Se espera que inicie sesión:
- Todos los accesos individuales a los datos del titular de la tarjeta
- Todas las acciones realizadas por cualquier persona con privilegios de administrador o raíz
- Acceso a todas las pistas de auditoría
- Intentos de acceso lógico no válidos
- Uso de mecanismos de identificación y autenticación
- Inicialización de los registros de auditoría
- Creación y eliminación de objetos a nivel del sistema
Estos deben registrarse con una fecha verificable & Tiempo (sincronización de tiempo adecuada habilitada) de una manera inmutable. Debe "Conservar el historial de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para su análisis (por ejemplo, en línea, archivado o recuperable desde la copia de seguridad)".
Querrá ver todo el documento y comprender todos los requisitos secundarios que conforman los 12 grandes. enlace
Para responder a la teoría de Jeff Atwood, sin embargo, y mantener su propia cordura, debe mantener los registros relacionados con PCI DSS separados de los registros de actividad de la aplicación. Yo sugeriría que las excepciones se copien en un servicio de registro separado para que, desde el punto de vista del desarrollador, los registros sean legibles y escasos. Desde el punto de vista de un auditor, sus registros completos pueden ser, bien, completos y usados para reconstruir la actividad.