Tenemos una tarea abierta ahora mismo para implementar UAC y el seguimiento de registro de eventos correspondiente para que nuestros desarrolladores instalen software en sus máquinas. Me han preguntado si almacenar / analizar estos registros de forma centralizada es un requisito para el cumplimiento de PCI.
No soy más que un huevo. He hojeado el documento PCI-DSS 3.1, pero no he encontrado nada definitivo. ¿Qué debo hacer?
Estoy de acuerdo con Shane Andrie. Las máquinas de desarrollo consideradas en el alcance de PCI son bastante aterradoras. Prefiero verlos fuera del alcance, independientemente de los requisitos de registro.
Para responder a su pregunta: Sí , almacenar los registros de forma centralizada es un requisito de PCI. Consulte el requisito 10.5 (excl 10.5.5).
10.5.1 Limite la visualización de pistas de auditoría a aquellas personas con necesidades relacionadas con el trabajo.
10.5.2 Proteger los archivos de seguimiento de auditoría de modificaciones no autorizadas.
10.5.3 Realice rápidamente una copia de seguridad de los archivos de seguimiento de auditoría en un servidor de registro centralizado o en un medio que sea difícil de modificar.
10.5.4 Escribir registros de tecnologías externas en un servidor de registro interno o dispositivo de medios seguro y centralizado.
Respuesta corta; Sí, los registros deben conservarse durante un año, y los registros de los últimos 3 meses deben ser fáciles de acceder. Mucho más detalle en el siguiente enlace.
Stack Exchange: qué registros se deben conservar para pci-dss