Sicherheitsrichtlinie für Kreditkarten

Youcef Yahiaoui

Inhaber, Geschäftsführer.
Datum des Inkrafttretens
17. April 2020
Letztes Inhaltsupdate
17. April 2020

Zweck

In dieser Richtlinie werden die Sicherheitsanforderungen von Youcef Yahiaoui und Printymugs gemäß den Anforderungen des Payment Card Industry Data Security Standard (PCI DSS)-Programms erläutert. Das Management von Youcef Yahiaoui und Printymugs verpflichtet sich zu diesen Sicherheitsrichtlinien, um die von Youcef Yahiaoui und Printymugs zur Erreichung seiner Geschäftsziele verwendeten Informationen zu schützen. Alle Mitarbeiter sind verpflichtet, die in diesem Dokument beschriebenen Richtlinien einzuhalten.

Konformitätsumfang

Die PCI-Anforderungen gelten für alle Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Derzeit besteht die Karteninhaberumgebung von Youcef Yahiaoui und printymugs nur aus begrenzten Zahlungsanwendungen (in der Regel Kassensysteme), die mit dem Internet verbunden sind, beinhaltet jedoch keine Speicherung von Karteninhaberdaten auf einem Computersystem.

Aufgrund der begrenzten Natur der im Geltungsbereich enthaltenen Umgebung soll diese Richtlinie die PCI-Anforderungen erfüllen, wie sie im Self-Assessment Questionnaire (SAQ) C, Ver. 2.0, Oktober 2010. Sollten Youcef Yahiaoui und Printymugs zusätzliche Akzeptanzkanäle implementieren, mit der Speicherung, Verarbeitung oder Übermittlung von Karteninhaberdaten in elektronischer Form beginnen oder anderweitig nicht berechtigt werden, die Einhaltung des SBF C zu validieren, liegt es in der Verantwortung von Youcef Yahiaoui und Printymugs, die geeigneten Compliance-Kriterien bestimmen und bei Bedarf zusätzliche Richtlinien und Kontrollen implementieren.

Politik

Anforderung 1: Aufbau und Pflege eines sicheren Netzwerks

Firewall-Konfiguration

Firewalls müssen Verbindungen zwischen nicht vertrauenswürdigen Netzwerken und jedem System in der Karteninhaberdatenumgebung einschränken. Ein „nicht vertrauenswürdiges Netzwerk“ ist jedes Netzwerk, das außerhalb der Netzwerke der überprüften Einheit liegt und/oder außerhalb der Kontrolle oder Verwaltung der Einheit liegt. (PCI-Anforderung 1.2)

Ein- und ausgehender Datenverkehr muss auf das für die Karteninhaberdatenumgebung erforderliche Maß beschränkt werden. Alle anderen eingehenden und ausgehenden Datenverkehr müssen ausdrücklich verweigert werden. (PCI-Anforderung 1.2.1)

Alle offenen Ports und Dienste müssen dokumentiert werden. Die Dokumentation sollte den Hafen oder Dienst, Quelle und Ziel sowie eine geschäftliche Begründung für die Eröffnung des Hafens oder Dienstes enthalten. (PCI-Anforderung 1.2.1)

Zwischen allen drahtlosen Netzwerken und der Datenumgebung des Karteninhabers müssen Perimeter-Firewalls installiert werden. Diese Firewalls müssen so konfiguriert sein, dass sie jeglichen Datenverkehr von der drahtlosen Umgebung in die Karteninhaberdatenumgebung verweigern oder kontrollieren (sofern dieser Datenverkehr für geschäftliche Zwecke erforderlich ist). (PCI-Anforderung 1.2.3)

Die Firewall-Konfiguration muss den direkten öffentlichen Zugriff zwischen dem Internet und jeder Systemkomponente in der Karteninhaberdatenumgebung wie folgt verhindern:

  • Direkte Verbindungen sind für ein- und ausgehenden Verkehr zwischen dem Internet und der Karteninhaberdatenumgebung verboten (PCI-Anforderung 1.3.3)
  • Ausgehender Datenverkehr aus der Karteninhaberdatenumgebung ins Internet muss explizit autorisiert werden (PCI-Anforderung 1.3.5)
  • Firewalls müssen Stateful Inspection implementieren, auch bekannt als dynamische Paketfilterung (PCI-Anforderung 1.3.6)

