Log Management e PCI-DSS

Articoli

  • compliance normativa
  • log
  • log management

Log Management e PCI-DSS

Log management e PCI-DSS sono collegati, ma per quale motivo? Il PCI-DSS (Payment Card Industry Data Security Standard) è una normativa che consiste in una serie di standard di conformità sulla protezione dei pagamenti dei consumatori e dei dati finanziari. Le aziende soggette hanno l’obbligo di rispettare la conformità PCI-DSS quando memorizzano le informazioni di pagamento dei consumatori. Per poter rispettare questi requisiti vengono offerte delle linee guida di sicurezza a cui le organizzazioni devono attenersi.

Quali sono i requisiti della normativa PCI-DSS?

I requisiti necessari per essere compliant alla norma sono 12:

  1. Installazione e mantenimento di un Network Security Control;
  2. Applicazione di configurazioni sicure a tutte le componenti del sistema;
  3. Protezione dei dati finanziari archiviati dei consumatori;
  4. Durante la trasmissione, i dati dei possessori delle carte di credito devono essere protetti e crittografati;
  5. Protezione dei sistemi e delle reti da virus informatici;
  6. Sviluppo e aggiornamento di software e sistemi sicuri;
  7. Utilizzare lo standard del privilegio minimo per l’accesso ai dati;
  8. Tenere traccia tramite user ID di tutte le richieste di accesso ai dati;
  9. Limitare l’accesso fisico ai dati delle carte di credito;
  10. Registrare e monitorare le richieste di accesso alle risorse di rete su cui sono memorizzati i dati delle carte di credito;
  11. Testare spesso i sistemi e le procedure di sicurezza;
  12. Documentare le policy di sicurezza e renderle note ai dipendenti.

Requisito n°10 della normativa PCI-DSS: il log management

All’interno del requisito numero 10, si richiede di registrare e monitorare le richieste di accesso alle risorse di rete sui cui sono memorizzati i dati delle carte di credito. I meccanismi di registrazione e la capacità di tenere traccia delle attività degli utenti sono fondamentali per prevenire, rilevare o ridurre al minimo l’impatto di un data breach.

Avere a disposizione i registri dei log su tutte le componenti del sistema e nel CDE permette di poter fare analisi approfondite in caso di incidenti di cybersecurity. In assenza delle registrazioni dei log diventa infatti molto difficile, se non impossibile, riuscire a comprendere il chi, cosa, come, quando del data breach. All’interno del requisito 10, viene definito meglio cosa si intende per registrazione e monitoraggio. In ordine abbiamo:

  • 10.1 I processi e i meccanismi di logging e monitoraggio degli accessi ai sistemi e ai dati dei possessori di carte sono definiti e documentati;
  • 10.2 I log sono implementati in modo da supportare l’individuazione di anomalie, attività sospette e l’analisi forense degli eventi;
  • 10.3 I log sono protetti da modifiche non autorizzate e dalla cancellazione;
  • 10.4 I log sono osservati periodicamente per identificare anomalie e attività sospette, sulla base dell’analisi del rischio;
  • 10.5 I log sono conservati e mantenuti disponibili per l’analisi. Nello specifico la retention è di almeno un anno con gli ultimi 3 mesi però sempre disponibili per l’analisi;
  • 10.6 I sistemi sono perfettamente sincronizzati attraverso tecnologie di sincronizzazione
  • 10.7 I guasti ai sistemi critici di controllo della sicurezza sono identificabili, reportabili e si può rispondere prontamente al problema.

Vuoi maggiori informazioni sui software per il log management, cloud o on premise? compila il form sottostante!