfangen. Nur ein kurzer Hintergrund
über mich Leute weiß nicht, wer dir diesen Kurs
beibringt. Mein Name ist Dan Voltage Law. Okay. Ich war in den letzten 20 Jahren in verschiedenen
Führungspositionen tätig, hauptsächlich im Nahen Osten. Okay. Ich werde also insgesamt rund 20
Jahre und Technologierisiken. Ich war über neun Jahre lang für die Überwachung der
PCI DSS-Implementierung an
ihren eigenen drei oder vier
Standorten verantwortlich PCI DSS-Implementierung . Ich habe also eine sehr vielfältige
Erfahrung und PCI, DSS. Okay. Derzeit bin ich also außerhalb von London
ansässig. Ich bin ein Autor. Ich habe, ich blogge auch gerne und bin auch Lehrer und Ausbilder,
was Sie hier sehen können. Ich bin auch
Karrierecoach für Cybersicherheit. Normalerweise versuche ich Menschen zu helfen,
wenn sie Erfolg haben wollen. Und wirklich, was er nannte, gehen Sie da rein und werden Sie ihre Karriere im
Bereich Cybersicherheit verbessern. Ich habe einen
YouTube-Kanal namens Cloud is Cloud Security Guy
, den Sie sich ansehen können. Und normalerweise spreche ich über Dinge, die sich
auf Cloud-Sicherheit,
künstliche Intelligenz und Ratschläge zur
geschlechtsspezifischen Cybersicherheit beziehen . Abgesehen von der Cybersicherheit war
meine Reise also Höhen und Tiefen. Ich habe mehrere Auszeichnungen
in der Branche gewonnen und mich
seit vielen Jahren
im Nahen Osten etabliert . Ich habe auch ein Buch über Governance
künstlicher Intelligenz in der Cybersicherheit geschrieben. Und ich habe dieses Jahr zwei weitere
Bücher vor. Ich hatte das Gefühl, dass dies ein Thema ist, das
nicht genug behandelt wird. Also dachte ich, ich werde meinen Teil
dazu beitragen, der Branche so viel Bewusstsein wie möglich
für mein Geld zu schaffen so viel Bewusstsein wie möglich . Ich wurde wie ein globales Talentvisum für
Großbritannien ausgezeichnet. Und ich helfe auch Menschen, die sich um eine Unterstützung durch britische
Techniker
bewerben. Ich habe versucht, ihnen bei
ihren Bewerbungen
so gut ich kann zu helfen . Das ist also nur eine
Zusammenfassung darüber, wer ich bin. Ich verstehe nur,
wer in diesem Kurs unterrichtet. Während und PCI, DSS-Leute. Also was ist der Grund? Warum sollten Sie, wenn Sie
an diesem Kurs teilnehmen, natürlich einen Grund
haben. Es könnte Teil Ihres Jobs sein. Oder vielleicht
hat Ihr Unternehmen beschlossen,
es
als regulatorische Anforderung umzusetzen es
als ,
wenn Sie keine Wahl haben.
Alles, was Sie möglicherweise mit einer Geldstrafe belegt, wenn
Sie nicht alles umsetzen. Oder vielleicht sagt ein Unternehmen
einfach, dass es
ein guter Standard ist , der implementiert werden muss,
es ist eine gute Praxis. Also lasst uns weitermachen und einen der
Gründe
implementieren , okay. Meine Pod-Leute, VR, wie er den Umzug in
eine bargeldlose Gesellschaft nannte, oder? Die kartenbasierten Transaktionen werden immer häufiger. Es können
Kassenterminals, CashRegister, Smartphones sein, alles wird durch bargeldlose
Transaktionen
angetrieben. Und der Schutz dieser Transaktionen
ist sehr wichtig. Wenn Sie das Gefühl haben,
dass die Kunden das Gefühl haben, ihre Daten
nicht schützen zu können, werden sie mit Ihnen
Transaktionen tätigen, was
Ihr Unternehmen zerstören wird. Ich meine, wenn Sie ein Händler
oder Dienstleister sind, oder? Und die Leute wollen keine Transaktionen mit Ihnen
haben, das ist zu einem großen Problem geworden. Hier
kommt PCI DSS ins Spiel, das wie
ein weltweit üblicher Standard zum Schutz
von Karteninhaberdaten
durchgesetzt ein weltweit üblicher Standard zum Schutz
von Karteninhaberdaten
durchgesetzt wird. Dieser Standard
bleibt gültig, solange wie nennt man Leute, die Transaktionen
tätigen, okay? Und es wird auf absehbare Zeit sehr wichtig
sein. Es ist eine großartige Sache, in
Ihrem Lebenslauf zu haben, eine großartige
Erfahrung. Je nach Branche haben
Sie möglicherweise auch keine Wahl. Sie müssen konform sein, wenn Sie
Karteninhaberdaten speichern, übertragen oder verarbeiten, was wir sehen werden. Aber sie sind, wie gesagt,
immer gute Gründe wissen, wie man
einen PCI DSS-Standard implementiert, was einer der Gründe ist, warum
ich diesen Kurs gemacht habe. Was deckt dieser Kurs ab? Und ich hoffe du verstehst jetzt, warum du PCI, DSS
notieren solltest, okay? Was ist mit diesem Kurs? Oder
was wird es dir beibringen? Es wird
Ihnen zuallererst
PCI DSS von Grund auf neu beibringen . Ich werde den
Standard von Seite eins
bis zum Ende nicht lesen . Okay. Niemand will das. Ehrlich gesagt, wenn du willst, dass ich
Kugel für Kugel lese, ist
das nicht der richtige Kurs für dich. Ich werde Ihnen
die Absicht der,
alle Anforderungen, verständlich machen . Was sind die praktischen
Schritte dabei? Sie müssen sich den Standard nicht
merken. Viele Leute haben angefangen, diesen Fehler
zu machen. Okay. Ich werde erklären, wie
der Standard funktioniert und wie die Implementierung am besten durchgeführt werden kann. Ich werde mich
eingehend mit diesen 12 Anforderungen,
den Standards, befassen und wir werden
sie im Detail durchgehen. Okay? Ich gebe dir
praktische Ratschläge, okay? Eigentlich Ratschläge basierend auf realen Implementierungen
, die ich gemacht habe. Und zuletzt
wird der Standard überarbeitet, okay? Die neuesten Updates für PCI, DSS für Punkte, was sind die wichtigsten Änderungen, die Sie beachten
sollten? welche Dinge
solltest du vorbereitet sein, was auch immer du denkst, dass du jetzt anfangen
solltest. Weil die
zweitausendvierundzwanzig fünfundzwanzig sehr nahe sind. Es sieht weit weg aus,
wird aber kommen. Und vielleicht müssen Sie bestimmte Dinge
tun, also möchte ich sicherstellen, dass
Sie dafür bereit sind. Okay. Für wen ist dieser Kurs gedacht? Egal, ob Sie ein
neuer Mitarbeiter mit
begrenzten derzeitigen Kenntnissen oder
ein erfahrener
Systemadministrator sind begrenzten derzeitigen Kenntnissen oder . Dieser Kurs
wird Ihnen,
Ihrem Unternehmen, helfen , PCI,
DSS oder Kommentare
einzuhalten. Ich habe das gemacht, ich habe
diesen Kurs wie ein
Nachschlagewerk entworfen , das die
schwierigsten Aspekte der PCI- und DSS-Konformität behandelt. Abhängig von Ihrem
Hintergrund und Ihrer beruflichen Rolle lässt
die Organisation einige Abschnitte möglicherweise relevanter
als andere, okay. Sie können also ein
IT-Auditor sein, der seine Umgebung
anhand von PCI DSS
prüft. Sie können wie, ich
weiß nicht, ein QSEN ISAF sein,
Leute, die sich
auf die Prüfungen für PCI, DSS vorbereiten, vielleicht
bereiten Sie sich darauf vor. Und dieses Beispiel gibt Ihnen
einige großartige Inputs dazu. Es gibt ein paar gute
Testfragen, praktische Ratschläge,
sie sind in Ordnung. Sie könnten ein
Risikoprofi sein. Und wer will den Standard
verstehen, wie er ist, was sind die Risiken? Was sind die Dinge, die
wir umsetzen müssen, okay? Oder Sie sind ein
Geschäftsprofi. Ihr Unternehmen ist möglicherweise ein
Unterstrich für PCI, DSS, und Sie möchten wissen,
wie Sie es implementieren können. sind also all
die Dinge, die die Menschen
waren, für die oder für die der Standard gelten
könnte. ein Klassenprojekt
Informationen leitet , die Sie nicht anwenden, werden
Sie sie vergessen. Okay? Das war mein ganzes Leben lang meine
Erfahrung. Wenn Sie das Gelernte nicht umsetzen ,
werden Sie es vergessen. Am Ende dieses Kurses möchte
ich, dass Sie in einer Stadt ausfüllen oder wir werden detailliert auf
SAQ für einen physischen oder
einen E-Commerce-Händler
eingehen . Denken Sie also einfach an einen
hypothetischen Händler. Sie akzeptieren
kartenbasierte Transaktionen. Machen sie E-Commerce? Und ich möchte, dass Sie das ausfüllen und SEQ dafür hilft Ihnen nicht
wirklich, es zu sperren und Ihnen wirklich zu verstehen, wie der
PCI DSS-Standard funktioniert. Ich hoffe, ich habe dich
für diesen Kurs begeistert und was werde
ich dir beibringen? Und wie werden Sie
etwas über den PCI DSS lernen. Lasst uns anfangen, Leute. Vielen Dank, dass Sie an diesem Kurs
teilgenommen haben. Und wir sehen uns
im nächsten Abschnitt.
2. 2 - Übersicht über PCI DSS: Okay Leute, Willkommen, Willkommen zum ersten
Modul dieses Kurses, das PCI, DSS
und Überblick über den Standard ist . Aber zuerst
möchte ich Ihnen beibringen, was PCI DSS wahrscheinlich ist oder
nicht, um implementieren die PCI DSS-Standards
und -Anforderungen zu implementieren, oder? Sie verstehen nicht,
was wir über Ideen hören, so funktioniert das. Was ist der Sinn
dieses Standards, oder? Wir haben bereits
so viele Standards. Um einen weiteren. Lernen wir mehr über PCI DSS. Von Grund auf würde ich
empfehlen, dieses Modell auch wenn Sie bereits Erfahrung mit der
Implementierung von PCI DSS haben , da Sie
einen guten Überblick
und eine Historie des Standards erhalten . Und ich werde Ihnen beibringen, wie der Standard
strukturiert ist und wie einige
der häufigsten Fehler auftreten, die
Leute in
etwa zehn Jahren der
Implementierung von PCI DSS gemacht haben , okay? Okay. Zuallererst der PCI DSS-Standard, okay. Es wurde 2006
oder acht von den großen
Kartenmarken Visa,
MasterCard, American
Express, Discovery,
JCB gegründet oder acht von den großen
Kartenmarken Visa, MasterCard, American
Express, Discovery .
Warum haben sie es getan? Einfach ausgedrückt,
was ist historisch gesehen mit all
diesen Farbschemata
passiert? Sie hatten ihre eigenen Standards, sie hatten ihre eigenen
Programme, also Compliance. Nehmen wir an, Sie sind
ein Händler, oder? Wir möchten einstellen, dass Sie Visa-Karten akzeptieren
möchten, okay? Visa hatte seinen eigenen
Standard, den Sie
einhalten müssen , bevor
Sie dies tun konnten, dann Mastercard es
nur dort , wenn Sie Mastercard
akzeptieren möchten. Und einfach mit Amazon, wieder mit American Express, mache
ich eine Geste. Sie können also verstehen, dass dies für
Händler und Dienstleister zu einem großen Problem wurde . Die Menge an Zeit und Geld implementierte
unterschiedliche Standards. Okay? Was also passiert ist, waren all
die Standards, die
zusammenkamen , und sie werden einen gemeinsamen Standard festlegen. Und dieser Standard
wird
für Personen gelten , die
in der Zahlungsbranche tätig sind. Dadurch entfiel die
Notwendigkeit jedes einzelne
Versprechen einzuhalten, okay? Auf diese Weise müssen Sie, wenn Sie diese Daten
speichern, verarbeiten und
übertragen möchten , den Standard zum Schutz implementieren. Basierend auf Tausenden
und Abertausenden von Ermittlungen gegen Händler
, die verletzt wurden. Was bestätigt wurde,
was das, wenn sie richtig umgesetzt
hätten
, dehnte sich aus. Okay. Wie nennst du sie haben zentriert richtig
implementiert. Dies würde das
Risiko, dass
sie angegriffen
oder kompromittiert werden, erheblich verringern . Ok, der Standard
ist also sehr nützlich. Macht es Sie zu 100% sicher? Nein, absolut nicht. Aber es ist ein sehr guter
Startschritt. Okay? wen ist es also anwendbar? Denken Sie grundsätzlich daran, dass Sie beim Speichern, Verarbeiten
oder Übertragen von Unternehmen, die
Zahlungskartendaten speichern ,
verarbeiten oder übertragen den Standard
implementieren müssen ,
um
Karteninhaberdaten zu verhindern. okay? Sie können ein Händler sein, es
kann ein Dienstleister sein, Sie können eine Bank sein, Sie können ein Call Center sein. Wir können ein Technologieunternehmen sein. Es spielt keine Rolle, ob du diese drei Dinge
tust. Eines der drei Dinge werden
wir in den Geltungsbereich kommen. Wie viel muss man implementieren
, da passiert der
Unterschied. Aber seien Sie versichert, dass Sie in den Geltungsbereich
kommen werden. Okay. Warum also? Du fragst dich vielleicht warum, okay. Ich bin schon sicher. Ich habe Kontrollen
implementiert
und all das usw. Warum muss ich den Standard anwenden? Okay. Was ist die Notwendigkeit
für den Standard? Einfach ausgedrückt, basierend
auf der alten Sache, dass Kriminelle dorthin gehen, wo
das Geld in Ordnung ist? Das Gleiche. In einem digitalen Zeitalter Händler zu vielen
Dienstleistern geworden, es wird ein neues Ziel
für betrügerische Aktivitäten. Okay? Sie könnten also, es könnte Ihre Registrierkasse sein, es könnte Ihre
primäre Verkaufsstelle sein. Es könnte ein Einkaufswagen sein, es könnte ein Wi-Fi-Netzwerk sein. Es können die PCs oder
Arbeitsstationen sein, die Sie haben. Okay? Es ist zu einem ernsten
Problem geworden, weil Angreifer wissen, dass
ich selbst eines dieser Dinge kompromittieren kann. Ich könnte Zugang zu diesen Daten bekommen. Ich könnte damit vielleicht Betrug
begehen. Deshalb ist es so wichtig, diese
Sicherheitslücken
zu verstehen. Sie können überall im Ökosystem
der Kartenverarbeitung auftreten . Wie ich schon sagte, es könnte in mobilen Geräten,
Verkaufsstellen, drahtlosen
Hotspots
passieren , an denen
Einkaufsanwendungen übertragen werden
und
es könnte gehen, es könnte sein, dass es nicht in trockenem Miami ist, es könnte bei einem
Dienstanbieter sein. Es könnte sich in Ihrer
Cloud-Umgebung befinden. Okay, deshalb
kommt der PCI DSS ins Spiel und hilft Ihnen wirklich, diese Umgebung
zu sichern. Sie verstehen
wirklich, was ich tun muss. Was muss ich nicht tun? Eine weitere
Due-Diligence-Aktivität muss ich umsetzen. Okay? Es
gibt also definitiv absolut 0, wenn er bei der
Implementierung dieses Standards als
Nachteil bezeichnet hat . Okay. Aus diesem Grund , das
Zahlungsvorgänge verarbeitet und involviert, empfehle
ich für
jede Technologie, jedes Unternehmen
, das
Zahlungsvorgänge verarbeitet und involviert, immer, einen PCI DSS-Standard zu
implementieren. Okay. Die Zeitleiste
des Standards hat also ehrlich gesagt einen
langen, langen Weg zurückgelegt. Und warum es so sehr
überarbeitet wurde , weil
es sich um ein lebendes Dokument handelt. Es wurde weiterentwickelt, um mit dem Stand des
E-Commerce und der
ausgefeiltesten Cyber-Bedrohungen Schritt zu halten. Und ehrlich gesagt, wie
sich Technologien vor 1015 Jahren entwickelt haben, war
die Cloud nicht so wichtig. Smartphone-Transaktionen fanden nicht
so oft statt,
aber nicht so oft. Okay. Angriffe für verschiedene, die
keine ähnlichen Container in Cloud und Sowell hatten, da all
diese Dinge aufgetaucht sind
, ändert sich der Standard
ständig. muss uns nicht gefallen. Sie müssen sich die Geschichte nicht
merken und dies
dient nur als Referenz. Aber wissen Sie nur, dass es verschiedene Iterationen durchlaufen
hat um über die Technologien auf dem
Laufenden zu bleiben. Im Jahr 2022 wurde die Version
4 veröffentlicht. Okay? Und nur um Ihnen klar zu machen, 2022 ist es soweit gekommen, richtig. Und es hat sich auf MFA,
Multi-Faktor-Authentifizierung oder
deren Rollen und
Verantwortlichkeiten ausgeweitet Multi-Faktor-Authentifizierung oder . Und bis März
bis 2024 sind viele neue
Anforderungen gestellt worden. Zu diesem Zeitpunkt wird die
PCA, die alte Version, die 3.20.1 ist,
ausgemustert und
vollständig durch 4 ersetzt. Du hast also ein
bisschen Zeit. Und bis März 2025 werden
die neuen Anforderungen
offiziell in Kraft treten. Einige optionale Kommentare, okay. Diese basieren
auf Prognosen des PCA Security
Standards Council,
der Stelle, die
den Standard beibehält. Sie können sich
ändern, aber der Zeitplan. Deshalb
empfehle ich diese Leute immer wieder. Wenn Sie PCI in Betracht ziehen, schauen
Sie sich noch heute die
4 Anforderungen an. Schieben Sie es nicht auf. Okay, das war also ein grundlegender
Überblick über den Standard. Im nächsten Modul gehe
ich auf die vesikuläre Architektur ein, wie der Standard aufgebaut ist, wie er funktioniert und
wie er strukturiert ist. Also danke Leute, und wir
sehen uns im nächsten Modul.
3. 2 - Standardstruktur: Okay Leute, willkommen
zu diesem Modul, in dem es um die PCI DSS-Struktur geht, wie der Standard funktioniert. Einfach ausgedrückt, es ist sehr einfach. Es hat sechs Schulen
und 12 Anforderungen. Leute konzentrieren sich normalerweise mehr auf die 12 oder Kommentare
von eins bis k, wir müssen es implementieren, um PCI DSS-konform zu
werden. Sie könnten Spielraum für
einige haben, die ich für Väter merke. Aber so
wurde der Standard im Grunde ziemlich einfach strukturiert. So kompliziert ist es nicht. Also die Ziele, das sind
gemeinsame Schrittanforderungen, ehrlich gesagt, einige davon
könntest du dir ansehen und sagen: Hey, okay, all diese
Dinge mache ich schon. Aber das ist der springende Punkt. Da das, was Ihnen als
gesunder Menschenverstand erscheint, für
andere Umgebungen
wie andere
Händlerdienstleister möglicherweise
kein für
andere Umgebungen
wie andere Händlerdienstleister , könnten
sie sagen: Okay,
ich muss keine Firewall
implementieren, ich
nicht muss das tun. Das sind meine Mandatsstaaten. Was sind also die sechs
grundlegenden Kategorien? In der Regel geht es darum,
ein sicheres Netzwerk für
Firewalls oder andere Geräte
aufrechtzuerhalten und aufzubauen . Sie sollten
Karteninhaberdaten überall dort
schützen , wo sie gespeichert sind. Sie sollten über ein
Schwachstellenmanagementprogramm verfügen , um
sicherzustellen , dass Ihre Systeme sicher
bleiben. Okay. irgendwelche Probleme, sind
Sie sich dessen bewusst? Wir sollten strenge
Zugangskontrollmaßnahmen haben physisch oder logisch sein
können. Sie sollten Ihr Netzwerk regelmäßig
überwachen, okay? Sie nicht davon aus, dass Ihr
Netzwerk sicher ist. Es könnte etwas passiert sein. Aus Sicht der
Due-Diligence-Prüfung sollten
Sie natürlich über ein hohes
Maß an Governance verfügen , indem Sie Richtlinien bis hin zu Chartas durchführen, sicherzustellen, dass
Schulungen stattfinden und die Mitarbeiter sich
ihrer Anforderungen bewusst sind. Okay. Das sind also die Ziele. Die Ziele und die Anforderungen werden jedes dieser Ziele
im Detail behandeln, Leute. Aber nur um Ihnen eine
hohe Anforderung Wartung einer Firewall
zu stellen, sollten
Sie über eine Standardisierung verfügen. Sie sollten die
Karteninhaberdaten
schützen sie
über das Netzwerk sichern, vor Albert schützen und Ihre Systeme
aktualisieren. Dies sind die ersten sechs. Bei den nächsten sechs
beschränken wir den Zugriff, sei es logisch oder physisch, mit eindeutigen Anmeldeinformationen, okay. Bitte teilen Sie keine Passwörter. Physische Sicherheit haben,
protokollieren und überwachen, was VN, VN PT
passiert, okay. Und dokumentieren und bewerten
Sie Ihre eintretenden Risiken. Also das waren die 12
oder Kommentare Jungs. Diese scheinen zu viel zu sein. Okay, 12 Stunden wer
wird sich das merken? Das bringt mich zu meinen häufigsten
Fehlern, die Leute machen, wenn sie die Anforderungen
umsetzen. Und ich möchte
sichergehen, dass du nicht das gleiche Ticket für mich
machst. Dann ist dies ziemlich oft einige
der häufigsten Fehler, dass sie
versuchen, sich den Standard zu merken. Okay. Bitte müssen Sie sich den Standard und
die
Kofferraumanforderungen nicht merken . Das macht keiner. Das musst du nicht tun. Du kannst einfach
die Absicht der Funktion
Comment verstehen , okay? Und dann, wenn
Sie es implementieren können, solange Sie
verstehen, was der Kommentar
im Grunde beabsichtigt, können
Sie mit
dem PCI-Auditor viel
Hin und Her haben und
Sie können zufrieden stellen, schauen, Ich implementiere den Standard, vielleicht ist XYZ nicht implementiert, aber du hast andere Sachen gemacht. Wir schauen uns das im Detail an. Das bringt mich
zu meinem nächsten Punkt. Ein weiterer Fehler, den
die Leute machen ist, sich nicht früher mit
dem QSR zu beschäftigen. Wenn Sie einen zur Verfügung stehenden
PCI-Auditor haben, sollten von
Anfang an mit ihm
beschäftigen. Sag ihnen, ich mache das nicht,
damit sie sich dessen bewusst sind. Vielleicht können Sie
Fehler
von Anfang an erkennen, wenn Sie Fehler machen. Okay. Das Audit
behandelt dies nicht so, als ob
Sie versuchen würden,
Dinge sofort vor dem mit ihnen
beschäftigten Auditor zu verbergen . Ich hoffe, Sie haben verstanden, wie
der Standard strukturiert ist. Was sind die wichtigsten Ziele, die wichtigsten Anforderungen und welche Fehler
Sie vermeiden sollten. Also werden
wir im nächsten Modul den Prozess starten, okay? Die PCI, DSS auch als Prozess, es ist nicht so, dass Sie
einfach weitermachen und mit der
Implementierung der 12
Anforderungen beginnen können . Es gibt einen
Standardprozess, dem wir
folgen müssen, und wir werden uns
eingehend damit befassen. Wenn Sie verstehen, dass der
PCI DSS-Prozess wird, kann
ich Ihnen versprechen, dass es einfacher
wird. Also okay Leute, lasst uns zum nächsten Modul
springen. Danke.