Anforderung 2: Verwenden Sie keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter

Herstellervorgaben

Vom Hersteller bereitgestellte Standardeinstellungen müssen immer geändert werden, bevor ein System im Netzwerk installiert wird. Beispiele für Hersteller-Standardwerte sind Kennwörter, SNMP-Community-Strings und die Eliminierung unnötiger Konten. (PCI-Anforderung 2.1)

Standardeinstellungen für drahtlose Systeme müssen vor der Implementierung geändert werden. Die Standardeinstellungen für die drahtlose Umgebung umfassen, sind aber nicht beschränkt auf:

  • Standardverschlüsselungsschlüssel
  • Passwörter
  • SNMP-Community-Strings
  • Standardpasswörter/Passphrasen für Zugangspunkte
  • Andere sicherheitsrelevante Standardeinstellungen von Wireless-Anbietern, sofern zutreffend


Die Firmware auf drahtlosen Geräten muss aktualisiert werden, um eine starke Verschlüsselung für die Authentifizierung und Übertragung von Daten über drahtlose Netzwerke zu unterstützen. (PCI-Anforderung 2.1.1)

Nicht benötigte Dienste und Protokolle

Es dürfen nur die für die Funktion des Systems notwendigen Dienste, Protokolle, Daemons etc. aktiviert werden. Alle Dienste und Protokolle, die nicht direkt zur Ausführung der spezifizierten Funktion des Geräts benötigt werden, müssen deaktiviert werden. (PCI-Anforderung 2.2.2)

Administratorzugriff ohne Konsole

Anmeldeinformationen für den Administratorzugriff ohne Konsole müssen mit Technologien wie SSH, VPN oder SSL/TLS verschlüsselt werden. Verschlüsselungstechnologien müssen Folgendes umfassen: (PCI-Anforderung 2.3)

  • Muss starke Kryptographie verwenden und die Verschlüsselungsmethode muss aufgerufen werden, bevor das Administratorpasswort angefordert wird
  • Systemdienste und Parameterdateien müssen konfiguriert werden, um die Verwendung von Telnet und anderen unsicheren Remote-Login-Befehlen zu verhindern
  • Muss Administratorzugriff auf webbasierte Verwaltungsschnittstellen beinhalten

Anforderung 3: Gespeicherte Karteninhaberdaten schützen

Verbotene Daten

Es müssen Prozesse vorhanden sein, um sensible Authentifizierungsdaten nach der Autorisierung sicher zu löschen, damit die Daten nicht wiederhergestellt werden können. (PCI-Anforderung 3.2)

Zahlungssysteme müssen die folgenden Anforderungen bezüglich der Nichtspeicherung sensibler Authentifizierungsdaten nach der Autorisierung (auch wenn sie verschlüsselt sind) erfüllen:

  • Der vollständige Inhalt aller Trackdaten vom Magnetstreifen (auf der Rückseite einer Karte, gleichwertige Daten auf einem Chip oder anderswo) werden unter keinen Umständen gespeichert (PCI-Anforderung 3.2.1).
  • Der Kartenprüfcode oder -wert (drei- oder vierstellige Zahl auf der Vorder- oder Rückseite einer Zahlungskarte) wird unter keinen Umständen gespeichert (PCI-Anforderung 3.2.2)
  • Die persönliche Identifikationsnummer (PIN) oder der verschlüsselte PIN-Block werden auf keinen Fall gespeichert (PCI-Anforderung 3.2.3)


Anzeige von PAN

Youcef Yahiaoui und Printymugs werden die Anzeige von PANs (primäre Kontonummern) maskieren und die Anzeige von PANs auf Mitarbeiter und andere Parteien mit einem legitimen Bedarf beschränken. Bei einer richtig maskierten Nummer werden nur die ersten sechs und die letzten vier Ziffern der PAN angezeigt. (PCI-Anforderung 3.3)

