מנהלי IT נדרשים להגיב ולעמוד בתיקנה של איגוד חברות האשראי (PaymentCard Industry Data Security Standard) ויכולים למצוא את עצמם מוצפיםבתהליך.

רוב הארגונים אינם מכירים וחיים בשלום עם רוב הדרישות שלהתקן ובפרט דרישה 10.6, צפייה ואבחון של לוגים מכל המערכות בארגון(סביבהאשראי כמובן), למעשה 90% מהחברות שנפרצו נמצאו כי לא עמדו בתקן מה שמוכיחלנו שיש לנהל את התקן על בסיס יומי וכדרך חיים ארגונית, מה הטעם בלסמן vבכל דרישה ולשכח מהפרויקט? בזמן אמת חברות אלו נקנסות בסכומי עתק, מדוברבסופו של דבר במספרי אשראי לא שלנו.

בשנה שעברה, ספקית שירותי אבטחהגדולה פרסמה מחקר המראה כי מעל ל80% מהחברות שנפרצו התעלמו או אפילו לאקראו את הלוגים בצורה שוטפת, נתוני הפרצה הופיעו בלוגים וכמובן לא היה מישיאבחן וימנע את הרע מכל.

אםניהול יומן ולוגים מבוצע היטב הארגוןיכול להפחית באופן משמעותי את הסיכון של פריצה או הפרה, מדוע ארגונים לאמקפידים על ניהול לוגים קבוע? מדוע לא מתמיאים מערכת לוגים מרכזית אשרתסייע בניפוי הלוגים? ההסבר הפשוט הוא ''תהליך'', להתמיד עם דרישה 10.6ולהשאיר אותה באוויר ואו להתמיע מערכת לוגים זה תהליך, מדובר על ניפוי שלמאות אלפים ואפילו מיליונים של לוגים שמשתוללים במערכת - זה מפרך ומצריךזמן.

הגישה הבריאה היא יעילות, לפני הסמכת הלקוח יש לזהות בברור מהמנותר ומה לא, היכן זרם העסקאות והיכן השרתים הרגישים אותם יש לנתר, מעל ל35% מהארגונים לא מבצעים סיגמנטציה נכונה ויעילה של שרתי האשראי(בסיסנתונים ושרתים המשתתפים בתהליך הסליקה/טרנזקציה). אבחון תחום וטווח השרתיםהרגישים הוא הגישה הכללית במטודולוגיה ותקף עבור סטנדרטים אחרים כגון משפט,ביטוח, Sarbanes-Oxley וכדומה.

מיפוי הסביבה והגדרתה:

רצוי כי תהיה לחברה דיאגרמה מעודכנת עד חצי שנה אחרונה ולעדכנה מעת לעת,מיפוי נכון של סביבות הטרנזקציה והסביבה המעורבת בעיבוד או/ו שידור שלנתוני אשראי תקל על החברה פלאים, תחסוך הון ואף תאפשר לנו לחשוב צלול וברוראל תוך המערכת וכיצד לשלב מוצרים במערכת שיצמצמו לנו עלויות נוספות אודרישות נוספות של התקינה.

סביבה גדולה ולא ברורה תגרום לנו לנחות, לרצון עז לסיים את התהליךולהוציא סכומי עתק על שיפורים והקשחות, צמצמו את הסיבבה עי מוצרים יעודיים,תעדו הכל בנהלים, דרשו מאדם אחד לעקוב אחר השינויים של הסביבה ולעדכן אתהדיאגרמה וכמובן לחסוף כסף וזמן.

דרישה 10.6 תקטן משמעותי אם תמפו ותגדירו נכון ויעיל את סביבתכם וכךנכון לשאר הדרישות, לא מעט לקוחות ענק מצאו את עצמם עם סביבה של 3 שרתים:)......(כשיתר הסביבה מורכת מ 450 מחשבים ומעל ל25 שרתים).

בהצלחה!

תגיות המאמר: pci, תקן pci, pci dss, דרישה 106, pcidss, תקן 106, חברות מוסמכות לתקן pci, pci compliant

מקור המאמר: Academics – ספריית המאמרים של ישראל

הדפסת המאמר |

שלח לחבר |

פרסם את המאמר באתרך |

הוסף למועדפים

אודות כותב המאמר:

Thank You!,

NSAP IT-consider IT done?
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE
Mail: BB@nsapIT.com
Phone :1599-599-596
Mobile :+972-50-260-7456
Fax :+972-3-647-9731

USA&CANADA: +1 315-608-6534
United Kingdom: +44 (0)20-3286-3563
Hong Kong: +852-8174-5947

St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel
www.nsapIT.com

מאמרים נוספים מאת Benjamin Baruch

NFC Assessments and Risk Assessments

מאת: Benjamin Baruch | אבטחת מידע | 21/06/11 | 1371 צפיות

Because NFC is a wireless communication interface it is obvious that eavesdropping is an important issue. An attacker can of course use an antenna to also receive the transmitted signals.

חברת Nsap מציעה לך ייעוץ ופילוסופיית אבטחת מידע שמעולם לא הכרתם!

