PCI DSSPayment Card Industry - Data Security Standard (PCI-DSS)

Rješenja

U zadnje vrijeme sve više standarda donosi smjernice kako podići sigurnost informacijskih sustava, a jedan od njih je i PCI-DSS (Payment Card Industry – Data Security Standard). Razvijen je od konzorcija vodećih kartičnih kuća (Visa, American Express, MasterCard…) u svrhu učinkovitije zaštite važnih kartičnih podataka, a s ciljem smanjivanja broja prevara i povećavanja sigurnosnih standarda u kompanijama koje u svom poslu procesiraju ili pohranjuju podatke s kreditnih kartica.

PCI DSS standard se sastoji od 12 sigurnosnih zahtjeva raspoređenih u 6 kontrolnih točaka prema sljedećoj tablici:

PCI DSS kontrolna točka PCI DSS zahtjev SQL Server 2008 funkcionalnost
Izgradnja i održavanje sigurne računalne mreže 1. Instalirati i održavati konfiguracije vatrozida s ciljem zaštite korisničkih podataka N/A
  2. Ne koristiti predefinirane sigurnosne postavke i pristupne lozinke Built-in
Zaštita kartičnih podataka 3. Zaštititi pohranjene kartične podatke TDE & EKM
  4. Koristiti mehanizme enkripcije prilikom prijenosa kartičnih podataka putem javnih komunikacijskih mreža SSL & Extended Protection feature
Održavanje programa upravljanja ranjivostima 5. Koristiti i redovno ažurirati antivirusni softver N/A
  6. Razvijati i održavati sigurne sustave i aplikacije N/A
Implementacija snažnih kontrola pristupa 7. Dozvoliti pristup kartičnim podacima po principu -
samo onima koji moraju znati
Role based access
  8. Dodijeliti jedinstveni identitet svakom korisniku
računalnog sustava
Windows authentication
  9. Ograničiti fizički pristup kartičnim podacima N/A
Redovno nadgledanje i testiranje računalnih
mreža
10. Pratiti i registrirati svaki pristup mrežnim
resursima i kartičnim podacima
SQL Auditing
  11. Redovno testirati sigurnosne sustave i procese N/A
Održavanje politike informacijske sigurnosti 12. Održavati politiku informacijske sigurnosti N/A

Microsoft SQL Server 2008 (R2) donosi nove funkcionalnosti:
• SQL server Auditing (server and database level)
• TDE (Transparent Data Encryption)
• EKM (Extensible Key Management)

Microsoft SQL server pravilnom implementacijom navedenih funkcionalnosti omogućava da zaštitite svoje podatke prema PCI DSS standardu ili prema opće prihvaćenim sigurnosnim standardima.

Tvrtka Safenet (http://www.safenet-inc.com/) svojim setom proizvoda LUNA HSM i DataSecure nadopunjuje set funkcionalnosti SQL servera i omogućuje:
• Eksternu pohranu kriptografskih ključeva
• FIPS 140-2 Level 3 standard
• Column level encryption (DataSecure)

IT Sistemi, kroz svoje konzultantske i sistem integracijske usluge,  pomoći će Vam u stjecanju PCI DSS certifikata i povećanju sigurnosti vaše tvrtke.