Anforderung 4: Verschlüsselte Übertragung von Karteninhaberdaten über offene, öffentliche Netze

Übermittlung von Karteninhaberdaten

Karteninhaberdaten, die über offene, öffentliche Netzwerke gesendet werden, müssen durch die Verwendung starker Kryptographie oder Sicherheitsprotokolle (z. B. IPSEC, SSLTLS) geschützt werden. Es können nur vertrauenswürdige Schlüssel und/oder Zertifikate akzeptiert werden. Für SSL/TLS-Implementierungen muss HTTPS als Teil der URL erscheinen und Karteninhaberdaten dürfen nur eingegeben werden, wenn HTTPS in der URL vorkommt. (PCI-Anforderung 4.1)

Für die Implementierung einer starken Verschlüsselung für die Authentifizierung und Übertragung für drahtlose Netzwerke, die Karteninhaberdaten übertragen oder mit der Karteninhaberdatenumgebung verbunden sind, müssen branchenübliche Best Practices (z. B. IEEE 802.11i) verwendet werden. (PCI-Anforderung 4.1.1)

Das Senden unverschlüsselter PANs durch Messaging-Technologien für Endbenutzer ist verboten. Beispiele für Endbenutzertechnologien sind E-Mail, Instant Messaging und Chat. (PCI-Anforderung 4.2)

Anforderung 5: Antivirensoftware oder -programme verwenden und regelmäßig aktualisieren

Anti-Virus

Auf allen Systemen, insbesondere PCs und Servern, die häufig von Viren befallen sind, muss ein Antivirenprogramm installiert sein, das in der Lage ist, alle bekannten Arten von Schadsoftware zu erkennen, zu entfernen und vor ihnen zu schützen. (PCI-Anforderung 5.1, 5.1.1)

Alle Antivirenprogramme müssen durch automatische Updates auf dem neuesten Stand gehalten werden, aktiv ausgeführt werden, für die Ausführung regelmäßiger Scans konfiguriert und in der Lage sein, Überwachungsprotokolle zu erstellen. Antivirenprotokolle müssen gemäß PCI-Anforderung 10.7 aufbewahrt werden. (PCI-Anforderung 5.2)

Anforderung 6: Sichere Systeme und Anwendungen entwickeln und warten

Sicherheitspatches

Alle kritischen Sicherheitspatches mit hohem Risiko müssen innerhalb von 14 Tagen nach ihrer Veröffentlichung installiert werden. Dies beinhaltet relevante Patches für Betriebssysteme und alle installierten Anwendungen. (PCI-Anforderung 6.1)

Anforderung 7: Beschränken Sie den Zugriff auf Karteninhaberdaten nach geschäftlichem Bedarf

Beschränken Sie den Zugriff auf Karteninhaberdaten

Der Zugriff auf die Systemkomponenten und Daten der Karteninhaber von Youcef Yahiaoui und Printymugs ist auf Personen beschränkt, deren Jobs einen solchen Zugriff erfordern. (PCI-Anforderung 7.1)

Die Zugriffsbeschränkungen müssen Folgendes umfassen:

  • Die Zugriffsrechte für privilegierte Benutzer-IDs müssen auf die geringsten Berechtigungen beschränkt werden, die für die Ausübung der Aufgaben erforderlich sind (PCI-Anforderung 7.1.1).
  • Privilegien müssen Personen basierend auf Jobklassifizierung und Funktion zugewiesen werden (auch „rollenbasierte Zugangskontrolle“ genannt) (PCI-Anforderung 7.1.2)


Anforderung 8: Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu

Fernzugriff

Für den Fernzugriff (Zugriff auf Netzwerkebene von außerhalb des Netzwerks) auf das Netzwerk durch Mitarbeiter, Administratoren und Dritte muss eine Zwei-Faktor-Authentifizierung integriert werden. (PCI-Anforderung 8.3)

Lieferantenkonten

Alle Konten, die von Anbietern für die Fernwartung verwendet werden, dürfen nur während des erforderlichen Zeitraums aktiviert werden. Die Remotezugriffskonten des Anbieters müssen während der Verwendung überwacht werden. (PCI-Anforderung 8.5.6)

