PCI SAQ C

Oversikt over hvilke tiltak vi gjør i Cardholder Data Environment (som er definert til å være okkupasjon) for å møte kravene i PCI SAQ C 3.2, sist utfylt 2016-10-20.

PunktResponsKommentar
1.2.1 a-b Y iptables lokalt på okkupasjon; skal kun ha tilgang til security.d.o, debian.s.n, clamav-oppdatering, PayEx, Postgres på cirkus, HTTPS og SSH fra kjente steder, samt ICMP
1.2.3 Y Se 1.2.1; ingen trafikk til okkupasjon (bortsett fra HTTPS) er tilgjengelig fra WLANet
1.3.3 Y Se punkt 1.2.1
1.3.5 Y Se punkt 1.2.1
1.3.6 Y Se punkt 1.2.1
2.1a Y Det er ikke noe nettverksutstyr mellom CDE og Internett (siden brannveggen er på okkupasjon selv). Uansett bytter vi alltid defaultpassord på utstyr.
2.1b Y Se 2.1a
2.1.1 a-e NA Det er ingen WLAN koblet til okkupasjon
2.2a Y okkupasjon er konfigurert til å kun tillate SSH2, kun sterk kryptografi i HTTPS, SSL-tilkoblinger til cirkus, pakkeinstallasjon er alltid signert i Debian
2.2b Y Det er tjeneransvarligs ansvar å installere oppdaterte pakker eller korrigere konfigurasjon når nye sikkerhetissues oppstår, innen to dager. Det opprettes sak i RT når det kommer oppdateringer som er relevante for okkupasjon.
2.2c Y Når vi en sjelden gang reinstallerer okkupasjon, kopierer vi relevant konfigurasjon fra forrige installasjon
2.2d Y Vi har ingen unødvendige konti. okkupasjon har kun én oppgave. Kun nødvendige tjenester kjører. okkupasjon kjører ingen tjenester som krever ekstra sikkerhet. Det er liten eller ingen mulighet til å misbruke okkupasjon, blant annet fordi tilgang til maskinen er svært begrenset.
2.2.1a Y okkupasjon har kun én oppgave.
2.2.1b NA okkupasjon er ikke virtualisert og er ikke vert for virtuelle gjester
2.2.2a Y Se punkt 2.2a og 2.2d
2.2.2d Y okkupasjon har ingen usikre tjenester
2.2.3 Y Se 2.2.2d
2.2.4a Y Stillingen som tjeneransvarlig krever gode kunnskaper om å sikre maskiner og tjenester
2.2.4b Y Standardkonfigurasjonen hos Debian, og de endringene vi bruker, regnes å ha adekvat sikkerhet
2.2.4c Y Se 2.2a
2.2.5a Y Det kjører ingen unødvendige tjenester på okkupasjon, se også 2.2.4b
2.2.5b Y Wikien dokumenterer okkupasjon-oppsett. Se også 2.2a
2.2.5c Y Ja, se også 2.2d
2.3a Y okkupasjon tillater kun SSH2. Ingenting på okkupasjon aksepterer passord eller kommandoer utenfor krypterte kanaler.
2.3b Y okkupasjon kjører ikke telnet eller andre usikre tjenester
2.3c NA Vi har ingen web-baserte admingrensesnitt på okkupasjon
2.3d Y SSH2 er industristandard. Både host- og user-nøkler er > 1024 bit.
2.3e NA Det er ingen POS-terminaler i CDE, og okkupasjon har ingen oppsett som aksepterer SSL eller TLS1.0.
2.3f Y Se 2.3e
2.5 Y okkupasjon har ingen vendor defaults. Oppsettet er dokumentert i wikien. Kun tjeneransvarlig, Billigansvarlig, gjengsjef og personell som er spesielt egnet og behov har tilgang til okkupasjon. Vi forventer tilstrekkelige kunnskaper om sikker konfigurering av alle disse. Det holdes kurs om oppsettet til nytt personell.
3.2c Y Vi lagrer aldri sensitive autentiseringsdata ved pålogging eller bruk av okkupasjon
3.2.1 NA Vi har aldri kortet fysisk, og kan derfor aldri lagre innholdet på magnetstripene
3.2.2 Y Koden lagrer aldri, under noen omstendighet (heller ikke under feilsøking) CVC2
3.2.3 NA Vi får aldri PIN, dermed er det aldri mulighet for å lagre den
3.3 Y Trunkert PAN (siste fire siffer) lagres i databasen. Vi lagrer aldri full PAN. Personell med tilgang til å søke opp ordre kan se trunkert PAN, som er nødvendig for å bekrefte kundens identitet ved spørsmål om eierskap til billetter. Personell som har adgang til å se dette kurses alltid før de får tilgang. Det er advarsler i brukergrensesnittet for bruk av trunkert PAN.
4.1a Y Kortdata sendes over det åpne Internett fra kunden til oss, og så fra oss til PayEx. Tilkoblingene er alltid over HTTPS (TLS).
