下载支付卡行业数据安全标准 (PCI DSS) 的制定旨在增强持卡人数据的安全性。它有助于在全球范围内采用一致的数据安全措施。PCI DSS 提供了旨在保护持卡人数据的技术和操作要求基线。PCI DSS 适用于参与支付卡处理的所有实体,包括商户、处理商、收单机构、发卡机构和服务提供商。它还适用于存储、处理或传输持卡人数据 (CHD) 和/或敏感身份验证数据 (SAD) 的实体。
PCI DSS 对于持卡人数据的安全性有 12 条不同的要求。所有在线或离线接受、存储、处理或传输卡信息的企业都必须遵守这些要求。请参考以下总结。
PCI DSS 概述
| 要求 | 需求描述 |
|---|---|
| 构建和维护安全网络和系统 |
|
| 保护持卡人数据 |
|
| 维护漏洞管理计划 |
|
| 实施强有力的访问控制措施 |
|
| 定期监控和测试网络 |
|
| 维护信息安全政策 |
|
Desktop Central 满足 PCI DSS 3.0 要求
让我们看看企业如何使用 ManageEngine Desktop Central(桌面和移动设备管理解决方案)来遵守 PCI DSS 要求。本文档将帮助 IT 团队了解 ManageEngine 的 Desktop Central 以及它如何帮助满足 PCI DSS 要求。
下表概述了 Desktop Central 满足的 PCI DSS 控制要求。列出的要求描述取自 PCI 安全标准委员会网站:https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf
| 要求 | 需求描述 | Desktop Central如何满足要求? |
|---|---|---|
| 1.4 |
在网络外部连接到 Internet 的任何移动和/或员工拥有的设备(例如员工使用的笔记本电脑)以及也用于访问网络的设备上安装个人防火墙软件。 |
Desktop Central 的软件部署可帮助 IT 管理员安装任何类型的 .exe 或 .msi 应用程序,包括防火墙软件。它将允许 IT 管理员管理和监控应用程序。Windows 和 Mac 均支持此功能。 对于移动设备,Desktop Central 移动设备管理提供了安装防火墙应用程序的功能,并允许 IT 管理员通过库存控制台监控应用程序的状态。此外,应用程序管理将限制用户卸载 Desktop Central 部署的应用程序,无论这些应用程序是员工拥有的还是公司拥有的设备。 |
| 2.1 | 在网络上安装系统之前,请务必更改供应商提供的默认设置并删除或禁用不必要的默认帐户。 |
Desktop Central 允许创建和配置强密码以保护设备并防止入侵者破解设备。 |
| 2.4 |
维护 PCI DSS 范围内的系统组件清单。 |
Desktop Central 定期扫描网络中的桌面/服务器/移动设备,收集硬件和软件详细信息并将其存储在数据库中。然后,IT 管理员将能够以报告的形式获取包含详细信息的最新资产/库存信息。 |
| 5.1 | 在所有经常受恶意软件影响的系统(特别是个人计算机和服务器)上部署防病毒软件。 |
Desktop Central 允许 IT 管理员创建自定义系统组(在本例中为常见受影响的系统),并将防病毒应用程序部署到该特定组,从而确保系统安全。
|
| 5.1.2 |
对于被认为通常不会受到恶意软件影响的系统,请执行定期评估以识别和评估不断演变的恶意软件威胁,以确认此类系统是否继续不需要防病毒软件。 |
Desktop Central 有助于简化防病毒定义更新流程并检查相关带宽成本。它还可以自动执行定义更新,从而节省管理员的时间。除了病毒、木马和蠕虫等传统恶意软件之外,这些防病毒定义更新还包括恶意软件和间谍软件。
|
|
5.2 |
确保所有防病毒机制均保持如下: 保持最新状态 执行定期扫描 生成根据 PCI DSS 要求 10.7 保留的审核日志。
|
Desktop Central可以检测并更新过时的防病毒软件或补丁。 此外,Desktop Central 还提供对 MS Forefront 客户端安全定义的独家支持。
|
| 6.1 | 建立一个流程来识别安全漏洞,使用信誉良好的外部来源获取安全漏洞信息,并为新发现的安全漏洞分配风险评级(例如“高”、“中”或“低”)。 |
Desktop Central 定期扫描组织网络中的系统,识别缺失的补丁,并根据系统风险等级(例如健康、易受攻击和高度易受攻击)安装它们。而且,IT 管理员可以使用 Desktop Central 自定义这些排名。 作为一项补救措施,IT 管理员可以根据等级部署补丁,并确保使用最新补丁来保护系统。 |
| 6.2 |
通过安装适用的供应商提供的安全补丁,确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装重要安全补丁。 |
Desktop Central 补丁管理利用其漏洞扫描和补丁检测功能,根据缺失的 Microsoft 补丁或系统漏洞负责补丁部署。此外,自动补丁部署调度程序有助于在发布后一个月内部署安全补丁(即可以实现自动化来满足这一要求)。 部署补丁后,代理会在系统中应用相关的 Windows 和安全补丁,并更新 Desktop Central 中的状态。状态可以以报告的形式下载以供验证。 |
| 7.1.1 |
定义每个角色的访问需求,包括: 每个角色需要为其工作职能访问的系统组件和数据资源 访问资源所需的权限级别(例如,用户、管理员等)。 |
Desktop Central 的 RBAC(基于角色的访问控制)允许 IT 人员将日常活动委派给具有明确定义的权限级别的选定用户。IT经理可以根据策略需求定制任意数量的角色并分配权限,然后将这些角色与Desktop Central用户关联。