Anforderung 9: Beschränken Sie den physischen Zugriff auf Karteninhaberdaten

Physische Sicherung aller Medien mit Karteninhaberdaten

Papiermaterialien mit vertraulichen oder sensiblen Informationen (z. B. Papierbelege, Papierberichte, Faxe usw.) unterliegen den folgenden Aufbewahrungsrichtlinien:

  • Alle Medien müssen physisch gesichert sein. (PCI-Anforderung 9.6)
Die interne oder externe Verteilung von Medien jeglicher Art, die Karteninhaberdaten enthalten, muss streng kontrolliert werden. Diese Kontrollen umfassen:

 

  • Medien müssen klassifiziert werden, damit die Sensitivität der Daten bestimmt werden kann (PCI-Anforderung 9.7.1)
  • Medien müssen von einem sicheren Spediteur oder einer anderen genau nachverfolgbaren Versandmethode gesendet werden (PCI-Anforderung 9.7.2)


Es müssen Protokolle geführt werden, um alle Medien zu verfolgen, die aus einem gesicherten Bereich bewegt werden, und die Genehmigung des Managements muss eingeholt werden bevor Sie die Medien verschieben. (PCI-Anforderung 9.8)

Die Speicherung und Zugänglichkeit von Medien mit Karteninhaberdaten muss streng kontrolliert werden. (PCI-Anforderung 9.9)

Datenvernichtung

Alle Medien mit Karteninhaberdaten sind zu vernichten, wenn sie aus geschäftlichen oder rechtlichen Gründen nicht mehr benötigt werden. (PCI-Anforderung 9.10)
Hardcopy-Medien müssen durch Schreddern, Verbrennen oder Auflösen vernichtet werden, damit die Karteninhaberdaten nicht rekonstruiert werden können. Container, in denen Informationen gespeichert sind, die darauf warten, vernichtet zu werden, müssen gesichert werden, um den Zugriff auf den Inhalt zu verhindern. (PCI-Anforderung 9.10.1)

Anforderung 11: Sicherheitssysteme und -prozesse regelmäßig testen

Testen auf nicht autorisierte Wireless Access Points

Mindestens vierteljährlich werden Youcef Yahiaoui und Printymugs Tests durchführen, um sicherzustellen, dass sich in der Umgebung des Karteninhabers keine nicht autorisierten drahtlosen Zugangspunkte befinden. (PCI-Anforderung 11.1)

  • Dieser Test muss alle nicht autorisierten drahtlosen Zugangspunkte erkennen und identifizieren, einschließlich mindestens der folgenden:
  • WLAN-Karten in Systemkomponenten eingesteckt
  • Tragbare drahtlose Geräte, die mit Systemkomponenten verbunden sind (z. B. über USB usw.)
  • Drahtlose Geräte, die an einen Netzwerkanschluss oder ein Netzwerkgerät angeschlossen sind

Wenn eine automatisierte Überwachung verwendet wird (z. B. drahtloses IDS/IPS, NAC usw.), muss sie so konfiguriert werden, dass Warnungen generiert werden.

Die Erkennung nicht autorisierter drahtloser Geräte muss im Incident Response Plan enthalten sein (siehe PCI-Anforderung 12.9).

Schwachstellen-Scans

Mindestens vierteljährlich und nach allen wesentlichen Änderungen im Netzwerk (z. B. Installation neuer Systemkomponenten, Änderungen der Netzwerktopologie, Änderungen der Firewall-Regeln, Produkt-Upgrades) führt die Minnesota State Community und das Technical College auf allen Systemen im Geltungsbereich Schwachstellen-Scans durch. (PCI-Anforderung 11.2)

Interne Schwachstellen-Scans müssen wiederholt werden, bis erfolgreiche Ergebnisse erzielt werden oder bis alle „hohen“ Schwachstellen gemäß der Definition in PCI-Anforderung 6.2 behoben sind. (PCI-Anforderung 11.2.1, 11.2.3)