4. 3 - PCI DSS Prozess ( Foundation ): Hallo zusammen, Willkommen zu
diesem Modul, in dem es um PCI DSS geht, den Prozess zu
verstehen. Eine Sache, die ich
erwähnen möchte, ist, dass viele
Leute den Fehler machen. Viele Unternehmen
machen den Fehler, dass
sie sich für die
Implementierung von PCI DSS entschieden haben Sie springen, laden den
Standard herunter und beginnen
einfach mit der
Implementierung, oder? Sie sagen: Okay, ich muss die
Multi-Faktor-Authentifizierung aktivieren . Ich muss meinen Server verhärten, ich muss XYZ patchen usw. So
wollen Sie PCI DSS nicht starten. Das bereitet dich
selbst vor. Wenn Sie PCI DSS-konform sein
möchten, müssen Sie einen strukturierten
Prozess befolgen. Sie können nicht einfach sofort mit
der Implementierung der Anforderungen
beginnen . Es wird nicht funktionieren. Sie werden
viel Zeit verschwenden und
Willis the Lewis sein , auch eine
Menge Geld. Lassen Sie uns also sehen, wie Sie PCI,
DSS und Umgebung
am besten implementieren können? Es gibt zwei Phasen. Eine ist grundlegend, eine ist
die Implementierungsphase. Wenn Sie die harte Arbeit in
der Gründungsphase erledigen, wird
die Implementierungsphase viel, viel einfacher. Die Implementierungsphase dauert in der Regel länger, ist
aber viel einfacher weil wir eine
feste Richtung haben. Okay, was sind die Schritte? Die wichtigsten Schritte, die Sie ausführen müssen, um PCI
DSS
erfolgreich in Ihrer Umgebung zu implementieren. Okay, lass uns anfangen.
In diesem Modul gehe
ich auf
die grundlegenden ein. Erster Schritt, am wichtigsten, und manchmal
wird er verpasst. Sammeln, Verwalten,
Management-Unterstützung. Sie benötigen Managementunterstützung damit
Ihr PCI DSS erfolgreich ist. Pci DSS, bitte beachten Sie
dies sehr genau. Es ist kein IT-Projekt. Es befasst sich mit
Menschen, Prozessen und
Betriebstechnologien, die getestet und geschützt
werden müssen . Es ist kein Projekt, aber es ist kein IT-Projekt. Viele Unternehmen
befähigen die IT-Teams,
diese umzusetzen. Du schaffst es, aber
was wird passieren? Es wird entweder scheitern oder
es wird eine einmalige Aktivität sein. Sie werden im ersten Jahr, im
zweiten Jahr konform
sein , die IT wird sich mit anderen Dingen
beschäftigen. Hab alles vergessen. Sie haben also
Ihre Zeit und Ihr Geld verschwendet. Sie müssen zuerst
die Kultur ändern, wir brauchen einen Sponsor
auf Managementebene, vorzugsweise den CEO oder den CEO, oder jemand
könnte die Silbe haben. Sie brauchen diesen Mann, um
eine klare Botschaft
in der gesamten Organisation zu senden . Pci, DSS hat Priorität
und wir werden es implementieren und bitte
benennen Sie XYZ-Formeleinheiten. Sie werden das Budget genehmigen weil es Sie
kosten wird , Sie
müssen Dinge implementieren. Sie nicht davon aus, dass alles kostenlos sein
wird, aber der Management-Support
stellt sicher, dass Ihre Mitarbeiter jeder
die Bedeutung davon verstehen. Und Sie werden Ihr Leben später
erheblich erleichtern. Wenn größere Unternehmen eine kontinuierliche
PCI- und DSS-Compliance
wünschen, ist eine sehr starke
Kultur der Zusammenarbeit,
Kommunikation und des Engagements
der Geschäftsleitung erforderlich . Bitte halte diesen Schritt nicht durch. Nominieren Sie einen Executive
Sponsor, der das
Budget genehmigt und an den Sie
Ihre Projektaktualisierungen senden. Hey Leute, das ist der
Status des PCI DSS. Machen Sie es also zu einem Projekt, aber machen Sie kein IT-Projekt. Sie können es von
Ihrer Risikoabteilung aus ausführen, egal welche Abteilung Sie haben. Aber machen Sie es nicht zu einem
IT-Projekt und stellen Sie
sicher, dass Sie
Managementunterstützung haben, okay? Okay. Zweiter Schritt. Was ist der zweite Schritt
in die Gründungsphase? Es bedeutet,
Ihre Verantwortung zu verstehen, aber was sind Sie? Sind Sie ein Händler,
Ihr Dienstleister, IU oder Bank. Okay. Weil du
verschiedene Prozesse,
Technologien, Dinge hast ,
die im Umfang sind, okay? Sie werden interessiert sein, ich bin sicher, dass Sie wissen, dass Sie in PCI, DSS
sind oder nicht. Aber Sie müssen herausfinden, was für ein Geschäft Sie machen. Ist der E-Commerce eine Verkaufsstelle, ist
das Outsourcing? Normalerweise empfehle ich daher, sich an Ihre Karriere zu
wenden. Es könnte eine Bank sein, es könnte ein Kartensystem wie Visa,
MasterCard
sein und sie fragen, ich mache XYZ, was muss ich tun, um PCI DSS-konform zu
werden? Warum sage ich das? Weil der PCA Council, sagten
sie dort unten, haben
sie den PCR
Standards Council weiß festgelegt, aber jede Zahlung brandneue Visa, MasterCard, sie haben ihre eigenen. Diese validieren es. Sie sollten sich also an
die Zahlungsmarken oder die
übernehmende Bank wenden . Okay. Das wird dir einen klaren Ton geben wofür er einen Ton genannt
hat? Du musst es tun. einem vollständigen Audit müssen Sie einen Fragebogen
ausfüllen, Esri Scans einreichen, diese Dinge können Sie auf ihren Websites herausfinden oder Sie
können sie selbst kontaktieren. Ich würde empfehlen, beides zu tun ,
nur um sicherzustellen, dass
es keine Unklarheiten gibt. Und später sind Sie nicht
überrascht,
wie ein Komet verwendet wird, der plötzlich auftaucht und Sie sich dessen nicht bewusst sind. Okay. Das ist also Nummer zwei. Was ist die Nummer
Dritter? Dritter Teil. Sie haben also die
Zahlungsbank oder den Acquirer kontaktiert. Jetzt erfahren Sie, was
Ihre Compliance-Verpflichtung ist. Handelt es sich um einen
Fragebogen zur Selbsteinschätzung oder um eine vollständige Prüfung? Es tut uns leid Cq. Der erste, SAQ, ist wie ein Fragebogen zur Validierung von
Lisa. Was du tust, ist es selbst
auszufüllen. Du musst es niemand anderem machen lassen. Du
kannst es selbst machen. Okay. Wenn Sie kein vollständiges Audit durchführen
müssen, können
Sie einfach einen SAQ ausfüllen. Es ist eine Reihe von Ja- oder Nein-Fragen für jeden
PCI, DSS oder Kommentar Sie füllen sie einfach aus 111, wir unterschreiben sie und
übermitteln sie dann als Daten. Dies ist eine der einfacheren Möglichkeiten
, ein PC-Audit weiterzugeben. Okay. Es ist also genau so, wie
es sich anhört. Es ist ein
Fragebogen zur Selbsteinschätzung. Sie können es selbst ausfüllen
und es wird im Grunde gesagt, dass dies meine aktuelle
Compliance-Haltung ist. Niemand wird es verifizieren. Dass deine Arbeit und du ehrlich sein
müssen, bitte nimm
das nicht lange. Sie müssen ehrlich sein,
aber niemand wird überprüfen, ob Sie Ihr Prüfungsteam wirklich einchecken
lassen können. Das ist der erste Teil. Oder Sie werden möglicherweise einer vollständigen Prüfung unterzogen
, nämlich der Zahlung, die
Granville für eine
wichtige Einhaltung verlangt hat , und auch einer Konformitätsbescheinigung, bei der es
sich um einen EOC handelt, der
im Grunde eine vollständige Prüfung ist. Sie müssen
sich an Ihren Q-Aufsatz wenden. Sie müssen sich
mit dem Unternehmen in Verbindung setzen, das wie in ganz Großbritannien und den USA später besprochen
wird. Sie rufen einen qualifizierten
Sicherheitsgutachter an. Okay. Im Grunde hatten sie
ein PCI DSS-Audit. Sie werden eine vollständige Prüfung durchführen. Sie werden kommen, um Ihre
Umgebung zu beurteilen und zu sagen: Okay, das ist zufriedenstellend und
geben Ihnen einen Bericht, dass die vollständige automatische Zivilbevölkerung Ihrer
Zahlungsspanne bei Ihrer Bank
vorgelegt wird. Okay. Aber dieser
ist schwieriger, aber ich empfehle normalerweise das vollständige Audit durchzuführen, nur um sicherzustellen, dass es immer am besten ist ein Dritter herkommt
und es überprüft. Okay? Dies sind also die beiden
Compliance-Verpflichtungen Sie möglicherweise haben. Okay. Jetzt haben wir verstanden,
dass ich
PCA-konform machen muss. Und was mache ich jetzt? Ein sehr, sehr wichtiger Schritt,
bitte überspringen Sie nicht. Dies legt den Umfang fest. Viele Organisationen
haben Stärke. Sie haben diese
Frage gestellt, okay, wo setze ich PCA-Ideen um, setze ich PCA-Ideen um,
wenn ich 12
Niederlassungen in habe, weiß ich nicht, müssen
50 Länder und
5.000 Mitarbeiter PC-IDSs verhindern und
alle von ihnen sie? Nein. Wie gesagt, Ihr Geltungsbereich befindet sich im Grunde genommen überall
dort, wo die
Karteninhaberdatenumgebung gespeichert,
verarbeitet und übertragen wird . Das ist sehr schwer zu
implementieren PCI, DSS. Viele Organisationen, die Probleme
haben,
herauszufinden , welche Systeme NPC-Vorstellungen vom Umfang haben
und welche nicht. Okay. Dafür würde ich ein
Datensatzdokument empfehlen. Ich werde versuchen, es zu berühren, wenn ich
kann, heißt PCI, DSS Scoping und
Netflix-Segmentierung Ergänzung. Okay. Ich glaube, kam im Mai 2017 heraus. Es gibt Ihnen wirklich eine Anleitung, um zu ermitteln, welche
Systeme im Umfang enthalten sein müssen, welche Systeme nicht im Umfang enthalten sind und wie Sie
Ihren Umfang durch Segmentierung tatsächlich reduzieren können . Sehr wichtige Leute, Sie müssen Ihr
Geschäftsumfeld
verstehen, insbesondere wie die Systeme mit
Karteninhaberdaten
interagieren. Über Karteninhaber werden Daten gespeichert und wir werden darauf eingehen. Aber Sie müssen sich wirklich mit Ihrem Unternehmen
zusammensetzen. Setzen Sie sich nicht nur mit den
IT-Leuten zusammen, die sich mit
Ihrem Unternehmen zusammensetzen , denn während des
gesamten Datenflusses von Karteninhabern müssen
Sie Ihre
Kontrollen darüber hinaus implementieren. Und das sind die Menschen, Prozesse und
Technologien, auf denen die 12. PCI-Anforderungen umgesetzt
werden. Okay, also was, welcher
Rat beim Scoping ist ein sehr wichtiges Thema , das
mir Zeit nehmen wird. Was kommt also in den PCS-Bereich? Sie müssen zuerst alle
verbundenen Systeme auflisten, auflisten und bestätigen die das Verarbeiten, Speichern oder Übertragen von
Karteninhaberdaten betreffen. Okay. Es gibt einige Richtlinien die das
Ratsgeschenk einfach formuliert, jedes System, das
übertragene
Karteninhaberdaten oder sensible Daten speichert , oder jedes System, das sich im
selben Netzwerk befindet, hat sie. Das ist ziemlich einfach. Ich denke das ist ziemlich
logisch, oder? Und was ist okay,
Abgesehen davon, alle Systeme, die
sie bereitstellen, die mit ihnen verbunden sind,
oder ihnen Sicherheit bieten. Okay. Also was kann das sein? Okay, ein System könnte
direkt mit
Ihrem Caudal verbunden und
durch interne
Netzwerkkonnektivität verzweigt sein. Oder es könnte
indirekt verbunden sein, vielleicht wie eine
Jump-Server-Verbindung. Oder es könnte sich auf Ihre,
die Sicherheit Ihrer
kardinalen Umgebung auswirken . Vielleicht ist es ein
Webserver, ein DNS-Server
oder vielleicht ein Server, der Sicherheit bietet, wie Epoxy zur
Filterung des Netzwerkverkehrs. Vielleicht verteilt es
Patches, Single Sign-On oder vielleicht ist es eine
Firewall, die Ihre
Karten-Online-Umgebung
von den anderen
segmentiert . Okay. Ihre Firewalls sind
so konfiguriert, dass sie
Ampeln blockieren ,
die in den Geltungsbereich kommen. Oder es unterstützt
PCI, DSS oder Kommentare, vielleicht Zeitserver,
Ihre SIM-Lösung. Okay? Also dieser Blick auf dieses Diagramm. Es wird dir helfen
, das herauszufinden, okay? Und natürlich können Sie
verstehen, dass das okay aussieht, verwaltete Dinge,
viel System, der Umfang. Wie verkürzen Sie den
Umfang von PCI DSS, okay,
es gibt Dinge, die Sie
tun können, um
den Umfang von PCI DSS
in Ihrer Umgebung tatsächlich zu reduzieren . Und das
Wichtigste ist die Segmentierung. Ohne Segmentierung wird
Ihr Netzwerk
wie ein flaches Netzwerk. Was heißt das? Das bedeutet, dass sich alles
im selben Netzwerk befindet. Okay. Ihre kaudale Umgebung,
Ihre Sicherheitssysteme, Ihre Rasenkarte, ältere Systeme,
die nichts zu tun haben. Aber Sie sind Karteninhaberdaten. Alle von ihnen sind
dasselbe Netzwerk. Und was passiert ist, wenn eines
der Systeme kompromittiert ist, wird Ihr Laptop
möglicherweise die Verbindung
zum Internet
kompromittiert. Jetzt kann der Angreifer
einfach von
diesem Server in Ihre
kaudale Umgebung springen . Ohne, wegen
dieser Abflachung, wird
alles im Umfang sein. Aus diesem Grund müssen Sie Ihr Netzwerk
segmentieren. Und es verhindert, dass ein System außerhalb
des Bereichs liegt. Sie werden also
Ihre Umgebung, die nicht mit Karteninhabern
zusammenhängt von Ihrer
Karteninhaberumgebung trennen, okay? Und es
verhindert , dass diese
Systeme miteinander kommunizieren. Und selbst wenn diese nicht-kausale
Umgebung gefährdet ist, weil sie nicht so sicher sein wird
, hat
dies keine Auswirkungen auf die Umgebung Ihres
Karteninhabers, okay? Selbst wenn ein Angreifer in dieses Dokument
eindringt, haben Sie
keinen Zugriff auf die Umgebung des
Karteninhabers. Okay? Deshalb ist es für den Angreifer schwierig Einstiegspunkt aus
zu migrieren. Vielleicht war es wie ein Laptop oder Workstation für andere Systeme. Okay. Normalerweise verwenden die Leute Firewalls
für die Segmentierung, verwenden die Leute Firewalls
für die Segmentierung oder Sie können Zonen
innerhalb Ihrer Fasern erstellen. Und schauen wir uns
an, wie das passiert. Also nur ein einfaches
Integral in Blau. So wird ein typisches Flugnetz
aussehen, Leute. Das sieht also sehr innig aus. Du hast dein Netzwerk, oder? Die Server, Ihre
Midas, heterolytische, Ihre Desktops, Ihre
POS-Maschinen. Alle von ihnen haben sich mit einer Firewall derselben Firewall und mit
dem Internet verbunden. Sie können also sehen, dass dies
wie ein Albtraum ist , der
darauf wartet, geschehen zu können. Einer von ihnen wird von einem Angreifer wie ein
Strand. Er kann auf so ziemlich
alles zugreifen, was Sie
von dort in die
Karteninhaberumgebung springen können . Das ist nicht der richtige Weg. Also was müssen wir tun, Leute? Wir schaffen ein
sogenanntes segmentiertes Netzwerk. Wir erstellen also ein Segment innerhalb der grünen
Zonen, innerhalb der Firewall. Und wir teilen es in
kleinere Netzwerke wie das Cardano-Netzwerk auf, wie ein
Bereitschaftsnetzwerk wie
ein Unternehmensnetzwerk. Und Sie platzieren Firewalls oder
andere Geräte dazwischen. Das schränkt also
ihre Konnektivität ein. So wird ein Segment aussehen
und es wird aussehen. Selbst wenn eine Umgebung kompromittiert
ist, können
Sie nicht zu Ihrer
anderen Umgebung springen, okay? Da Sie andere Steuerelemente haben, kann die
Segmentierung schwierig sein, insbesondere wenn Sie
keinen technischen Hintergrund haben , okay? Daher würde ich immer empfehlen , dass Ihr
Netzwerkteam es noch einmal überprüft. Sie haben nur, dass dein
Risiko-Typ die Sicherheitsleute sind. Überprüfe es, überprüfe deine
gesamte Segmentierung. Und das können Sie, wir werden
uns das ansehen. Wie prüfen wir, ob die Segmentierung ordnungsgemäß durchgeführt wurde? Aber ich hoffe
ihr habt verstanden, warum es so wichtig ist. Und jetzt können Sie sehen,
wie es den Umfang Ihres
PCI DSS-Netzwerks
verkleinern wird , oder? Sie haben den Umfang
und den Umfang außerhalb des Geltungsbereichs. Und nur um ganz klar zu sein, Leute, ein paar lustige Gespräche
über außerhalb des Rahmens. Wir sprechen also über Systeme. Sie sind nicht im
Umfang für PCI DSS enthalten, sodass Sie PCI DSS dort nicht
implementieren müssen. Aber dann
haben sie keinen Zugang zur
kaudalen Umgebung. Aber wenn doch, dann musst du PCA
implementieren, okay? Sie müssen Steuerelemente
wie ich bereits erwähnt habe,
Segmentierung und andere Dinge haben Segmentierung und andere Dinge um zu verhindern, dass sie Zugriff
erhalten. In der PCA-Konsole haben
sie also einige Hinweise gegeben. Sie sagen diese anderen Dinge,
damit Karteninhaberdaten nicht verarbeitet werden können. Es kann nicht im selben Netzwerk sein, es kann dich nicht verbinden und
du
magst es einfach nicht
so ziemlich alles. Wenn dies der Fall ist, um
als außerhalb des Geltungsbereichs betrachtet zu werden, muss
es
all diese Grauzone erfüllen ,
und Sie müssen über
Kontrollen verfügen , um dem Prüfer die
Gewissheit zu geben, dass Sie nicht einfach ändere
das morgen, oder? Sie können diese
Metrik nicht einfach in dasselbe Netzwerk übertragen. Sie benötigen andere
Steuerelemente wie Firewalls, physische Zugriffskontrollen,
Multi-Faktor-Authentifizierung, Einschränkung des Administratorzugriffs
oder aktive Überwachung
dieser Metrik, um sicherzustellen, dass kein
Netzwerk vorhanden ist Konnektivität. Okay? Und normalerweise Leute, eine Sache empfehle
ich, und
sie ist nicht beliebt. Warum es nicht erforderlich ist, PCI, DSS, ein Otoskop zu
implementieren. Aber ich empfehle immer, dass Sie konsistente Implementierung von
Shade nicht auditiert werden
können, aber es ist nur eine
bewährte Methode für die Sicherheit, da PCI, DSS ein so guter
Kontrollstandard ist, Sie ihn implementieren sollten. auch in Netzwerken
außerhalb des Gültigkeitsbereichs. Okay? So sieht es also
aus, ein typisches Netzwerk. Okay, darüber habe ich
gesprochen, als ich es erwähnt habe. Sie können hier also sehen, Leute, Sie haben eine
Caligula-Umgebung oben rechts, Sie haben eine
Point-of-Sale-Maschine, Ihre Koordinatensysteme. Es ist mit
gemeinsamen Diensten wie
Arktis-Territorium,
Batching, Logging verbunden . Es gibt einen Jump-Server und Sie haben ein Netzwerk mit äußerem Geltungsbereich, also gibt es keine Konnektivität
zwischen dem CDE, der Unternehmensleitung, okay. Es besteht eine Konnektivität zwischen den Shared
Services und dem. Sie verstehen jedoch, dass
es keine direkte Konnektivität gibt. Wenn es eine
direkte Konnektivität gab, wird sie definitiv in den Geltungsbereich aufgenommen. Verwenden Sie dies also
als allgemeine Anleitung dafür wie Sie Ihr Netzwerk
segmentieren möchten. Okay, also das ist es, wovon ich
gesprochen habe, Segmentierung. Es ist wie eine Kunst. Ehrlich gesagt ändert es sich je nach
Größe des Netzwerks,
je nachdem, wie viel
Kontrolle Sie haben, wie viele technische
Lösungen Sie haben wie gut Ihr Netzwerkteam ist? Und ich würde nur empfehlen Sie sich vorher an
Ihren Prüfer wenden, ihm das
Netzwerkdiagramm vor und nach der Segmentierung
zeigen und sich von ihm beraten lassen. nicht davon aus, dass sie Ihnen
nicht helfen können. Sie sind nicht
dazu da, eine Prüfung zu scheitern. Sie sind als Partner da. Wir helfen dir weiter. Wenden Sie sich also an sie. Es wird Ihnen später eine
Menge Probleme ersparen. Ich hoffe, das war
für euch nützlich und damit war unsere
Grundlagenphase abgeschlossen. Gehen wir also jetzt zur
Implementierungsphase über. Danke.
5. 3 - PCI DSS (Implementierung): Hallo Leute, Willkommen zu diesem Modul, das der zweite Teil
des PCI DSS-Prozesses ist. Jetzt haben wir den
grundlegenden Teil genau dort abgeschlossen. Ich werde über
den Implementierungsteil sprechen
, der sehr wichtig ist. Jetzt. Sie haben
die Grundlage geschaffen, Sie haben alle Grundlagen festgelegt. Jetzt beginnt der Spaß
, PCI DSS in Ihrer Umgebung zu implementieren . Okay? Eines der wichtigsten
Dinge, die Sie tun werden wenn Sie dies noch nicht getan wäre, Großbritannien, USA, zu engagieren. Grundsätzlich der qualifizierte
Sicherheitsgutachter. Es ist eine Bezeichnung, die der PCA-Rat bestimmten Personen schenkt
, dann sind sie definitiv
qualifiziert, jetzt
PCI-Spannungs- und
Beratungsdienste und Audits durchzuführen . Um ein PCR zu werden, müssen
Sie
bestimmte
Bildungsrekombinanten treffen bestimmte
Bildungsrekombinanten eine Zertifizierung
zu bestehen und eine
entsprechende Schulung
vom PCA Council zu absolvieren . Und dann
werden Sie bei einer
bestimmten
Sicherheits- und Wirtschaftsprüfungsgesellschaft angestellt sein . Und in der Regel müssen sie dies jährlich
zertifiziert werden. Sie luden die Hierarchie USA ein. Es ist eine unabhängige dritte Partei von Organisationen, die hier
konkurrieren wollen, DSS-konform. Okay. Und sie wollen sichergehen, dass sie kommen und
das Audit durchführen. Sie beraten Sie, wie
Sie PCI DSS-konform werden können. Während des Pre-Sale-Audits wird
das QSIF feststellen, ob Ihre Organisation die PCF-Kommentare,
das Verzeichnis, zufriedenstellend
erfüllt
hat die PCF-Kommentare,
das Verzeichnis, zufriedenstellend
erfüllt , oder ob
Sie vielleicht keine Rolle gespielt haben, aber Sie setzen eine andere Steuerung,
sind Ausgleichssteuerungen. Wenn das
ausreicht, füllt er ein ROC aus und berichtet über die Einhaltung, was wie ein umfassender Bericht ist, und eine AUC, die eine
Konformitätsbescheinigung darstellt. Du und er ein Boot, das kann
ich zuweisen. Anschließend senden Sie es zur Überprüfung
an Ihr Zahlungsschema oder Ihre Bank. Im Grunde sind die drei SQS als dein Freund nicht
da, um dich zum Scheitern zu bringen. Du bist schon Zai, der dir hilft. Wenn er Ihnen viele
Beobachtungen gibt, glauben Sie mir, es ist
zu Ihrem eigenen Vorteil , sicherzustellen, dass
diese korrigiert werden. Okay. Eine Menge Leute
, die einfach nur ein PC-Audit
bestehen und
damit fertig werden wollen . Okay. Sie haben das Gefühl, ihren Job
gemacht zu haben. Beschäftige dich mit ihnen. Stellen Sie sicher, dass Sie verstehen, was die Anforderungen
sind und warum er es tut. Behandelt wie ein Partner. Okay.