|
| 8.1.4 |
至少每 90 天删除/禁用不活动的用户帐户。 |
如果系统在指定天数内不活动,Desktop Central 会通知 IT 管理员。此通知可确保 IT 管理员及时了解企业网络中系统的状态。不活跃用户信息可以通过报表的形式查看。
|
| 8.1.6 | 通过在不超过六次尝试后锁定用户 ID,限制重复的访问尝试。 |
Desktop Central 的移动设备管理可帮助 IT 管理员设置用户尝试密码次数的允许限制。如果密码尝试次数超过限制,设备中存在的数据将被擦除;这只是为了维护数据机密性。 此外,Desktop Central 还可以帮助跟踪失败的密码尝试次数。 |
| 8.1.7 |
将锁定持续时间设置为至少 30 分钟或直到管理员启用用户 ID。 |
Desktop Central 移动设备管理允许 IT 管理员指定设备屏幕锁定的时间限制。如果设备空闲时间超过允许的时间,系统会自动锁定。
|
| 8.1.8 | 如果会话空闲时间超过15分钟,则要求用户重新认证以重新激活终端或会话。 |
Desktop Central 的电源管理通过在系统处于待机状态时启用提示输入密码的选项来帮助配置系统。当系统恢复时,用户可以进行身份验证。设置的配置可以从一个中央位置部署到多个系统,从而使 IT 管理员能够完全控制。 此外,远程会话设置允许 IT 管理员配置最大空闲会话超时,即如果会话超过空闲时间,会话将断开,并且远程计算机将自动锁定。 |
| 8.2.3 |
密码/短语必须满足以下条件: 要求最小长度至少为七个字符 同时包含数字和字母字符。 |
Desktop Central 移动设备管理允许 IT 管理员定义参数来创建密码策略并配置密码设置,例如数字、字母、密码长度等。 对于系统,Desktop Central 提供了读取密码复杂性的选项。 |
| 8.2.4 | 至少每 90 天更改一次用户密码/密码。 |
Desktop Central 移动设备管理提供了一个选项来指定重置密码的天数。 对于系统,IT 管理员可以在 Desktop Central 中的指定日期配置警报,以通知 IT 团队,团队可以根据该警报采取行动。 |
| 8.2.5 |
不允许个人提交与他或她最近使用的四个密码/短语中的任何一个相同的新密码/短语。 |
Desktop Central 移动设备管理允许在历史记录中维护多个密码,这意味着 IT 管理员可以指定要维护的先前密码的数量,以便用户不会重复使用它们。
|
| 9.7.1 |
妥善维护所有介质的库存日志,并至少每年进行一次介质盘点。 |
Desktop Central 帮助维护硬件设备使用日志,包括 USB 设备日志。该日志信息可以以报告的形式下载,以进行审计并查找“谁在何时做了什么”。
|
| 11.2.1 |
每季度执行内部 |
Patch Manager可以使用Desktop Central进行系统扫描;它会扫描整个系统以查找操作系统中缺失的补丁。报告漏洞级别,包括系统漏洞级别、缺失和适用的补丁、任务状态等详细信息。
|
| 12.2 |
实施风险评估流程: |
Desktop Central提供漏洞扫描和补丁管理解决方案。扫描结果还可以作为报告提供,这有助于识别威胁并让管理员了解最新情况。
|
| 12.3 |
制定关键技术的使用政策并定义这些技术的正确使用。 |
Desktop Central 允许 IT 管理员实施配置密码和限制相机、YouTube、Safari 浏览器等的使用等策略。它还提供对电子邮件、Wi-Fi、VPN 等企业帐户的访问。 Desktop Central 有助于保护和标准化整个网络中的桌面和设备。 |
| 12.3.4 | 一种准确、轻松地确定所有者、联系信息和用途(例如,设备的标签、编码和/或盘点)的方法 |
Desktop Central 的清单模块提供有关网络中存在的系统和设备的硬件和软件详细信息的全面详细信息。 这包括硬件库存详细信息,例如内存、操作系统、制造商、设备类型、外围设备等。软件库存包括黑名单应用程序、许可证合规性和软件计量等详细信息。 |
| 12.3.8 |
在特定时间不活动后自动断开远程访问技术的会话。 |
Desktop Central 远程控制工具中的空闲会话设置可以通过指定空闲会话超时来增强安全性。 IT 管理员可以指定远程会话空闲的最长时间限制。当空闲时间限制超过指定时间时,会话将断开,远程计算机将自动锁定。 |
| 12.3.9 | 仅在需要时为供应商和业务合作伙伴激活远程访问技术,并在使用后立即停用。 |
借助 Desktop Central,IT 管理员可以根据需要创建单独的登录名。完成所需的故障排除或会话后,可以停用会话。
|
| 12.5.2 |
监视和分析安全警报和信息,并分发给适当的人员。 |
借助 Desktop Central 的公告功能,IT 管理员可以根据需要向适当的用户传达信息。
|
| 12.5.4 |
管理用户帐户,包括添加、删除和修改。 |
Desktop Central的RBAC(基于角色的访问控制)将允许配置用户角色,包括角色创建、修改和删除。
|
| 12.5.5 |
监视和控制对数据的所有访问。 |
Desktop Central 使 IT 管理员能够限制媒体设备,例如用于系统的 USB 和用于移动设备的 SD 卡,以确保数据免遭泄露。
|
PCI DSS 合规性的本质是供应商必须展示严格的系统和流程安全措施,以保护持卡人信息。不遵循 PCI DSS 要求的缺点有很多;如果数据泄露影响任何客户的支付卡数据,企业的品牌和声誉可能会受到损害,并且企业可能必须支付重罚。
Desktop Central 帮助企业保持 PCI DSS 合规性。它有助于监控和管理系统和移动设备,并提供粒度级别的报告。