Die vierteljährlichen Ergebnisse der Schwachstellen-Scans müssen die Anforderungen des ASV-Programmleitfadens erfüllen (z. B. keine Schwachstellen, die vom CVSS höher als 4,0 bewertet wurden und keine automatischen Fehler. Externe Schwachstellen-Scans müssen von einem zugelassenen Scanning-Anbieter (ASV) durchgeführt werden, der von der Zahlungskarte genehmigt wurde Industry Security Standards Council (PCI SSC) (PCI-Anforderung 11.2.2, 11.2.3)

Anforderung 12: Pflegen Sie eine Richtlinie, die sich mit der Informationssicherheit für Mitarbeiter und Auftragnehmer befasst

Sicherheitsrichtlinie

Youcef Yahiaoui und Printymugs erstellen, veröffentlichen, pflegen und verbreiten eine Sicherheitsrichtlinie, die sich mit dem Schutz der Karteninhaberdaten durch das Unternehmen befasst. (PCI-Anforderung 12.1)

Diese Richtlinie muss mindestens jährlich überprüft und bei Bedarf aktualisiert werden, um Änderungen der Geschäftsziele oder des Risikoumfelds widerzuspiegeln. (PCI-Anforderung 12.1.3)

Kritische Technologien

Youcef Yahiaoui und Printymugs legen Nutzungsrichtlinien für kritische Technologien fest (z. B. Fernzugriffstechnologien, drahtlose Technologien, austauschbare elektronische Medien, Laptops, Tablets, persönliche Daten/digitale Assistenten (PDAs), E-Mail und Internetnutzung. (PCI-Anforderung 12.3 .) )

Diese Richtlinien müssen Folgendes enthalten:

  • Explizite Freigabe durch Berechtigte zur Nutzung der Technologien (PCI-Anforderung 12.3.1)
  • Authentifizierung zur Nutzung der Technologie (PCI-Anforderung 12.3.2)
  • Eine Liste aller dieser Geräte und des Personals mit Zugang (PCI-Anforderung 12.3.3)
  • Akzeptable Nutzung der Technologien (PCI-Anforderung 12.3.5)
  • Akzeptable Netzwerkstandorte für die Technologien (PCI-Anforderung 12.3.6)
  • Automatisches Trennen von Sitzungen für Remote-Access-Technologien nach einer bestimmten Zeit der Inaktivität (PCI-Anforderung 12.3.8)
  • Aktivierung von Remote-Access-Technologien für Lieferanten und Geschäftspartner nur bei Bedarf durch Lieferanten und Geschäftspartner, mit sofortiger Deaktivierung nach Gebrauch (PCI-Anforderung 12.3.9)


Sicherheitsverantwortung

Die Richtlinien und Verfahren von Youcef Yahiaoui und Printymugs müssen die Verantwortlichkeiten für die Informationssicherheit für alle Mitarbeiter klar definieren. (PCI-Anforderung 12.4)

Richtlinie zur Reaktion auf Vorfälle

Der Systemsicherheitsadministrator muss Verfahren zur Reaktion auf Sicherheitsvorfälle und zur Eskalation einrichten, dokumentieren und verteilen, um eine rechtzeitige und wirksame Behandlung aller Situationen zu gewährleisten. (PCI-Anforderung 12.5.3)

Ereignisidentifikation

Die Mitarbeiter müssen sich ihrer Verantwortung bei der Erkennung von Sicherheitsvorfällen bewusst sein, um den Vorfallreaktionsplan und die Verfahren zu erleichtern. Alle Mitarbeiter haben die Verantwortung, bei den Verfahren zur Reaktion auf Vorfälle in ihrem jeweiligen Verantwortungsbereich mitzuwirken. Einige Beispiele für Sicherheitsvorfälle, die ein Mitarbeiter bei seinen täglichen Aktivitäten erkennen könnte, sind unter anderem:

  • Diebstahl, Beschädigung oder unbefugter Zugriff (z. B. fehlende Papiere auf dem Schreibtisch, kaputte Schlösser, fehlende Protokolldateien, Alarm eines Wachmanns, Videobeweis eines Einbruchs oder ungeplanten/unberechtigten physischen Zutritts)
  • Betrug - Ungenaue Informationen in Datenbanken, Protokollen, Dateien oder Papieraufzeichnungen


Einen Vorfall melden

Der Systemsicherheitsadministrator sollte unverzüglich über alle vermuteten oder tatsächlichen Sicherheitsvorfälle mit Karteninhaberdaten informiert werden:

Wenden Sie sich an den Systemsicherheitsadministrator, um vermutete oder tatsächliche Vorfälle zu melden. Die Telefonnummer der Internen Revision sollte allen Mitarbeitern bekannt sein und außerhalb der Geschäftszeiten jemanden anrufen.

