PCI SAQ C
Oversikt over hvilke tiltak vi gjør i Cardholder Data Environment (som er definert til å være okkupasjon) for å møte kravene i PCI SAQ C 3.2.1, sist utfylt 2020-09-07.
| Punkt | Respons | Kommentar | Sjekk |
|---|---|---|---|
| 1.2.1 a-b | Y | iptables lokalt på okkupasjon; skal kun ha tilgang til security.d.o, debian.s.n, clamav-oppdatering, PayEx, Postgres på cirkus, HTTPS og SSH fra kjente steder, samt ICMP | /usr/local/sbin/iptables-setup.sh |
| 1.2.3 | Y | Se 1.2.1; ingen trafikk til okkupasjon (bortsett fra HTTPS) er tilgjengelig fra WLANet | |
| 1.3.4 | Y | Se punkt 1.2.1 | |
| 1.3.5 | Y | Se punkt 1.2.1 | |
| 2.1a | Y | Det er ikke noe nettverksutstyr mellom CDE og Internett (siden brannveggen er på okkupasjon selv). Uansett bytter vi alltid defaultpassord på utstyr. | |
| 2.1b | Y | Se 2.1a | |
| 2.1.1 a-e | NA | Det er ingen WLAN koblet til okkupasjon (folk kan kjøpe billetter fra WLAN, men da altså bare over HTTPS) | |
| 2.2a | Y | okkupasjon er konfigurert til å kun tillate SSH2, kun sterk kryptografi i HTTPS, SSL-tilkoblinger til cirkus, pakkeinstallasjon er alltid signert i Debian | /etc/ssh/sshd_config, /etc/apache2/apache2.conf, /etc/apache2/mods-enabled/ssl.conf |
| 2.2b | Y | Unattended-upgrades er installert. Når kritiske svakheter offentliggjøres som ikke er i apt enda, gjør vi en vurdering på å installere dem manuelt | /etc/apt/apt.conf.d/50unattended-upgrades |
| 2.2c | Y | Når vi en sjelden gang reinstallerer okkupasjon, kopierer vi relevant konfigurasjon fra forrige installasjon | |
| 2.2d | Y | Vi har ingen unødvendige konti. okkupasjon har kun én oppgave. Kun nødvendige tjenester kjører. okkupasjon kjører ingen tjenester som krever ekstra sikkerhet. Det er liten eller ingen mulighet til å misbruke okkupasjon, blant annet fordi tilgang til maskinen er svært begrenset (merk at root login og logins med tomt passord avvises av sshd). | /etc/passwd, /etc/shadow, /etc/ssh/sshd_config |
| 2.2.1a | Y | okkupasjon har kun én oppgave. | |
| 2.2.1b | NA | okkupasjon er ikke virtualisert og er ikke vert for virtuelle gjester | |
| 2.2.2a | Y | Se punkt 2.2a og 2.2d | systemctl, /etc/cron.*, /etc/rc.local |
| 2.2.2b | Y | okkupasjon har ingen usikre tjenester | |
| 2.2.3 | Y | Se 2.2.2b | |
| 2.2.4a | Y | Stillingen som tjeneransvarlig krever gode kunnskaper om å sikre maskiner og tjenester | |
| 2.2.4b | Y | Standardkonfigurasjonen hos Debian, og de endringene vi bruker, regnes å ha adekvat sikkerhet | |
| 2.2.4c | Y | Se 2.2a | |
| 2.2.5a | Y | Det kjører ingen unødvendige tjenester på okkupasjon, se også 2.2.4b | |
| 2.2.5b | Y | Wikien dokumenterer okkupasjon-oppsett. Se også 2.2a | |
| 2.2.5c | Y | Ja, se også 2.2d | |
| 2.3a | Y | okkupasjon tillater kun SSH2. Ingenting på okkupasjon aksepterer passord eller kommandoer utenfor krypterte kanaler. | |
| 2.3b | Y | okkupasjon kjører ikke telnet eller andre usikre tjenester | |
| 2.3c | NA | Vi har ingen web-baserte admingrensesnitt på okkupasjon | |
| 2.3d | Y | SSH2 er industristandard. Både host- og user-nøkler er > 2048 bit. | |
| 2.5 | Y | okkupasjon har ingen vendor defaults. Oppsettet er dokumentert i wikien. Kun tjeneransvarlig, Billigansvarlig, gjengsjef og personell som er spesielt egnet og behov har tilgang til okkupasjon. Vi forventer tilstrekkelige kunnskaper om sikker konfigurering av alle disse. Det holdes kurs om oppsettet til nytt personell. | |
| 3.2c | Y | Vi lagrer aldri sensitive autentiseringsdata ved pålogging eller bruk av okkupasjon | |
| 3.2.1 | NA | Vi har aldri kortet fysisk, og kan derfor aldri lagre innholdet på magnetstripene | |
