Justificación para el cumplimiento de PCI DSS

  

Mi pregunta es: para el cumplimiento de PCI DSS es posible tener un   justificación comercial de este incidente, ya que los registros se pierden, o   Qué hacer en este caso.

Puede intentar justificar el motivo por el que perdió los registros, pero con toda honestidad, si no puede mantener una copia segura adecuada de ellos, entonces es discutible si usted (o incluso) cumplió realmente con la norma PCI-DSS. (No sé en qué niveles pretende cumplir)

Dicho esto: Requisito 10.5 de PCI DSS y su los requisitos secundarios describen los métodos que deben emplearse para proteger los registros:

• 10.5 Asegure las pistas de auditoría para que no puedan ser modificadas
• 10.5.1 Limite la visualización de pistas de auditoría a aquellas personas con necesidades relacionadas con el trabajo
• 10.5.2 Proteja las pistas de auditoría de modificaciones no autorizadas
• 10.5.3 Realice una copia de seguridad de los archivos de seguimiento de auditoría en un servidor de registro centralizado o en un medio que sea difícil de modificar
• 10.5.4 Escribir registros para tecnologías externas en un servidor de registro interno o dispositivo de medios seguro y centralizado
• 10.5.5 Use el software de monitoreo de integridad de archivos o de detección de cambios en los registros para garantizar que los datos de registro existentes no se puedan cambiar sin generar alertas (aunque la adición de nuevos datos no debería generar una alerta).

He resaltado los que creo que accidentalmente no cumpliste. Por lo tanto, me aseguraré de que actualice sus políticas y de que tenga implementados los controles adecuados para garantizar que no vuelva a ocurrir. Mientras pueda demostrar sus medidas correctivas, creo que estará bien.