Behandeln Sie ihn wie einen Partner , damit Sie die Anforderungen
des PCI DSS vollständig
erfüllen können . Okay, jetzt kannst du zur Kiva
gehen und
sagen, die ganze grundlegende
Arbeit, die wir jetzt geleistet haben, kannst
du den Umfang haben. Sie haben das Netzwerk segmentiert. Jetzt können Sie mit der
Implementierung der PCI
DSS-Anforderungen beginnen . diese werden wir Auf diese werden wir im nächsten Abschnitt näher eingehen. Also werde ich nicht zu
viel Zeit damit verschwenden. Im Grunde genommen sind sie sowohl
betriebsbereit als auch technisch. Schutz der Karteninhaberdaten steht immer im Mittelpunkt. Wir haben sechs Kategorien und 12 oder Kommentare, und ich werde
darauf näher eingehen. Aber die PCL oder die
QS sagen, dass sie normalerweise
hereinkommen und er macht ein Filamentar
wie ein Gap Audit. Okay. Und er gibt dir deine Ergebnisse. So sieht es also aus. Ich bin das erste Mal, das
kann ich dir versichern. Wenn Sie
zum ersten Mal ein Gap Audit durchführen, werden
Sie ein Like haben Sie werden sehr deprimiert sein,
wenn Sie die Ergebnisse sehen. Sie werden viele sein
und viele Erkenntnisse werden kommen,
denn egal wie viel Fundament
Sie gemacht haben,
all diese Dinge, von denen Sie nichts
wussten. Sie werden feststellen, dass die
Daten der Karteninhaber an den
unvorstellbarsten Orten
, die allen passieren, klar sind. Dies basiert auf
meinen eigenen Erfahrungen mit der PCR in
den letzten zehn Jahren. Okay. Aber es wird viele
, viele Lücken geben. Keine Sorge, es ist eine
Reise, kein Ziel. Sie erstellen also einen
Aktionsplan mit einer langen Liste von Punkten und
beginnen, daran zu arbeiten. Okay? Implementieren Sie schnelle Gewinne. Es wird Dinge geben, die Sie sofort umsetzen
können. Fangen Sie an, daran zu arbeiten
und holen Sie sich regelmäßig Updates, den QSEN, und
konzentrieren Sie sich dann auf die langen. Hier habe ich dir gesagt,
denk daran, wo du bist und
was der gewünschte Zustand ist. Viele Unternehmen haben
die Schlüsselwörter dafür. Sie können dies übrigens
auch selbst tun, um es Ihnen mitzuteilen, oder Sie können ein völlig
unabhängiges Unternehmen
haben, wie ein separates
Unternehmen aus den USA. Einige große Unternehmen, ich weiß, dass sie es so gemacht
haben, okay. Ebenfalls. Es liegt also
ganz bei Ihnen, wie Sie das machen. Okay? Aber wie gesagt, konzentriere dich auf die schnellen Bildschirme und dann wirst du diese Ergebnisse
haben. Es wird einige Zeit dauern. Hier geht die
Managementunterstützung, die ich gesprochen
habe, an NP-Hard. Denn wenn der CEO, der CEO Ihnen
hilft,
glauben Sie mir, die Dinge
werden sich bewegen. Andernfalls
haben andere Abteilungen andere Prioritäten. Sie haben andere Dinge
auf dem Teller,
nicht ihre Aufgabe ist es, PCI DSS
nicht zu machen. Sie werden viel
Unterstützung erhalten, wenn Sie sich frühzeitig mit dem Management-Support in Verbindung setzen. Nehmen wir an, Sie haben es geschafft. Du reparierst alle Lücken. Nun was Also jetzt kommt
der letzte Teil, das abschließende Audit ist. Vor dem Finale können
Sie die Qualitätskontrolle testen. Okay. Reparieren Sie alles,
kommen Sie rein und
lassen Sie uns das
abschließende Audit durchführen, sammeln Sie Ihre Dokumentation
und Ihre Sicherheitsrichtlinien, Ihre Änderungskontrollvereinbarungen, Netzwerkdiagramm-Scanberichte, Dokumentation,
Schulung weiter und weiter. Okay. Stellt sicher, dass alle Stakeholder aufeinander abgestimmt
und bereit sind. Sie nicht davon aus, dass sie einfach alles
fallen lassen und zu
Ihren Besprechungen kommen , denn normalerweise muss
der QSEN geplante Besprechungen haben
, alle im Kalender
buchen, ablegen und sicherstellen dass sie die
Bedeutung dieses Zeitplans verstehen, diejenigen, die darüber berichten, Ihre Geschäftsleitung ebenfalls involviert
ist, und die wichtigsten Personen aus den Bereichen IT ,
Sicherheitsanwendungen,
Personalwesen ,
Recht, alle die
Typen sind da. Gewohnheiten wie eine Art
Team können Sie können
eine Task Force für PCA bilden , und Sie können diese
Kreditlobby-Unternehmen manchmal dazu bringen, dies zu tun. Leute, bitte stellt sicher genügend Zeit
zur Verfügung steht, um die
Ergebnisse zu korrigieren. Wenn Ihre
PCI-Konformitätsfrist der 15. Mai ist, rufen
Sie nicht den Prüfer
und den 14. Mai an, Sie bitte nicht davon aus, dass er etwas finden
möchte. Möglicherweise finden Sie etwas
völlig Unerwartetes. Haben Sie einen Puffer von zwei Wochen, ein Monat hängt wahrscheinlich von Ihrer Umgebung ab, um sicherzustellen , dass
Sie für den Fall, dass es
völlig
unerwartete Ergebnisse gibt , genügend Zeit für
die Behebung haben sie. Jetzt. Herzlichen Glückwunsch. Sie haben
möglicherweise „Audit“ gesagt. Der Prüfer wird
den Bericht
über die Einhaltung des ROC oder
die Einhaltung dieser Entscheidung ausfüllen über die Einhaltung des ROC oder
die Einhaltung ,
oder Sie
benötigen dies möglicherweise nicht , wobei meine Ziffern einen
Fragebogen zur Selbsteinschätzung ausfüllen. Und du hast
den QSR überhaupt nicht gebraucht. Die Berichte sind der offizielle
Mechanismus, mit dem Sie als Händler,
Dienstleister oder Bank Ihre
PCI-Konformität
Ihrem Finanzinstitut melden, Ihre
PCI-Konformität
Ihrem Finanzinstitut melden z. B. eine Zahlung mit der Marke
Visa, MasterCard. Und manchmal müssen Sie
möglicherweise einen
SEQ-Bericht über die Einhaltung einreichen . Manchmal
müssen Sie vielleicht sogar einen Stan einreichen. Okay. Es kommt wirklich darauf an. Wie gesagt, es
hängt davon ab, wie es gemacht wird. Manchmal müssen Sie möglicherweise auch vierteljährlich
Netzwerk-Scan-Historien einreichen. Können wir über Deziliter sprechen. Es hängt wirklich von der Bezahlung wann es
schwierig ist, Ihnen
für jede Umgebung nur eine Einheitsgröße zu geben. Okay? Okay. Und jetzt bestehen Sie die PCR
, mit der Sie sie eingereicht haben. Was jetzt? Sehr wichtige Leute, bitte, Sie müssen PCA
als BAU-Prozess implementieren , um sicherzustellen, dass die Sicherheitskontrollen
weiterhin ordnungsgemäß implementiert werden Sie müssen sie in
Ihren BAU-Prozessen reparieren als Teil Ihrer
Gesamtstrategie, wie es in die
anderen Abteilungen, Betriebshandbücher, deren
Techniker, der das gesagt hat? Nein, sie wissen, dass du
das tun musst. Tragen Sie es in Ihren eigenen Kalender ein, die Standards, die Sie tun müssen, die Bewertungen, sie
müssen die Anzeige machen. diese Weise können Sie
die Wirksamkeit
Ihrer Kontrollen überwachen und aufrechterhalten. Also selbst wenn du da bist, bist
du nicht da, jemand anderes kommt rein,
vielleicht bist du beurlaubt. Jeder weiß,
was er tun muss. Okay? So können Sie
Ihre Sicherheitskontrollen überwachen , um
sicherzustellen , dass im Falle eines
Fehlers ein Scan möglicherweise ein Viertel
das andere Quartal nicht passiert. Wenn Sie eine
Art Kalender haben, ist
dies ein großartiger
Mechanismus, um zu wissen, wie konsistent PCI DSS
läuft , wenn Sie vierteljährlich
Scans bestehen. Die
Festplattencontroller sind jetzt ausgereift. Stellen Sie also bitte sicher, dass Sie im Rahmen einer BAU
implementiert haben. Vergessen Sie es nicht und
dann wachen Sie die Vorlesung auf, müssen
plötzlich dieses Geschäft
machen. So implementiert man PCI
DSS
im Grunde in seiner Umgebung,
Leute, wie ich schon sagte,
es ist ein lebendiger Prozess. Es ändert sich ständig, entwickelt sich
weiter. Das erste Jahr
wird schwierig sein. Am zweiten Tag wirst du
sehen, wie du dich besserst. Im dritten Jahr könnten Sie vor
großen Herausforderungen stehen. Verbessern Sie den Umfang weiter. Halten Sie nur, ich denke,
mit dem Auditor wechseln Sie Ihre Prüfer regelmäßig. Verlassen Sie sich in den nächsten zehn Jahren nicht auf
denselben Wirtschaftsprüfer .
Das ist
keine gute Praxis. immer wieder neue Dinge hinzu Ihrer Umgebung immer wieder neue Dinge hinzu und Sie werden definitiv sehen, wie Ihre Umgebung heranreift, es
wird einfacher. Und Sie werden
den gesamten Prozess der
PCA-Konformität tatsächlich
genießen . Okay Leute, damit ist der BCR-Prozess
abgeschlossen. Lassen Sie uns nun tief in
den Standard und
die Anforderungen eintauchen den Standard und
die Anforderungen über
die ich zuvor gesprochen habe. Wir sehen uns im
nächsten Modul. Danke.
6. 4 - Voraussetzung 1: Hallo zusammen. Willkommen zu diesem Modul,
in dem wir
einen tiefen Einblick in die
PCI-Anforderungen geben werden. Zuvor haben wir
über den Prozess gesprochen, über den Standard selbst. Jetzt werden sie
sich
eingehend mit den Anforderungen der einzelnen Studien befassen, okay? Wie bereits erwähnt, werde ich
nicht jede Zeile
jeder Anforderung
durchgehen . Niemand will dafür essen. Dass Sie selbst
ehrlich sprechen können, ist
die Hauptsache, Sie sollten die Absicht
hinter jeder Anforderung
verstehen und versuchen, diese zu erfüllen. Pca ist ein technischer Standard. Einverstanden. Aber es gibt dir
viel Spielraum. Fangen wir also mit dem
ersten Kommentar an und schauen wir uns das an. Und denken Sie daran, dass Sie sich jederzeit an Ihr Handy
wenden können. Wenn Sie also
über eine Anforderung verwirrt sind, behandeln Sie ihn wie einen
Sicherheitspartner. Okay, beginnen wir mit
der ersten Anforderung,
nämlich der Installation und
Wartung einer Firewall. Nur um es noch einmal zusammenzufassen, wenn Sie
sich an den Zweck einer Faser erinnern, der Hauptzweck einer Firewall. Warum setzt du hier eine Firewall ein? Ist potenziell
schädlichen Verkehr zu filtern, ist die erste Verteidigungslinie. Und einfach
ein Glasfasernetzwerk
zu installieren macht es nicht sicher, oder? Wenn Ihre Glasfaser also nicht
ordnungsgemäß
konfiguriert und gewartet wird und die Wirksamkeit im Standardzustand nicht
sicher ist. Zusammenfassend möchte ich sagen, dass eine ordnungsgemäß
konfigurierte Firewall die erste
Verteidigungslinie sein
wird , um unerwünschten
Netzwerkzugriff zu blockieren. Sie werden es zwischen Ihrem Netz,
Ihren Systemen und
dem Internet
platzieren wollen, auch innerhalb Ihres Karteninhaber-Netzwerks und auch in Ihren anderen Netzwerken. Okay, du
brauchst also mehrere Fasern. Normalerweise machen sie das so. Und die Firewall ist normalerweise wenn Sie Ihre Segmentierung durchführen, werden
Sie auch
Ihre Zonen erstellen. Also das war's. Wenn
der Auditor kommt, wird
er überprüfen, ob er
herausfindet, dass Sie
Ihre Firewall in wird
er überprüfen, ob er
herausfindet den letzten zwei Jahren nicht überprüft haben , das wird ein Problem sein. Wenn er sieht, dass Ihre Firewall immer noch die
Standardkennwörter verwendet, z. B. einen vollständigen
Zugriff auf das Internet. Nichts von diesen Dingen wird dir
Probleme bereiten. Um es noch einmal zusammenzufassen, wir
haben schon einmal darüber gesprochen,
erinnern Sie sich, wie die
Segmentierung funktioniert, oder? Ihre Regeln und Ihre
neue Umgebung werden
sich also im Laufe der Zeit ändern. Es wird nicht statisch sein. Sie werden also
sicherstellen, dass die Segmentierung
vorhanden ist und
alle sechs Monate überprüft wird. Minimale. Mindestens alle sechs Monate
müssen Sie Ihre Glasfaser überprüfen, sie
als Dokumentation
verlieren und dort einen Bericht erstellen, der
belegt, dass Sie die Firewall tatsächlich
überprüft
haben . Wessen Leute erinnern sich daran? Andernfalls kann der Prüfer
nicht wissen , ob
Sie dies tun oder nicht. Und was sind die wichtigsten Maßnahmen. Wie ich bereits erwähnt habe, besteht
ein häufiger Fehler, ein sehr,
sehr häufiger Fehler, den die
Leute machen, darin, anzunehmen , dass die Firewall wie eine
Pump-Plug-and-Play-Technologie ist. Nach der Installation sind
fast immer
zusätzliche Anstrengungen erforderlich, um
den Zugriff einzuschränken und die
Datenumgebung
Ihres Karteninhabers zu schützen . Das Endziel der
Firewall besteht darin,
potenziell schädlichen
Internetverkehr
und andere nicht vertrauenswürdige Netzwerke zu filtern potenziell schädlichen
Internetverkehr . Wenn Sie also im E-Commerce
arbeiten würden, wäre
die Firewall zwischen
Ihrem Internet und Ihrer
verwirrten Umgebung vorhanden , oder? Also musst du, das ist der Punkt,
an dem das Scoping und all die harte Arbeit, die wir
zuvor geleistet haben, ins Spiel kommen. Also wirst du
sicherstellen , dass all diese
Dinge da sind. Sie werden eine Ablehnungsregel
haben. Sie werden eine
Pipe-Paketfiltereinheit haben. Jedes Mal, wenn Sie einen Port öffnen, müssen
sie die nach oben öffnende
IK-Einheit erneut verarbeiten. Wurde das von den
Teams überprüft, wurde es nicht verifiziert. Wenn
es nur eine Person tut, schaut es niemand an. Okay. Denken Sie daran, dass
Sie es schützen müssen. Jeglicher ein- und ausgehender Verkehr aus der kaudalen Umgebung. Sie müssen Standards für
Ihre Firewalls haben , was erlaubt ist, was nicht, und Sie müssen eine
Art Überprüfung durchführen lassen. Offensichtlich wird niemand Ihre Firewall
überprüfen
oder niemanden stehlen. Ehrlich gesagt ist es nicht
einmal möglich. Aber normalerweise stellen
die Leute sicher, dass alles harmlos und francium
ist. Und sie sind konfigurierte Alerts. Und wie nennt man
jemanden, der es überwacht. Okay. Wenn Sie einen Bericht erstellen, meiner Meinung nach
in der Regel dreihundert, werden
meiner Meinung nach
in der Regel dreihundert,
fünfhundert Regeln in einer kleinen Umgebung
auftauchen. Das ist also nicht einmal im
Entferntesten praktikabel, aber der Auditor wird die IU
überprüfen, um sicherzustellen, dass Ihre Firewall
nicht nur etwas ist , das
Sie einfach einmal einsetzen
und alles vergessen. Sie sind wie Überprüfungen,
Standards passieren. Es wird überprüft,
überwacht und richtig platziert. Es wird also schauen,
wo die Fingerabdrücke sind, auch
das Glasfaser-Netzwerkdiagramm. Denken Sie also an diese Dinge und der Faserkilometer ist
ziemlich einfach.
Ich denke, ehrlich gesagt in Ihrem
Körper nennt man Sicherheitsmoment. Es ist witzig. Es ist eines dieser Dinge
, die sowieso da sein sollten. Der Unterschied
zwischen PCA besteht jedoch darin wie viel Aufwand sie
so viel Aufmerksamkeit und Ports investieren, die regelmäßigen Überprüfungen und Ihre Due
Diligence stattfinden. Ausführen einer Sicherheitsregel ist
alles, was erforderlich ist, um Ihre
Firewall-Umgebung zu gefährden. Also alles, was ich habe dieses
Konzept des Vertrauens, aber überprüfe, weil die
Firewall
sicherstellt , dass sie aus irgendeinem
Grund
eingerichtet sind und es eine Ewigkeit ist, wird
der Datenverkehr blockiert. Okay. Stellen Sie sicher, dass Sie persönliche Glasfasern auch auf Ihren Laptops und Ihren PCAs, Ihren
mobilen Plattformen,
haben. Okay. Es handelt sich also nicht nur um
eine Unternehmens-Firewall. Stellen
Sie sicher, dass die
Firewall-Sicherheit konsistent
in Ihrem Netzwerk angewendet wird. Das ist also so ziemlich alles. Es ist eine einfache oder
kommentierte ID, und Sie können sich den Standard
ansehen , um zu sehen, was die Details wie Ablehnung
sind. Und eines der Dinge
, die passieren sollten, stellen Sie
einfach sicher, dass diese
Regeln da sind. Und Sie überprüfen
und überwachen Ihre Firewall-Aktivitäten.
7. 4 - Anforderung 2: Hallo zusammen, Willkommen
zu dieser Anforderung. In dieser Anforderung werden wir die zweite Anforderung behandeln, bei der es sich
um Konfigurationsstandards handelt und
um
die grundlegende Härtung
und
Standardisierung Ihrer
Karteninhaberumgebung. Wenn ich Ihnen
ein Wort sagen würde, um dies zu beschreiben, oder zwei Wörter, um diese Anforderung zu
beschreiben. Es könnten Standardeinstellungen sein. Traditionell verfügt jedes oder Gerät, Ihr Router oder
Ihre Firewall, Ihr Router oder
Ihre Firewall, Ihr Server, über bestimmte unsichere
Standardeinstellungen, oder? PCM schreibt also vor, dass wir sicherstellen
müssen, dass sie es sind. Sie behalten nicht
ihre Standardeinstellungen bei und sind sicher, was auch immer Sie in Ihrer
Caldwell-Umgebung einsetzen. Es wurde
vor seinem Ausfall gesichert. Einstellung. Der einfachste Weg für einen Hacker, auf
Ihr internes Netzwerk zuzugreifen. Zertifizierte trockene Standardpasswörter oder Exploits basierend auf
Standardeinstellungen und Softwareeinstellungen in Ihrer
Zahlungskarteninfrastruktur. Das würdest du nicht glauben. Ich habe schon oft Händler gesehen, die
Standardpasswörter für
die Verkaufsautomaten
oder die Registrierkassen nicht ändern . Es ist, als hättest du ein Geschäft und hast es nachts
unverschlossen gelassen. Okay? den allermeisten Fällen
handelt es sich also um Standardpasswörter und
-einstellungen für Netzwerkgeräte. Sie sind
im Internet weithin bekannt. Diese Informationen wurden mit
einigen sehr frei
verfügbaren Tools bereitgestellt . Sie können Angreifern sehr
einfach
unbefugten Zugriff auf Ihre Umgebung ermöglichen. Sie können es
so oft sichern, wie Sie möchten. Sie können so viele
Follower setzen, wie Sie möchten. Aber wenn du das tust, habe ich diese
Standardeinstellungen nicht verschoben , als du das Fenster offen
gelassen hast. Du hast die Tür abgeschlossen, aber
das Fenster offen gelassen. Was sind also die wichtigsten Punkte? Wie stellen Sie sicher, dass
Standardkennwörter in verschiedenen Einstellungen bei der
Installation gesichert werden? Verwenden Sie dieses
Standardkennwort, 123 MVC, wissen Sie, die
Standardkennwörter. Gibt es einen Prozess den sich der Prüfer ansehen wird, ist
etwas vorhanden, mit
dem Sie
Ihre Standard-E/A
nach einem Standard
verhärten können . Okay. Wissen Sie, dass alle Systeme , die über ein Inventar verfügen,
eine automatisierte Methode sind, um
herauszufinden, wie viele
Südstaatler es gibt? automatisierte Methode Was ist, wenn
Sie möchten, Sie sollten 50 Server
haben, aber wir haben tatsächlich
100 Server und diese 50 verbleibenden sind eigentlich nicht sicher. Woher weißt du
davon? Okay. Auf Standards
fällt der Barwert auf alle Industriestandards. Das sind also die Dinge, die
Sie beachten müssen. Was sind die wichtigsten
Maßnahmen, die ergriffen werden müssen? Beständigkeit ist hier die
Hauptsache. Wenn Sie
diesem Standard etwas wegnehmen ,
ist es Konsistenz. Sobald Sie also keinen
Server hatten und das schaffen, müssen
Sie es einfach machen,
vorausgesetzt, Sie haben einen
Harding-Standard
erstellt, oder? Sie sagen, ich werde dem GUS-Benchmark
folgen. Okay? Sie müssen sich für alle Umgebungen
und die
konsistente Art und Weise des Kunden bewerben . Sobald Sie
das System konfiguriert haben und
sichergestellt haben, dass alles da ist. Du hast noch andere
Arbeit zu erledigen, oder? Sie müssen sicherstellen, dass dieses
Inventar aktuell ist. Es ist eigentlich eine Zuordnung
zur Umgebung. Oft benutzen die Leute ein
automatisiertes System. Niemand wird es manuell machen. Okay? Auf diese Weise, wenn
es ein
System in der kaudalen Umgebung , das nicht zur Verwendung zugelassen ist. Es kann entdeckt werden, warte. Normalerweise verwende ich
eine Art Systemverwaltungssoftware , um
dieses Inventar zu erhalten. Sie können über
die
verwendete Hardware oder die
Software, die da ist, berichten . Und da neue Geräte
online gekauft
werden , können sie Standards
durchsetzen, okay. Administrator erhält eine Warnung, wenn Ihr System nicht
mit Ihrem internen Standard übereinstimmt. Normalerweise habe ich oft
gesehen, wie Unternehmen Tools verwendet haben. Okay. Sie benötigen also eine
sichere Methode zur Verwaltung der Umgebung und des
Inventars
aller Elemente, der gesamten Hardware
und Software sowie der dokumentierten
Konfigurationsstandards. Sie müssen
sie nicht von Grund auf neu erstellen, verwenden Sie so etwas wie den
GUS-Benchmark, okay? Und Sie müssen eine sichere
Möglichkeit
haben auf Ihre Systeme zuzugreifen. Stellt sicher, dass alle
Standardwerte entfernt werden. Wie macht man das? Es sind
viele Tools verfügbar, okay. Normalerweise sieht es so aus. Okay. Wenn Sie also
einen Server oder eine Firewall
oder eine Appliance in einer
beliebigen Stadt oder einem Bundesstaat einrichten einen Server oder eine Firewall
oder eine , wird
Ihr Team einige Abhärtungen vornehmen. Sie werden ein
bisschen scannen. Sie werden sich den Bericht
ansehen. Es wird ihnen sagen, okay. Es ist nicht
gemäß der GUS-Benchmark verhärtet. Dieses Passwort ist da,
diese Dinge sind da. All diese Dinge sind
Passworteinstellungen gibt es nicht. Wissen Sie, der grundlegende
Teil der
Passworteinstellungen und all diese Dinge. sind nicht da, dass der Administrator die
Arbeit erledigen wird , und sie
werden sie verhärten. Wie setzt man
das konsequent durch? Normalerweise verwenden die Leute
so etwas wie ein goldenes Bild oder sie haben eine Art
Skript, das alles umschaltet. Und darüber hinaus haben
sie einen Scan , der ständig stattfindet. Dieser Scan wird durchgeführt
und es wird
auf Verstöße geprüft . Sie sollten diese
Tools also in Ihrer Umgebung haben. Der Prüfer wird sich
das ansehen und
sicherstellen, dass sicherstellen es Abweichungen
von Ihren Standards gibt.
