requisiti di registrazione per PCI per applicazioni Web

Naviga le tue risposte
12

La norma PCI stabilisce quanto deve essere registrato a livello di applicazione o semplicemente cosa non deve essere registrato?

Sto lottando con troppa registrazione ora e alcune persone che pensano che dovremmo averlo. Da una prospettiva di debug ho trovato che la registrazione eccessiva è quasi inutile in passato e sono un po 'd'accordo con Jeff Atwood nella registrazione delle eccezioni .

Attualmente sto usando AspectJ per circa il 99% del logging nelle applicazioni che supporto, quindi non è un grosso problema in entrambi i casi tranne quando si esaminano i log per queste eccezioni e anche che stanno iniziando a prendere un decente quantità di spazio.

    
posta Casey 23.12.2010 - 20:45
fonte

2 risposte

11

Ci si deve registrare:

  • Tutti i singoli accessi ai dati dei titolari di carta
  • Tutte le azioni eseguite da qualsiasi individuo con privilegi di amministratore o privilegi
  • Accesso a tutti i percorsi di controllo
  • Tentativi di accesso logico non validi
  • Uso dei meccanismi di identificazione e autenticazione
  • Inizializzazione dei log di controllo
  • Creazione e cancellazione di oggetti a livello di sistema

Questi devono essere registrati con una data e un'intestazione verificabili tempo (sincronizzazione temporale corretta abilitata) in modo immutabile. Dovresti, "Conservare la cronologia di audit trail per almeno un anno, con un minimo di tre mesi immediatamente disponibili per l'analisi (ad esempio, online, archiviati o ripristinabili dal back-up)."

Dovrai esaminare l'intero documento e comprendere tutti i requisiti secondari che costituiscono il grande 12. link

Per rispondere alla teoria di Jeff Atwood, tuttavia, e mantenere il proprio equilibrio mentale, è necessario mantenere i registri relativi a PCI DSS separati dai log delle attività dell'applicazione. Suggerirei che le eccezioni vengano copiate in una struttura di log separata in modo che, da un punto di vista dello sviluppatore, i registri siano leggibili e sparsi. Dal punto di vista del revisore dei conti, i log completi possono essere, bene, completi e utilizzati per ricostruire l'attività.

    
risposta data 23.12.2010 - 21:40
fonte
5

Ho visto più aziende taggate per la conformità livello 1 ottenere la conformità con uno sforzo minimo o nullo per modificare la registrazione delle applicazioni oltre a quanto previsto per impostazione predefinita. Per guadagnare un segno di spunta di conformità è probabile che lo si faccia mostrando molto poco (l'incoerenza dell'auditor è comunque un jolly).

Detto questo, qui ci sono i frammenti di registrazione rilevanti dal Standard per la sicurezza dei dati delle applicazioni di pagamento (v. 2.0 / ott 2010) in merito a attività di applicazione di pagamento :

    
risposta data 23.12.2010 - 21:51
fonte

Leggi altre domande sui tag

Perché la specifica del cifrario delle modifiche è un tipo di contenuto del protocollo indipendente e non fa parte dei messaggi di handshake? PHP loadXML è vulnerabile all'attacco XXE (e ad altri attacchi)? Esiste un elenco di funzioni vulnerabili?