PCI DSS. Вимоги до DLP

Requirements and Testing Procedures. Guidelines

Вимоги та процедури тестування		Настанови
Визначені процедури тестування підходу	Визначені вимоги підходу	Мета Переміщення PAN на несанкціоновані носії є поширеним способом отримання цих даних і їх шахрайського використання. Методи, що гарантують, що лише особи з явним авторизованим правом і законною діловою необхідністю можуть копіювати або переміщувати PAN, знижують ризик доступу до PAN сторонніх осіб. Найкраща практика Копіювання та переміщення PAN повинно виконуватися лише на дозволені носії, які дозволені та санкціоновані для використання цією особою. Визначення Віртуальний робочий стіл є прикладом технології віддаленого доступу. Такі технології часто містять інструменти для блокування можливості копіювання та/або переміщення даних. Пристрої для збереження даних включають, але не обмежуються: - локальні жорсткі диски, - віртуальні диски, - знімні електронні носії, - мережеві накопичувачі та хмарне сховище. Додаткова інформація Документація постачальника для технологій віддаленого доступу може містити інформацію про налаштування системи, необхідні для виконання цієї вимоги.
3.4.2 При використанні технологій віддаленого доступу технічні засоби контролю повинні запобігати копіюванню та/або переміщенню PAN для всього персоналу, за винятком тих, хто має документоване, явне авторизоване право і законну, визначену ділову необхідність.	3.4.2.a Перевірити документовані політики та процедури та отримати докази наявності технічних засобів контролю, що запобігають копіюванню та/або переміщенню PAN за допомогою технологій віддаленого доступу на локальні жорсткі диски або знімні електронні носії, щоб підтвердити наступне: Технічні засоби контролю запобігають копіюванню та/або переміщенню PAN усім особам, які не мають спеціально наданого дозволу. Ведеться список персоналу, якому дозволено копіювати та/або переміщувати PAN, разом із документованим, явним дозволом і законною, визначеною діловою необхідністю.
Ціль налаштованого підходу
PAN не може бути скопійований або переміщений неавторизованими особами за допомогою технологій віддаленого доступу.
Примітки щодо застосування	3.4.2.b Перевірити конфігурацію налаштувань для технологій віддаленого доступу, щоб підтвердити наявність технічних засобів контролю, які блокують можливість копіювання та/або переміщення PAN для всього персоналу, крім тих, хто має дозвіл. 3.4.2.c Спостерігати за діями персоналу та перевірити, чи вони відповідають документованим політикам і вимогам, щоб підтвердити, що лише особи з дозволом мають можливість копіювати та/або переміщувати PAN за допомогою технологій віддаленого доступу.
Збереження або переміщення PAN на локальні жорсткі диски, знімні електронні носії та інші пристрої виводить ці пристрої в сферу дії PCI DSS. Ця вимога є найкращою практикою до 31 березня 2025 року, після чого вона стане обов’язковою і повинна бути повністю врахована під час оцінки PCI DSS.

🪟 На стартову сторінку