4.1b Y Ingen systemer på okkupasjon er konfigurert til å akseptere selvsignerte eller usignerte sertifikater. Vi bruker Debians standard CA-liste når vi validerer PayEx' sertifikat.
4.1c Y Ingen systemer på okkupasjon er konfigurert til å bruke usikre utgaver av protokoller. Se også 1.2.1a; vi nekter utgående tilkoblinger på port 80
4.1d Y Inngående HTTPS støtter kun sterk kryptografi med TLS, setter HSTS til langt frem i tid. Liste over støttede sifre, hashfunksjoner og TLS/SSL-utgaver er begrenset, og i tråd med eller strengere enn gjeldende industristandard
4.1e Y okkupasjon tar kun imot kortdata over HTTPS, og sender dem kun til PayEx over HTTPS. (For sikkerhets skyld er alt annet brannvegget bort, se 1.2.1a.)
4.1f NA Vi har ingen POS POI-terminaler
4.1g NA Ingen systemer bruker SSL eller TLS1.0
4.1.1 NA Vi sender aldri kortdata over WLAN, og CDEet har uansett ikke noe WLAN
4.2b Y Vi ber aldri brukere om å sende kortnummer (PAN) over noen messaging-protokoll. Brukerstøttepersonell er kjent med dette, og kurses før de får tilgang.
5.1 Y okkupasjon kjører clamav og rkhunter nattlig. Debian er uansett en plattform med kjente, relevante virus.
5.1.1 NA with CCW clamav og rkhunter rapporterer om virus og annen malware, men kan ikke fjerne dem. Fjerning må skje av personell.
5.1.2 Y Vi vurderer løpende og daglig nye trusler, på IRC og i møter
5.2a Y clamav har ukentlig oppdatering
5.2b Y Se 5.1
5.2c Y Både clamav og rkhunter logger til syslog
5.3 Y clamav kjører med cron. Kun root kan slå den av eller på. Ingen var våre rutiner krever at antivirus slås av.
6.1 Y Det gjelder generelt at alle trusler vi finner regnes som seriøse. Kilder for informasjon er primært Debian Security Advisories, men følger også med på vanlige informasjonskilder i industrien. Billig-ansvarlig og tjeneransvarlig er ansvarlige for å vurdere risiko for sårbarheter.
6.2a Y Sikkerhetsoppdateringer skal installeres innen to dager fra de er tilgjengelige fra leverandøren, Debian.
6.2b Y Se 6.2a. Det opprettes også sak i saksbehandlingssystemet når oppdateringer er tilgjengelig, slik at vi kan spore hvor lang tid det har gått.
6.4.6 Y "Best practice" inntil Januar 2018.
7.1.2 Y Det er bare personell med særs behov som har tilgang til okkupasjon
7.1.3 Y Se 7.1.2
8.1.1 Y Ved bruk av brukernavn
8.1.5a NA Ingen eksterne har aksess til okkupasjon.
8.1.5n NA Se 8.1.5a
8.1.6 Y Implementert med pam_tally
8.1.7 Y Cf. 8.1.6
8.1.8 Y Implementert med ClientAliveInterval
8.2 Y Gjort i form av 2-faktor login (ssh-nøkkel + passord)
8.2.3 Y Implementert med pam_cracklib
8.2.4 Y Implementert i /etc/login.defs linje 160-162
8.2.5 Y Implementert med pam_cracklib. Merk at vi har økt passord-kompleksitet for å kunne endre passord kun hvert år i stedet for hver tredje måned.
8.3 Y All administrativ tilgang til okkupasjon gjøres over SSH2, med tofaktor: Personlig passord, samt personlig SSH-nøkkel (som i sin tur skal oppbevares kryptert på énbrukersystemer og være beskyttet med passord)
9.1 Y Gjort i form av både kortlåssystem og nøkkellås.
9.1.1 Y Vi bruker kortlåsen for å begrense tilgang, samt for å spore hvem som har kortet seg inn. Vi går aldri gjennom dataen, og vi korrelerer heller ikke dataen. Vi lagrer dataen i 2 mnd, som begrenset av norsk lov.
9.1.2 Y okkupasjon er i ett eget lukkede lokale med begrenset tilgang. Det er ingen fysiske nettplugger tilgjengelig i CDEet (siden det er begrenset til okkupasjon)
9.5 NA Vi distribuerer aldri fysiske media fra okkupasjon, og vi har aldri media med cardholder data
9.6a NA Se 9.5
9.6.1-3 NA Se 9.5
9.7 NA Se 9.5
9.8a NA Se 9.5
9.8.1a Y Se 9.5 (burde vært NA her)
9.8.1b Y Se 9.5
9.9a-c NA Vi har ingen enheter som er i kontakt med kortet.
