Al momento abbiamo un compito aperto per implementare il controllo dell'account utente e il tracciamento del log degli eventi corrispondente per i nostri sviluppatori che installano il software sulle loro macchine. Mi è stato chiesto se memorizzare / analizzare questi registri centralmente sia un requisito per la conformità PCI.
Sono solo un uovo. Ho sfogliato il documento PCI-DSS 3.1, ma non ho trovato nulla di definitivo. Cosa dovrei fare?
Sono d'accordo con Shane Andrie. Le macchine virtuali considerate nell'ambito PCI sono piuttosto spaventose. Preferisco cercare di spostarli al di fuori dell'ambito, indipendentemente dai requisiti di registrazione.
Per rispondere alla tua domanda: Sì , la memorizzazione centralizzata dei registri è un requisito PCI. Si prega di fare riferimento al requisito 10.5 (punto 10.5.5).
10.5.1 Limitare la visualizzazione delle piste di controllo a coloro che hanno esigenze legate al lavoro.
10.5.2 Protezione dei file di audit trail da modifiche non autorizzate.
10.5.3 Eseguire immediatamente il backup dei file di audit trail su un server di registro centralizzato o su un supporto che è difficile da modificare.
10.5.4 Scrittura dei registri per tecnologie rivolte verso l'esterno su un server di registro interno o centralizzato sicuro o dispositivo multimediale.
Risposta breve; I registri Sì devono essere conservati per un anno e gli ultimi registri di 3 mesi devono essere facilmente accessibili. Molti altri dettagli nel link sottostante.