Niemand sollte mit jemandem außerhalb seines/seiner Vorgesetzten oder des Systemsicherheitsadministrators über Details oder Allgemeines im Zusammenhang mit vermuteten oder tatsächlichen Vorfällen kommunizieren. Die gesamte Kommunikation mit den Strafverfolgungsbehörden oder der Öffentlichkeit wird vom Executive Dean of Technology Solutions koordiniert.

Dokumentieren Sie alle Ihnen bekannten Informationen, während Sie darauf warten, dass der Systemsicherheitsadministrator auf den Vorfall reagiert. Falls bekannt, muss dies Datum, Uhrzeit und die Art des Vorfalls enthalten. Alle Informationen, die Sie uns zur Verfügung stellen, helfen bei der angemessenen Reaktion.

Vorfallreaktion

Die Reaktionen können die folgenden Phasen umfassen oder durchlaufen: Identifizierung, Schweregradklassifizierung, Eindämmung, Beseitigung, Wiederherstellung und Ursachenanalyse, was zu einer Verbesserung der Sicherheitskontrollen führt.

Eindämmung, Beseitigung, Wiederherstellung und Durchführung einer Ursachenanalyse

1. Benachrichtigen Sie die entsprechenden Kartenverbände.

Visa

Stellen Sie die kompromittierten Visa-Konten innerhalb von zehn (10) Werktagen der Visa Fraud Control Group zur Verfügung. Wenn Sie Hilfe benötigen, wenden Sie sich an 1-(650)-432-2978. Kontonummern müssen gemäß den Anweisungen der Visa Fraud Control Group sicher an Visa gesendet werden. Es ist wichtig, dass alle potenziell kompromittierten Konten bereitgestellt werden. Visa wird die kompromittierten Visa-Kontonummern an die Aussteller weitergeben und die Vertraulichkeit von Unternehmens- und nicht öffentlichen Informationen gewährleisten. Informationen zu zusätzlichen Aktivitäten, die durchgeführt werden müssen, finden Sie in der Dokumentation „Was ist bei einer Kompromittierung zu tun“ von Visa. Diese Dokumentation finden Sie unter http://usa.visa.com/download/business/accepting_visa/ops_risk_managemen…

MasterCard

Wenden Sie sich an Ihre Händlerbank, um genaue Informationen darüber zu erhalten, was nach einer Kompromittierung zu tun ist. Details zur Merchant Bank (auch Acquirer genannt) finden Sie im Merchant Manual unter http://www.mastercard.com/us/wce/PDF/12999_MERC-Entire_Manual.pdf. Ihre Händlerbank hilft Ihnen, wenn Sie MasterCard unter 1-(636)-722-4100 anrufen.

Entdecke Karte

Wenden Sie sich an Ihren Kundenbetreuer oder rufen Sie die Support-Hotline von EMAIL an, um weitere Informationen zu erhalten.

2. Benachrichtigen Sie alle notwendigen Parteien. Unbedingt benachrichtigen:

A. Handelsbank

B. Lokales FBI-Büro

C. US-Geheimdienst (wenn Visa-Zahlungsdaten kompromittiert wurden)

D. Lokale Behörden (falls zutreffend)

3. Führen Sie eine Analyse der gesetzlichen Anforderungen zur Meldung von Kompromissen in jedem Staat durch, in dem Kunden betroffen waren. Die folgende Informationsquelle muss verwendet werden: http://www.ncsl.org/programs/lis/cip/priv/breach.htm

4. Sammeln und schützen Sie Informationen im Zusammenhang mit dem Eindringen. Für den Fall, dass eine forensische Untersuchung erforderlich ist, arbeitet der CIO mit der Rechtsabteilung und dem Management zusammen, um geeignete forensische Spezialisten zu identifizieren.

