2. Использование SCB для соответствия стандарту PCI
advertisement
Использование SCB для соответствия стандарту PCI 2. Использование SCB для соответствия стандарту PCI В следующих разделах представлено подробное описание требований стандарта безопасности данных индустрии платежных карт (основанное на PCI DSS версии 3.0, с которой можно ознакомиться здесь https://www.pcisecuritystandards.org) в отношении аудита. Другие стандарты, такие как закон Сарбейнза-Оксли (SOX), Базель II или Закон о преемственности страхования и отчетности в области здравоохранения (HIPAA) включают в себя похожие требования. Требование 2: Не использовать пароли и другие системные параметры, заданные производителем по умолчанию A.9.1.2 A.9.1.2 Требование 2.2.1: Каждый сервер должен выполнять одну основную функцию, поскольку необходимо исключить совмещение на одном и том же сервере функций, требующих различных уровней защиты. (Например, веб-серверы, серверы СУБД и DNS-серверы следует размещать на разных компьютерах.) Как SCB помогает вам: SCB – это устройство, предназначенное для единственной цели: осуществлять контроль за удаленными соединениями. На SCB не могут быть установлены другие приложения. Требование 2.3: При использовании неконсольного административного доступа к системе следует всегда шифровать канал с использованием стойких криптографических алгоритмов. Следует использовать такие технологии, как SSH, VPN или SSL/TLS для веб-ориентированных систем администрирования и иных способов неконсольного административного доступа. Как SCB помогает вам: SCB позволяет удостовериться, что удаленный доступ к вашим серверам зашифрован надлежащим образом, и обеспечивает возможность полной аудиторской проверки и просмотра удаленного доступа (например, администрирование сервера) для ряда протоколов, в том числе SSH, RDP, Citrix ICA, Telnet, VMware View и VNC. SCB даже может туннелировать обычно не зашифрованные протоколы SSL/TLS, например, VNC или Telnet. Требование 3: Обеспечить безопасное хранение данных держателей карт A.9.1.2 Как SCB помогает вам: Хотя в настоящее время технология SCB не может маскировать Требование 3.3: Следует маскировать PAN при его отображении PAN при отображении, она способна включить оповещение при таких событиях или автоматически прервать соединение пользователя – еще до отображения этих данных. (максимально возможное количество знаков для отображения – первые шесть и последние четыре), чтобы только сотрудники с обоснованной коммерческой необходимостью могли видеть весь PAN. Примечание: Это требование не заменяет собой иные более строгие требования к отображению данных держателей карт (например, юридические требования или требования к брендированию платежных карт на чеках кассовых терминалов (в местах продаж). www.balabit.com Использование SCB для соответствия стандарту PCI Требование 3: Обеспечить безопасное хранение данных держателей карт A.9.1.2 Требование 3.3: Следует маскировать PAN при его отображении (максимально возможное количество знаков для отображения – первые шесть и последние четыре), чтобы только сотрудники с обоснованной коммерческой необходимостью могли видеть весь PAN. Как SCB помогает вам: Хотя в настоящее время технология SCB не может маскировать PAN при отображении, она способна включить оповещение при таких событиях или автоматически прервать соединение пользователя – еще до отображения этих данных. Примечание: Это требование не заменяет собой иные более строгие требования к отображению данных держателей карт (например, юридические требования или требования к брендированию платежных карт на чеках кассовых терминалов (в местах продаж). A.9.1.2 Требование 3.4: PAN должен быть представлен в нечитаемом виде во всех местах хранения (включая данные на съемных носителях, в резервных копиях и журналах протоколирования событий). Для этого следует использовать любой из следующих методов: • Функция стойкого однонаправленного хеширования (должен быть хеширован весь PAN) • Укорачивание (хеширование не может использоваться для замещения укороченного сегмента PAN) • Индексные токены и шифрблокноты (хранение блокнотов должно быть безопасным) • Строгие криптографические алгоритмы совместно с регламентом и процессами управления ключами. www.balabit.com