biztonság VS. A PCI DSS 8. követelménynek való megfelelés

néhány héttel ezelőtt az egyik munkatársammal beszéltem az egész biztonság vs megfelelőségi beszélgetésről. Addig azt a feltevést tartottam, hogy a megfelelés kevés a biztonság szempontjából. Nyilatkozatomra válaszul feltette a retorikai kérdést: “hol lennének ezek a vállalatok, biztonsági szempontból, megfelelés nélkül?”

igen, a megfelelés a minimum, amit meg kell tennie a támadás elleni védekezéshez; ha azonban panaszkodni fog a megfelelés miatt, akkor semmi sem akadályozza meg abban, hogy az erősebb informatikai ellenőrzésekre összpontosítson.

ebben a blogbejegyzésben, azt akarom, hogy egy pillanatra, és megvitassák néhány kihagyott árnyalatok PCI DSS követelmény 8, amely lényegében összpontosított jelszó kezelése; de gyakran azzal érvelt, nem elég biztonságos. Gyakran van néhány figyelmen kívül hagyott információ, amelyet szeretnék megvilágítani. A téma mellett maradva, ha ezek a vezérlők nem elég erősek, nyugodtan növelje az ellenőrzés szintjét.

a PCI DSS 8.követelményének finomabb pontjai

amikor megvizsgáljuk a PCI DSS 8. szakaszának preambulumát, meghatározza ennek a követelménynek az alkalmazhatóságát. Érdekes, hogy ezek a jelszókövetelmények nem vonatkoznak minden felhasználóra, annak ellenére, hogy sokan feltételezik.

itt található a preambulum megjegyzés szakaszában szereplő szöveg:

Megjegyzés: Ezek a követelmények minden számlára vonatkoznak, beleértve az értékesítési pont számláit is, amelyek adminisztratív képességekkel rendelkeznek, valamint minden olyan számlára, amelyet a kártyabirtokos adatainak megtekintésére vagy elérésére használnak, vagy a kártyabirtokos adatokkal rendelkező rendszerekhez való hozzáférésre. Ide tartoznak a szállítók és más harmadik felek által használt fiókok (például támogatás vagy karbantartás céljából). Ezek a követelmények nem vonatkoznak a fogyasztók (pl. kártyabirtokosok) által használt számlákra. A 8.1.1., 8.2., 8.5., 8.2.3-8.2.5. és 8.1.6-8.1. követelmények azonban.A 8 nem vonatkozik az értékesítés helyén történő fizetési alkalmazáson belüli felhasználói fiókokra, amelyek egyszerre csak egy kártyaszámhoz férnek hozzá egyetlen tranzakció megkönnyítése érdekében (például pénztári számlák).

röviden, számos jelszó követelmények, amelyek nem vonatkoznak az egyének, akik kezelni egy kártyát egy időben, mint például a pénztáros, és érdekes módon, még esetleg call center személyzet. Ha az alkalmazott csak a kártyabirtokos adatainak megadására képes, és nem tudja megtekinteni azokat az alkalmazás szempontjából, akkor számos olyan vezérlő van, amely nem alkalmazható. Ez egy olyan terület, ahol túlléphet a biztonsági testtartás növelése érdekében. Ahol képes, győződjön meg arról, hogy ezeket az ellenőrzéseket minden egyén számára végrehajtják.

bár a PCI DSS nem követelmény,azt javaslom, hogy szánjon időt és végezzen hivatalos kockázatértékelést. Ez biztosítja, hogy az ilyen típusú számlákra vonatkozó ellenőrzések végrehajtásának elmulasztása ne okozzon indokolatlan terhet az Ön adataira. A fent említett típusú felhasználói fiókok felett és felett is létrehozhat vezérlőket, amelyekre ez nem vonatkozik.

jelszó kritériumok beállítása

ezután a nyelv a 8.2.3 követelmény útmutató szakaszában található. Pontosabban, a 8.2.3 kimondja:

8.2.3 a jelszavaknak / jelszavaknak meg kell felelniük a következőknek:

  • legalább hét karakter hosszúságot igényel.
  • numerikus és alfabetikus karaktereket egyaránt tartalmaz

Alternatív megoldásként a jelszavak/jelszavak összetettségének és erősségének legalább a fent megadott paraméterekkel egyenértékűnek kell lennie.

és ennek a követelménynek az útmutató szakasza kimondja:

ez a követelmény azt írja elő, hogy legalább hét karaktert, valamint numerikus és alfabetikus karaktereket kell használni a jelszavakhoz/jelmondatokhoz. Azokban az esetekben, amikor ez a minimum technikai korlátok miatt nem teljesíthető, a gazdálkodó egységek “egyenértékű erőt” használhatnak alternatívájuk értékeléséhez. A különböző formátumú jelszavak/jelszavak változékonyságára és egyenértékűségére vonatkozó információkért (más néven entrópia) lásd az ipari szabványokat (például a NIST SP 800-63 jelenlegi verzióját).)

tehát mit jelent ez az egész? Hadd kezdjem azzal, hogy egy 7 karakteres jelszó bármikor veszélybe kerülhet, ha a hash-ot elfogták. Ha nem tudja, hogy néz ki, szánjon egy kis időt a szivárványos táblák kutatására.

személy szerint legalább 15 karakterből álló jelszavakat ajánlok. Az ok, amiért csak 7 karakterre van szükség, az az, hogy a PCI DSS-nek el kell fogadnia a régi környezeteket és rendszereket. 7 karakter biztonságos? Hagyom, hogy te dönts. De ahol a rendszerei többet támogathatnak, nincs semmi, ami megakadályozza, hogy 32 karaktert igényeljen.

mi van, ha a jelszavad 32 “1” – ből áll? Számítsuk ki a jelszó entrópiáját, amire szükség van. Ha a jelszó 7 karakterből áll, alfa – és numerikus értékekből áll, a http://passwordstrengthcalculator.com jelentése szerint kevesebb, mint egy másodpercbe telik a jelszó feltörése egy 36,2 bites entrópiával rendelkező szuper számítógéppel. Míg egy 32 1-es jelszó 15 854 896 évet vesz igénybe ugyanazzal a számítógéppel, 106 bit entrópiával.

tehát nem csak a jelszóról van szó. Számos érték befolyásolhatja a jelszót; ez azonban nem a minimum elvégzéséről szól, hanem arról, hogy mit kell tennie ahhoz, hogy megvédje eszközeit az illetéktelen támadásoktól.

bár a megfelelés nem egyenlő a biztonsággal, nem kell a minimumot tennie. Végezze el a kockázatértékelést, és ha egy eszköz még mindig veszélyben van, még a minimális követelmények mellett is, akkor a szabadsága, hogy növelje biztonsági helyzetét, és többet igényel, mint a megfelelőségi szabvány. Minden cég, akit valaha is megsértettek, panaszt tett valamivel. Azonban nem voltak biztonságban. Összpontosítson a biztonságra, és a megfelelés általában a biztonság kéttermékeként történik.

remélhetőleg az itt megadott tippek segítenek a PCI DSS 8 követelménynek való megfelelés útján. Kattintson ide a többi PCI megfelelőségi útmutató bejegyzés megtekintéséhez.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.