5. Beseitigen Sie die Zugangsmittel des Eindringlings und alle damit verbundenen Schwachstellen.

6. Recherchieren Sie potenzielle Risiken im Zusammenhang mit oder Schäden, die durch die verwendete Eindringmethode verursacht werden.

Ursachenanalyse und gewonnene Erkenntnisse

Spätestens eine Woche nach dem Vorfall treffen sich IT-Mitglieder und alle betroffenen Parteien, um die Ergebnisse jeder Untersuchung zu überprüfen, um die Ursache der Gefährdung zu ermitteln und die Wirksamkeit des Vorfallsreaktionsplans zu bewerten. Überprüfen Sie andere Sicherheitskontrollen, um ihre Angemessenheit für die aktuellen Risiken zu bestimmen. Alle identifizierten Bereiche, in denen der Plan, die Richtlinie oder die Sicherheitskontrolle effektiver oder effizienter gestaltet werden können, müssen entsprechend aktualisiert werden.

Sicherheitsbewusstsein

Youcef Yahiaoui und Printymugs müssen ein formelles Sicherheitsbewusstseinsprogramm einrichten und aufrechterhalten, um alle Mitarbeiter auf die Bedeutung der Sicherheit von Karteninhaberdaten aufmerksam zu machen. (PCI-Anforderung 12.6)

Dienstleister

Youcef Yahiaoui und Printymugs implementieren und pflegen Richtlinien und Verfahren zur Verwaltung von Dienstanbietern. (PCI-Anforderung 12.8)
Dieser Prozess muss Folgendes beinhalten:

  • Führen Sie eine Liste der Dienstleister (PCI-Anforderung 12.8.1)
  • Führen Sie eine schriftliche Vereinbarung mit der Bestätigung, dass die Dienstleister für die Sicherheit der Karteninhaberdaten verantwortlich sind, die die Dienstleister besitzen (PCI-Anforderung 12.8.2)
  • Implementierung eines Prozesses zur Durchführung einer ordnungsgemäßen Due Diligence vor der Beauftragung eines Dienstleisters (PCI-Anforderung 12.8.3)
  • Überwachung des PCI-DSS-Compliance-Status der Dienstanbieter (PCI-Anforderung 12.8.4)



Richtlinie zur akzeptablen Nutzung durch Mitarbeiter für den Umgang mit Zahlungskartendaten

Zweck

Diese Richtlinie ist als Ergänzung zu den Systemrichtlinien, -verfahren und -richtlinien konzipiert, um den PCI DSS SAQ C-Händleranforderungen gerecht zu werden. Diese Richtlinie gilt für alle Youcef Yahiaoui- und Printymugs-Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, und für Benutzer mit Zugriff auf Karteninhaberdaten.

Politik

Alle Mitarbeiter, Systemmitarbeiter oder Auftragnehmer, die berechtigt sind, Geräte zu verwenden, die Karteninhaberdaten verarbeiten oder speichern, müssen die Systemnutzungsrichtlinien, -verfahren und -richtlinien einhalten, einschließlich der Systemrichtlinie 5.22 des Bundesstaates Minnesota .1 Zulässige Nutzung von Computern und Informationstechnologieressourcen.

Youcef Yahiaoui und Printymugs führen eine Liste aller Geräte, die Karteninhaberdaten verarbeiten oder speichern, sowie eine Liste des Personals, das zur Verwendung der Geräte berechtigt ist. Geräte sind mit einem Verwendungszweck, einem Besitzer und deren Kontaktdaten gekennzeichnet. Youcef Yahiaoui und Printymugs führen eine Liste aller Produkte und Dienstleister.

