Articoli
- compliance normativa
- log
- log management
Log Management e PCI-DSS
Log management e PCI-DSS sono collegati, ma per quale motivo? Il PCI-DSS (Payment Card Industry Data Security Standard) è una normativa che consiste in una serie di standard di conformità sulla protezione dei pagamenti dei consumatori e dei dati finanziari. Le aziende soggette hanno l’obbligo di rispettare la conformità PCI-DSS quando memorizzano le informazioni di pagamento dei consumatori. Per poter rispettare questi requisiti vengono offerte delle linee guida di sicurezza a cui le organizzazioni devono attenersi.
Quali sono i requisiti della normativa PCI-DSS?
I requisiti necessari per essere compliant alla norma sono 12:
- Installazione e mantenimento di un Network Security Control;
- Applicazione di configurazioni sicure a tutte le componenti del sistema;
- Protezione dei dati finanziari archiviati dei consumatori;
- Durante la trasmissione, i dati dei possessori delle carte di credito devono essere protetti e crittografati;
- Protezione dei sistemi e delle reti da virus informatici;
- Sviluppo e aggiornamento di software e sistemi sicuri;
- Utilizzare lo standard del privilegio minimo per l’accesso ai dati;
- Tenere traccia tramite user ID di tutte le richieste di accesso ai dati;
- Limitare l’accesso fisico ai dati delle carte di credito;
- Registrare e monitorare le richieste di accesso alle risorse di rete su cui sono memorizzati i dati delle carte di credito;
- Testare spesso i sistemi e le procedure di sicurezza;
- Documentare le policy di sicurezza e renderle note ai dipendenti.
Requisito n°10 della normativa PCI-DSS: il log management
All’interno del requisito numero 10, si richiede di registrare e monitorare le richieste di accesso alle risorse di rete sui cui sono memorizzati i dati delle carte di credito. I meccanismi di registrazione e la capacità di tenere traccia delle attività degli utenti sono fondamentali per prevenire, rilevare o ridurre al minimo l’impatto di un data breach.
Avere a disposizione i registri dei log su tutte le componenti del sistema e nel CDE permette di poter fare analisi approfondite in caso di incidenti di cybersecurity. In assenza delle registrazioni dei log diventa infatti molto difficile, se non impossibile, riuscire a comprendere il chi, cosa, come, quando del data breach. All’interno del requisito 10, viene definito meglio cosa si intende per registrazione e monitoraggio. In ordine abbiamo:
- 10.1 I processi e i meccanismi di logging e monitoraggio degli accessi ai sistemi e ai dati dei possessori di carte sono definiti e documentati;
- 10.2 I log sono implementati in modo da supportare l’individuazione di anomalie, attività sospette e l’analisi forense degli eventi;
- 10.3 I log sono protetti da modifiche non autorizzate e dalla cancellazione;
- 10.4 I log sono osservati periodicamente per identificare anomalie e attività sospette, sulla base dell’analisi del rischio;
- 10.5 I log sono conservati e mantenuti disponibili per l’analisi. Nello specifico la retention è di almeno un anno con gli ultimi 3 mesi però sempre disponibili per l’analisi;
- 10.6 I sistemi sono perfettamente sincronizzati attraverso tecnologie di sincronizzazione
- 10.7 I guasti ai sistemi critici di controllo della sicurezza sono identificabili, reportabili e si può rispondere prontamente al problema.
Vuoi maggiori informazioni sui software per il log management, cloud o on premise? compila il form sottostante!