Как SCB помогает вам: Журналы протоколирования событий SCB можно зашифровать, используя стойкое криптографирование открытым ключом, благодаря чему все основные PAN, отображенные в журналах протоколирования, будут доступны только сотрудникам, обладающим необходимыми ключами. Требование 7: Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью Требование 7: Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью A.9.1.2 Требование 7.1: Доступом к вычислительным ресурсам и данным держателей карт должны обладать только те сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями. Как SCB помогает вам: SCB – это устройство, которое контролирует соединения удаленного доступа, используя модель управления доступом на основе ролей (RBAC). Оно способно осуществлять выборку принадлежности к группам пользователей из баз данных LDAP (например, Microsoft Active Directory) и разрешать доступ к соединению или специальной функции протокола (например, переадресация портов, SCP, X11, продвижение данных в SSH или общий диск или устройство в RDP) на основе этих ролей. 7.1.2 Предоставить пользователям с учетными записями с широкими полномочиями доступ только к тем полномочиям, которые необходимы им для выполнения своих должностных обязанностей. Права доступа SCB полностью основываются на ACL и принадлежности к группам пользователей. SCB обладает широкими возможностями настройки и может работать с базой данных LDAP (например, Microsoft Active Directory). 7.1.3 Назначать права доступа пользователям на основании классификации должностей и их должностных обязанностей. A.9.1.2 Требование 7.2: Следует установить систему контроля доступа к системным компонентам, основанную на принципе необходимых полномочий и применить принцип «запрещено все, что явно не разрешено» (“deny all”). www.balabit.com Как SCB помогает вам: SCB может ограничить доступ к удаленным серверам и приложениям, разрешив его только для пользователей, являющихся членами выбранных групп пользователей LDAP или Active Directory, или внесенных в соответствующий список пользователей. Кроме того, можно ограничить доступ на основании IP-адреса клиента. SCB также может контролировать доступ к каналам административного протокола, например: отключить доступ к общим дискам при соединении с терминальными серверами Windows или активировать переадресацию портов в SSH-соединениях только к выбранным пользователям. Что касается конфигурации и доступа SCB, а также данных, хранящихся на SCB, можно воспользоваться ACL-системой на основе ролей, где подробно определяются права пользователя. Требование 8: Определять и подтверждать доступ к системным компонентам Требование 8: Определять и подтверждать доступ к системным компонентам A.9.1.2 Требование 8.1: Определить и внедрить политики и процедуры управления идентификацией сотрудников (не клиентов) и администраторов на всех системных компонентах, регламентирующие следующие требования: Каждому пользователю должен быть назначен уникальный идентификатор до предоставления ему доступа к системным компонентам или данным держателей карт. A.9.1.2 A.9.1.2 Требование 8.1.3: Немедленный отзыв доступа при увольнении пользователя. Как SCB помогает вам: При аутентификации пользователей в вашей центральной базе данных LDAP (например, Microsoft Active Directory) SCB немедленно запрещает доступ пользователю, как только его полномочия или принадлежность к соответствующим группам отозваны. Использование SCB дает дополнительное преимущество в этих случаях, так как доступ к общим учетным записям или устройствам, которые не могут аутентифицировать пользователя по LDAP, также немедленно запрещается. Требование 8.1.5: Управлять учетными записями, используемыми поставщиками для удаленного доступа, поддержки и обслуживания системных компонентов, следующим образом: • Включать только на необходимый промежуток времени и отключать, когда они не используются. Как SCB помогает вам: Вы можете создавать политики времени, чтобы разрешить клиенту доступ к защищенным серверам только в течение определенного интервала времени, например, в период запланированного технического обслуживания. Как вариант, вы можете просто отключить исходящие от клиента соединения при отсутствии необходимости. • A.9.1.2 Как SCB помогает вам: SCB