Periodos de retención para los registros web

5

Trabajo para un ASP que proporciona soluciones bancarias

  • Tarjeta
  • Servicios
  • Pagos
  • ACH
  • Banca en línea
  • Y otros

Historia anterior: Nuestra compañía proporciona una solución "todo en uno" o partes de ella, estamos limitados por las agencias reguladoras. Uno de los problemas que hemos encontrado, es la retención. Nos detienen para investigar fraudes, transacciones similares a fraudes, etc. Específicamente, mi Gerente me ha preguntado acerca de la retención de weblogs. Su pregunta se centró en la actualización FFIEC 2.0. Al hablar con nuestro Gerente de Cumplimiento, no pudimos encontrar nada específico para discutir la retención de datos. La mayor parte de la información que he visto en el sitio web de FFIEC se centra en las prácticas comerciales y no en TI o Tecnología. Sin embargo, cuando redacté originalmente esta publicación, vi un artículo bastante relevante relacionado con este tema, pero es para PCI. También entiendo que con mi pregunta, tiene pinceladas muy amplias en el sentido de que abrí esta pregunta regulatoria no solo al sector financiero sino también a la atención médica (HIPPA).

Al redactar esta publicación, he visto el tema: Datos Leyes de retención para los ISP en América del Norte así como ¿Cuál es la mejor duración para almacenar el correo electrónico? pero esta pregunta está más en línea con las agencias reguladoras específicas que se enumeran a continuación.

Necesidad de saber si existen requisitos reglamentarios para la retención de registros del servidor web para:

  • SAS-70
  • FFIEC
  • SOX
  • HIPPA

Capturamos información de inicio de sesión y se nos ha informado que debemos mantener los datos forenses durante al menos 365 días y los datos por hora durante al menos 30 días.

Por ejemplo, no se pudo encontrar nada que justifique esto en el sitio web de FFIEC. Estoy seguro de que hay guías que abordan esto.

Otras referencias relacionadas con esto Estándar de seguridad de datos de la industria de tarjetas de pago (PCI) página 28

Requisitos de registro para PCI para aplicaciones web

¿Alguna otra idea o sugerencia?

    
pregunta Leptonator 01.03.2014 - 18:38
fuente

2 respuestas

5

La mayoría de las leyes y regulaciones no prescriben marcos de tiempo específicos para conservar los registros. Por ejemplo, los Horarios de Control de Registros (RCS) de los Archivos Nacionales varían según el tipo de documento y son ajustables por misión de la agencia y la legislación orgánica. Si no puede encontrar algo mejor, los RCS FEDERALES son una base autorizada para especificar marcos de tiempo de retención. El artículo de David Swifts en la Sala de lectura SANS SIEM exitoso y las estrategias de gestión de registros para auditoría y cumplimiento proporcionan una guía detallada y cuidadosa.

  

Un principio general de cumplimiento es tener una política escrita. Los auditores luego verifican para confirmar que se sigue la política escrita. Definiendo   y documentando nuestros eventos de interés (EOI), y proporcionando una copia escrita a los auditores, mejoramos nuestro cumplimiento general y cumplimos con nuestro requisito de una política escrita. Entonces, en lugar de estar sujeto a la interpretación de alguien más   El reglamento, siempre que tengamos un conjunto legítimo de definiciones de EOI, se medirá según un estándar acordado.

Asegúrese de incluir a sus auditores en esta decisión o enfrentar la posibilidad de un hallazgo adverso más adelante. Si se niegan a participar, documéntelo por escrito; No cuente con que los auditores "recuerden" más tarde. Los acuerdos verbales solo valen el papel en el que están escritos. También documente cuidadosamente el proceso de decisión (reuniones, referencias, participantes y declaraciones de políticas) para evitar los resultados negativos años más tarde. Los tres insumos críticos para preparar la documentación para las auditorías son: acciones, actores y artefactos.

Tenga en cuenta que los registros conforme al enjuiciamiento legal de un mal actor ampliarán sus requisitos de retención por años más allá de la condena de los perpetradores, incluso para incluir el término de su condena en caso de que las audiencias de libertad condicional se aseguren.

El Apéndice 2 de RSA Best Practices in Log Management for Security and Compliance citado por schroeder tiene una lista completa de eventos y expectativas de cumplimiento.

    
respondido por el WaltHouser 13.03.2014 - 19:18
fuente
3

SOX tiene un requisito de 7 años .

Este SANS Whitepaper (2010) puede no ser autoritario, pero resalta la matriz de mejores prácticas entre varios requisitos.

    
respondido por el schroeder 10.03.2014 - 22:14
fuente

Lea otras preguntas en las etiquetas