| 3.2.2 | Y | Koden lagrer aldri, under noen omstendighet (heller ikke under feilsøking) CVC2 | |
| 3.2.3 | NA | Vi får aldri PIN, dermed er det aldri mulighet for å lagre den | |
| 3.3 | Y | Trunkert PAN (siste fire siffer) lagres i databasen. Vi lagrer aldri full PAN. Personell med tilgang til å søke opp ordre kan se trunkert PAN, som er nødvendig for å bekrefte kundens identitet ved spørsmål om eierskap til billetter. Personell som har adgang til å se dette kurses alltid før de får tilgang. Det er advarsler i brukergrensesnittet for bruk av trunkert PAN. | |
| 4.1a | Y | Kortdata sendes over det åpne Internett fra kunden til oss, og så fra oss til PayEx. Tilkoblingene er alltid over HTTPS (TLS) | curl -v http://samfundet.no |
| 4.1b | Y | Ingen systemer på okkupasjon er konfigurert til å akseptere selvsignerte eller usignerte sertifikater. Vi bruker Debians standard CA-liste når vi validerer PayEx' sertifikat. | |
| 4.1c | Y | Ingen systemer på okkupasjon er konfigurert til å bruke usikre utgaver av protokoller. Se også 1.2.1a | |
| 4.1d | Y | Inngående HTTPS støtter kun sterk kryptografi med TLS, setter HSTS til langt frem i tid. Liste over støttede sifre, hashfunksjoner og TLS/SSL-utgaver er begrenset, og i tråd med eller strengere enn gjeldende industristandard | crikus:/etc/varnish/default.vcl, /etc/apache2/apache2.conf |
| 4.1e | Y | okkupasjon tar kun imot kortdata over HTTPS, og sender dem kun til PayEx over HTTPS. (For sikkerhets skyld er alt annet brannvegget bort, se 1.2.1a.) | |
| 4.1.1 | NA | Vi sender aldri kortdata over WLAN, og CDEet har uansett ikke noe WLAN | |
| 4.2b | Y | Vi ber aldri brukere om å sende kortnummer (PAN) over noen messaging-protokoll. Brukerstøttepersonell er kjent med dette, og kurses før de får tilgang. | |
| 5.1 | Y | okkupasjon kjører clamav og rkhunter nattlig. Debian er uansett en plattform med kjente, relevante virus. | |
| 5.1.1 | NA with CCW | clamav og rkhunter rapporterer om virus og annen malware, men kan ikke fjerne dem. Fjerning må skje av personell. | |
| 5.1.2 | Y | Vi vurderer løpende og daglig nye trusler, på IRC og i møter. Tjeneransvarlig følger med på debian-security-annonce | |
| 5.2a | Y | clamav har ukentlig oppdatering | |
| 5.2b | Y | Se 5.1 | |
| 5.2c | Y | Både clamav og rkhunter logger til syslog | |
| 5.3 | Y | clamav kjører med cron. Kun root kan slå den av eller på. Ingen var våre rutiner krever at antivirus slås av. | |
| 6.1 | Y | Det gjelder generelt at alle trusler vi finner regnes som seriøse. Kilder for informasjon er primært Debian Security Advisories, men følger også med på vanlige informasjonskilder i industrien. Billig-ansvarlig og tjeneransvarlig er ansvarlige for å vurdere risiko for sårbarheter. | |
| 6.2a | Y | Sikkerhetsoppdateringer fra Debian skal installeres automatisk med unattended-upgrades. Tjeneransvarlig følger med på debian-security-announce for å vurdere om vi må støvle okkupasjon for kjerneoppdateringer | |
| 6.2b | Y | Se 6.2a. Det opprettes også sak i saksbehandlingssystemet når kjerneoppdateringer er tilgjengelig, slik at vi kan spore hvor lang tid det har gått. Ikke-støvlingskrevende oppdateringer installeres som nevnt automatisk med apt, og monitoreres med munin | |
| 6.4.6 | Y | Beskrevet i sikkerhetspolicy | |
| 7.1.2 | Y | Det er bare personell med særs behov som har tilgang til okkupasjon | |
| 7.1.3 | Y | Se 7.1.2 | |
| 8.1.1 | Y | Ved bruk av brukernavn | |
| 8.1.5a | NA | Ingen eksterne har aksess til okkupasjon. | |
| 8.1.5b | NA | Se 8.1.5a | |