может аутентифицировать ваших пользователей при помощи уникальных идентификаторов, даже когда они производят доступ к общим учетным записям, таким как Administrator или root. Более того, пользователям даже не требуется знать идентификационные реквизиты (например, пароль или сертификат), необходимые для доступа к общей учетной записи: SCB может хранить их локально или использовать удаленный менеджер паролей, либо службу хранилища паролей. Это значительно упрощает использование общих учетных записей (чего нельзя избежать, например, на традиционных системах и сетевых устройствах), а также облегчает работу при смене персонала, так как вам не нужно менять идентификационные реквизиты общей учетной записи. Для отслеживания и контроля действий поставщика в системе вы можете использовать авторизацию по принципу «четырех глаз», при которой поставщик может зайти в систему, только если вы разрешаете соединение. Кроме того, вы можете следить за действиями поставщика в реальном времени (или просмотреть их позже) в приложении Audit Player. Если пользователь совершает действие, которое вы оцениваете, как нецелесообразное или вредное, вы можете в любой момент прервать соединение. Проводить мониторинг во время их использования. Как SCB помогает вам: SCB автоматически прерывает сеансы при простой (сеансы, не Требование 8.1.8: Блокировать сеанс работы пользователя через 15 генерирующие сетевой трафик) после указанного периода времени. минут простоя с требованием ввода пароля для разблокировки, повторной активации терминала или сеанса. www.balabit.com Требование 8: Определять и подтверждать доступ к системным компонентам A.9.1.2 A.9.1.2 A.9.1.2 Требование 8.2: Помимо назначения уникального идентификатора, для обеспечения надлежащего управления аутентификацией сотрудников (не пользователей) и администраторов на уровне всех системных компонентов должен применяться хотя бы один из следующих методов аутентификации всех пользователей: • То, что вы знаете (например, пароль или парольная фраза) • То, что у вас есть (например, ключи или смарт-карты) • То, чем вы обладаете (например, биометрические параметры). Как SCB помогает вам: SCB может централизованно аутентифицировать проверяемые соединения с центральным сервером LDAP (например, Microsoft Active Directory) или RADIUS и обеспечить обязательное использование методов строгой аутентификации, включая пароли, открытые ключи или сертификаты, а в некоторых случаях — смарт-карты. Как SCB помогает вам: SCB поддерживает шифрование LDAPS, а также методы строгой Требование 8.2.1: Все учетные аутентификации в проверяемых соединениях (например, проверка подлинности на уровне данные для проверки подлинности (например, пароли/парольные фразы) сети (NLA) в RDP-соединениях). должны храниться и передаваться только в зашифрованном виде с использованием стойкого шифрования на всех компонентах системы. Требование 8.5: Не использовать групповые, общие и стандартные учетные записи и пароли, а также прочие подобные методы аутентификации и убедиться в том, что: • Стандартные учетные записи заблокированы или удалены. • Общие учетные записи для системного администрирования и иных критичных функций не существуют. • Общие и стандартные учетные записи не используются для администрирования каких-либо системных компонентов. www.balabit.com Как SCB помогает вам: SCB может запретить использование стандартных учетных записей, но также может связать стандартные и общие учетные записи пользователей с текущей уникальной учетной записью пользователя, осуществляющего доступ к общей учетной записи. Таким образом может использоваться общая учетная запись (например, учетная запись администратора сетевого устройства), а события связываются с конкретными пользователями, которые их осуществляют. SCB также можно настроить для проведения аутентификации на проверяемом устройстве или сервере без сообщения идентификационных реквизитов пользователя и сохранения реквизитов общей учетной записи в тайне от пользователей. (Разумеется, пользователи должны проходить аутентификацию на SCB или через центральный каталог LDAP). Требование 8: Определять и подтверждать доступ к системным компонентам A.9.1.2 A.9.1.2 Требование 8.5.1 Дополнительное требование для поставщиков услуг: поставщики услуг, имеющие удаленный доступ к помещению клиента (например, для поддержки систем или серверов кассовых терминалов), обязаны использовать уникальные учетные данные для аутентификации (например, пароль/ парольная фраза) для каждого клиента. Как SCB помогает вам: С помощью SCB можно присвоить уникальный идентификатор каждому пользователю. Это особенно актуально для традиционных систем, обладающих ограниченными возможностями по управлению пользователями. Требование 8.7: Любой доступ к базе данных держателей карт (включая доступ со стороны приложений, администраторов и любых других пользователей) должен быть ограничен следующим образом: • Доступ, запросы и операции с базами данных должны осуществляться только программными методами. Как SCB помогает вам: SCB предназначается для контроля и аудита удаленного доступа администраторов к защищенным серверам. SCB обеспечивает контроль над самыми распространенными приложениями и протоколами, применяемыми в администрировании удаленного сервера, в том числе протоколом безопасной оболочки (SSH), VNC, VMware View и терминальными службами Windows. SCB также может контролировать постоянный доступ, если обычные пользователи применяют поддерживаемый протокол для доступа к данным, например, HTTP, терминальные службы. выполняемые на терминальном сервере Windows, Citrix XenApp или XenDesktop. • Разрешение запросов и прямого доступа к базам данных только для администраторов баз данных. • Учетные записи приложений по управлению базами данных могут использоваться только приложениями (но не пользователями или иными процессами). www.balabit.com В дополнение к аутентификации, выполняемой на удаленном сервере, SCB может произвести аутентификацию пользователя с использованием строгих методов через базу данных LDAP (например, Microsoft Active Directory) или RADIUS, выполняя таким образом двухфакторную аутентификацию. Кроме того, может быть применен принцип «четырех глаз» при обязательном условии аутентификации соединения другим пользователем. Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт A.9.1.2 A.9.1.2 Требование 10.1: Внедрить журнал регистрации событий, связывающий любой доступ к системным компонентам с конкретным пользователем. Как SCB помогает вам: SCB может автоматически запретить для некоторых имен пользователей (например, root) доступ к вашим защищенным серверам. Кроме того, SCB может аутентифицировать пользователей, которые пытаются получить доступ к серверам через вашу основную базу данных LDAP (например, Microsoft Active Directory). SCB может обязать пользователей аутентифицироваться на SCB, используя свои обычные пользовательские имена, благодаря чему будет возможно связать соединения, использующие общие (например, root или Administrator) имена с существующими учетными записями. SCB может даже контролировать использование конкретного имени пользователя на сервере. Как SCB помогает вам: SCB предназначается именно для этой цели: осуществлять контроль и аудит удаленного доступа администраторов к защищенным серверам. Записанные журналы регистрации событий можно воспроизвести как фильм, чтобы увидеть события именно так, как они происходили. Каждое действие администратора можно увидеть в журнале регистрации событий. SCB может автоматически обрабатывать и индексировать 10.2.2 Любые действия, совершенные содержание журналов регистрации, что позволяет вам искать определенные команды или с использованием административных тексты, показанные при соединениях. С помощью SCB вы можете даже создавать отчеты полномочий по этим результатам, которые можно настроить так, чтобы они содержали, например, журналы регистрации с выбранными ключевыми словами или другими параметрами. Требование 10.2: Для каждого системного компонента должен быть включен механизм протоколирования следующих событий. Требование 10.2.3: Любой доступ к записям о событиях в системе A.9.1.2 Как SCB помогает вам: Доступ к журналам регистрации, хранящимся на SCB, могут производить только пользователи с соответствующими полномочиями. Загрузка журналов регистрации заносится в лог. Журналы регистрации можно зашифровать, в том числе с использованием множества ключей шифрования. При шифровании со множеством ключей журнал регистрации можно просмотреть только