Richtlinien und Verfahren werden gepflegt und implementiert, um Dienstanbieter zu verwalten, die Karteninhaberdaten von Youcef Yahiaoui und Printymugs verarbeiten. Wenn Karteninhaberdaten an Dienstanbieter weitergegeben werden, benötigen Youcef Yahiaoui und printymugs eine schriftliche Bestätigung, dass die Sicherheit der Daten in der Verantwortung des Anbieters liegt. Ein Programm wird implementiert, um die Einhaltung von PCI DSS durch Dienstanbieter zu überwachen.

Zugangskontrolle

Zweck

Diese Richtlinie ist als Ergänzung zu den Systemrichtlinien, -verfahren und -richtlinien konzipiert, um den PCI DSS SAQ C-Händleranforderungen gerecht zu werden. Diese Richtlinie gilt für alle Youcef Yahiaoui- und Printymugs-Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, und für Benutzer mit Zugriff auf Karteninhaberdaten.

Politik

Alle Systeme in der Zahlungsabwicklungsumgebung müssen durch die Verwendung eines eindeutigen Benutzernamens und Passworts geschützt werden. Eindeutige Benutzerkonten weisen darauf hin, dass jedes verwendete Konto einem einzelnen Benutzer und/oder Prozess zugeordnet ist, ohne dass generische Gruppenkonten verwendet werden, die von mehr als einem Benutzer oder Prozess verwendet werden.

Alle mit Betriebssystemen, Datenbanken und/oder Geräten bereitgestellten Standardkonten sollten nach Möglichkeit entweder entfernt, deaktiviert oder umbenannt werden. Alle Konten sollten die PCI-DSS-Kennwortanforderungen erfüllen.

Der PCI-Standard verlangt, dass Passwörter die folgenden Anforderungen erfüllen:

Passwortanforderungen

  • Passwörter müssen mindestens 7 Zeichen und maximal 15 . lang sein
  • Passwörter müssen sowohl numerische als auch alphabetische Zeichen enthalten o Passwörter müssen mindestens alle 90 Tage geändert werden
  • Neue Passwörter dürfen nicht mit den letzten 4 Passwörtern identisch sein o Benutzerkonten innerhalb der Kartendatenumgebung unterliegen ebenfalls den folgenden Anforderungen
  • Wenn 6 Mal ein falsches Passwort eingegeben wird, sollte das Konto gesperrt werden o Die Dauer der Kontosperrung sollte mindestens 30 Minuten betragen. (oder bis ein Administrator es zurücksetzt)
  • Sitzungen, die länger als 15 Minuten inaktiv sind, sollten die erneute Eingabe von Benutzername und Passwort erfordern, um die Sitzung zu reaktivieren


Für Konten innerhalb der Kartendatenumgebung gelten außerdem folgende Anforderungen

  • Falsche Passwortsperr
  1. Konten werden nach 5 fehlgeschlagenen Anmeldeversuchen am System gesperrt
  • Sperrdauer
  1. Nach ungültigen Anmeldeversuchen werden Konten für 30 Minuten aus dem System gesperrt oder bis ein Systemadministrator das Konto entsperrt
  • Leerlaufzeit-Sperrdauer
  1. Remote-Desktop-Sitzungen werden nach einer Stunde Inaktivität beendet
  2. Getrennte Remote-Desktop-Sitzung läuft eine Stunde nach der Trennung ab.


Fernzugriff

Zweck

Diese Richtlinie ist als Ergänzung zu den Systemrichtlinien, -verfahren und -richtlinien konzipiert, um den PCI DSS SAQ C-Händleranforderungen gerecht zu werden. Diese Richtlinie gilt für alle Youcef Yahiaoui- und Printymugs-Systeme, die Karteninhaberdaten speichern, verarbeiten oder übertragen, und für Benutzer mit Zugriff auf Karteninhaberdaten.

Politik

Alle Mitarbeiter, Administratoren oder Lieferanten, denen der Fernzugriff auf die Kartendatenumgebung gewährt wird, müssen mit Zwei-Faktor-Authentifizierung konfiguriert sein. Konten von Drittanbietern sind nur aktiv, solange der Zugriff für den erbrachten Dienst erforderlich ist, und werden während der Verbindung systemgeprüft. Der Fernzugriff durch Dritte sollte unmittelbar nach der Verwendung deaktiviert werden.