| 8.1.6 | Y | Implementert med pam_tally2 | /etc/pam.d/su |
| 8.1.7 | Y | Cf. 8.1.6 | |
| 8.1.8 | Y | Implementert med ClientAliveInterval | /etc/ssh/sshd_config |
| 8.2 | Y | Gjort i form av 2-faktor login (ssh-nøkkel + passord) | |
| 8.2.3(a) | Y | Implementert med pam_cracklib | /etc/pam.d/common-password |
| 8.2.4(a) | Y | Implementert i /etc/login.defs linje 160-162. Merk at vi har økt passord-kompleksitet for å kunne endre passord kun hvert år i stedet for hver tredje måned. | /etc/login.defs |
| 8.2.5(a) | Y | Implementert med pam_unix | /etc/pam.d/common-password |
| 8.2.6 | NA | Passord lages av brukeren selv rett i okkupasjon, eller ved at brukeren hasher passordet sitt og får det lagt inn i /etc/passwd. Vi bruker ingen midlertidige passord | |
| 8.3.1 | Y | All administrativ tilgang til okkupasjon gjøres over SSH2, med tofaktor: Personlig passord, samt personlig SSH-nøkkel (som i sin tur skal oppbevares kryptert på énbrukersystemer og være beskyttet med passord) | |
| 8.3.2 | Y | Se 8.3.1 | |
| 8.4a | Y | Relevant personell kurses, se Billig sikkerhetspolicy | |
| 8.4b | Y | Se 8.4a | |
| 8.5 | Y | Det eksisterer ingen fellesbrukere | /etc/passwd, /etc/shadow |
| 8.8 | Y | Se Billig sikkerhetspolicy | |
| 9.1 | Y | Gjort i form av både kortlåssystem og nøkkellås. | |
| 9.1.1 | Y | Vi bruker kortlåsen for å begrense tilgang, samt for å spore hvem som har kortet seg inn. Vi går aldri gjennom dataen, og vi korrelerer heller ikke dataen. Vi lagrer dataen i 90 dager, som begrenset av norsk lov. | |
| 9.1.2 | Y | okkupasjon er i ett eget lukkede lokale med begrenset tilgang. Det er ingen fysiske nettplugger tilgjengelig i CDEet (siden det er begrenset til okkupasjon) | |
| 9.5 | NA | Vi distribuerer aldri fysiske media fra okkupasjon, og vi har aldri media med cardholder data | |
| 9.6a | NA | Se 9.5 | |
| 9.6.1-3 | NA | Se 9.5 | |
| 9.7 | NA | Se 9.5 | |
| 9.8a | NA | Se 9.5 | |
| 9.8.1a | NA | Se 9.5 | |
| 9.8.1b | NA | Se 9.5 | |
| 9.9a-c | NA | Vi har ingen enheter som er i kontakt med kortet. | |
| 9.9.1a-c | NA | Se 9.9a-c | |
| 9.9.2a-b | NA | Se 9.9a-c | |
| 9.9.3a-b | NA | Se 9.9a-c | |
| 10.2.2 | Y | Det blir lagret hvilke kommandoer en kjører, både med/uten sudo. sudo logger til auth.log, kommandoer kjørt direkte som root i roots .bash_history | |
| 10.2.4 | Y | Vi logger alle påloggingsforsøk med syslog. | /etc/ssh/sshd_config |
| 10.2.5 | Y | Vi logger alt som gjøres av root. Endringer i /etc lagres uansett med etckeeper | |
| 10.3.1 | Y | Identifisering og tilleggsinfo (tidspunkt, hvem, fra hvor, etc) logges til /var/log/auth.log | /var/log/auth.log |
| 10.3.2 | Y | Se 10.3.1 | |
| 10.3.3 | Y | Se 10.3.1 | |
| 10.3.4 | Y | Se 10.3.1 | |
| 10.3.5 | Y | Se 10.3.1 | |
| 10.3.6 | Y | Se 10.3.1 | |
| 10.6.1b | Y | okkupasjon kjører logcheck i server-modus, som sender epost om sikkerhetshendelser til billig-drift@samfundet.no | /etc/logcheck |
| 10.6.2b | Y | Se 10.6.1b | |
| 10.6.3b | Y | Anomalier sendes til billig-drift@samfundet.no, som blir gjennomgått fortløpende | |
| 10.7b | Y | logrotate tar vare på relevante logger (syslog, auth.log, apache-logger) i ett år, inkludert i backup. | /etc/logrotate.d |
| 10.7c | Y | Alle relevante logger er tilgjengelige i minst tre måneder på okkupasjon. | |
| 11.1a | NA | CDE består kun av én maskin, og det eksisterer dermed ikke noe CDE-nett å koble trådløsnett til | |
| 11.1b | NA | Se 11.1a | |
| 11.1c | NA | Se 11.1a | |
| 11.1d | NA | Se 11.1a | |
| 11.1.1 | NA | Se 11.1a | |
| 11.1.2a | NA | Se 11.1a | |
| 11.1.2b | NA | Se 11.1a | |