Okay, Sie sollten einen
Prozess haben, um dies zu beheben. Stellen Sie also sicher, dass diese
Dinge, wie gesagt,
nur daran denken, dass keine
Standardeinstellungen oder Härtung und
Standardisierung und ein Überwachungsprozess vorhanden sind, um sicherzustellen , dass alles in Ordnung ist
standardisiert in Ihrer Karteninhaberumgebung. Okay, das
ist offensichtlich ziemlich einfach. Ich bin sicher, Sie denken vielleicht, dass
das schon da ist. Nun, wenn es schon da ist,
dann formalisiere es und sieh dir die
Anforderungen an, wenn es
etwas gibt , das du
nicht sinnvoll bist. Okay. Danke Leute. Wir sehen uns im nächsten Video.
8. 4 - Anforderung 3: Hallo zusammen, Willkommen
zu diesem Modul. Nun, dies ist wahrscheinlich die
wichtigste Voraussetzung für PCI DSS Wenn Leute über PCI DSS
sprechen, sprechen
sie
oft nur
deshalb über diese
spezielle Anforderung erfasst im Grunde genommen, was PCI DSS als n. Es ist eines dieser einzigartigen
Dinge, die PCI DSS hat. Okay. Und ich spreche über den Schutz
von Karteninhaberdaten. Ich kann mich nicht erinnern, was
ich dir vorhin
gesagt habe , dass ich
keine Anforderungen auswendig gelernt habe Es trifft nicht auf diesen zu. Sie sollten
diese Anforderung auf jeden Fall in- und auswendig kennen da sich der Prüfer
darauf am meisten konzentrieren wird. Okay. Dies ist
der Punkt, an dem Sie möglicherweise die Prüfung nicht bestehen können, wenn Sie die Prüfung
nicht ordnungsgemäß
befolgen . Das ist also sehr, sehr wichtig. Wenn wir also über
Karteninhaberdaten sprechen, sprechen wir
im Grunde genommen von
allen Informationen , die gedruckt, übertragen oder
auf einer Zahlungskarte gespeichert werden, okay? Wenn Sie Zahlungskarten
akzeptieren möchten und von Ihnen erwartet wird
, dass Sie diese Daten schützen,
unabhängig davon, ob sie gedruckt
oder in
einer Datenbank, einem internen öffentlichen
Netzwerk oder vielleicht in einer Cloud gespeichert sind. So
wissen die wesentlichen Parteien, wo Sie
diese Daten speichern und was Sie
nicht brauchen, um sie nicht zu speichern. Und
finden Sie heraus, wo Sie diese Daten
speichern. Sie möchten nicht, dass der
Auditor es findet. Du willst es selbst
herausfinden, okay? Das sind also die Dinge. PCI, DSS ist sich also sehr, sehr klar darüber, was Sie speichern
können und was nicht. Und Sie sollten wissen, was Sie speichern, wo
Sie speichern und
wie Sie es speichern, um
sicherzustellen , dass Sie den
PCI DSS-Standards entsprechen. Also nur um einen Blick darauf zu werfen, wenn du über Karneval sprichst , über
die Elemente,
wovon reden wir? Es gibt etwas, das sich
die Kontonummer nennt, die Karteninhabernummer, im Grunde die Pfanne, die wir nennen werden Das ist eine 16-stellige Zahl. Wir haben Dinge wie
den Namen des Karteninhabers, das Ablaufdatum,
den Servicecode. Auf der Rückseite
müssen Sie die Daten und
die Magnetstreifendaten verfolgen , und Sie haben den CVD-Code Sie für
E-Commerce-Transaktionen verwenden können. Wenn Sie diese Daten
speichern, müssen
sie grundsätzlich geschützt werden. Dann speicherst du es
zeigte diese Daten. Es muss geschützt werden, wenn
Sie das Delta drucken, es muss geschützt werden. Das Problem tritt
normalerweise auf, wenn Menschen diese Daten unwissentlich verzerren und
nicht schützen Hier kommt
die überwiegende
Mehrheit der Probleme ins Spiel. Also was bedeutet PECSA und
wie was sollte gelagert werden? Okay? Zuallererst, also
teilt es die Daten in
zwei Elemente auf, okay? Sie sprechen von
Karteninhaberdaten und sensiblen
Authentifizierungsdaten. Okay. Also dein Pan, dein Servicecode zur Erkundung
des Karteninhabers,
das sind Servicecode zur Erkundung
des Karteninhabers, Karteninhaberdaten. Du kannst es lagern, aber
du musst es schützen. Und die andere, bei der es sich vertrauliche
Authentifizierungsdaten wie
die Daten, den CVD-Code, die PIN
und
den Pin-Block handelt, die PIN, die
Sie bei einer Transaktion
eingeben handelt, die PIN, die
Sie bei einer Transaktion vertrauliche Authentifizierungsdaten
oder SAD, speichern Sie sie nicht. Wenn nicht, müssen Sie es
nicht
speichern, nachdem die Transaktion
autorisiert wurde. Okay. Dann können
diese großen Kompromisse, die passiert sind,
böswillige Menschen,
die in den meisten Fällen diese großen Kompromisse, die passiert sind,
böswillige Menschen,
die herausfinden, dass diese Daten
gespeichert werden , und sie verwenden
sie, um
Ihre Karte zu reproduzieren und eine
betrügerische Transaktionen. Der CPP-Code ist Ihnen bewusst
, dass der dreistellige Code
, den Sie für die
E-Commerce-Transaktionskarte verwenden ,
keine Transaktionen darstellt. Der Pin-Block
ist also natürlich der Pin
, den Sie verwenden. Es wird ein Pin-Block. Es wird verschlüsselt. Aber selbst wenn es verschlüsselt ist, kann
man es nicht speichern, Leute, um sich nur daran
zu erinnern, ich denke Dinge, die man
speichern kann, wenn es Produktionen ist. Also denke ich Dinge, die man
nicht lagern kann, okay? Und das ist die
Hauptsache, die Sie beachten
müssen , wenn
Sie
den Guardiola-Namen speichern , und wie nennt man sie, wenn
Sie die Pfanne lagern, müssen
Sie sie verschlüsseln. Oder wenn Sie
es zeigen, müssen Sie möglicherweise andere Dinge tun. Also werde ich, was ich tun werde ist, weil sie viele,
viele Möglichkeiten haben , das zu tun. Wie nennt man es schützen. Dann speichern Sie
es, wenn Sie es
zeigen, wenn
Sie es drucken. Ich möchte eins nach dem anderen gehen. Was sind die Schritte
, die PCA Ihnen mitteilt? Also zuerst ist Maskierung oder
was ist Maskierung von Videos normalerweise, wenn Sie sie auf
Bildschirmen oder Quittungen
von Ausdrucken
anzeigen . Es ist nicht zu verwechseln mit den anderen Anforderungen
wie dem Lagern, okay? Wenn Sie also
auf dem Bildschirm angezeigt werden, wenn Sie vertikal stehen und diese Person nicht verpflichtet
ist, es zu sehen. Okay? Was Sie also tun können, ist
, die Pfanne zu maskieren, im Grunde können Sie XXX so wie
die Kartennummern sind. Abgesehen davon
bekommst du das Maximum. Du kannst uns die ersten
sechs und die letzten vier zeigen. Alles andere
kannst du einfach ausblenden. Sie können also sehen, dass dies der Lagertank
ist. Wenn es auf dem Bildschirm
geteilt wird können
Sie vollständig maskieren, okay, wir sprechen nicht darüber,
wie die Daten gespeichert werden. Wir sprechen darüber
, wann es gezeigt wird. Okay. Wenn die
Computerbildschirme von Missy und wenn es
nicht geschäftlich notwendig ist,
den gesamten Bereich anzuzeigen den gesamten Bereich anzuzeigen wie Ihre Callcenter-Agenten
oder andere Personen, haben
sie möglicherweise einen ordentlichen Blick
auf den gesamten Bereich. okay, das musst du dokumentieren. Aber neunmal von Dingen, die
Sie nicht brauchen. Okay? Es gibt also grundsätzlich
bestimmte Ziffern während der Anzeige, sogar an Feiertagen, unabhängig davon, wie die Pfanne gelagert wird,
Sie können den Geschmack maskieren. Okay, der erste
Schritt ist das Maskieren. Finde heraus, wo
du es maskieren musst. Und eigentlich sollte Maskierung nur bei
jemandem, der eine
Geschäftsanforderung hat, die Standardeinstellung sein. Wenn Ihr System in der
Lage ist, es zu maskieren, schalte
ich es einfach auf
der ganzen Linie ein, nachdem Sie
sich beim Unternehmen erkundigt haben. Okay. Das war also der
erste, der maskiert wird. Die zweite Umkehrung
ist eine Verkürzung. Sie können die
Daten auch kürzen, wenn Sie sie speichern. Kürzung
ähnelt der Maskierung, aber da haben Sie keine
XXX unserer Daten, wir verwerfen einfach diese Ziffern. Sie können hier sehen, dass dies eine vollständige Pan-Nummer
ist. Und wenn Sie
es in einer Datenbank speichern, könnten
Sie es einfach
verwerfen, okay? Im Grunde macht es
die Karte also unlesbar. Ein Segment dieser Daten wird entfernt. Und es wird normalerweise verwendet, ich habe gesehen, dass es
in Datenbanken und Dateien verwendet wird. Selbst wenn ein Angreifer
bis heute Zugriff erhalten kann, kann er nichts tun, da diese Ziffern entfernt wurden. Manchmal können Unternehmen dies auch als Methode
verwenden. Das ist mehr auf dem Lager, okay? Okay, was gibt es sonst noch? Sie können einseitig hashen. Dann speichern Sie Daten. Was ist der Einweg-Hash? Es ist wie ein
kryptografischer Prozess. Es nimmt Ihre Daten und konvertiert sie in einen
anderen String-Typ. Jedes Mal, wenn Sie es auf einer Pfanne
machen, wird
es
ein anderes Ergebnis zeigen. Warum nennst du es
einen Einweg-Hash? Weil es immer noch umkehrbar ist. Sie können diese
Vertikale also nicht aus dem Hash erhalten. Du kannst die
Kartennummer nicht zurückbekommen. Okay? also viel Zeit verwendet Es wird also viel Zeit verwendet, um zu überprüfen, ob Daten geändert
wurden oder nicht, aber Sie können sie auch
zum Speichern verwenden, okay? Im Grunde erstellen
Sie also einen irreversiblen
Einweg-Hash Ihrer Daten. Es liegt an Ihnen, ob
Sie
diesen Prozess nutzen möchten . Ich habe
gesehen, wie es benutzt wurde. Denke nur daran, dass du von diesem Hash nicht
zurückkehren kannst. Du kannst es nicht für
zukünftige Transaktionen verwenden, okay? Weil diese Daten
irreversibel geändert werden. So wie wir manchmal Süßigkeiten brauchen, die
Sie nicht lagern müssen, so wie Sie es tun,
müssen Sie nicht maskieren. Es dient nicht nur zum Abschneiden und Sie benötigen diese Daten
nicht, Sie können sie auch als Hash speichern. Das ist eine Möglichkeit wie möglich. Also haben wir über
Trunkation-Leute gesprochen, nur um zurückzugehen. Das war also kaukasisch. Wenn du es speicherst, ist das Hashing. Jetzt
kennst du den Unterschied. Eine Sache sehr, sehr
wichtig Leute. Sie können keine verkürzten
und gehashten
Versionen derselben Zahlungskarte speichern . Virginia kaudale
Umgebung. Okay? Denn was passiert ist, dass
diese korreliert werden können. Was meine ich damit? Wenn der Angreifer Zugriff hat, wie nennt man
das abgeschnittene und das Band und die gehashten
Versionen der Datensatznummer, kann er tatsächlich
den ursprünglichen Plan basierend
auf diesen beiden Daten zurückerhalten . Wenn Sie es also
in Datenbanken und flachen Dateien
wie Tabellenkalkulationen oder vielleicht
wie Backup-Audit-Logs speichern , müssen
Sie es möglicherweise schützen und nicht zusammen speichern. Okay. Er war einer der beiden, aber lagere sie
nicht zusammen. Viele Leute, die ich
gesehen habe,
vergessen manchmal diese Anforderung und das Abschneiden und
Hashing werden
gleichzeitig durchgeführt .
Bitte tu das nicht. Okay, was gibt es sonst noch? Tokenisierung. Die Tokenisierung ist ein
sehr einfacher Vorgang. Was passiert ist
manchmal, dass man gesehen hat , dass man
es schneidet, wenn man es hasht. Das 16-stellige Format
ändert sich, oder? Es ist keine
16-stellige Zahl mehr. Die Tokenisierung ist ein Prozess, der die ursprüngliche
Kartennummer
ersetzt. Eine weitere 16-stellige Zahl. Auch das nennt man ein Zeichen. Der Token mag wie eine
legitime Karteninhabernummer aussehen, ist es
aber nicht, er hat für einen Angreifer keinen
Wert. Okay? Normalerweise
ist dies reversibel,
sodass Sie tokenisieren können, dass Sie etwas
haben, das sodass Sie tokenisieren können, dass Sie als Token-Volt
bezeichnet wird. Also mit dem Formular dieses
Tokens können Sie die ursprüngliche
Kartennummer
zurückholen, die ursprüngliche
Kartennummer
zurückholen, okay, Sie können sie zurückbekommen. Tokenisierung,
normalerweise habe ich sie gesehen.
Sie wird verwendet, wenn Leute nur Karteninhaber- und
Karteninhaberdaten für
zukünftige Transaktionen
speichern möchten . Sie möchten jedoch sicherstellen,
dass es sicher ist, und sie möchten nicht, dass dieses
Format geändert wird. Also ich meine, du kannst es gibt
mehrere Möglichkeiten, das zu tun. Du kannst es aus der Pfanne machen. Sie können es nach dem Zufallsprinzip generieren. Sie können ein Token haben, wobei
ein Token-Tresor erstellt wird, bei dem es sich um die Tokenisierung
und D-Tokenisierungsdaten handelt. Es gibt mehrere
Möglichkeiten, dies zu tun. Verstehen
Sie einfach das Token, das den Speicher bewahrt, formatieren Sie die 16-stellige Pan, und Sie können es umkehren, damit es tokenisieren und D tokenisieren kann. Manchmal können Ihre Datenbanken
große Datenmengen speichern, die beim Hashing
herauskommen würden , und
sie benötigen eine 16-stellige Zahl. Tokenisierung hilft Ihnen also. Tokenisierung manchmal nehme ich sie
sogar aus dem Geltungsbereich. Aber darum gibt es noch viel
zu tun. Das ist also der grundlegende Unterschied zwischen Tokenisierung
und anderen Funktionen. Schließlich ist die Verschlüsselung, die
am häufigsten vorkommt. Die Verschlüsselung
ähnelt der Tokenisierung
insofern , als Japan durch andere wertlose Daten
ersetzt wird . Die Verschlüsselung ist jedoch etwas anders, da
sie zunächst nicht
das Originalformat beibehält. Und es verwendet einen Schlüsselmanager wie eine Wand mit einem
kryptografischen Schlüssel. Und es wird wie ein
Schlüsselmanager verwendet,
weil Ihr Kind einen Schlüssel und einen Algorithmus verwendet,
um eine riesige Zahl zu generieren, Sie
die ursprüngliche
Kartennummer nicht aus diesen Daten abrufen können . Okay? In der Regel nimmt die
Datengröße ,
als würde
das Originalformat nicht beibehalten. Es liegt also ganz bei Ihnen,
was Sie verwenden möchten. Manche Leute bevorzugen die Tokenisierung weil sie
dieses Format in der 16-stelligen Zahl
wiederherstellen möchten dieses Format in der 16-stelligen Zahl andere
bevorzugen Verschlüsselung. In der Regel hängt es von Ihren
Geschäftsanforderungen ab. Weiß nur eine Sache. Ich habe über einen Schlüssel gesprochen, als ob du einen Schlüssel
brauchst, um diese Daten zu verschlüsseln. Also diesen Schlüssel
müssen Sie diesen Schlüssel
auch mit einem anderen Schlüssel verschlüsseln, und Sie müssen ihn separat speichern
. Es ist so, als könnten Sie sich
auf die Anforderung beziehen. Wissen Sie nur, wenn Sie
Daten verschlüsseln, Daten eines Karteninhabers müssen
Sie
sie mit einem Schlüssel verschlüsseln und diesen Schlüssel auch
schützen Sie müssen
diesen Schlüssel erneut verschlüsseln. Denken Sie also daran, dass wenn Sie
über Verschlüsselung sprechen, ich weiß, dass es ein
Lottoschein ist, Leute. Gehen Sie das einfach durch,
überarbeiten Sie es und langsam, langsam beginnen Sie es
zu verstehen. Sie müssen nicht
implementieren, all diese Dinge sind Zahlen, die Sie einfach mit Verschlüsselung
oder Hashing oder Tokenisierung auskommen
können . Kennen Sie einfach diese verschiedenen
Abteilungen. Okay? Dann sprechen Sie,
wie ich mich erinnere, davon, dass
ich darüber gesprochen habe, unsere Daten zu finden. Sie müssen also Ihre
Datenquellen überprüfen, um sicherzustellen, dass das NADH
Karteninhaberdaten unverschlüsselt speichert. Sie haben keine sensiblen
Authentifizierungsdaten. Sehen Sie sich Ihre Transaktionsprotokolle, die
Transaktionsdaten und Ihre Ablaufverfolgung an. Versuchen Sie, wie Sie wissen,
manchmal
schalten Leute die Ablaufverfolgung zur
Fehlerbehebung ein. Oft fängt das an, unverschlüsselte Daten zu
speichern, okay. Schauen Sie sich Ihre Datenbankschemas an. Schemas können
Ihnen zeigen, ob dort
eine Kartennummer vorhanden ist . Okay. Schauen Sie sich Ihre Backups an, alle vorhandenen
Speicher-Crash-Dump-Dateien. Okay. Ihr DLP,
viele,
viele Dinge beginnen gerade
von links. Sie können sich Ihre
Zahlungsterminals ansehen,
unabhängig davon, ob Sie alle Daten, die
Sie speichern, alle vertraulichen
Authentifizierungsdaten beherrschen
oder abschneiden . Sie speichern keine
Daten unbestimmt. Schau dir deine Bildschirme
und Berichte an. Okay. Gibt es jemanden, der Daten anzeigen muss
,
können Karteninhaberdaten, wenn nicht, nur Musselin, das in den Berichten
abgeschnitten ist, wenn nicht, nur Musselin, das in den Berichten
abgeschnitten ist, diese Extremität,
diese trostlosen Daten, verwenden. Was ist, wenn du es aushältst? Okay. Was ist, wenn jemand Fernzugriff
hat, kann er diese Daten aushalten. Haben wir DLP-Steuerelemente? Was ist mit Datenbanken
und Speicher? Okay. Also, wenn Sie diese Daten
speichern, haben
wir dort eine
Protonenverschlüsselung? Gibt es vertrauliche
Authentifizierungsdaten? Normalerweise
haben die Leute ein Tool, das die Datenbanken
scannt und ihnen Bericht erstattet. Sie können das nicht manuell machen. Es wird
Millionen von Datensätzen geben, das können
Sie nicht manuell machen. Und zuletzt die Dateifreigabe. Oft
Dateifreigaben oder ein blinder Fleck. Die Leute wissen nicht, dass Mitarbeiter
Karteninhaberdaten in
Excel oder so genannte
flache Dateien ablegen Excel oder so genannte , und
sie wissen es nicht und plötzlich machen sie das
Audit, es kommt auf. Stellen Sie also sicher, dass Sie diese auch
scannen, und stellen Sie sicher, dass sie
nicht exfiltriert werden können. Diese anderen Dinge,
Leute, ich habe
mehr Zeit damit verbracht , weil es sehr, sehr
wichtig ist,
das zu wissen. Also wichtige Maßnahmen. Finden Sie heraus, dass die Daten
des ersten
Grafikkarteninhabers nicht nur die
technische Methode verwenden, sondern auch
mit den Leuten sprechen Karteninhaber-Datendiagramm
zeichnen. Setzen Sie sich mit Ihrem Unternehmen zusammen und
finden Sie heraus
,
wie der Datenfluss vom Zeitpunkt der den Karteninhaber bis zur Datenerfassung über
den Karteninhaber bis zur
Autorisierung und Speicherung aussieht. Okay. Sie finden es also in Datenbanken, Dateifreigaben, sogar E-Mails, Sie finden es als
Cloud-Outsourcing-Anbieter. Und zum Schluss
möchte ich darüber sprechen, okay,
was ist, wenn Sie
PCA Control Sowjet nicht implementieren können? Ich möchte das im Hinterkopf behalten. Wir werden später
über etwas sprechen, das als
Kompensationskontrollen bezeichnet wird . Das ist also etwas, das Sie beachten
müssen. Was ist, wenn Sie nicht verschlüsseln können , weil es sich um eine veraltete
Anwendung handelt, oder? Also was
wirst du das tun? Ich
möchte also, dass du das im Hinterkopf behältst. Okay. Was bedeutet das? Sie benötigen
eine Datenaufbewahrungsrichtlinie. Vielleicht müssen Sie die
Karteninhaberdaten
nach 30 Tagen nicht mehr stoppen , okay. Löschen Sie es einfach, dann brauchen Sie es
nicht mehr zu behalten. Sie sollten ein
Datenflussdiagramm haben. Der Prüfer wird
fragen, wie Sie
zunächst herausfinden, wo
Ihre Daten gespeichert sind? Haben wir ein Tool,
das regelmäßig Ihre
Server, Datenbanken,
Laptops und die
wichtigsten Leute scannt , speichern
Sie bitte keine sensiblen
Authentifizierungsdaten. Nachdem Ihre
Kartenautorisierung abgeschlossen ist. Bringen Sie Ihren Truck
auf Daten oder MOOC. Wir hören nicht in Blöcken um Kiefern auf
Kundeneingängen zu
maskieren. Und wenn Sie es speichern,
die Karteninhaberinformationen, dann bitte Maskottchen oder abgeschnitten oder Sicherheit
zur Verschlüsselung. Stellen Sie sicher, dass es sich um
die Datenbanken handelt oder dass
so wenige Personen wie möglich auf
deren Speicher zugreifen. Okay. Das war also die
Anforderung, Leute. Ich hoffe es war nicht zu viel. Nehmen Sie sich Zeit, gehen Sie zum Standard. Die Hauptsache ist herauszufinden, wo sich Ihre Karteninhaberdaten befinden,
und entsprechend geschützt. Speichern Sie dann keine Daten,
es sei denn, Sie benötigen sie nicht. Gehen Sie dieses
Modell einfach noch einmal durch. Es wird überarbeitet. Sie
haben also eine bessere Vorstellung davon und machen sich Notizen und
versuchen dann , es
in ihrer Umgebung zu implementieren. Das kann ich dir garantieren. Wenn Sie im Kartengeschäft tätig sind, finden
Sie Karteninhaberdaten dort, wo Sie nicht
erwartet haben, sie zu finden. Das ist eine übliche Sache. Hab keine Angst davor. Stellen Sie einfach sicher, dass Sie
über einen Prozess verfügen , um das Problem in Zukunft zu beheben. Okay, Leute, wir sehen uns jetzt
im nächsten Abschnitt. Hoffentlich hast du
jetzt eine bessere Idee und wir sehen uns
im nächsten Modul.