מאת: Benjamin Baruch | אבטחת מידע | 20/06/11 | 1489 צפיות

NSAP הינה ספק שירותי אבטחת מידע מנוהלים המקנה לך כלים לחשיפת חולשות ברשת, אנו נפעל יחד איתך בהתאם למודל התקציבי ונפעל לעבוד מול האינטרס הארגוני ושלך כמנהל IT להשלמת המשימה

3 עובדות על תקן PCI "PCI-DSS"

מאת: Benjamin Baruch | אבטחת מידע | 10/01/11 | 1485 צפיות

3 עובדות על תקן PCI "PCI-DSS" עמידה בתקינת ה PCI הינה מסורבלת לעיתים, הינה תקינה שגדלה ומשפיעה משמעותית בסביבה הטכנית של אותו גורם. התקינה הינה תערובת של תקינות ידועות השמות דגש על תהליך סליקת כרטיסי ארשאי בארגון, להלן עובדות בסיסיות אודות תקן ה PCI-DSS (להלן: "PCI DSS"):

תקן pci למומחי בסיסי נתונים-PCI DSS for Database Professionals

מאת: Benjamin Baruch | אבטחת מידע | 05/12/10 | 1557 צפיות

The Payment Card Industry Data Security Standard (PCI DSS) sets forth the security requirements for organizations that store, process and/or transmit credit or debit card transactions. These requirements stem from a series of significant security incidents affecting databases of consumer credit information over the past decade.

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

מאת: Benjamin Baruch | אבטחת מידע | 15/11/10 | 1473 צפיות

סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

מאת: Benjamin Baruch | אבטחת מידע | 15/11/10 | 1256 צפיות

חברות המוסמכות ליישם את תקן ה PCI בישראל ואירופה

מאת: Benjamin Baruch | אבטחת מידע | 02/11/10 | 1700 צפיות

רבים מהלקוחות תוהים לעצמם מי מוסמך, מי לא מוסמך ומי פג תוקפו. איגוד חברות האשראי (להלן: PCI SSC או Payment Card Industry Security Standards Council) מסמיך מדי שנה חברות אבטחת מידע ליישום התקן, כל חברה והיבשת שאליה הוא משוייך(להלן: REGION), ישראל משוייכת ליבשת אירופה-europe region והחברות המוסמכות בישראל ואירופה רשאיות ליישם את תקן PCI-DSS.

מאמרים נוספים בנושא אבטחת מידע

לגלוש ברשת בביטחה

מאת: אלעד סאעת | אבטחת מידע | 31/07/16 | 1883 צפיות

במאמר הבא נסביר קצת על אבטחת מידע אישי ופרטי שלך ברשת. כיצד נגן על פרטיותינו באמצעות מספר צעדים פשוטים.

דרוש תקציב לאבטחת המידע

מאת: ליאור מזור | אבטחת מידע | 14/02/16 | 1753 צפיות

תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.

מהו תג קרבה וסוגיו השונים

מאת: יוני שוורץ | אבטחת מידע | 02/07/15 | 2373 צפיות

תגי קרבה פועלים בטכנולוגיית RFID. זו טכנולוגיה ותיקה יחסית לזיהוי באמצעות תדרי רדיו, אך בשנים האחרונות היא חוזרת למרכז הבמה. הסיבה העיקרית לכך היא מידת ההתאמה של הטכנולוגיה לשימוש בתוך כרטיסי עובד. בנוסף, בעזרת הטכנולוגיה ניתן לאתר פריטים ולזהות חפצים בצורה אלחוטית וללא צורך בשדה ראייה או מגע ישיר

המקור לדלף מידע בארגונים

מאת: ליאור מזור | אבטחת מידע | 14/03/15 | 10321 צפיות

עובדים בארגון מתוקף תפקידם נחשפים למידע מסווג כגון: מידע רפואי, מידע מסווג אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד. בין אם ניתן להם אישור לגשת למידע או שמדובר בגישה לא מורשית, הדבר עלול להוות בסיס להוצאת המידע מתוך מערכות הארגון השונות למקורות שאינם מורשים. לחלופין, עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר מבלי להיות מודע לכך שהתוכן מסווג ולהוצאת המידע מחוץ לארגון ביודעין או בעקיפין.

מה זה אבטחת מידע? מי אחראי על אבטחת מידע?

מאת: אלכסיי | אבטחת מידע | 18/01/15 | 3295 צפיות

מה זה אבטחת מידע? מי אחראי על אבטחת מידע? ATTGM Consulting חברת אבטחת מידע. www.attgm.com

טיפים ליצירת סיסמאות חזקות

מאת: אלכסיי | אבטחת מידע | 18/01/15 | 3279 צפיות

טיפים ליצירת סיסמאות חזקות, להגברת מודעות אבטחת מידע ומניעת זליגת מידע אישי ורגיש. ATTGM Consulting www.attgm.com חברת אבטחת מידע

כיצד תגנו על אתרכם מפני תקיפת סייבר

מאת: ליאור מזור | אבטחת מידע | 19/07/14 | 3699 צפיות

לוחמת סייבר היא פעולה מלחמתית, הננקטת על ידי מדינה, ארגון טרור וכדומה, על מנת לחדור ולהסב נזק למערכת המחשוב של היריב או למערכות אחרות המסתמכות עליה. לאור הלחימה באזור הדרום במבצע "צוק איתן", בימים האחרונים מתקיימות מתקפות סייבר על ארגונים וחברות שונות במדינת ישראל. בין המתקפות ניתן לראות מתקפות כגון: DOS (Denial Of Service), Defacement (השחתת אתרים) ופישינג (דיוג).

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported