È possibile modificare la gestione della conformità PCI tramite semplici e-mail?

Naviga le tue risposte
2

L'articolo 6.4.5 di PCI DSS richiede quanto segue:

6.4.5 Change control procedures for the implementation of security patches and software modifications. Procedures must include the following:

6.4.5.1 Documentation of impact. 6.4.5.2 Documented change approval by authorized parties.

6.4.5.3 Functionality testing to verify that the change does not adversely impact the security of the system.

6.4.5.4 Back-out procedures.

Potremmo usare un software completo ITIL compatibile per questo. Ma sembra eccessivo per una piccola azienda (meno di 10 dipendenti). Vorremmo soddisfare tale requisito nel modo più semplice possibile.

Ad esempio, supponiamo che tutti questi elementi siano gestiti tramite una semplice email. Ogni volta che è necessaria una modifica, una richiesta di modifica (RfC) deve essere inviata a un indirizzo email specifico con tutte le informazioni necessarie (giustificazione, procedure di back-out, ecc.). Qualcuno nel ruolo di change manager gestirà quella casella di posta elettronica e approverà o rifiuterà tutte le RfC in entrata e adotterà le azioni necessarie, come ad esempio avvisare il sysadmin o pianificare la modifica.

È accettabile in termini di conformità PCI?

    
posta Otavio Macedo 01.02.2013 - 13:45
fonte

3 risposte

4

Abbiamo usato la posta elettronica per la gestione del cambiamento per un po 'e, finché ne abbiamo avuto un resoconto, il nostro auditor era soddisfatto. Tuttavia, le e-mail sono seriamente carenti nelle funzionalità e non sono adatte all'attività. È difficile da tracciare e aggrapparsi a una serie di e-mail e quindi fornirle durante l'audit è un incubo.

Tuttavia, è più semplice con altre forme di software progettate per il monitoraggio dei ticket. È possibile trovare software CRM o helpdesk per i ticket decenti e gratuiti che possono essere utilizzati per tenere traccia dei biglietti di modifica con la stessa facilità con cui si dispone di un pacchetto ITIL completo, ma con meno funzioni. I componenti critici sono che è possibile tenere traccia di ciò che sta cambiando, chi ha autorizzato la modifica e le misure adottate. Questo può essere ottenuto attraverso il software di ticketing che ha le seguenti caratteristiche:

  • Consente di registrare dettagli di base / dettagli di chiamata
  • Ti consente di assegnare ticket a persone o gruppi
  • Ti consente di inserire le note
  • Consente una facile segnalazione o almeno l'accesso al database in modo da poter scrivere i propri report.
  • Bonus se ti consente di allegare file e farlo in modo sicuro. Ciò consente di allegare documenti di revisione del codice, modelli di minacce o altri artefatti associati alla modifica.
  • Bonus se ha moduli del flusso di lavoro per consentire processi di approvazione (anche se questi possono essere definiti e fatti semplicemente manualmente)

Quanto più dettagliato e specifico è il tracking / log, tanto meglio.

    
risposta data 01.02.2013 - 14:35
fonte
0

Accetto con sopra.

Ma fintanto che il tuo percorso di posta elettronica soddisfa gli obiettivi del controllo, allora sei coperto. Dopotutto, stai cercando di assicurarti di avere un controllo controllabile, ad esempio qualcuno può venire, chiedere un elenco di modifiche, quindi richiedere la prova che le hai provate e le tue procedure sono documentate ecc.

L'email potrebbe non essere lo strumento migliore per il lavoro, ma è sufficiente.

    
risposta data 01.02.2013 - 18:16
fonte
0

L'email fa il lavoro ma una soluzione per il ticketing ti aiuterà a lungo termine.

Una delle preoccupazioni che ho sempre avuto con le e-mail, specialmente nelle piccole organizzazioni, è che è troppo facile eliminare i contenuti. Un buon sistema di ticketing può essere impostato per non consentire la cancellazione dei ticket e un facile controllo del comportamento degli utenti e dei modelli di accesso, come sottolineato da David.

Il mio lavoro giornaliero è un non profit e gli sviluppatori usano Jira per il bug tracking. Con alcune semplificazioni del flusso di lavoro sta funzionando molto bene per il nostro controllo delle modifiche, inclusi i requisiti PCI. Potresti essere un buon punto di partenza se non hai familiarità con le tue opzioni.

    
risposta data 02.02.2013 - 03:39
fonte

Leggi altre domande sui tag

Generazione di una chiave privata da una stringa esadecimale con openssl OpenVPN attraverso il proxy aziendale e la cronologia di navigazione