requisitos de registro para PCI para aplicaciones web

12

¿PCI dicta cuánto se debe registrar a nivel de aplicación o simplemente qué no se debe registrar?

Estoy luchando con demasiado registro ahora y algunas personas que piensan que deberíamos tenerlo. Desde el punto de vista de la depuración, encontré un registro excesivo casi inútil en el pasado y estoy de acuerdo con Jeff Atwood solo en la excepción de registro .

Actualmente estoy usando AspectJ para aproximadamente el 99% del registro en las aplicaciones que admito, por lo que no es un gran problema, excepto cuando se revisan los registros para estas excepciones y también que están comenzando a adquirir una buena cantidad de habitación.

    
pregunta Casey 23.12.2010 - 20:45
fuente

2 respuestas

11

Se espera que inicie sesión:

  • Todos los accesos individuales a los datos del titular de la tarjeta
  • Todas las acciones realizadas por cualquier persona con privilegios de administrador o raíz
  • Acceso a todas las pistas de auditoría
  • Intentos de acceso lógico no válidos
  • Uso de mecanismos de identificación y autenticación
  • Inicialización de los registros de auditoría
  • Creación y eliminación de objetos a nivel del sistema

Estos deben registrarse con una fecha verificable & Tiempo (sincronización de tiempo adecuada habilitada) de una manera inmutable. Debe "Conservar el historial de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o recuperable desde la copia de seguridad)".

Querrá ver todo el documento y comprender todos los requisitos secundarios que conforman los 12 grandes. enlace

Para responder a la teoría de Jeff Atwood, sin embargo, y mantener su propia cordura, debe mantener los registros relacionados con PCI DSS separados de los registros de actividad de la aplicación. Yo sugeriría que las excepciones se copien en un servicio de registro separado para que, desde el punto de vista del desarrollador, los registros sean legibles y escasos. Desde el punto de vista de un auditor, sus registros completos pueden ser, bien, completos y usados para reconstruir la actividad.

    
respondido por el Jeff Ferland 23.12.2010 - 21:40
fuente
5

He visto a varias empresas etiquetadas para el cumplimiento nivel 1 lograr el cumplimiento con poco o ningún esfuerzo para modificar el registro de sus aplicaciones más allá de lo que se proporcionó de forma predeterminada. Para obtener una marca de verificación de cumplimiento es probable que pueda hacerlo mostrando muy poco (aunque la inconsistencia del auditor sigue siendo un comodín).

Dicho esto, aquí están los fragmentos de registro relevantes de la Estándar de seguridad de datos de la aplicación de pago (v. 2.0 / Oct 2010) con respecto a actividad de la aplicación de pago :

    
respondido por el Tate Hansen 23.12.2010 - 21:51
fuente

Lea otras preguntas en las etiquetas