9. 4 - Anforderung 4: Hallo Leute, Willkommen zu diesem Modul. Dieses Modul ist relativ kurz. Es ist ziemlich einfach
, Daten,
offene und öffentliche Netzwerke zu sichern . Das ist ziemlich einfach. Denke ich. Ich glaube nicht, dass ich das zu viel erklären
muss , aber berechne es. Ich meine, wenn Sie es über ein offenes
und öffentliches Netzwerk
senden , haben
Sie zwei verschlüsselte, oder? Sie möchten nicht, dass sich die Leute nur diese Daten
ansehen. Dies wird
es an einen Drittanbieter-Prozessor senden , vielleicht Backups, vielleicht
über die Cloud. Und am wichtigsten ist, dass
Cyberkriminelle diese
Übertragung über
Guardiola-Daten möglicherweise abfangen
können . Daher ist es wichtig,
Kontrollen vorzunehmen , die ihre
Verschlüsselung verwenden kann. Sie können jede Verschlüsselung mit TLS der
starken kryptografischen Einheit und all diesen anderen Steuerelementen vornehmen. Möglicherweise haben Sie
Kassenterminals, die Daten
über das Internet
oder drahtlos oder GPRS senden . Sie haben Verschlüsselung darüber, über Ihre Geiger und
andere Mobilfunktechnologien. Okay. Und was ist mit Messaging? Wie E-Mail, Instant
Messaging, SMS, Chat. Damit können Sie auch
Karteninhaberdaten senden. Sie müssen also Richtlinien und Steuerelemente wie DLP einrichten. Es ist also sehr, sehr wichtig, diese Dinge
zu haben. Es gibt eine Mischung aus technischen und
betrieblichen Kontrollen. Sie denken vielleicht,
es ist sehr einfach, aber glauben Sie mir, besonders wenn Sie
Kassenterminals verwenden, was oft passiert
,
sind Kassenterminals , die alte Versionen von TLS verwenden, TLS 1.1, und wir verwenden
nicht die neueren
Versionen wie 1.21.3. Sie müssen sicherstellen, dass Sie einen Plan für die Migration haben. Bauen Sie einfach die
Datenflussdiagramme , über die
wir zuvor
in gemeinsamen drei gesprochen haben Sie werden das
Cardo-Datum kennen an dem NBC nach draußen gesendet
wird. Ich möchte sichergehen, dass
es verschlüsselt ist. Wenn sie über
offene öffentliche Netzwerke gesendet werden. Du möchtest nicht sicherstellen
, dass diese Verschlüsselung oder sie interne Richtlinien haben keine klaren
Kartennummern per SMS, über Chat oder
über Slack-Teams zu senden . Bitte hab das nicht. Okay? Sie möchten Ihre
Kassenterminals überprüfen , um sicherzustellen, dass sie ordnungsgemäß
verschlüsselt werden. Wenn Sie sie nicht warten, wenden
Sie sich an einen Anbieter, der sich an den Anbieter wendet und sicherstellt,
dass diese
Kassenterminals nicht
anfällig für bekannte Exploits
wie Standardschwachstellen sind . Normalerweise ist es der
Anbieter, der
Ihnen sagt, dass Sie Ihre eigenen Tests durchführen können. Ebenfalls. Oft stellen
diese Unternehmen sicher, dass
ihre
Kassenterminals bereits nach PCI DSS
zertifiziert sind. Sie können die modale Nummer überprüfen. Sie können auf die Website gehen
und tatsächlich
den Mörtel Lendenwirbel
einsetzen, diese Version einsetzen
und sehen, wo es
einen Lebensstil gibt , der zertifiziert ist.
Dies wird normalerweise als rosa
Transaktion PDF-Standard bezeichnet. Und ich denke, es gibt noch
einen Standard, aber Sie können ihn
auf ihrer Website überprüfen. Es wird Ihnen
sofort mitgeteilt, ob dieses Gerät sicher ist oder nicht, und zertifiziert Daten
gemäß dem PCI DSS-Standard. Das ist so ziemlich das, was es ist. Ihr stellt sicher, dass ihr ein Inventar
all eurer Daten
habt ,
die verschickt werden. Oft sind es die
Kassenterminals. Stellen Sie sicher, dass Sie die Kontrolle über Ihre
Endbenutzer-Nachrichten wie E-Mails, Pufferzeit, was auch immer Sie verwenden, haben. Diese Kontrollen müssen vorhanden
sein, um zu verhindern, dass Karteninhaberdaten
über das
öffentliche Netzwerk gesendet werden . Okay, das schließt diesen
speziellen Abschnitt ab. Und zum Schluss stellen wir einfach
sicher, dass Sie TLS 1 nicht verwenden, deaktivieren Sie all diese
unsicheren Protokolle. Sie möchten
diese frühen Implementierungen von
SSL und TLS nicht verwenden , da dies
sehr leicht zu kompromittieren ist. Es wird nicht als sicher angesehen
. Erkundigen Sie sich bei Ihrer
Verkaufsstelle nach ihrem Point of BI-Anbieter und haben Sie eine
Art Plan. Wenn Sie feststellen, dass Ihre
Point-of-Sale-Geräte es verwenden, benötigen
Sie
einen
Risikominderungsplan und einen Migrationsplan indem Sie ihn in den nächsten
12 Monaten oder 18 Monaten belassen Ihre
Point-of-Sale-Geräte es verwenden, benötigen
Sie
einen
Risikominderungsplan und einen Migrationsplan,
indem Sie ihn in den nächsten
12 Monaten oder 18 Monaten belassen.
um
alles auf TLS 1.2 zu migrieren, denn glauben Sie mir, der Auditor wird
Sie das fragen. Okay, das schließt es ab, Leute. Wir sehen uns
im nächsten Modul. Danke.
10. 4 - Anforderung 5: Hallo Leute,
Willkommen in diesem Bereich. Diese Anforderung ist, denke ich, am einfachsten für Sie
verteilt, was bedeutet,
dass es nur
ein größeres Problem gibt als nicht PCI
DSS zertifiziert zu sein. Diese Anforderung betrifft
Antivirus Anti-Malware-Programme, die auf
allen Systemen installiert werden müssen , die häufig von Malware
betroffen sind. Sie müssen
sicherstellen, dass Sie
dort
eine Antivirenlösung haben , die sich dort befindet, dass alles in
der Kardinalumgebung, Sie möchten
sicherstellen, dass es vorhanden ist. Es steht regelmäßig,
ist regelmäßig auf dem neuesten Stand. Und Sie sollten
einen Prozess haben, um
herauszufinden , ob ein
neuer Angriff stattfindet. Wie werden Sie herausfinden,
ob ein Zero-Day-Exploit stattfindet oder
ob plötzlich Malware alle Systeme beeinträchtigt? Hast du eine
Art herauszufinden, was passiert, welche Alarme
kommen, okay. Stellen Sie daher in der Regel sicher, dass ein PCSS Anti-Malware
auf Systemen
implementiert , die häufig betroffen sind. Die Leute nehmen es für Windows, aber Sie sollten
es auch auf Linux setzen, viele der
Linux-Server-Varianten, die es gibt, unterstützen Anti-Malware. Stell sicher, dass es da ist. Sei nicht faul auf Linux. Und stellen Sie sicher, dass
Sie
Anti-Malware durchgängig implementiert haben . Du scannst es. Und was passiert. Oft setzen die Leute gerne
eine Anti-Malware ein, aber wenn eine Warnung kommt, schaut sie sich
niemand an. Okay? Sie möchten also sicherstellen, dass diese Warnungen in gewisser Weise
irgendwohin gehen tatsächlich eine Aktion ausführen , die auf dieser Warnung
basiert,
sodass das Kompromissfenster sehr kurz sein
muss. Diese Dinge stellen sicher, dass Ihre Antikörper auf dem neuesten Stand sind
und dass Warnmeldungen gesendet werden. Okay, gehe hier von
nichts aus. Wie gesagt, die wichtigsten Punkte
sind die Bereitstellung von Antivirenprogrammen auf häufig
betroffenen
Systemen und nicht häufig betroffenen Systemen Bitte Leute, wenn
Sie eine
Art Linux oder
etwas anderes haben , wenn es eine Möglichkeit gibt, Anti-Malware zu implementieren,
bitte bereitstellen. Seien Sie nicht faul, okay, stellen Sie
sicher, dass es aktualisiert wird, wenn Sie auf automatisches Scannen eingestellt sind
und wenn etwas passiert, werden
diese Warnungen
irgendwohin gehen. Okay. Ihre Definition
sollte aktuell sein. Es sollte
Ihrem IT-Administrator nicht möglich sein kann
aber nicht einfach Antivirus White
deaktivieren. Stellen
Sie sicher, dass dort eine
Aufgabentrennung besteht. Und Sie sollten sicherstellen, dass
einige Praktiken , die,
wenn Sie
sie aufrufen , um Systeme regelmäßig zu
bewerten, wie vielleicht ein
altes Legacy-System AS 424 Tandem HP nicht all diese
stoppen alte Systeme , die viele Leute
nicht mehr benutzen. Lassen Sie jedoch eine Art
regulatorische Risikobewertung durchführen, um herauszufinden,
ob Branchenwarnungen veröffentlicht werden . Vielleicht ist in letzter Zeit ein neuer Virus herausgekommen
, den Sie nicht kennen, und der
diese Systeme beeinträchtigt. Stellen Sie also bitte sicher, dass
diese Kontrollen
vorhanden sind und
dass dies dokumentiert ist, dass sie diesem Prüfer
die Gewissheit geben können , dass Sie einen Prozess haben, tot ist und Sie weit darüber hinausgehen. Okay? Sie betrachten
die Branchentrends und führen Kontrollen ein
, die vorhanden sein müssen. Das ist also ein ziemlich
einfach zu erfüllender Standard. Ich denke nicht, dass es irgendwelche
Schwierigkeiten geben sollte. Normalerweise Menschen, die
auf Probleme stoßen , wenn sie sich
diese Legacy-Systeme ansehen. Abgesehen davon denke ich, dass Implementierung einfach
sein
sollte. Danke Leute. Wir
sehen uns im nächsten Modul.
11. 4 - Anforderung 6: Hallo zusammen, willkommen
zu dieser Lektion. Und in der Ansicht VHDL sind
wir auf halbem Weg durch das
Array zu Cram und Six, das sichere Systeme
entwickelt und wartet. Okay? Und das ist eine
dieser Abteilungen, die viele Leute hassen, weil
es mit Patchen zu tun hat. Schon wieder. Ich glaube nicht, dass irgendjemand
gerne
patcht, aber leider ist es ein obligatorischer Bestandteil
jedes Sicherheitssystems. Und Sie müssen über ein System verfügen, um anfällige Systeme zu
patchen. Warum tust du das? Es ist ziemlich einfach, oder?
Sicherheitslücken in Systemen und Anwendungen. Sie können
Kriminellen ermöglichen,
Kontrollen zu umgehen und auf
Karteninhaberdaten zuzugreifen. Die meisten dieser
Sicherheitslücken können durch die Installation von
Sicherheitspatches
beseitigt werden . Als sie Patches lieferten, haben wir uns von Microsoft oder
Ihrem Drittanbieter entschieden. Und es ist, als würde es in
die Sicherheitslücke gesteckt werden und
was wir Asper PCIe nennen. Bei allen kritischen Systemen
müssen die kürzlich veröffentlichten
Software-Patches installiert sein,
ich denke, es ist so schnell wie
möglich innerhalb von 30 Tagen. Und andere können Sie innerhalb von 90 Tagen
tun, aber das ist wirklich eines der schwierigsten Dinge,
die zu erreichen sind. Du kannst
verstehen warum. Aufgrund kritischer
Server sind Server sehr
kritisch und es
können nicht nur
Ausfallzeiten auftreten. Und gleichzeitig gibt es Angreifer, die bezahlt werden und dies
möglicherweise ausnutzen. Und es wird
gefährlicher, wenn es das nicht ist. Eine interessante Sache. So wie Sie einen sehr
starken Patch-Management-Prozess
für die Implementierung
kritischer Sicherheitspatches benötigen starken Patch-Management-Prozess für die Implementierung
kritischer Sicherheitspatches , ist dies einer der
schwierigsten und wichtigsten
für Kommentare und PCI. Okay? Also was musst du tun? Nun, Sie müssen sicherstellen, dass
die Patch-Management-Richtlinien vorhanden sind, und über einen Prozess verfügen. Woher wissen Sie, dass einige
kritische Patches eintreffen? Sie müssen darüber verfügen, dass auch
ein Change-Management-Prozess für chemische
Änderungen vorhanden sein muss. Woher wissen Sie, dass
Ihre Änderungen keine neuen
Sicherheitsprobleme mit sich
bringen, richtig. Und wie ich bereits erwähnt habe, haben Sie einen Monat, einen Monat, was wir dort Installation nennen. Manchmal können die Unternehmen es
nicht erfüllen. Sie müssen es haben als andere
Kompensationskontrollen. Sie benötigen ein System
, mit dem Sie schnell Patches erstellen, Patches in der
Testumgebung
bereitstellen und dann für
die Produktion bereitstellen können. Ich weiß, es ist sehr, sehr schwer
zu treffen, aber es ist etwas aus
Ihrer Sicherheitslage. Pci, DSS kann
Ihnen hier tatsächlich helfen, weil IT- und
IT-Teams manchmal faul
werden können, wenn es um die
Implementierung von Patches geht , und PCI DSS wird Ihnen hier wirklich helfen. Und es wird Ihnen helfen,
die Technologieteams dazu zu bringen , Patches so
schnell wie möglich zu implementieren. Dies ist eher aus Sicht
des Betriebssystems. Sie gilt für Bewerbungen. Außerdem werden Patches
auf Anwendungsebene verfügbar sein. Aber von der Anwendungsseite führen
Anforderungen sechs einige neue
Dinge
ein, die
Sie für das Verständnis
zur Verfügung haben müssen . Was sind Sie. Wenn Sie also Anwendungen entwickeln
, müssen Ihre Entwickler Schulungen zu
Sicherheitslücken in
Anwendungen haben ,
mit denen
Sie vertraut sind, in Ordnung? Es ist wahrscheinlich ein allgemeiner Standard
für Anwendungssicherheit. Sie sollten in Bezug auf
diese Sicherheitsanfälligkeiten geschult werden. Gleichzeitig sollte Ihr
Quellcode überprüft werden. Ebenfalls. Sie sollten etwas
an Ort und Stelle haben das Ihren Code
überprüft und Sie wissen
lässt, ob es
hier neue Sicherheitslücken
gibt und Ihre
Entwicklung und Ihr Drama keine
Live haben können
Daten des Karteninhabers. Manchmal machen
die Leute das zum Testen. Sie haben die
Guardiola-Umgebung in
Tests oder UAT oder
ähnliches gesteckt , bitte. Man kann nicht absolut nicht zulassen
, dass die Sache passiert. Okay. Und wenn Sie dann in
die Produktion wechseln,
sollte der Raman-Tag dort ein richtiger
Change-Management-Prozess sein. Wenn es sich um eine
Anwendung mit Internetanschluss handelt,
müssen Sie etwas abschwächen. Wie mindert man dieses Risiko? Sie können entweder
eine Webanwendung wie einen Stifttest durchführen lassen, okay? Wie abstrakte Ereignisse, bei denen ich Sie
wissen lasse, ob es
Sicherheitslücken gibt oder Sie eine Webanwendungs-Firewall
haben können , wissen
Sie, ich bin mir sicher, dass Sie sich dessen bewusst sein
müssen. Idealerweise würde ich beide empfehlen. Ich glaube nicht, dass das
eine das andere ersetzt. Sie sollten einen VAV haben
und Sie sollten keinen Anwendungssicherheitstest haben. Also arbeiten sie alle zusammen. Sie müssen verstehen, dass
Sie Codeüberprüfungen durchführen, Ihre Schulungsentwickler und CCA-sichere Aufzeichnungstechniken durchführen. Sie stellen sicher, dass kein Knorpel
vorhanden ist, es gibt Daten als
Tests oder UAT. Sie stellen sicher, dass das richtige
Kettenmanagement vorhanden ist. Und dann haben Sie einen
Web-App-Scan und Apps die Kopplung. All dies hat also wirklich dazu beigetragen, das Risiko zu verringern, dass ein
Problem jemandem passiert, wissen
Sie, wie häufig wissen
Sie, wie häufig Sicherheitslücken auf
Anwendungsebene
sind, oder? Wenn Sie sie jedoch ordnungsgemäß
implementieren, sie wirklich dazu bei,
die Sicherheitsrisiken von
Anwendungen zu mindern. Und sie haben wirklich dazu beigetragen, Ihre Sicherheitslage
zu verbessern. Okay. Geht weiter, Leute. Was sind also die wichtigsten
Aktionen, die es gibt? Denken Sie nur daran, dass
Sie über
Richtlinienformeln
für die Anwendungssicherheit verfügen
sollten Richtlinienformeln
für die Anwendungssicherheit die an
Ihre Entwickler verteilt werden. Sie sollten ein
sicheres Codierungs-Training und eine Code-Überprüfung durchführen. Etwas, das
Sie wissen lässt, ob es
unsicheren Code gibt und ihn nicht Produktion weiterleiten
lässt. Sie können gängige
kommerzielle Tools verwenden
, die den Entwicklern wirklich
helfen. Sie können auch ein ähnliches
Open-Source-Tool haben. Drittens, woher wissen
Sie, ob
es in der
Entwicklungsumgebung eine Pan gibt? Dort müssen Sie
Ihr Scannen erweitern. Sie müssen sicherstellen, dass
es keine Only-Maske
oder eine unterbrochene Maske gibt oder
nicht einmal verschlüsselt wurde. Sie beherrschen dort nur abgeschnittene oder mögen komplette Zahlen. Die Entwicklungsumgebung. Wie ich bereits erwähnt habe, sollten
Sie einen Web Application Firewall Plüsch der
Web Application Firewall und einen Test des
Anwendungssicherheitsstifts durchführen. Und natürlich das
Kettenmanagement. Denken Sie also daran, dass die
Anwendungssicherheit niemals perfekt
sein
wird, okay? Sie werden niemals die
Zeit haben zu sagen, dass
meine Anwendungssicherheit jetzt perfekt
geworden ist. Ich kann es beenden. Nein, nein. Deshalb müssen Sie diesen Prozess immer weiter
verfeinern. Es braucht nur eine
Sicherheitslücke,
bis der Angreifer hereinkommt und
Ihre Umgebung gefährdet, oder? Also Patching und
Anwendungssicherheit, alle haben sich aber zusammengetan. Dies ist eine der
schwierigeren Kommentare, hat
jedoch einen
der größten Vorteile Ihre Sicherheitslage wenn Sie sie ordnungsgemäß implementiert haben. Also ich hoffe du hast es jetzt verstanden, da all das
zusammen funktioniert, wie gesagt,
ich bin mir sicher, dass du
in geheimen Anwendungen finden wirst, du wie
alte Windows-Versionen finden wirst die nicht gepatcht werden können. Sie müssen
es also berücksichtigen. Entfernen Sie sie entweder
aus Ihrer aktuellen Umgebung oder fügen Sie
andere Steuerelemente hinzu. Sie tun es immer. Oft habe ich
Anwendungen gesehen, die auf alten
Legacy-Anwendungen ausgeführt
werden. Sie können es vielleicht visualisieren, Sie können es containerisieren. Sie können etwas, in
eine Art Citrix,
etwas einfügen, das den Tag eingekapselt,
festgelegt oder entfernt. Es gibt viele Möglichkeiten, dies zu
tun, erreichen Sie Ihre USA und ich bin sicher,
er wird Ihnen helfen. Aber stellen Sie einfach sicher
, dass Sie sich
dieser Sicherheitslücken bewusst sind und sie Sie
nicht in einer Vase erwischen, okay. Okay, Leute, ich gehe
zum nächsten erneuten Commit über. Danke. Und wir
sehen uns in der nächsten Lektion.
12. 4 - Anforderung 7: Hallo Leute, Willkommen zu dieser Lektion. Dies ist einer von ihnen, der
leichter zu kommentieren ist, insbesondere nach dem letzten. Und das hat mit der
Zugangsbeschränkung zu tun, okay? Wenn Sie
dem Prinzip der
geringsten Rechte folgen , sollten Sie es grundsätzlich befolgen,
wenn
Sie es nicht befolgen. Aber wenn Sie sie hinzufügen, wird
dies einfach da Ihr
Knorpelschaden sehr empfindlich ist. Sie sollten so etwas wie
eine rollenbasierte Zugriffskontrolle haben , die sicherstellt, dass
nur die Personen, die
eine legitime Anforderung haben, Karteninhaberdaten einzusehen , dies richtig
machen. Sie möchten Ihre erweiterten Benutzerkonten, die
keinen Grund haben , sich die
Karteninhaberdaten anzusehen, nicht, sie kommen rein. PCA benötigt also
eine aktuelle Liste, wie eine rollenbasierte
Zugriffskontrollmatrix. Ich bin mir sicher, dass du diese Matrix
haben wirst, oder? Das solltest du haben. Der Wirtschaftsprüfer wird es übernehmen. Diese Liste
hat nicht jede Rolle. Welche Rolle hat was für
Dinge, die Zugriff haben, welches ist das aktuelle Privileg
, wird es wirklich benötigt? Also basierend darauf und Sie
sollten dies regelmäßig zertifizieren, oder? Sie sollten
sich ansehen, ob die IT Zugang hat, ich weiß nicht, so wie Programmierer Zugang
zur Produktion haben, oder? Haben
Systemadministratorzugriff auf Application Database Writer,
sollten sie das Recht haben? Diese Dinge müssen
Sie also dokumentieren und
formalisieren. Darüber hinaus
müssen Sie regelmäßige
Überprüfungen durchführen. Also ja, das brauchen wir. Was sind die wichtigsten Aktionen sind
geschriebene Richtlinien für alle wie detaillierte Zugriffskontrollen,
dokumentierte Zugriffskontrolle. Du solltest es der
Stelleneinstufung zuordnen, oder? Wenn es also einen Network
Security Administrator gibt, sollten
Sie keinen Zugriff auf
Ihre Produktionsdatenbank haben , oder? Warum brauchst du
Zugriff darauf? Macht all diese Wörter
in der Öffentlichkeit am wenigsten privilegiert
definiert werden ,
das ist der Schlüssel hier. Und Sie sollten eine
detaillierte schriftliche Richtlinie haben nur diese Anbauer haben
Zugriff auf Karteninhaberdaten. Nur der
Datenbankadministrator kann
Lesezugriff auf die Datenbank
und all diese Dinge haben . Dies wird
Ihnen wirklich, wirklich helfen und Sie sollten diese
regelmäßig vierteljährlich und täglich
haben .
Stellen Sie sicher, dass diese
von allen Benutzern
überprüft und erneut zertifiziert werden . Das ist also eine ziemlich
einfache Wirtschaft. Viele Unternehmen haben gesehen, dass sie bereits
über etwas verfügen, entweder manuell oder automatisiert. Sie müssen
es also nur für Ihre
Karteninhaberumgebung formalisieren . Dies schließt es für
diese Anforderung ab. Gehen wir zum nächsten über.