при наличии каждого ключа расшифровки. Требование 10.2.4: Незаконные попытки логического доступа Как SCB помогает вам: SCB автоматически ведет логи попыток доступа к удаленным серверам или определенным каналам протоколов, в которых по каким-либо причинам было отказано. A.9.1.2 Требование 10.2.6: Инициализация, остановка или приостановка ведения журналов протоколирования событий Как SCB помогает вам: SCB – это прозрачное устройство, которое не зависит от клиентов и проверяемых серверов. Пользователям удаленных серверов не требуется иметь учетные записи на SCB, только пользователи с явным доступом к SCB могут контролировать аудит. Как SCB помогает вам: Как правило, только администраторы могут выполнять такие операции, и их деятельность проверяется. A.9.1.2 Требование 10.2.7: Создание и удаление объектов системного уровня. 1.2 www.balabit.com SCB ведет подробный лог изменений в собственной конфигурации и может обязать администраторов описать их причины. Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт A.9.1.2 A.9.1.2 Требование 8.7: Любой доступ к базе данных держателей карт (включая доступ со стороны приложений, администраторов и любых других пользователей) должен быть ограничен следующим образом: • 10.3.1 Идентификатор пользователя. • 10.3.2 Тип события. • 10.3.3 Дата и время • 10.3.4 Успешным или неуспешным было событие • 10.3.5 Источник события. • 10.3.6 Идентификатор или название данных, системного компонента или ресурса, на которые повлияло событие. Требование 10.4: Все системные часы и системное время на критичных системах должны быть синхронизированы. Необходимо убедиться в выполнении данного требования для получения, распространения и хранения данных о времени. Как SCB помогает вам: SCB записывает все эти данные и другие метаданные (например, тип аутентификации и т.д.), а также информацию о пользователях, осуществляющих доступ к защищенным серверам с использованием поддерживаемых протоколов. SCB может обязать пользователей аутенцифицироваться на SCB, используя свои обычные пользовательские имена, благодаря чему будет возможно связать соединения, использующие общие (например, Administrator) имена с существующими учетными записями. Как SCB помогает вам: SCB может автоматически синхронизировать свои системные часы с удаленным сервером времени. Благодаря этому журналы протоколирования содержат точные данные о времени – даже если лог-серверы не отображают верное время, так как часы сервера работают неточно или не были синхронизированы. Примечание: Примером технологии синхронизации времени является протокол синхронизации времени (Network Time Protocol). A.9.1.2 A.9.1.2 Требование 10.5: Журналы протоколирования событий должны быть защищены от изменений. Как SCB помогает вам: Все журналы протоколирования снабжаются цифровой подписью и зашифровываются открытым ключом. Для шифрования также может использоваться множество ключей. Журналам протоколирования могут быть присвоены отметки времени с помощью локальных или сторонних служб штампов времени. Требование 0.5.1: Доступом к журналам протоколирования событий должны обладать только те сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями. Как SCB помогает вам: Только пользователи с необходимыми полномочиями могут загружать журналы протоколирования. Загруженные журналы протоколирования может просмотреть только пользователь, обладающий необходимым ключом (или ключами) расшифровки. Исходящий трафик (в котором могут содержаться пароли или другая конфиденциальная информация) может быть зашифрован отдельно и отображаться только при наличии дополнительного ключа шифрования. www.balabit.com Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт A.9.1.2 A.9.1.2 A.9.1.2 A.9.1.2 Требование 10.5.2: Журналы протоколирования событий должны быть защищены от неавторизованного изменения. Как SCB помогает вам: Журналы протоколирования хранятся на устройстве SCB, которое физически не зависит от проверяемых серверов; пользователям удаленных серверов не требуется иметь учетные записи на SCB. Для предотвращения каких-либо изменений журналы протоколирования зашифровываются и снабжаются отметками времени и цифровой подписью. Для прямого доступа к ним необходимо обладать соответствующей авторизацией. Требование 10.5.3: Резервные копии журналов протоколирования событий должны оперативно сохраняться на централизованном сервере протоколирования или отдельном носителе, где их изменение было бы затруднено. Как SCB помогает вам: Устройство SCB не зависит от проверяемых клиентов и серверов и извлекает данные из сетевого соединения между клиентом и пользователем. Таким образом, доступ к журналам протоколирования, их изменение или проведение других манипуляций невозможно ни со стороны клиента, ни со стороны сервера: SCB обеспечивает их надежное хранение. SCB использует стойкие технологии шифрования для защиты журналов протоколирования от несанкционированного доступа и изменения. Если вы используете два устройства SCB в режиме высокой доступности, записанные журналы протоколирования автоматически синхронизируются со вторым узлом, благодаря чему сохраняется копия всех данных. Требование 10.5.4: Копии журналов протоколирования событий для технологий, к которым возможен доступ извне, должны сохраняться на безопасном и централизованном внутреннем сервере протоколирования или носителе. Как SCB помогает вам: SCB поддерживает как традиционный стандарт BSD-syslog, так и новейшие протоколы IETF-syslog, и может отправлять сообщения логов на лог-сервер через зашифрованные TLS-соединения, прошедшие взаимную аутентификацию. Требование 10.6: Изучать журналы протоколирования событий и события безопасности всех системных компонентов с целью обнаружения аномалий или подозрительной активности. Как SCB помогает вам: SCB автоматически генерирует ежедневные отчеты о проверяемых соединениях. Устройство также может автоматически индексировать содержание записанных журналов протоколирования, благодаря чему возможен поиск определенных использованных команд или отображенных текстов при соединениях как в терминальном, так и в графическом режиме. Кроме того, вы можете настроить автоматический поиск по определенным ключевым словам и запросам и включать результаты в пользовательские отчеты. Примечание: Для соответствия этому требованию можно использовать инструменты для сбора и анализа логов, а также создания оповещений A.9.1.2 Требование 10.7: Журналы регистрации событий должны храниться не менее одного года, а также быть в оперативном доступе не менее трех месяцев (например, они могут находиться в прямом доступе, либо архивированы, либо могут быть оперативно восстановлены с носителя резервной копии). www.balabit.com Содержимое проверяемого трафика также может быть перенаправлено во внешнюю систему IDS/DLP, чтобы распространить защиту, предоставляемую этими системами, на ранее недоступный административный трафик. Что касается собственных логов устройства SCB, они могут быть отправлены на удаленный лог-сервер или в систему SIEM по надежному зашифрованному соединению. Как SCB помогает вам: SCB может хранить значительный объем журналов протоколирования онлайн. База данных, в которой хранятся метаданные о журналах протоколирования доступна даже после того, как соответствующие журналы были архивированы. Требование 11: Регулярно выполнять тестирование систем и процессов обеспечения безопасности Требование 11: Регулярно выполнять тестирование систем и процессов обеспечения безопасности A.9.1.2 Как SCB помогает вам: Содержимое проверяемого трафика также может быть Требование 11.4: Следует использовать методы обнаружения и перенаправлено во внешнюю систему IDS/DLP, чтобы распространить защиту, (или) предотвращения вторжений для предоставляемую этими системами, на ранее недоступный административный трафик. обнаружения и (или) предотвращения вторжения в сеть. Следует осуществлять мониторинг сетевого трафика по периметру среды данных держателей карт и в критичных точках внутри среды данных держателей карт, и оповещать сотрудников о подозрительных действиях. Системы обнаружения и предотвращения вторжений и их сигнатуры должны поддерживаться в актуальном состоянии. Требование 12: Разработать и поддерживать политику информационной безопасности для всего персонала организации A.9.1.2 A.9.1.2 A.9.1.2 Требование 12.3.9: Убедиться, что правила эксплуатации регламентируют включение механизмов для доступа производителей и деловых партнеров только в случае необходимости такого доступа с немедленным выключением механизмов