fuentes de tiempo aceptadas por la industria

4

El requisito 10.4.3 de PCI DSS solicita a:

  

Examine las configuraciones de los sistemas para verificar que el (los) servidor (es) de tiempo acepten actualizaciones de tiempo de fuentes externas específicas aceptadas por la industria (para evitar que una persona maliciosa cambie el reloj) ...

¿Por qué solo son aceptables las fuentes de tiempo externas? Si restringo el acceso a la fuente de tiempo interna, ¿dónde está el peligro? Necesito usar una fuente de tiempo interna. ¿Puede sugerir ideas para compensar los controles de este requisito?

    
pregunta BokerTov 24.08.2016 - 08:03
fuente

3 respuestas

2

Esto no es diferente de otros aspectos de la red y la configuración del sistema. PCI se ocupa principalmente de la separación de tareas, por lo que el administrador del sistema no es también el dba y tampoco es el desarrollador, y la capacidad de auditoría, por lo que los cambios se registran y aprueban y la implementación coincide con la política. Así que los sitios pueden ejecutar servidores NTP internos. Demostrar que existe una política formal para su uso, que están bajo la custodia suficiente para ser precisos y confiables, que los cambios en su configuración pasan por la administración de cambios y que los hosts en el espacio PCI no pueden utilizar la fuente interna aprobada. .

    
respondido por el Jonah Benton 24.08.2016 - 15:28
fuente
2

Si su servidor de tiempo NTP interno está utilizando un receptor GPS, la sincronización de tiempo del receptor GPS está utilizando técnicamente un satélite como fuente de tiempo externa, lo que se consideraría una fuente de tiempo externa válida aunque no esté usando un dispositivo externo. Servidor NTP.

Todo lo que mencionó Johna B también es correcto, pero también hay otras formas de crear controles de compensación según el tipo de entorno que tenga.

Un control de compensación para garantizar la hora exacta sería tener un segundo sistema (no administrado por la persona que administra el servidor de hora) que verifica y registra la hora de los diferentes servidores de hora internos en períodos de tiempo aleatorios no menos que cada 60 segundos para asegurarse de que los servidores de tiempo no hayan sido alterados y para alertar al personal si se produce un cambio o un cambio en los relojes. Esto aseguraría que la hora de una de las fuentes de tiempo internas no haya sido alterada y le proporcione una pista de auditoría para el reloj. Del mismo modo, registre todos los accesos a los servidores de tiempo y asegúrese de que estén bien asegurados, que tengan un registro externo y que todos los demás controles PCI estándar aún deban estar instalados en estos sistemas.

El PCI-DSS 3.2 10.4.1.a sí especifica que los relojes deben estar sincronizados con el Tiempo Atómico Internacional.

Como siempre, PCI no es una ley y su QSA tiene la última palabra en la aprobación de su ROC.

Actualización: Además de la recomendación de sebastian nielsen a continuación, también hay una amplia gama de otras soluciones de sincronización que podrían sincronizarse con el Tiempo Atómico Internacional y también ser 100% internas durante bastante tiempo con resultados de tiempo muy precisos. Muchas de las soluciones vendidas por proveedores como esta podrían usarse de diferentes maneras:

enlace

    
respondido por el Trey Blalock 24.08.2016 - 17:29
fuente
-1

La razón por la que necesita sincronizar el servidor de tiempo con una fuente externa es solo eso, auditabilidad. Como otros han señalado aquí, un receptor GPS es una fuente externa válida. El uso de un receptor GPS o una fuente de radio de tiempo es, de hecho, una forma preferida de los servidores de tiempo administrado en escenarios con espacio de aire, ya que esto significa que no se pueden filtrar datos confidenciales del área con espacio de aire, y que no se pueden filtrar datos maliciosos área con huecos de aire.

Sí, un adversario malintencionado podría modificar el tiempo dentro del área con espacio de aire enviando señales de radio o GPS falsas, pero nada más.

NO dice que debes dejar que las conexiones del servidor de tiempo salgan del límite de las PCI DSS, simplemente dice que debes mantener el reloj en sincronía con la hora mundial.

La razón por la que no puede simplemente "ejecutar su propio servidor de tiempo interno, sin espacios de aire" sin ningún medio para recibir nada del exterior en absoluto, es porque imagina que ocurre una violación. Luego cooperas con la policía y atrapan al hacker. Imagínese entonces que todos sus registros están completamente sincronizados internamente, pero su servidor de tiempo interno está a 1 minuto del tiempo externo.

Y ahora, el criminal tiene una coartada, digamos que el pirata informático fue, según los registros oficiales, detenido por la policía por presunto conductor ebrio, pero luego fue encontrado inocente, en el momento exacto en que ocurrió la violación. fuerte>

Ahora, tu evidencia es básicamente inválida, porque muestra algo que no pudo pasar.

Es por eso que necesita sincronizar su servidor de tiempo a una fuente externa. La fuente externa que se use, no importa, siempre y cuando sea "aceptada por la industria", por ejemplo, una forma común de sincronizar los servidores de tiempo, que sea sólida desde una perspectiva de aplicación de la ley.

Si ABSOLUTAMENTE debe mantener el área de PCI DSS con espacio de aire por una razón, digamos que dentro de una bóveda gruesa, puede proporcionar servicios de tiempo de todos modos, al tener un receptor de tiempo externo (que recibe señales de un receptor GPS o similar) , que luego emitirá PPS (Pulso por segundo) a través de un láser que se pulsa en una pequeña ventana * en la bóveda, y dentro de la bóveda, tiene un receptor, que sincronizará el servidor de tiempo interno. (y, por lo tanto, el servidor de tiempo interno solo avanzará en el pulso láser, y si el servidor de tiempo externo se desvía del tiempo mundial, se corregirá al enviar pulsos más rápidos o más lentos)

* Esta ventana también debe abrirse de manera que no comprometa la seguridad de la bóveda.

Tenga en cuenta que también necesita un medio para sincronizar inicialmente el servidor de tiempo interno si va en esta ruta.

Esto no tiene nada que ver con la separación de deberes. La separación de tareas solo es necesaria si maneja una cantidad de transacciones que lo hacen necesario.

Si una compañía de un solo hombre procesa los datos de la tarjeta de crédito, se aceptará el de un solo trabajo, pero solo para una pequeña cantidad de transacciones, donde el riesgo de corrupción es bajo.

Lo que dijo Trey Blalock acerca de tener 2 servidores de tiempo internos que se registran entre sí, no administrados por los mismos administradores del sistema, no se aceptaría como control de compensación, porque no tiene medios para garantizar que esta hora esté correctamente sincronizada con la hora mundial. Sí, puedes sincronizarlos desde una fuente externa de forma manual, pero eso significaría que el servidor de tiempo entretanto se desviará del mundo.

Sin embargo, un control de compensación sería tener un OCXO (oscilador de cristal compensado por horno) que una vez se sincroniza con el tiempo externo, antes de ingresar al área de PCI DSS. Este OCXO también podría sellarse con sellos a prueba de manipulaciones.

Pero tenga en cuenta que también una desviación de OCXO con el tiempo, y necesita ser revisada y resincronizada periódicamente.

    
respondido por el sebastian nielsen 25.08.2016 - 02:38
fuente

Lea otras preguntas en las etiquetas