13. 4 - Anforderung 8: Hallo Leute, Willkommen in
dieser speziellen Klasse. Und dies ist wiederum eine der
relativ leicht
zu erfüllenden Anforderungen, wenn Sie bereits eine gute
Sicherheitshygiene einhalten, die
UniqueID-Potenziale nutzt. PCS gibt also an, dass grundlegende gute Anmeldeinformationen wie Ihr Parser alle 90 Tage
geändert werden sollten, was
Länge und Komplexität haben sollte. Früher waren
es sieben Charaktere jetzt wurden sie endlich aktualisiert. Wenn Sie jedoch
etwas wie
Active Directory oder
ein Single Sign-On verwenden , setzen sie
normalerweise eine
strenge Kennwortrichtlinie durch. Sie möchten kein Passwort
haben
, das
von einem Hacker leicht für
automatisierte Tools gebrochen werden kann , oder? Da die Rechenleistung
von Jahr zu Jahr zunimmt, wird die
Rechenleistung immer
leistungsfähiger. Brute Forcing wird immer
einfacher. Sie benötigen also
komplexe Passwörter, es einem Angreifer sehr, sehr schwer
machen , sie
zu kompromittieren. Okay? Sie möchten keine
Standard-Benutzernamen haben,
keine Administratoren
oder KPIs haben, die ihn dazu führen , dass ich immer noch sehe diese Leute
einige sehr grundlegende Dinge verwenden. Sie möchten also nicht, dass solche Dinge leicht durch
Social-Engineering-Angriffe
oder Brute-Forcing-Angriffe
durchbrochen werden können durch
Social-Engineering-Angriffe
oder Brute-Forcing-Angriffe
durchbrochen . Okay, das ist sehr einfach, aber es ist so wichtig dass PCAs es zu einem
Separatorklima gemacht haben. Ein weiteres sehr
wichtiges Thema ist MFA,
Multi-Faktor-Authentifizierung. Wenn Sie nicht wissen,
was es ist, müssen Sie sich dessen sicher bewusst
sein,
aber zusätzlich zu der Benutzer-ID und dem Passwort benötigen
Sie
in PCI DSS einen weiteren Faktor für den Fernzugriff
oder den administrativen Zugriff. Das kann also etwas sein, das Sie haben, wie ein einmaliges Passwort, wie ein Token oder etwas, das Sie wie
eine Biometrie sind,
wissen Sie das können Dinge sein
wie etwas, das Sie haben, eine Smartcard, physisches, logisches Sicherheitstoken, einmaliges Passwort in
Ihrem Smartphone, okay. Und etwas, was Sie sind,
wäre eine Biometrie wie Fingerabdruck-Retina-Scan, Pumpendruck, Iris-Scan,
alles andere, was aus Ihrer
biologischen Perspektive für Sie
einzigartig ist . Sie können also zusätzlich zu
der Benutzer-ID und
dem Passwort eine dieser beiden verwenden. Aber denken Sie daran, dass sie
unabhängig voneinander sein müssen, z. B. wenn einer kompromittiert wird
oder nicht betroffen ist. Wenn Ihr
Smartphone beispielsweise kompromittiert ist und ein Angreifer
Zugriff auf das einmalige
Passwort OTP erhält , er immer noch keinen Zugriff auf Ihre Benutzer-ID und Ihr
Passwort, oder? Sie müssen also
unabhängig voneinander sein. Denken Sie also daran, dass
Sie in diesem
speziellen Kommentar Administratorzugriff
für den Remote-Zugriff und Multi-Faktor-Authentifizierung
für den Remote-Zugriff und Multi-Faktor-Authentifizierung für Ihr administrativer Zugriff. 1 Leute zu beachten, das wird viel
härter
werden NPCI Version vier. Okay, ich werde in einem anderen
Abschnitt
näher darauf eingehen, in dem wir nur die Anforderungen der
PCA-Version vier diskutieren, aber denken Sie daran. Der Rat macht dies jetzt in Zukunft
etwas schwieriger. Okay, was sind die wichtigsten
Maßnahmen, um Leute zu ergreifen? Auf jeden Fall sollten
Sie ein Passwort und MFA-Standard durchsetzen. Dies ist der p-Wert. Dies sind die minimalen positiven
Kommentare, und dies sind die MFA-Anforderungen für Herabstufungen
oder administrativen Zugriff. Stellen Sie sicher, dass Ihre Remote-Konten. Oft hatten Sie
Zugang zu Anbietern,
Geschäftspartnern, Beratern, oder? Und sie müssen überwacht
und deaktiviert werden , wenn
sie nicht verwendet werden. Du solltest nur sie haben. Dann wie und wann sie benutzen. Viele Leute setzen Anwendungen
von Drittanbietern wie VDI oder ähnliches ein. Ich meine, es liegt an Ihnen, wie Ihre Umgebung konfiguriert ist, aber haben Sie das einfach eingerichtet. Und das wird wirklich so sein, also ist das
im Grunde eine einfache Anforderung an den
gesunden Menschenverstand. Ich bin mir sicher, dass Sie viele dieser
Dinge bereits haben werden. Wenn nicht definitiv, sollten
Sie
MFA für Ihre
Verwaltungsumgebung haben , insbesondere wenn es sich um die
Karteninhaberdatenumgebung handelt. Habe das auf jeden Fall durchgesetzt. Okay Leute, also das
schließt diesen Kommentar ab. Gehen wir zum nächsten über.
14. 4 - Voraussetzung 9: Hallo Leute. Willkommen zum Kommentar des Distrikts. Es sagt wie ein Bereich , den ich immer als blinden Fleck betrachte, nämlich wenn es um PCI geht, DSS, was physische Sicherheit ist. Viele Unternehmen führen viele technische Kontrollen durch, vergessen
aber die
physische Seite von Dingen wie Ausdrucken und Berichten. Viele Unternehmen, wissen Sie, sie
haben Backoffice, egal welche Wiederholungsabrechnung sie speichern, als würden sie die Kartennummer
speichern. Sie bewahren physische
Kopien der aktuellen Karte auf. Und Sie werden nicht glauben, dass diese offen verfügbar
sind, oder? Sie müssen also über Vorkehrungen verfügen, um Dinge wie
Datendiebstahl und sensiblen
Zugang zu sensiblen Bereichen zu schützen . Sie sollten über
Richtlinien und Verfahren für die
physische Sicherheit verfügen. Sie können nur
wie zum Beispiel nur vertrauliche
Informationen aufbewahren. Arbeitsplatz sicherte sie
in einem verschlossenen Bereich. Außenstehende können nicht einfach reinkommen. Nicht-Mitarbeiter
müssen Ausweise tragen und speichern
keine
sensiblen Informationen. Das offene V in meiner, einer meiner Unternehmen,
haben wir nach
den Bürozeiten die Straßen gereinigt . Wir haben immer nachgesehen, ob jeder seinen Schreibtisch
aufgeräumt hat, oder? Es gibt dort keine sensiblen
Informationen. Das sind also Kontrollen,
die gesunder Menschenverstand sind, aber leider
werden Sie
aus irgendeinem Grund verpasst , oder? Also was sind die Dinge, die
du haben musst? Es muss über eine angemessene
physische Sicherheitspolitik verfügen die
hervorhebt, welche
anderen sensiblen Bereiche hervorgehoben werden. Eine Sache, die ich vergessen habe zu erwähnen Ihre Netzwerkbuchsen, oder? Sie möchten nicht, dass
Menschen einfach ihre Laptops anschließen und
Ihre Zielumgebung verbinden. Die physischen Medien oder
Backups und andere Dinge sollten gesichert sein und eine strenge
Kontrolle sollte vorhanden sein. Was ist, wenn jemand die Umwelt nicht
gefährden kann? Was ist, wenn in der Lage ist, auf Gag zuzugreifen, Zugriff auf das
Backup-Band zu
erhalten, richtig. Welches hat alle
Informationen, die Sie wie ein in Sicherheit
bringen
müssen, sind dafür deutlich gekennzeichnet. Dokumente sollten vertrauliche
Dinge enthalten, um
geschreddert zu werden , und Sie müssen in der
Lage sein, Medien zu vernichten, oder? Diego sagte, zerstöre es
aufgrund seiner Klassifizierung. Viele dieser Dinge tun
sie wahrscheinlich, aber Sie werden möglicherweise nicht auf Ihre
Karteninhaberumgebung ausgedehnt . Stellen Sie sicher, dass sie verlängert werden. Sie sollten sich mit
Ihren physischen
Sicherheitsteams abstimmen, um
sicherzustellen , dass Sie ordnungsgemäß
geschult werden. Sensible Bereiche
sind abgesperrt. Nicht jeder Mitarbeiter kann einfach
in Ihre lichtempfindlichen Bereiche gehen . Also alle diese Kontrollen Metrodorus ungezwungen, um eine
ordnungsgemäße CCTV-Abdeckung zu haben. Es sollte eine Mischung aus
präventiven und
detektiven Kontrollen sein. Im Grunde die gleichen Dinge, die Sie in Ihre
Umgebung stecken, oder? Ihre technische Umgebung
wie Segmentierung. Segmentierung, Sie
blockieren diesen Bereich. CCTV ist wie ein auditives
und weißes Abzeichen und ein Passwort-Abzeichen und Pins. Sie sind wie MFA.
All diese Dinge repliziert
man einfach in
eine physische Umgebung. Eine einzigartige Umgebung, Leute, wenn Sie
Kassenterminals haben, wie Kassenmaschinen. Sie sollten ein vollständiges
Inventar davon haben. Sie sollten über ein aktuelles
Inventar verfügen. Du solltest wissen, wo sie sind. Was ist der physische Standort, Seriennummer, nacktes Modell. Warum? Weil es es überprüfen
sollte. Was ist, wenn jemand daran
manipuliert hat, aber wenn jemand es
durch ein anderes C ersetzt hat, dann eine andere Umgebung,
normalerweise viele Unternehmen, die sie pflegen, wie
Vorteile davon, oder? Was ist, wenn jemand
reingegangen ist, daran manipuliert hat, ein Gerät
injiziert hat und Sie
nichts davon wissen, oder? Du kannst es im Grunde machen,
könntest es jeden Tag tun, jeder Monat basiert darauf was für ein
Level du hast, okay. Sie sollten Videoüberwachung haben. Das sind sehr
subtile Geräte, okay? Stellen Sie sicher, dass das Top
vollständig eingeschränkt ist. Und Sie sollten
Mitarbeiter sensibilisieren , die täglich
mit diesen Dingen interagieren , wie eine Kassiererin, wer hat diese
Art von Maschine am Verkaufsort, oder? Du solltest wissen, ob es
jemand ersetzt hat. Wenn ein Gerät da ist, sollten
Sie wissen können,
ob jemand etwas hat, Sie sollten in der Lage sein, die Seriennummer zu
überprüfen. Die grundlegende Physik. Das sind einfache
Dinge, die man haben kann wie ein Videotraining. Sie können physisch besuchen
und ihnen beibringen und so, aber nur um sicherzustellen, dass
das Risiko einer Substitution besteht, jemand
das Gerät ersetzt, wenn etwas oder da
ein anderes Gerät
böswillig ist oder wie das Manipulieren, das
Gerät
manipulieren
oder ein anderes Gerät darauf legen . Diejenigen, die Weste tragen
, müssen gemildert werden. Aus Sicht von PCI DSS. Sie sind wie viele,
viele gängige Schulungen sogar auf der
PCAOB-Website
verfügbar sind. Sie können sie finden. Es ist wie eine einzigartige
Sache von PCI, die anderen physischen Kontrollen, die
Sie möglicherweise bereits ausführen. Aber das ist etwas
Einzigartiges und du solltest sicherstellen, dass du es in
deiner Umgebung hast, okay? Okay, das
schließt dieses erneute Commit ab. Gehen wir zum nächsten über.
15. 4 - Voraussetzung 10: Hallo Leute, Willkommen zu dieser Lektion , in der wir fast das Ende
erreicht haben, was eine übliche Zehn ist,
Protokollierung und Überwachung. Protokollierung und Überwachung.
Wissen Sie, es ist eines dieser Dinge, die fast
viele Unternehmen tun. Fast jedes Unternehmen tut das, aber nur sehr wenige Unternehmen
machen es richtig. Denn was passiert, ist dass sie oft nur Sachen
aufnehmen. Aber niemand ergreift auf
der
Grundlage dieser Warnungen intelligente Maßnahmen , oder? Sim-Lösungen, Sie haben Sicherheitsinformationen
und Eventmanagement. Sie senden alle
Protokolle dorthin, möchten
aber nicht wirklich umsetzbare
Alerts erstellen. Du
verfeinerst nicht wirklich dieselben Dinge. Sie müssen
alles erfassen, was sich in der
Karteninhaberdatenumgebung befindet PCI hat tatsächlich
eine minimale Liste von Ereignissen
, die erfasst werden sollten. Okay? Die meiste Systemsoftware
generiert Protokolle zum Sichern des
Betriebssystems, der Browserpause, der
Firewall, all diese Dinge, die
Sie erfassen sollten, okay. Stellen Sie also sicher, dass
diese Dinge da sind. Egal, ob Sie eine
SIM-Lösung oder eine andere Sache haben, Sie müssen alles
erfassen. Und darauf basierend habe ich umsetzbare
Alarme. Okay. Was wir also angefangen haben
, ist zu überprüfen ob Sie über ein
automatisiertes Audit-Protokoll-Tracking
für alle Sicherheitsereignisse verfügen . Wie machst du das? Ist es so, als ob jemand es
nicht
sieht und im Grunde
ein automatisiertes System schreibt. Gibt es einen Prozess, um Protokolle und
Sicherheitsereignisse täglich
zu überprüfen. Normalerweise ist es wie
eine SIM-Lösung. Vielleicht haben Sie ein SOC-Team, oder Sie haben ähnliche Schichten, oder Sie lassen
uns ein System übernehmen, das administrative Benachrichtigungen erhält. Es kommt wirklich darauf an,
wie du es machst. Möglicherweise haben Sie, wenn Sie
dies in der Cloud tun, eine Automatisierung, aber der Prozess
muss vorhanden sein. Ihre Auditprotokolle
müssen
mindestens ein Jahr und die
letzten drei Monate vorhanden sein . Es müssen Online-Logs sein. Du solltest es sein, dass du die letzten
90 Tage nicht
archivieren kannst , okay. Du musst es online haben. Und was werden sie irgendwann
PCI erfassen, DSS ist sehr spezifisch. Wie Admin-Aktivitäten
fehlgeschlagene Anmeldungen sind, Änderungen an Eskalationen der
Kontoberechtigungen. Und Sie sollten
festhalten, was sie wussten, wer der Benutzer war, was
das Ereignis war, was das Datum und die Uhrzeit war,
ob es ein Erfolg war, was für ein Fehler, wo es
passiert ist, all diese Dinge. Sie werden es leicht
innerhalb des Standards finden. Aber stellen Sie sicher, dass Sie es
aufnehmen. Stellen Sie sicher, dass Sie diese Steckplätze
zur Verfügung haben, und testen Sie sie. nicht davon aus, dass Sie diese Protokolle in Ordnung
haben werden. Testen Sie es und stellen Sie sicher , dass diese
Ereignisse erfasst werden. Viele SIM-Lösungen, sie haben bereits
vordefinierte Vorlagen für PCI DSS, durch die es
nicht so schwierig sein sollte. Stellen Sie einfach sicher, dass diese eingeschaltet
sind. Dass dieser
ziemlich einfach war. Gehen wir zum nächsten über.
16. 4 - Voraussetzung 11: Hallo Leute. Wir sind bei der
zweitletzten Anforderung, die Durchführung von
Schwachstellenscans ist und PET ist in Ordnung. Warum machen wir diese Dinge, Leute? Einfach ausgedrückt, diese müssen
Sie herausfinden, was
die Schwächen in
Ihrer Umgebung sind , oder? Sie möchten nicht warten, bis ein Angreifer kommt und Ihre
Umgebung
gefährdet, oder? Schwachstellenscans und PTs
sind eine der besten Methoden, um herauszufinden, für welche Art von Angriffen
Sie anfällig sind. Va ist wie ein
Schwachstellenscanner ein automatisierter High-Level-Scan. Okay. Sie führen gerade einen Scan durch.
Normalerweise haben sie es. Sie haben eine Art Software , die die Umgebung scannt und Ihnen einen Bericht
gibt, oder? Sie müssen
dies vierteljährlich intern und
extern ausführen . Und PT Ich bin mir sicher, dass Sie bereits wissen, dass es
wie ein Detail zum Anfassen ist. Normalerweise gibt es eine echte
Person, die versucht,
Schwachstellen in Ihrem System zu erkennen und auszunutzen. Und dies muss wiederum
intern und extern sein ,
sowohl in Ihrer Umgebung. PCR verlangt, dass diese Dinge auf mehreren Ebenen
passieren, okay? Sie können es einfach in einer
Ebene tun und es als effektiv bezeichnen. Wir werden detailliert darauf eingehen,
wovon ich spreche, über welche Art von Schichten ich
spreche, bevor wir gehen. Eine Sache sehr wichtig Leute, wenn Sie eine öffentlich zugängliche
Guardiola-Umgebung haben, richtig? Öffentliche IPs. Pcr verlangt von Unternehmen, die sich wie extern via Scan
verhalten und es und ESV-Scan nennen, um herauszufinden, ob sie
potenzielle Fehler aufweisen. Das kannst du nicht selbst machen. Sie müssen von
einer Firma namens „
Approved Scanning Vendor“ durchgeführt werden , die als ASP bezeichnet
wird. Okay? Du kannst es nicht selbst machen. Sie müssen
sich an diese Firma wenden. Was also passiert,
ist, dass Sie diesem Unternehmen in
Rechnung gestellt werden und der Scan
vierteljährlich durchgeführt wird. Sie müssen die
höchste Sicherheitsanfälligkeit beheben. Also musst du es so lange
machen, bis du bestanden hast. Und sie werden
dir einen bestandenen Scan geben. Und normalerweise muss man sich den
Autoschemata oder dem Rohling
unterwerfen. Das ist also nicht etwas, das man einfach scannt und
vergisst es. Sie müssen es
mindestens vierteljährlich tun und Sie müssen es bestehen. Das ist eines der
wichtigsten Dinge. Dies ist normalerweise eine sehr gute
Voraussetzung, da Öffentlichkeit einer Umgebung
mit hohem Risiko ähnelt. Sie müssen in der Lage sein, es zu scannen und
die Sicherheitslücken zu kennen. Okay, also behalte das einfach im Hinterkopf. Ihre Bank oder Ihr Zahlungsschema wird
Ihnen in der
Regel mitteilen, ob Sie, wir haben früher über die
Verpflichtungen gesprochen. Ihre Bank oder Ihre
Zahlungsmarke wird
Ihnen also mitteilen, ob Sie dazu
verpflichtet sind oder nicht. Aber denken Sie daran, ich habe Ihnen gesagt, dass wir
das auf mehreren Ebenen tun müssen. Darüber
habe ich also gesprochen. Nehmen Sie einfach eine Ansicht auf hoher Ebene ein. Wenn Sie
aus dem Internet schauen, müssen ASP-Scans und
eine PD durchgeführt werden. Okay. Aus externer Sicht in Ihrer
Kardinalumgebung hatten
Sie
in Ihrer
Kardinalumgebung keine
vierteljährlichen Visa-Scans, eine
jährliche Vergütung für PT und
eine sogenannte Überwachung der
Dateiintegrität. Was ist eine
Dateiintegritätsüberwachung? Wenn Sie sich dessen nicht bewusst sind, handelt
es sich im Grunde genommen um eine Software, die für die Umgebung
für alle kritischen
Änderungen an Dateien
steht , okay. Möglicherweise haben Sie vertrauliche
Dateien in Ihrer Umgebung. Sie erwarten nicht, dass sie sich ändern Eine Software
zur Überwachung der Dateiintegrität
teilt Ihnen mit, ob diese Datei geändert wird,
und gibt eine Warnung aus. Das müssen Sie also auch
in Ihrer Umgebung haben. Angenommen, Ihre
verwirrte Anwendung hat eine vertrauliche Konfigurationsdatei , die sich nicht ändern soll. Was ist, wenn das seltsam wird? Okay, also diese Lösung
zur Überwachung der Dateiintegrität gibt eine Warnung aus
und sendet sie an Sie, die da sein sollte. Und abgesehen davon, wenn Sie eine
drahtlose Umgebung haben, müssen
Sie
Kandidaten für
drahtlose Cans freigeben , um sicherzustellen , dass die neue unsichere oder möglicherweise betrügerische drahtlose Umgebung
Zugangspunkte. Nach der Erstellung
haben wir normalerweise drei Tools und
kommerzielle Tools. Sie können die gesamte
Umgebung scannen und wir werden herausfinden ob es dort
Sicherheitslücken
oder Gewaltpunkte im Straßenverkehr gibt. Und wir haben über
Segmentierung gesprochen. Erinnerst dich? Wir haben gesagt, dass, okay, für die
Segmentierungsperspektive etwas sein
sollten, das
dort fallen wird. Und das wird normalerweise
eine Firewall und IDS und IPS sein. Wir machen also etwas, das als Segmentierungsdose
bezeichnet wird Was ist der Segmentierungsscan? Segmentierungen kann tatsächlich
jemand versuchen,
die Segmentierung zu gefährden? Aus der
Karteninhaberumgebung versucht
er also, in die
Nicht-Cloud-Umgebung oder
vom
Nicht-Guardiola-Umami-Geschmack
zu springen vom
Nicht-Guardiola-Umami-Geschmack Der Sprung zum
Cardo, der Umgebung. Er prüft die Angemessenheit der
erfolgten Segmentierung, ob sie gut ist oder nicht. Deshalb ist es
so wichtig, Leute, wie all diese Dinge, die
man tun muss,
die verschiedenen Zeiten, in denen
sie sind, irgendwie wusste ich, dass sie
irgendwie ein halbes Halbjahr
in deinen Kalender aufgenommen wurden. Wir haben über
einen BAU-Prozess gesprochen, oder? Darüber habe ich
gesprochen. Normalerweise sollten Sie, was
Unternehmen tun und
PCL-Mandate durchführen,
über eine Methodik
für Penetrationstests verfügen . Und Sie sagen, was extern, intern, wie was, was
wird jährlich passieren? Was passiert
nach jeder Änderung? Wenn sich die Segmentierung ändert, wie
werden Sie das testen? Wie werden Sie
die erste Anwendungsebene machen? Wie werden
Sie einen Schalter verlegen? Können alle ihr
Dokument in
einer richtigen Formel dokumentieren einer richtigen Formel lassen und es allen
zur Verfügung stellen. Auf diese Weise erhalten Sie also keine Baumwollüberraschung
und verpassen
einen kritischen Scan, den
Sie durchführen sollten. Dies ist ein hohes Niveau,
wie ein bisschen simpel, aber es zeigt Ihnen,
was die Standards in Ihrer Umgebung tun
sollten. Also ich hoffe das, das war
so, als ob es dir Klarheit gibt. Fang damit an. Anfänglich wird es sehr
überwältigend und wird
langsam, langsam wie
eine BAU für Sie. Sobald Sie es in
Ihren BAU-Prozess aufgenommen
haben, werden Sie feststellen, dass es viel einfacher
wird. Okay, Leute. Okay, das schließt
den vorletzten ab. Also sollten wir
zum letzten übergehen.
17. 4 - Voraussetzung 12: Hallo zusammen, willkommen
zu dieser Lektion. Jetzt haben wir
die letzte Anforderung
des Parameters Alpha erreicht , nämlich Dokumentation
und Risikobewertungen. vorherige war also eine sehr
technische Anforderung in Bezug auf Pen-Tests und b, a und P, D und all diese Dinge. Jetzt sprechen wir
über etwas , das viel einfacher ist, Dokumentation und
Risikobewertungen. Also hier Leute, wir sprechen über etwas, das
Sie tun müssen Aus
Sicht der Due Diligence muss
der Prüfer wissen, dass alle Ihre
Informationssicherheitsrichtlinien stark formalisiert wurden, andere Sachen weg von dem,
was sie tun
sollten und was sie
nicht tun sollten. Dies hilft, Sie zu
schützen,
falls etwas passiert und ein Verstoß vorliegt. Dann können Sie beweisen, dass Sie alles aus
Ihrer Perspektive
getan haben. Sie müssen sicherstellen, dass Ihre
Sicherheitsrichtlinien genehmigt und
von allen Mitarbeitern, die
sie bestätigt haben, angerufen ,
kommuniziert und unterzeichnet wurden. Okay. Wenn Sie ein Dienstanbieter sind, benötigen
Sie eine
sogenannte PCI DSS-Charter. Es heißt, wer
für PCI DSS verantwortlich ist
und wer das Programm implementieren
wird und wer für PCI, DSS verantwortlich ist. Es muss Ihnen sagen
, wer die
verantwortliche Person ist und wie sie mit der
Geschäftsleitung kommunizieren
wird, okay. Abgesehen davon benötigen Sie
auch ein Inventar aller
Drittanbieter, die Personen oder
Drittanbieter
auslagern, Personen oder
Drittanbieter
auslagern die Zugriff auf Ihre
grundlegende Umgebung haben. Denn wenn sie möglicherweise
Kompromisse für Ihre Umgebung eingehen , müssen
Sie eine Liste aller
Drittanbieter haben Drittanbieter und wissen, ob sie
PECS-zertifiziert sind oder nicht. Okay. Du musst die Liste haben. Die meisten von ihnen sind
normalerweise verfügbar und Sie können dies als
Teil Ihres Kalenders festlegen, aber stellen Sie sicher, dass diese dunklen, dunklen Dokumentationen überfällig sind. Es ist also ziemlich
einfach zu
kommentieren, dass es hauptsächlich
um Dokumentation geht. Es dauert sehr lange. Wenn Sie jedoch mit Ihrer TSA arbeiten, sind diese häufig bereits
vorgefertigte Vorlagen verfügbar. Damit sollten Sie also in der Lage sein, etwas Zeit zu
sparen. Wie ich bereits erwähnt habe, müssen
Sie eine schriftliche Konformitäts
- und Sicherheitsrichtlinie haben. Die Charta sollte
für Ihren Dienstleister da sein. Sie müssen sicherstellen, dass ich eine vierteljährliche Überprüfung
durchführe, um sicherzustellen, dass
alle
die Anforderungen erfüllen, die alle zur Sicherheit
der Illustration
unterzeichnet
haben durchführe, um sicherzustellen, dass
alle die Anforderungen erfüllen, die alle zur Sicherheit
der Illustration
unterzeichnet . Und schließlich, eine sehr
wichtige Risikobewertung, verlangt die
PCR,
dass jeder
eine jährliche Risikobewertung durchführt , um kritische Vermögenswerte zu
identifizieren. Eine Scratch-Schwachstelle ist in Ordnung da dies
Ihnen hilft, Risiken zu priorisieren. Und wenn Sie dies proaktiv
angehen, zahlt sich das
auf lange Sicht wirklich aus. Das ist etwas, was sie
sagt, etwas, was die Leute denken, dass dies jedes Jahr wie ein
Formalitätsnachmittag ist. Aber wenn Sie es richtig machen und ihm die
richtige Zeit und den richtigen Respekt geben, kann
ich Ihnen sagen, dass
Risikobewertungen
so viele Probleme proaktiv identifizieren können , viel mehr, bevor
der Prüfer feststellt dass ich dies vorher kennzeichnen möchte, weil Risikobewertungen
in der
kommenden Überarbeitung, die PCI DSS-Version dafür ist,
sehr, sehr wichtig werden in der
kommenden Überarbeitung, die PCI DSS-Version dafür ist,
sehr, sehr wichtig . Wenn Sie dies tun und
sich nicht zu sehr darauf konzentriert haben, könnte
dies zu
einem Problem für Sie werden. Konzentrieren Sie sich also auf jeden Fall darauf. Ich werde
in der zukünftigen Klasse mehr darüber sprechen, in der nächsten Klasse, die ich habe, die sich mit PCI DSS 4 befasst. Aber bitte
nehmen Sie keine Risikobewertung vor, mag
Kunstformformformformalität, die Sie tun
müssen , und vergessen Sie es. Okay? Konzentrieren Sie sich also wirklich, Sie werden nicht kopieren und einfügen, was Sie letztes Jahr
getan haben und Sie konzentrieren sich
wirklich darauf und
es wird sich auf lange Sicht definitiv
auszahlen. Okay, damit das
deine Klage beendet, Leute, ich hoffe, das war nützlich für dich. Kommen wir zu einem sehr wichtigen Thema
, das wir behandeln müssen, nämlich die Kompensationskontrollen. Das passiert, wenn Sie eine Anforderung nicht
erfüllen können. Ich sehe dich in der nächsten Klasse.
18. 4 - Kompensationssteuerung: Hallo Leute. Also sehr, sehr kurze Klasse, aber das ist sehr wichtig. Jetzt hast du alle Anforderungen an die
Trails abgedeckt, oder? Aber was passiert, wenn Sie eine PCI-Anforderung nicht
verpassen können? Okay?
Nehmen wir ein Beispiel. Sie müssen Pflaster
innerhalb von 30 Tagen auftragen, oder? Kritische Patches. Was ist, wenn wir keinen Patch anbringen können? Oder was ist, wenn Sie die Überwachung der
Dateiintegrität nicht implementieren können?
Was passiert dann? Es gibt also etwas, das
als kompensierende Steuerung bezeichnet wird. Dies geschieht, wenn ein, wenn eine Partei
eine voreingestellte Wohnung nicht treffen kann, Sie illegitime Gründe haben. Es ist nicht da, faul zu sein, vielleicht
unterstützt das System es nicht oder sie tun es nicht. Da gibt es einige
Einschränkungen. Aber was du tust, ist
eine andere Steuerung dort zu platzieren, okay? Vielleicht kannst du es nicht flicken. Aber Sie haben 24-Seven Monitoring und Sie haben andere
Tools, die Sie sofort
warnen, wenn jemand
versucht, diesen Patch auszunutzen. Okay? Es kommt also wirklich darauf an. Daten sind wirklich wie eine Kunst. Was sagst du? Es ist, als müsstest du beim QSEN
sitzen, ihm verständlich
machen, was du getan hast, wie du dieses Risiko gemindert hast und die
Effektivität davon variieren. Es ändert sich von Umgebung zu Umgebung von
wenigen ästhetischen USA. Okay? Denken Sie jedoch daran, dass Sie wirklich gut in
Risikobewertungen sein müssen , um dies zu tun. Kurz gesagt, die kompensierende
Kontrolle, Sie müssen ein Blatt ausfüllen,
um es an den Wirtschaftsprüfer zu senden. Wie sieht es aus? Es ist wie dieser. Wie ich das Beispiel genommen habe. Das heißt, du
musst das beenden. Sie müssen zeigen, was
die Einschränkungen sind, okay, warum Sie sich bei einem Kommentar nicht treffen können,
wie zum Beispiel warum können Sie
dieses Quartal nicht patchen oder warum können Sie die Überwachung der
Dateiintegrität nicht implementieren, dann müssen Sie
die alte Definition. Was sind die Kontrollen, die
Sie implementiert haben? Was ist das Ziel
dieser Kontrollen? Was ist das Risiko, dass aufgrund
des Patches nicht
da ist oder so, Und wie hat der Prüfer dichte
Kompensationskontrollen
validiert? Und wie stellen
Sie sicher
, dass niemand diese Bedienelemente manipuliert
? Das ist also etwas
, das wir überprüfen werden. Und du musst ihn wirklich
zufrieden stellen, um sicherzustellen , dass du nicht
nur etwas hast , das du da
reingesteckt hast, um zu entkommen? Nein, darüber hast
du
nachgedacht und es richtig
implementiert. Also bitte, Kompensationskontrollen sind ein
sehr wichtiges Thema. Sie
werden nicht ersetzt, aber sie sind eine neue
Art , Dinge zu tun,
die sich ergeben, die als
maßgeschneiderter Ansatz bezeichnet wird. Ich werde in
der PCI DSS-Version für das Modul darüber sprechen . Aber wissen Sie nur, dass sie kompensierende
Kontrollen sind Sie tun
müssen, wenn Sie eine bestimmte Anforderung nicht
erfüllen können . Und es gibt noch andere Möglichkeiten dies
zu tun, die sich ergeben. Okay Leute, also das schließt
das Anforderungsmodul ab. Ich hoffe es hat dir gefallen
und ich hoffe du hast
ein paar Dinge gelernt und wir sehen uns
im nächsten Modul. Danke.
19. 5 - SAQ und seine Typen: Hallo zusammen, willkommen
zu dieser Lektion. Jetzt werden wir über die Arten von Fragebögen zur
Selbsteinschätzung
sprechen , die
Sie für
die PCI- und
DSS-Anforderungen erfüllt haben , oder? Und nur um es kurz zusammenzufassen, der SAQ, der
Fragebogen zur Selbsteinschätzung. Es ist wie ein Validierungstool für Händler und
Dienstleister, um die Ergebnisse
der PCI DSS-Bewertung zu melden. Wenn Sie kein vollständiges Audit durchführen und
kein ROC einreichen müssen, schreiben Sie einen Bericht über die Einhaltung. Je nachdem, wie Sie die in den Daten
gespeicherten Daten
verarbeiten, sind
sie unterschiedlich SET war
, dass er ausfüllen muss. Wenn Sie beispielsweise keinen E-Commerce-Shop haben
, müssen
Sie möglicherweise etwas anderes
ausfüllen. Oder wenn Sie eine Konstante haben, ist
es so, als ob
Sie dazu verpflichtet wären. Die Art und Weise, wie Sie Daten verarbeiten, verändert den
Typ des Vesikulars. Ich habe gesehen, dass die Leute manchmal
verwirrt sind, wenn es um die Ausführung
geht. Also die Typen von ihnen, weil
sie wie in der Nähe sind. Also dachte ich, es wäre gut, nur eine Anleitung
zu geben welche Art von SEQ
für welche Art von Szenario erforderlich ist. Schauen wir uns das mal an. Nur eine kurze Zusammenfassung. Was ist die Grundvoraussetzung,
nur um Sie wissen zu lassen Wenn Sie kein vollständiges Audit durchführen
müssen, müssen
Sie in der Regel einen SAQ
ausfüllen, der
normalerweise für kleine
Händlerdienstleister bestimmt ist . Es ist eine Reihe von Fragebögen. Es kann ziemlich lang sein.
Es ist, als würde das manchmal bis zu 87 Seiten umfassen,
Ja- oder Nein-Fragen. Und wie gesagt, es
gibt acht Mal, also benutze und
je nachdem , welche Art von
Umgebung
du hast, wirst du diese
auswählen. Versuchen Sie nicht, dies selbst zu tun, wenn Sie
das erste Mal den USA
oder Ihrem Zahlungsplan nachfragen
können. Und sie fragten sie, welche Art von SEQ ich ausfüllen
soll. Es sollte also nicht
schwierig sein , sofern Sie
Ihre Hausaufgaben richtig machen. Dies sind die Arten von SKUs. Ich lese nicht von einem langweiligen Tisch
ab. Ich weiß, dass niemand will, dass
ich das mache. Aber das sind die Begriffe
um acht Arten von azyklischen Audioanrufen.
Also lass uns einen Blick darauf werfen. Sehr der
Fragebogen zur Selbsteinschätzung. Was sagt die
PCA-Leitlinie aus? Dies ist der Fall, wenn Ihr Unternehmen die Erfassung und
Verarbeitung von Karteninhaberdaten an
PCI-konformen
Drittanbieter vollständig selbst vorgenommen
hat Verarbeitung von Karteninhaberdaten an . Wenn Sie in
Bezug auf Karteninhaberdaten nichts unternehmen, haben
Sie alles vollständig
ausgelagert. Normalerweise habe
ich das in Szenarien gesehen, in denen es einen
vollständigen E-Commerce gibt, ähnlich wie in einer
E-Commerce-Umgebung , in der
Sie auf Ihrer Website
nichts tun , wenn
die Benutzer klicken auf diese, als würden sie zu einer
anderen Person weitergeleitet und
dort findet die Transaktion statt. Und du kommst einfach zurück und sagst:
Okay, die Transaktion
war erfolgreich. Du musst nichts tun. Für diese Art von Szenarien. Ich habe gesehen, dass ein SAQ am besten
als
vollständiges Outsourcing geeignet ist . Und es ist so, als würden Sie zu keinem
Zeitpunkt eine
Prozessübertragungskarte speichern . Dies ist also für die grundlegende Qualitätssicherung, die
normalerweise am besten für dieses Szenario
geeignet ist. Es gibt noch eine
namens SQL-API. Es gibt also wieder eine
E-Commerce-Umgebung, und die Erfassung
der Verarbeitung von Karteninhaberdaten
wurde in Ordnung
an einen PCI-konformen Dritten ausgelagert . Es ist also ähnlich wie
das vorherige, aber
was passiert in diesem Fall? Sie kontrollieren den Fluss der Karteninhaberdaten
zum Dienstanbieter. Okay? Was also
passiert, möchten Kunden
in der Regel mehr Anpassung
an die Umgebung. Sie kontrollieren also, wie
die Website
Karteninhaberdaten sendet , und
sie sind so, wie Sie es nennen. Sie nehmen keine Karteninhaberdaten entgegen, kontrollieren
aber den
Ablauf, wie die Benutzer zur Zahlungseintreibung auf die Website weitergeleitet
werden. Normalerweise passiert das, wenn sie
nicht mögen, dass der Drittanbieter Standardseiten
ist und sie
einige Anpassungen vornehmen möchten. Für diese Art von
Szenarien, in denen eine sichere API verwendet wird
, ist dies normalerweise
die richtige Wahl für Ihre
Compliance-Dokumentation. Okay. Fragebogen B. B. Dies sind die vier
, die Versandhandel und
telefonische Bestellungen
durchführen, bei denen Sie
Zahlungsterminals von der Bank genehmigen
möchten . Sie sind normalerweise
analoge Leitungen, keine analogen Telefonleitungen. Sie haben also
keine elektronische Verarbeitung
und Speicherung von Daten. Im Grunde handelt es sich
um Telefonleitungen nicht einmal mit
Voice-Over-IP wie analog verbunden sind. Sie werden diese
Händler sehen, die
normalerweise irgendwie von der Welt
abgeschnitten sind ,
so weit für jeden
Händler, den sie nur
für das fühlen , was er die Terminals
und die Zahlungsterminals
nannte mit den Telefonleitungen verbunden, weil
sie keine
Internetverbindung haben Internetverbindung und so
etwas nicht haben. Das benutzen sie für
solche Fragen. Seq B wird verwendet. Ich habe es nicht benutzt. Ich habe nicht gesehen,
dass es so oft benutzt wurde. Das ist das Szenario, in dem
Sie dieses verwenden werden. Was ist SEQ BIP? In diesem Fall haben wir
wieder den Versandhandel, den
telefonischen Bestellvorgang und die Zahlungsterminals, aber Sie
erhalten es auch persönlich. Und es ist mit einem IP-Netzwerk verbunden
. Also wie nennst du? Es ist nicht, es ist nicht wie einer analogen Verbindung, hier haben
Sie eine IP-Verbindung. Plötzlich haben sie möglicherweise Zugang zum Internet oder zu einem solchen
WLAN. Normalerweise führt dies zu
schnelleren Verarbeitungszeiten, aber dann müssen Sie mehr Farben
einsetzen, sind mehr
Sicherheitskontrollen vorhanden und Sie müssen dieses Netzwerk segmentieren
, okay? Denn in diesem Fall werden
die Zahlungsdaten über das Netzwerk
übertragen. Hier kommt also
das BIP ins Spiel. Wenn Sie
es anhand des Namens überprüfen können. Ip. In den vorherigen 22 gibt es hier nur
analoge Telefonleitungen. Es ist ein IP-Netzwerk. Okay. Was bedeutet Aufsatz Q. C. Okay. Ja, in diesem Fall erhalten
Sie
die Daten des Karteninhabers persönlich und wiederum Versandhandel
und verwenden ein Point-of-Sales-System. Was war das in
der vorherigen. Das war also wie ein
Zahlungsterminal der Justiz. Aber hier haben Sie ein
Kassenterminal und das zeigt nicht
die vollständigen Kartendaten. Denken Sie daran,
wo er über die Speicherung von Kartendaten gesprochen hat. Normalerweise haben Sie hier also
diese Registrierkassen und sie sind mit einer Rückseite eines Servers verbunden
. Und dieser Server könnte draußen gehostet
werden. Aber genau das ist das Szenario. Sie haben also ein Point-of-Sale-Terminal, das nicht zum Speichern
der Tankkartendaten
konfiguriert ist . Und Sie haben gerne einen genauen
bis etwa einen Backend-Server. Normalerweise habe ich
diese Einzelhändler gesehen, diese großen
Registrierkassen
benutzten, oder? Hier gilt der SAT
normalerweise für C v, t. Und für diesen Fall kann man, selbst wenn
man nur vom Namen selbst ausgeht, selbst wenn
man nur vom Namen selbst ausgeht, sagen, dass dies wie das virtuelle Terminal eines
Verbit ist. In einigen Fällen
haben Sie also kein physisches Terminal. Okay? Hier haben Sie also ein
virtuelles Terminal. Und normalerweise gibt es
eine Workstation, die an einem bestimmten
Ort für die Zahlungsabwicklung
vorgesehen ist . Manchmal, wenn Sie zulassen, dass
Ihre Kunden Self-Service
tun können und
all das, richtig? Hier kommt das ins Spiel. Okay, P2. P2, P0, P2P steht also für
Punkt-zu-Punkt-Verschlüsselung. Das ist also ein Standard, den der PCI Council eingeführt hat. Dann werden alle
Daten ab dem Zeitpunkt
der Erfassung verschlüsselt ,
den der Punkt zur Verarbeitung zurücksendet. Wenn Sie also ein Händler sind, müssen
Sie es nicht tun. Es handelt sich um einen vollständig
Offshore-Standard, jedoch den Umfang
der Piaget Compliance reduziert. Ich habe gesehen, dass viele
Servicecodes nicht von der Bank
als Lösung für Händler angeboten als Lösung für Händler wenn sie
die Komplexität reduzieren möchten.
Wir möchten uns nicht die Mühe
machen, uns um Zahlung und all das zu kümmern. Normalerweise müssen
dafür
spezielle Terminals vorgesehen sein. Okay? Anschließend
wird die Transaktion
zur an den
Dienstanbieter
zurückgesendet Entschlüsselung und Verarbeitung an den
Dienstanbieter
zurückgesendet. Die Hauptsache
ist also, dass wir validierte
Punkt-zu-Punkt-Verschlüsselungsterminals verwenden . Okay? Wenn Sie das verwenden, ist
dies ein Fragebogen. Dieser Fragebogen ist
viel einfacher als die anderen, und
das ist der springende Punkt. Sie möchten den
Compliance-Aufwand reduzieren. Sie möchten diese große,
große Frage nicht
ausfüllen, und dies wird zu
einem Anreiz für Händler, diese
Art von Lösungen zu übernehmen. Okay? Und jetzt sind wir bei der letzten, was die
Sicherheit viel ist und so alles, was nicht auf die vorherigen Kriterien
zutrifft. Und Sie
möchten nicht, dass Sie
Karteninhaberinformationen speichern und kein geschichtetes Punkt-zu-Punkt-System
verwenden. Und im Grunde gilt eines der vorherigen Kriterien
nicht für Sie als Sicherheit. Ich habe oft
gesehen, dass Händler
damit angefangen haben, weil
Sie
in diesem Szenario nur
den sichersten Ansatz wählen und nur ihre
Sicherheit auffüllen, weil sie sich nicht die Mühe machen
wollen
herauszufinden, was genau wie die Feinabstimmung der
datensicheren Kommentare ist, füllen
sie einfach ihre
Sicherheit und die eingereichten. Dies gilt also Händler und die
Dienstleister, auch für Dienstleister. Ich war viele, viele Jahre bei einem
Dienstleister. Im Grunde ist es nicht so, dass
eine Zahlung wie Visa oder
MasterCard verlief , und Sie sind
nicht wie eine Bank, oder? Sie führen
Ihre Verarbeitung,
Speicherung und Übertragung von
Karteninhaberdaten jedoch im Auftrag eines Bankangebotshändlers durch. Du lädst also im Grunde
alles ab, okay? In der Regel führen
Dienstleister das vollständige Audit durch, da ihre Umgebung viel kritischer
ist. Du bist du hast keine Daten. Entität, Sie haben Beta. Gott weiß wie viele Unternehmen
Hunderte von Banken sind, Hunderttausende
von Händlern. Regel führen sie also
das vollständige Audit durch, aber Sie können
ihre Sicherheit erhöhen. Sie sollten sich bei
Ihrem permanenten Lauf erkundigen und herausfinden, was seiner Meinung
nach auf Sie zutrifft. Ich würde empfehlen, wenn
Sie ein
Dienstleister sind , die vollständige Prüfung durchzuführen, sich
nicht auf einen sicheren Schlüssel verlassen da dieser nicht
unabhängig verifiziert wird. Versuchte damit zu tun,
das vollständige Audit immer durchzugehen. Vor allem, wenn Sie
ein Dienstleister sind. Okay, Leute. Das schließt also den
Körper, der SEQ-Teil genannt wird. Und ich sehe Sie im
nächsten Modul, das sehr wichtig ist mit den wichtigsten
Änderungen in Version
4 des Standards zu tun hat .
Danke Leute. Wir sehen uns in der nächsten Lektion.
20. 6- PCI DSS v4 und die wichtigsten Änderungen: Hallo zusammen. Okay, wir haben also
das letzte Kapitel erreicht, das das letzte und das
zukunftsweisendste ist, welches die wichtigsten Änderungen
in den Nullen der Version 4 sind. Sie könnten also
wissen, dass Version 4 Ehemann
in der Öffentlichkeit veröffentlicht wurde. Dies war das Ergebnis
verschiedener Bemühungen des PCA-Rates, den Standard zu
aktualisieren. Du machst es nicht relevanter. Der Grund, warum
ich
diesen Abschnitt nicht gemacht habe ,
ist, dass ich möchte, dass Sie ruhig
bleiben und sich weiterhin auf
Ihre Compliance-Bemühungen mit
der aktuellen Version
des Standards konzentrieren Ihre Compliance-Bemühungen mit . Nehmen Sie sich gleichzeitig etwas Zeit, um
PCI DSS Version 4 zu lesen und zu planen. Versuchen Sie nicht,
4 jetzt zu implementieren, da Sie älter
werden, da
dies eine große Änderung darstellt. Sie können nicht einfach sofort
mit der Implementierung beginnen. Sie müssen vollständig
verstehen, was die Änderungen sind und wie sie in das
Gesamtbild passen. Okay Leute, also nur ein Kabel, du bist nicht ganz aufgeregt und beginnst
sofort mit der Implementierung. Worüber sprechen wir also? Zunächst einmal, warum hat sich
der Standard geändert? Wenn also eine größere Überarbeitung stattfinden sollte, könnte das eine Frage sein. Man könnte sagen, warum
hat die PCA-Konsole eine so große Neufassung
des PCI DSS vorgenommen. Und der PCI DSS ist ein
ziemlich ausgereifter Standard aus
Gründen, aus denen sie
sicherstellen wollen , dass es
Sicherheitsstandards benötigt, die Bedürfnisse der
Zahlungsbranche, oder? Weil sich die Technologie weiterentwickelt. Wir hatten vorher keine Cloud und andere Dinge davor, oder? Und sie haben es aus Sicherheitsperspektive
reifer gemacht. Sicherheit war nicht so sehr
wie das, was wir
hier Link zum Risikomanagement
und ausgereiften Prozessen nennen . Unternehmen verfügen jetzt über innovative
Technologien, mit denen sie die
Anforderungen erfüllen können. Erinnerst du dich, was
ich dir vorher gesagt habe? Versuche die Absicht zu verstehen. Versuch nicht, dir
den Standard zu merken, okay? Weil dir das nicht helfen wird. Und es gibt Ihnen
viel Flexibilität unterstützt
auch
zusätzliche Methoden. Sie haben es also viel
flexibler gemacht , viel offener. Sie können viele Diskussionen mit
der QS führen, denken Sie daran, aber sehr, sehr wichtig. Aber Leute, Sie müssen sich
auf das Risikomanagement
als Methodik konzentrieren . Sei nicht nur technisch. Verstehe wie es ist. Wie funktioniert Management?
Wenn du es nicht schon weißt. Die wichtigste Zeitleiste, nur für mich um dieses Diagramm zu verstehen, der Standard, der
neue bleibt bis zum 31. März 2024
Option. Und dann
wird diese Version drei die ältere Version,
3.2.1, gehen , sie wird zurückgezogen. Danach
werden Ihre Audits nur für PCI
DSS Version 4.2 durchgeführt. Einige der neuen Anforderungen werden auch
erst am 31. März 2025 verbindlich. Bis zu diesem Zeitpunkt wird es
als Best Practice angesehen. Okay. So viele Kommentare wurden dem Standard
hinzugefügt, ihre Zukunft datiert März 2055, wie ich bereits sagte,
damit die neuen Prozesse
entwickelt werden können, bevor Kommentare durchgesetzt werden können. Das ist der Grund, warum ich mich konzentriere. Ich habe es zu einem separaten Standard gemacht weil ich dich nicht verwirren
wollte, richtig. Ich werde mich
auf die großen Veränderungen konzentrieren. Sie haben also bis zum 31.
März 2024 Zeit, um die neuen
Anforderungen zu verstehen und in die Standards umzusetzen. Und die Frage ist,
dass wir kommen werden. Sie können mit der Prüfung
anhand des Standards beginnen. Okay. Jetzt scheinen zwei Jahre viel zu sein, aber sie sind wirklich keine Würfel. Bitte unterschätzen Sie nicht,
wie schnell die Zeit
vergeht und wie schnell sich
die Dinge ändern. Du wirst eine starke
Tasse bekommen. Andere Dinge. Ich werde dir beibringen, wie du dich
auf die Dinge konzentrieren kannst, auf die du dich
konzentrieren kannst, und was sind die Dinge, die du tun
solltest, okay? Okay? Das Erste ist also, dass es keine so große
Kette ist, sondern ein Scoping. Früher war Scoping, wenn man sich diese
Art von Scoping anschaut als
würde es
zu einer ersten Diskussion kommen. Es war in der Einleitung. Es war nicht Teil der
Anforderungen des Standards, aber jetzt
hat der Rat es in die
Anforderungsstandards aufgenommen. Okay? Und sie haben es zu einer rückverfolgbaren
Anforderung gemacht , die
sofort für Version 4 wirksam wird. Das ist also nicht wie zukünftige
Daten in anderen. Okay? Sie müssen also
Ihre Scoping-Übung dokumentieren. Wenn Sie ein Händler sind, müssen
Sie dies
jährlich tun , und wenn Änderungen auftreten oder ähnliches, wenn Sie ein Dienstleister sind, müssen
Sie
dies alle sechs Monate tun. Oder ein Patron sind
Datenstrukturdaten. Wenn Sie also ein Händler sind,
stellen Sie sicher, dass
Sie Ihre Scoping durchführen,
Sie sollten trotzdem dokumentieren Ihre Scoping-Übung
jährlich dokumentieren. mag es ein bisschen mühsam sein ersten Mal mag es ein bisschen mühsam sein, aber dann wird
es einfacher. Wenn Sie ein Dienstleister sind, sollten Sie wissen, dass Sie
dies nach dem 31. März 2025 alle sechs Monate tun müssen. Aber nach größeren Veränderungen, wie etwas, das sich
in einer Weise geändert hat, wie die Systemprozesse der
Menschen müssen
Sie
dies berücksichtigen. Okay. Was gibt es sonst noch eine
Speicherung sensibler
Authentifizierungsdaten? Nun, Sie sollten keine sensiblen
Authentifizierungsdaten
speichern, sondern nach der Autorisierung. Also haben wir
das schon einmal besprochen , oder?
Einige Organisationen. Bevor die Transaktion autorisiert
wird, speichern
sie
die Daten also vorübergehend. Es wurde empfohlen, dass okay. Wenn Sie es für eine
Minute, eine halbe Stunde speichern, was auch immer empfohlen wurde, sollten
Sie versuchen,
ein geschütztes Recht zu verschlüsseln. Es war nicht erforderlich. Nun, es ist nicht mehr so, dass es nach dem 31.
März 2025 keine Empfehlung mehr sein
wird . Was passiert ist, ist, dass sie viele Angriffe
gesehen haben. Angreifer können versuchen, sie zu kompromittieren, sie sind
im Speicher verschwunden, dieser temporäre Speicher,
sie versuchen, ihn zu gefährden. Okay. Selbst wenn Sie es fünf Minuten lang
aufbewahren, werden sie
es wissen und
versuchen, es aus dem Speicher zu holen. Sie werden also sogar innerhalb des Speichers, aber dann im temporären Speicher, müssen
Sie ihn
verschlüsseln. Okay. Also behalte das einfach im Hinterkopf. Und das wäre nach dem 31.
März 2025 keine Empfehlung mehr.
Okay. Was gibt es sonst noch
Fernzugriff. Also, wenn Sie den Fernzugriff auf
die
Karteninhaberumgebung verwenden , okay? Dann müssen Sie das Kopieren
und die Verlagerung des
Karteninhaberdatenfalls verhindern . Jemand kann diese Daten
kopieren und einfügen. Dies wurde
bereits erwähnt, in der Standardempfehlung
wird eine Anforderung sein. Viele Unternehmen haben
gesehen, was sie früher getan haben, um eine
Richtlinie dafür aufzustellen. Aber jetzt muss es durch eine Technologie
durchgesetzt werden, okay? Normalerweise sollte es einfach
nicht zu schwierig sein. Normalerweise, wenn Sie in
Ihrer Fernzugriffssoftware Einstellungen haben , die das Kopieren und Einfügen
verhindern, oder wenn Sie DLP-Funktionen
haben, okay? Je nachdem, was
Sie haben und Ihr aktueller Prozess trotz allem sehr einfach ist, kann es
etwas schwierig sein. Möglicherweise müssen Sie
in ein paar weitere Technologien investieren . Dies
ist alles, was Sie benötigen, um
einige Steuerelemente zu verwenden. Denken Sie also bei dieser
Anforderung daran. Okay, Webanwendungs-Firewall. Das ist also ziemlich
einfach, Leute. Denken Sie daran, ich habe
Ihnen gesagt, dass Sie
die Web Application Firewall oder Application Painter verwenden können.
Es war eine Empfehlung. Nun, jetzt musst du es haben. Es ist nicht länger optional. Okay. Sie benötigen nach dem 21. März 2025 ein
Ventil. Ehrlich gesagt, Sie sollten ein
Rough haben, wie ich es Ihnen zuvor gesagt habe, versuchen Sie
nicht, mit
sicheren Codierungsüberprüfungen auszukommen oder sich zu ärgern, Sie sollten standardmäßig eine
Webanwendungs-Firewall haben. Wenn Sie das also nicht tun, beginnen Sie sofort damit und
beginnen Sie mit der Budgetierung dafür. Überspringt auf Zahlungsseiten. Das ist also
ziemlich interessant. Dies war früher wie eine
Ergänzung des PTA-Rates. Dies darf zunächst nicht
Teil des PCI-Standards sein. Wenn Sie E-Commerce-Seiten mit laufenden Skripten haben, müssen
Sie wissen,
was müssen wir
tun, wenn Ihre Skripte geladen
werden? Sie müssen
sicherstellen, dass sie
autorisiert sind und niemand diese Skripte
manipulieren kann. Und Sie haben eine Bestandsaufnahme aller
laufenden Skripte. Warum? Warum passiert das? Da
das Phänomen
Skimming Payments, Skimming genannt wird
, haben Angreifer diese
Zahlungsseiten
kompromittiert und ihre eigenen Skripte
injiziert oder die
vorhandenen Skripte manipuliert. Okay, es ist also so, als würdest du deine Daten
eingeben, aber diese Daten
werden tatsächlich auf der Seite des
Angreifers eingegeben und der
pH-Wert ist echt, oder? Aber sie haben sich nur
mit dem Drehbuch verglichen. Es ist also nicht einmal wie
ein Phishing-Angriff da die URL dieselbe
bleibt. Deshalb ist dies jetzt
persönlich
ein sehr guter Kommentar , da der
E-Commerce begonnen hat. Es ist, als würde fast der E-Commerce langsam
die physische Welt übernehmen. Und Sie sollten
diese Steuerelemente haben. Schauen Sie
sich das auf jeden Fall an. Wenn Sie eine E-Commerce-Engine haben die federbelastet
ist, schauen
Sie sich an, wie Sie dies implementieren werden. Und Sie können sich die
E-Commerce-Beilage
des PCA-Rates ansehen . Das ist auch ein
sehr gutes Dokument , das näher darauf eingeht. Okay. Was sind sonst noch die
MFA-Anforderungen? Daher wurde die MFA ein wenig
erweitert. Also, wie rufen Sie jetzt an, wenn wir
erhalten haben , dass es jetzt
für Admin- und
Fernzugriff gedacht ist. Es
wird erweitert um den Zugriff auf die
Karteninhaberumgebung abzudecken. Okay. Also noch eine Sache. Also haben sie ein Detail hinzugefügt. Es kann ein bisschen schwierig sein. Was ist das,
was früher passiert ist? Normalerweise geben
Sie bei den meisten MFA-Lösungen Ihre
Benutzer-ID und Ihr Passwort ein, oder? Klicken Sie auf Enter, und dann wird
ein weiterer Bildschirm angezeigt. Dann musst du
deinen MFA-Code eingeben, oder? Jetzt. All dies muss gleichzeitig
geschehen. Es ist also nicht wie ein
erstmaliges Benutzer-ID-Passwort. Und dann geben sie den anderen Faktor direkt unter dem Token ein. Jetzt müssen sie gleichzeitig
auftreten
und sie können Ihnen nicht sagen welche Weise das
Benutzer-ID-Passwortfeld in Token fehlschlägt. Sie können
diese Informationen nicht preisgeben. Daher
sollten die meisten Anbieter es aktualisieren. Aber etwas, das man im Hinterkopf behalten sollte. Eine andere Sache war
endlich eine gute Sicht. Wie ich Ihnen bereits sagte, waren die PCI-DSS-Passwortanforderungen
früher sieben. Jetzt haben sie es endlich
auf 12 aktualisiert. Sie sollten kein
größeres Problem sein. Wenn Sie jedoch einige
Ihrer Systeme haben , die aktualisiert
werden müssen, müssen Sie
möglicherweise
die Kennwortrichtlinie
oder ähnliches ändern .
Behalte das im Hinterkopf. Ein kleines Problem ist, dass sie sich geändert haben, sie haben die Verweise
auf Firewalls und Router entfernt. Jetzt haben sie es tatsächlich erwähnt, Sicherheitskontrollen
und Anti-Malware. Sie haben es
mehr im Einklang mit der
Branchenterminologie gemacht. Die meisten Unternehmen verwenden jetzt
kein Konstrukt von Antivirenprogrammen, um
etwas Anti-Malware wiederzuverwenden. Okay. Was gibt es sonst noch? Authentifiziertes
Scannen. Also intern per Scannen
muss es jetzt authentifiziert werden. Es bedeutet jetzt, dass
Sie einfach
Ihre Ports und Dienste scannen und einen Via-Scan aufrufen können. Wenn Sie also einen Server
oder etwas Ähnliches haben, Sie
ihm
normalerweise einen Server oder geben Sie die Appliance
oder die Benutzer-ID und das Passwort an. Es meldet sich bei diesem Computer an
und führt einen vollständigen Scan durch. Okay, mach dich bereit für einen viel größeren Bericht, wenn du das
nicht schon tust, ehrlich gesagt, wir sollten
das schon tun. Sie sollten immer
authentifizierte Scans durchführen. Okay, aber wenn du es nicht bist und
wenn du das anschaltest, wird
Yoga ,
denn jetzt
wird es schauen, authentifizieren und tatsächlich einen viel tieferen Scan machen. Es werden viele Dinge
auftauchen, okay Leute,
also seid bereit für den Anfang, das jetzt
zu tun. Ein wichtiger Teil dieser neuen
Anforderung ist, dass
die Anmeldeinformationen, die Sie eingeben, sicher eingegeben
und gespeichert werden müssen. Okay. Also sieh dir das an. Wenn Sie
so etwas wie einen
Passwort-Tresor haben oder vielleicht viele
dieser Lösungen
integrieren können , können sie in
Password Works integriert werden, sodass Sie ihn nicht manuell
eingeben müssen und lagere es überall. Okay. Denk einfach daran. Schließlich, okay, die meiner Meinung nach
persönlich größte Änderung war
die Einführung von
Customize Controls. Was ist also früher passiert? Wie ich Ihnen bereits sagte
, könnten Unternehmen, die zuvor die Anforderungen
nicht erfüllen
konnten, eine
sogenannte
Ausgleichskontrolle vorschlagen und damit umgehen, ihren Kommentar nicht
zu
erfüllen. Zum Beispiel können Sie
Karteninhaberdaten nicht verschlüsseln , indem Sie ein anderes Steuerelement festlegen. Und das ist wie eine
Minderung dieses Risikos. Viel Zeit neugierig ist, dass ihnen
die Frage gestellt wird, richtig. Der Wirtschaftsprüfer Die Unternehmen
haben mich gefragt, okay, wir haben eine Sicherheit, aber ich kann die
spezifische Anforderung nicht erfüllen, aber ich habe sichere Kontrollen. Okay. Die Reaktion war früher
in Ordnung, da Sie eine
Ausgleichskontrolle implementieren können, die eine vorübergehende Lösung darstellt bis Sie die Anforderung erfüllen, bis Sie dies endgültig behoben haben. Okay? In Version vier
des Standards haben
sie versucht,
dieses Szenario zu lösen, indem sie
dieses Konzept des
maßgeschneiderten Ansatzes eingeführt haben. Also Kundenunternehmen, die
über ausgereifte Sicherheit verfügen, okay? Und sie haben andere Steuerelemente, sie können die
Anforderung auf andere Weise erfüllen. Es ist also keine kompensierende
Kontrolle einer viel komplexeren und viel besseren Möglichkeit ähnelt, die Anforderung zu erfüllen.
Okay? Also frühere Dinge,
die bisherige Vorgehensweise und es wurde
ein definierter Ansatz genannt. Pci wurde implementiert und wird
als definierter Ansatz bezeichnet. Jetzt wirst du einen separaten Abschnitt
namens „Customized
Approach“
haben , okay? Und im Grunde werden
Sie ein neues Steuerelement vorschlagen, das heißt die Anforderungen. Sie entschädigen also nicht Sie
kompensieren keine Lücke. Okay. Sie setzen
ein neues ein, das das PSA-Ziel erfüllt, und
das ist natürlich, dass es
vom PCI-Auditor bewertet wird. Dies ist eine großartige
Lösung für Unternehmen , die die Anforderungen nicht direkt
erfüllen können, aber über ausgereifte
Risikomanagementpraktiken verfügen
und über innovative
Technologien verfügen. Okay? Wie würde es aussehen? Es ist
ein bisschen so. Der alte, der den
Ansatz definierte, war, nun, ich habe eine PCI-Anforderung
und kann sie nicht erfüllen, also werde ich
eine ausgleichende Kontrolle einführen. Ich kompensiere mangelnde Kontrolle und
werde kurzzeitig dokumentarisch. Der Prüfer pflegte
zu sagen: Okay, wir akzeptieren es jetzt, vielleicht müssen wir
nach einem Jahr ,
fünf Jahren eine Lösung
implementieren. Okay, jetzt habe ich eine
Pizza, die ich nicht treffen kann, ich habe eine maßgeschneiderte Steuerung, ich habe sie gemacht und sie erfüllt das Ziel
der Anforderung. Der PCI-Standard besagt,
dass XYZ nicht passieren sollte, kognitive Fähigkeiten nicht gestohlen werden sollten. Okay, ich erfülle
die Anforderung und habe das implementiert. Sie können also immer noch
kompensierende Kontrollen durchführen, aber diese neuen Ansätze sind viel strategischer, um dies zu erreichen. Also, wie gesagt,
denk daran, dass du
nicht wie
kurzfristig kompensierst . Jetzt implementieren Sie
einen langfristigen Ansatz zur ordnungsgemäßen Sicherung
Ihrer PCI-Anforderungen. Okay? So
sieht der
Standard aus, damit sie ihn
sich ansehen und stylen können. Sie müssen nicht sofort mit
der Implementierung beginnen. Und es mag ein
bisschen überwältigend erscheinen. Also gebe ich dir den
Rat für diese Auszeichnung. Was kann man dagegen tun,
wie kann man sich darauf konzentrieren, okay? Und nur um das klarzustellen, Leute, diese Verwaltung
und Dokumentation sind ein großer Fokus auf
den neuen Bereich. Wenn Sie also
Ihre Aktivitäten ausführen, müssen
Sie eine
gezielte Risikoanalyse durchführen, um herauszufinden, warum Sie Dinge tun. Sie müssen sicherstellen, dass
diese abgezeichnet sind. Wenn Sie
benutzerdefinierte Kontrollen einführen, müssen
diese von
Ihrem Chief Risk Officer oder CEO abgezeichnet
werden . Jemand Senior, okay. Das ist nicht so,
wie ich es zuvor erwähnt habe. Pci DSS ist kein IT-Projekt. Aber in der neuen haben sie
viel mehr Wert darauf gelegt. Dass Sie klar definierte
Rollen und Verantwortlichkeiten
haben müssen. Angepasste Steuerelemente
müssen abgezeichnet werden. Und eine gezielte Risikobewertung
muss durchgeführt werden. Denken Sie nicht, dass Sie einfach ein
Excel-Blatt mit
einer Spalte erstellen können , in der steht, dass ich eine Risikobewertung durchgeführt habe. Nein, so wird es nicht
akzeptiert. Wie macht man das?
21. 6 - So komme ich vorbereitet: Wenn Sie Michael Lumia schon
früher über Gap
Assessment kennen , dasselbe. Okay. Was sind die
wichtigsten Dinge, auf die Sie sich im Moment konzentrieren sollten? Lesen Sie zunächst die PCI
DSS-Version für Standard, machen Sie sich mit
den größten Änderungen
vertraut, die auf Ihren
Compliance-Prozess auswirken können, sich auf Ihren
Compliance-Prozess auswirken können, und beginnen Sie
dann mit einer
Lückenbewertung, okay? Implementieren Sie für mich Änderungen.
Bewährung wegen Input. Sie haben Zeit, fangen
früh an und werden während
Ihres Gesprächs keine
Probleme haben . Okay, vergessen Sie nicht, Ihren
aktuellen Standard
3.211
weiter zu implementieren , aber denken Sie
darüber nach, wie Sie Risikobewertungen durchführen
werden. Eher eine formellere
Risikobewertung ist eine Dokumentation erforderlich
, okay? Und die meisten Unternehmen
müssen
Prozesse hinzufügen und Fähigkeiten erwerben
, um dies richtig zu tun. Finden Sie heraus, welche
Zertifizierungen es gibt. Beginne mit dir zu konzertieren. Und der Würfel, obwohl
sie
derzeit
kein 4-Assessment durchführen können derzeit
kein 4-Assessment , bis sie formell geschult
wurden. Aber es wird
sehr, sehr schnell passieren. Okay. Aber holen Sie uns
das wird Ihnen Ratschläge geben, aber bitte
warten Sie nicht bis 2024, um mit der Umstellung auf PCI DSS für Fido
zu beginnen, verteilen Sie Ihre Bemühungen die nächsten Jahre und es wird
Ihnen gut gehen, okay? Okay. Denk einfach an diese Dinge. Konzentrieren Sie sich sogar verstärkt auf die Dokumentation. Gezieltes Risikomanagement begann in diesen Baum zu
investieren,
und es gibt viele, viele Zertifizierungen
für das Risikomanagement. Sie können sich diese
Zertifizierungen ansehen. Ich werde
keinen bestimmten nominieren. kannst du dir ansehen. Es wäre eine gute
Idee,
in Zertifizierungen
und Risikomanagement zu investieren . Diese sind nicht technisch,
aber sie vermitteln
Ihnen die Methoden für die
Durchführung ordnungsgemäßer Risikobewertungen. Okay Leute. Okay, das
schließt die Version 4 ab. Ich hoffe, Sie verstehen jetzt
die großen Veränderungen, die sich
ergeben, wie Sie dies tun können. Es scheint, wie gesagt,
zwei Jahre, es scheint weit weg zu sein. Sie kann sehr kurz sein,
sie kann sehr lang sein. Verteilen Sie Ihre Bemühungen und haben einen geeigneten Aktionsplan und Sie
sollten damit einverstanden sein. Okay, Leute, ich hoffe
das war nützlich. Das schließt alles zusammen und danke, dass Sie an
dieser Schulung teilgenommen haben. Jetzt kommen wir
zur Schlussfolgerung. Und in diesem Kurs
danke ich Ihnen vielmals, dass Sie in dieser Zeit
bei mir geblieben sind.
22. 7 - Vorwärts: Okay Leute, herzlichen
Glückwunsch zum Ende dieses Kurses. Ich hoffe du fandest es interessant. Langweilig war es nicht. Ich habe versucht, es so praktisch
wie möglich zu gestalten und dir so viele umsetzbare Ratschläge wie möglich für
das Klassenprojekt zu geben. Ich möchte dich nur daran
erinnern, dass wir über Essex gesprochen haben. Ich möchte, dass Sie einen SAQ sammeln, es so einfach wie Sicherheit
machen oder irgendjemanden für einen physischen E-Commerce-Händler
, der
Sie wirklich über die verschiedenen
Standards und Abteilungen unterrichtet . Es gibt Ihnen eine gute
Vorstellung von den anderen Kommentaren
, füllen Sie sie aus. Lassen Sie mich wissen, wie Sie
vorgehen und
ob Sie seitdem vor Herausforderungen stehen,
wenden Sie sich an mich und lassen Sie es ob Sie seitdem vor Herausforderungen stehen mich wissen. Okay. Was kannst du sonst noch tun, Leute? Sie können sich
das PCI ISA-Programm,
Internet Security
Assessor, ansehen , das eine Internistenzertifizierung ist, die Sie für Ihr Unternehmen durchführen können. Es macht Sie fast
gleichwertig mit den USA, aber Sie sind es nicht,
Sie sind, Sie sind nicht wie bei usaid, Sie sind über Ihrem eigenen
internen Auditor, aber es gibt Ihnen
die vollständige Schulung zum Verhalten diese Prüfungen. Wenn Sie daran interessiert sind, was es
auf jeden Fall herauskommt. Wie gesagt,
warte nicht auf das Audit. Bitte beginnen Sie sofort mit der Implementierung
dieses Wissens. Und Sie werden definitiv dies ist der beste Weg, um dieses Wissen zu behalten
, oder sagen wir, ein umsetzbarer Tipp, den ich Ihnen geben
kann Erstellen Sie ein PCI-Dokument oder ein Handbuch für Ihr Unternehmen für den E-Commerce, wie implementieren Sie
diese Anforderungen Tagesrate für
Ihr Unternehmen. Und Sie werden
viel lernen, glauben Sie mir, Sie werden viel
über Ihr Unternehmen lernen und wie die verschiedenen
Kommentare dazu passen. Und am wichtigsten ist
, dass Sie heute eine Lücke gegen die PCI DSS
Version 4 ist 0, verschieben Sie sie
nicht für das nächste
Jahr oder das Jahr danach, sonst werden Sie ernsthafte Probleme
haben. Fangen Sie heute an, es zu spielen. Nehmen Sie das Wissen, das ich Ihnen
beigebracht habe, und präsentieren es Ihrem Management. Dies sind die Dinge, die wir tun
müssen. Okay, Leute, das schließt es ab. Vielen Dank, dass Sie
an dieser Schulung teilgenommen haben. Bitte hinterlassen Sie eine Bewertung. Wenn Sie dachten, dass dieses
Training nützlich wunderbar ist, lassen Sie es mich bitte wissen. Wenn Sie erwischt haben, dass dieses Training das Schlimmste war , das
Sie je besucht haben, lassen
Sie es mich bitte wissen, damit
ich nicht beleidigt werde. Und ich werde das nutzen, um sein Training
zu verbessern oder zu nehmen. Wenn Sie interessiert sind, können
Sie
mich auf meinem Kanal erreichen, wie den Cloud-Sicherheitsfachmann und andere Kurse, die ich hier habe.
Okay, verbinden Sie sich
mit mir auf LinkedIn. Ich helfe dir gerne weiter,
wenn du irgendwelche Probleme hast. Okay, und
das erreicht das Ende dieses Kurses,
Leute, vielen Dank. Ich hoffe, dir hat dieses Training genauso viel Spaß gemacht wie mir. Schauen Sie sich meine anderen Kurse an
und kontaktieren Sie mich. Ich wünsche Ihnen alles Gute Ihre PCI DSS-Reise und wir
sehen uns in anderen Kursen. Vielen Dank
und viel Glück.