Che cosa avrei dovuto preparare per una valutazione in loco della conformità PCI?

Naviga le tue risposte
3

L'azienda per cui lavoro sta valutando la conformità onsite PCI conforme. Il PCI DSS ha una sorta di lista di controllo, ma è tutto molto vago e astratto per me. Quindi non sono abbastanza sicuro di cosa ho bisogno per prepararmi per il QSA, quando arriverà.

Più in particolare, mi piacerebbe sapere che cosa richiede esattamente il QSA in termini di documenti, software, file di configurazione, script, ecc. Nel caso dei documenti, quanto dovrebbero essere dettagliate le informazioni? Solo linee guida generali o procedure specifiche per ogni articolo?

Ad esempio, è accettabile scrivere qualcosa di simile nel mio documento delle norme?

Procedures must include periodic media inventories in order to validate the effectiveness of these controls.

O dovrei fornire dettagli su quali sono queste procedure, chi le eseguirà, quanto è lungo il periodo menzionato, ecc?

    
posta Otavio Macedo 29.01.2013 - 17:56
fonte

2 risposte

2

Questo dipende da diverse cose. Sfortunatamente, il PDI DSS è un po 'vago in alcune aree e diversi auditor interpretano le cose in modo diverso. Aspettatevi che il vostro primo audit arrivi all'80% per capire che cosa avete bisogno di preparare, il 20% in realtà lo fa insieme, e quindi aspettatevi che i futuri audit procedano più agevolmente. Ma il tuo QSA ti dirà cosa si aspetta.

In generale, però, dovresti avere delle regole scritte su come proteggi i tuoi dati (backup, live, ecc.) e essere in grado di produrre registri e prove che dimostrino che segui le procedure.

Ad esempio, per soddisfare la sezione 6, gli sviluppatori devono avere un processo di sviluppo documentato. Facciamo e il nostro processo include passaggi come la revisione del codice (quindi forniamo copie delle revisioni del codice completate) procedure per chiedere agli amministratori di pubblicare un elemento taggato specifico dal controllo del codice sorgente per affrontare la separazione dei dubbi (quindi forniamo i ticket di richiesta di modifica che specificano quale versione del codice sorgente viene pubblicato su quale data / ora).

Lo stesso vale per il resto dell'audit. Documentate le vostre procedure e fornite la prova che seguite tali procedure.

Per quanto dettagliata dovrebbe essere la politica, dovresti costruire la tua scia cartacea nelle politiche, in modo che l'auditor sappia cosa aspettarsi per la documentazione, e così ti costringi a raccogliere la documentazione per tutto l'anno. Rende le cose molto più facili. Includi elementi come "Tutte le modifiche sono registrate (nomina un sistema)", quindi registra effettivamente le modifiche in quel sistema .

Le probabilità sono che le tue pratiche attuali non soddisfano al 100% i requisiti o che non sarai in grado di fornire quella documentazione. In genere ciò sembra prevedibile in occasione di una prima verifica (o così raccolgo dai nostri auditor) e la prima verifica è una sorta di apertura agli occhi. Ti insegna dove devi migliorare le tue politiche (e migliorarle adesso). Probabilmente avrai l'opportunità di fornire ciò che hai e iniziare a redigere nuove politiche sotto la guida del tuo auditor. Negli anni successivi, aspettati meno clemenza.

    
risposta data 29.01.2013 - 18:59
fonte
2

Questa è una domanda comune. È utile sapere esattamente cosa deve attestare il QSA come richiesto dal consiglio PCI. Utilizza il seguente documento come guida:

link

Vedrai che le istruzioni per il QSA sono molto specifiche e queste sono le cose che cercherà. La colonna "ROC Reporting Details" fornirà una verbosità pressoché esatta per gli elementi che devono essere trovati nelle polizze e gli elementi che dovrà verificare. Le politiche sono responsabilità dell'utente di prepararsi prima che arrivi, ma lui ti chiederà di mostrargli qualcos'altro che è necessario per la sua convalida. Naturalmente se è un buon QSA, chiarirà tutto questo per te.

    
risposta data 30.01.2013 - 04:56
fonte

Leggi altre domande sui tag

Sicurezza wireless: PEAP Protezione dei dati sensibili al tempo