9.9.1a-c NA Se 9.9a-c
9.9.2a-b NA Se 9.9a-c
9.9.3a-b NA Se 9.9a-c
10.2.2 Y Det blir lagret hvilke kommandoer en kjører, både med/uten sudo. sudo logger til auth.log, kommandoer kjørt direkte som root i roots .bash_history
10.2.4 Y Vi logger alle påloggingsforsøk med syslog.
10.2.5 Y Vi logger alt som gjøres av root. Endringer i /etc lagres uansett med etckeeper
10.3.1 Y Identifisering og tilleggsinfo (tidspunkt, hvem, fra hvor, etc) logges til /var/log/auth.log
10.3.2 Y Se 10.3.1
10.3.3 Y Se 10.3.1
10.3.4 Y Se 10.3.1
10.3.5 Y Se 10.3.1
10.3.6 Y Se 10.3.1
10.6.1b0 Y okkupasjon kjører logcheck i paranoid-modus, som sender epost om sikkerhetshendelser til RT
10.6.2b0 Y Se 10.6.1b
10.6.3b Y Anomalier blir saker i RT, som blir gjennomgått fortløpende
10.7b Y logrotate tar vare på relevante logger (syslog, auth.log, apache-logger) i ett år
10.7c Y Alle logger er tilgjengelige i ett år på okkupasjon
11.1a NA Ingen trådløsnett koblet til CDE
11.1b NA Se 11.1a
11.1c NA Se 11.1a
11.1d NA Se 11.1a
11.1.1 NA Se 11.1a
11.1.2a NA Se 11.1a
11.1.2b NA Se 11.1a
11.2.1a Y Nattlig scan av okkupasjon med OpenVAS
11.2.1b Y Det lages RT-saker av rapporter hver gang CVE-scoren endres i OpenVAS; Billig-ansvarlig og tjeneransvarlig har ansvar for å gjøre tiltak til ingen sårbarheter har høyere rating enn 3.0
11.2.1c Y Søk blir gjort av ITKere, som alle er kvalifiserte.
11.2.2a Y Trustkeeper er ASV, med kvartalmessig scanning
11.2.2b Y Vi gjør tiltak frem til scanningen ikke lenger har sårbarheter høyere rating enn 4.0
11.2.2c Y Se 11.2.2a
11.2.3a Y Vi endrer veldig sjelden oppsettet vårt. Når dette dog gjøres blir det gjort ekstraordinær ekstern scanning.
11.2.3b Y Vi gjør søk og endringer til det ikke oppdages flere feil.
11.2.3c Y Søk blir gjort av ITKere, som alle er kvalifiserte
11.3.4a NA Vi gjør ikke segmentering av nettet for CDEet
11.3.4b NA Se 11.3.4a
11.3.4c Y Gjennomført av Trustwave og OpenVAS.
11.5a Y Vi har etckeeper or rkhunter installert på okkupasjon.
11.5b Y rkhunter og etckeeper varsler over epost
11.5.1 Y Billigansvarlig og tjeneransvarlig har ansvar for å respondere på ukjente endringer. Se også IC-plan.
12.1 Y Se Billig sikkerhetspolicy
12.1.1 Y Noden blir oppdatert, og blir gjenomgått av ny Billigansvarlig, som er minst årlig.
12.3.1 Y Tilgang til CDE gis på person-til-person-basis, og personene gjøres kjent med hvilke krav som gjelder for utstyret som brukes. Billig sikkerhetspolicy gjelder for slikt utstyr.
12.3.2 Y Se 12.3.1
12.3.3 Y Listen over hvem som har tilgang til okkupasjon er listen over personlige brukere på boksen
12.3.5 Y Se 12.3.1
12.3.6 Y All administrativ adgang til okkupasjon er begrenset til å være fra et sett maskiner på nettverket vårt
12.3.8 Y bash-skall på okkupasjon er satt til å time ut etter 15 minutter (TMOUT)
12.3.9 Y Burde vært NA, vi gir aldri tilgang til tredjepart
12.4 Y Billig sikkerhetspolicy
12.5.3 Y ITK har ansvaret for insidenthåndtering, inkludert eskalering og rapportering. ITKs gjengsjef har det øverste ansvaret.
12.6a Y Det kreves kurs i Billig-sikkerhet for tilgang til CDE. Se også Billig sikkerhetspolicy.
12.8.1 Y Vi holder alltid oversikt over hvilke underleverandører vi bruker i Billig sikkerhetspolicy.
12.8.2 Y Administrasjonen holder de underskrevne utgavene av avtalen som omhandler dette.
12.8.3 Y Ja, prosessen er at all kommunikasjon med underleverandørene skal skje via saksbehandlingssystemet, og til etablerte kontaktpunkter
12.8.4 Y Dette sjekker vi årlig
12.8.5 Y Denne listen
12.10.1a Y
12.10.1b-1 Y
12.10.1b-2 Y
12.10.1b-3 Y
12.10.1b-4 Y
12.10.1b-5 Y
12.10.1b-6 Y
12.10.1b-7 Y

Lenker: Start, billig, billig sikkerhetspolicy

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2016-11-14 18:51 | Revisjon: 40 (historie, blame) | Totalt: 1420 kB | Rediger