после использования. Как SCB помогает вам: Политики соединений SCB можно легко включать и отключать при необходимости. Применение авторизации по принципу «четырех глаз» подразумевает, что каждый сеанс политики соединений должен быть авторизован индивидуально с возможностью мониторинга работы пользователя в реальном времени для осуществления полного контроля над доступом производителя. Требование 12.3.10: Персоналу, имеющему удаленный доступ к данным держателей карт, запрещается копировать, перемещать и хранить данные держателей карт на локальных жестких дисках и съемных электронных носителях, если это не обусловлено служебной необходимостью. При наличии подтвержденной служебной необходимости политики эксплуатации должны регламентировать защиту данных в соответствии со всеми действующими требованиями стандарта PCI DSS. Как SCB помогает вам: SCB контролирует удаленные соединения на уровне канала: например, можно отключить SCP-канал SSH-соединения или буфер обмена и совместные каналы использования устройств RDP-соединений, чтобы предотвратить копирование удаленно хранящихся данных на локальные носители. Содержимое проверяемого соединения также может быть перенаправлено во внешнюю систему IDS/DLP, чтобы распространить защиту, предоставляемую этими системами, на ранее недоступный административный трафик. Но это еще не все. SCB может осуществлять полную проверку передачи файлов с помощью SCP и SFTP: устройство записывает каждую файловую операцию и может хранить копию переданных файлов в журнале протоколирования. Требование 12.5.5: Убедиться в том, что определена ответственность за мониторинг и контроль доступа к данным. Как SCB помогает вам: SCB обеспечивает способ контролировать и проверять доступ к удаленным серверам независимо от пользователей и администраторов сервера, что позволяет вам создать отдельный уровень аудиторской проверки над системными администраторами. www.balabit.com Кроме того, вы можете ограничить доступ к соединению, разрешив производить его только в определенное время дня или недели. Дополнительные требования PCI DSS для поставщиков услуг хостинга Дополнительные требования PCI DSS для поставщиков услуг хостинга A.9.1.2 Требование A.1.1: Ограничить доступ приложений каждого клиента только к своей среде данных держателей карт. Как SCB помогает вам: SCB может обеспечить доступ удаленных пользователей только к серверам, для подключения к которым у них есть разрешение, а также аудит удаленного доступа для нескольких протоколов. Кроме того, поставщики могут использовать SCB, чтобы разрешить каждому клиенту доступ к его собственным журналам протоколирования. Требование 12: Разработать и поддерживать политику информационной безопасности для всего персонала организации A.9.1.2 Требование A.1.3: Убедиться, что протоколирование действий и событий включено для каждого клиента и соответствует требованию 10 стандарта PCI DSS. Как SCB помогает вам: Устройство SCB может быть установлено в центре инфраструктуры поставщика и настроено автоматически собирать журналы протоколирования для каждого сеанса удаленного доступа. SCB вносит журналы протоколирования каждого сеанса в отдельные файлы и может организовать их на основе параметров соединения, благодаря чему только соответствующий клиент может получить доступ к журналам протоколирования. Шифрование журналов протоколирования еще больше повышает степень их защиты: только сотрудники с необходимыми ключами расшифровки могут открыть и воспроизвести журналы. A.9.1.2 Требование A.1.4: Убедиться в наличии у хостинг-провайдера политик, описывающих правила проведения расследования в случае компрометации данных клиентов. Как SCB помогает вам: SCB обеспечивает мгновенный доступ к записанным журналам протоколирования. Индексирование журналов протоколирования позволяет производить поиск в произвольном формате по содержимому каждого журнала, в том числе по командам, использованным в режиме терминального соединения, или по любому тексту, отображенному сервером при соединениях в терминальном или графическом режиме. Воспроизведение сеансов привилегированных пользователей также может значительно сократить время, необходимое для того, чтобы точно установить, что случилось с серверами и данными клиента. www.balabit.com