| 11.2.1a | Y | Kvartalvis skann med OpenVAS | |
| 11.2.1b | Y | Hvis en skann med OpenVAS gir score høyere enn 3.0, utbedres dette av serveransvarlig | |
| 11.2.1c | Y | Søk blir gjort av ITKere, som alle er kvalifiserte. | |
| 11.2.2a | Y | Trustkeeper er ASV, med månedlig scanning | |
| 11.2.2b | Y | Vi gjør tiltak frem til scanningen ikke lenger har sårbarheter høyere rating enn 4.0 | |
| 11.2.2c | Y | Se 11.2.2a | |
| 11.2.3a | Y | Vi endrer veldig sjelden oppsettet vårt. Når dette dog gjøres blir det gjort ekstraordinær ekstern scanning. | |
| 11.2.3b | Y | Vi gjør søk og endringer til det ikke oppdages flere feil. | |
| 11.2.3c | Y | Søk blir gjort av ITKere, som alle er kvalifiserte | |
| 11.3.4a | NA | Vi gjør ikke segmentering av nettet for CDEet | |
| 11.3.4b | NA | Se 11.3.4a | |
| 11.3.4c | Y | Gjennomført av Trustwave og OpenVAS. | |
| 11.5a | Y | Vi har etckeeper or rkhunter installert på okkupasjon. | |
| 11.5b | Y | rkhunter og etckeeper varsler over epost | |
| 11.5.1 | Y | Billigansvarlig og tjeneransvarlig har ansvar for å respondere på ukjente endringer. Se også Krisehåndtering. | |
| 12.1 | Y | Se Billig sikkerhetspolicy | |
| 12.1.1 | Y | Noden blir oppdatert, og blir gjenomgått av ny Billigansvarlig og gjengsjef, som er minst årlig. | |
| 12.3.1 | Y | Tilgang til CDE gis på person-til-person-basis, og personene gjøres kjent med hvilke krav som gjelder for utstyret som brukes. Billig sikkerhetspolicy gjelder for slikt utstyr. | |
| 12.3.2 | Y | Se 12.3.1 | |
| 12.3.3 | Y | Listen over hvem som har tilgang til okkupasjon er listen over personlige brukere på boksen | |
| 12.3.5 | Y | Se 12.3.1 | |
| 12.3.6 | Y | All administrativ adgang til okkupasjon er begrenset til å være fra et sett maskiner på nettverket vårt | |
| 12.3.8 | Y | bash-skall på okkupasjon er satt til å time ut etter 15 minutter (TMOUT) | |
| 12.3.9 | NA | Vi gir aldri tilgang til tredjepart | |
| 12.4 | Y | Billig sikkerhetspolicy | |
| 12.5.3 | Y | ITK har ansvaret for insidenthåndtering, inkludert eskalering og rapportering. ITKs gjengsjef har det øverste ansvaret. Se Krisehåndtering | |
| 12.6a | Y | Det kreves kurs i Billig-sikkerhet for tilgang til CDE. Se også Billig sikkerhetspolicy. | |
| 12.8.1 | Y | Vi holder alltid oversikt over hvilke underleverandører vi bruker i Billig sikkerhetspolicy. | |
| 12.8.2 | Y | Administrasjonen holder de underskrevne utgavene av avtalen som omhandler dette. | |
| 12.8.3 | Y | Ja, prosessen er at all kommunikasjon med underleverandørene skal skje via saksbehandlingssystemet, og til etablerte kontaktpunkter | |
| 12.8.4 | Y | Dette sjekker vi årlig, se Billig sikkerhetspolicy | |
| 12.8.5 | Y | Denne listen. | |
| 12.10.1a | Y | Se Krisehåndtering. | |
| 12.10.1(b-1) | Y | Serveransvarlig har hovedansvar. Billigansvarlig kontaktes om det er relevant Krisehåndtering | |
| 12.10.1(b-2) | Y | Respons er definert i Krisehåndtering | |
| 12.10.1(b-3) | Y | Vi har pushover, og får systemet i gang fortest mulig | |
| 12.10.1(b-4) | Y | Gjenopretting fra backup står i Krisehåndtering | |
| 12.10.1(b-5) | Y | Informere Payex og Swedbank står i Krisehåndtering | |
| 12.10.1(b-6) | Y | Vi får opp igjen alle kritiske systemer | |
| 12.10.1(b-7) | Y | se 12.10.1(b-5) | |
| A2.1 | NA | Ingen POS-Terminaler eller SSL/Early TLS | |
| A2.2 | NA | Se A2.1 |
Lenker: Start, billig, billig sikkerhetspolicy, billig stripe, pci dss sjekkliste
Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2020-11-04 12:16 | Revisjon: 54 (historie, blame) | Totalt: 1886 kB | Rediger