PCI DSS 之 Incident Response Plan
2018/09/07
Incident Response Plan 是 PCI DSS 的事故應變計畫,一般簡稱 IRP,條文的主項目要求在 12.10,子項目共 6 點,分別為 12.10.1 ~ 12.10.6,主要在說明應實施事故應變計畫,而且必須能對系統缺失造成的事故,能有立即性的回應。
PCI DSS 的 IRP 與其他資訊安全管理系統 (如 ISO 27001) 的事件事故管理,其最大的差異首先是 12.10.3 要求,必須指定專責人員,對於 24/7 的告警能有適時的回應或處理;再者是 12.10.5 要求,必須有且不僅於intrusion-detection(IDS), intrusion-prevention(IPS), firewalls, and file-integrity monitoring(FIM) 等系統告警機制,也就是說 PCI DSS 的 IRP 其對於執行面的要求強度遠高於資訊安全管理系統。
此外 12.10.1 要求,對於 IRP 的實施,要有人員的角色、職掌及系統遭入侵時的聯繫與溝通策略,也包含對於卡組織的通報機制及依各卡別公司 (如 VISA、MASTER) 所要求的回應報告。其他的要求對於資料備份、業務復原、營運持續等文件化要求與資訊安全管理制度差異不大。
至於 12.10 的其他要求為,關於安全漏洞的回應責任、提供員工適當的訓練、每年至少檢視及演練 (或測試) 一次 IRP ,以期能於公司過往的經驗及事故後的學習,發展及修訂更完善的事故應變計畫 (IRP)。
安律資深顧問林宜鴻表示,在我們輔導的諸多客戶中,大部分的公司總認為 IRP 演練只要資訊部門同仁 (系統管理者、網路管理者、資料庫管理者) 參加即可,頂多再補上開發人員與客服窗口,因為程序文件通常只是大框架的說明人員角色、職掌,以及簡要的提到該做哪些事。然而當資深顧問在設計一個持卡人資料外洩的模擬情境發佈後,客服往往會發現,要不要往上回報的基準在程序文件內並沒說明、回報給誰也沒釐清、能不能立刻請資訊部門調查,還是不論如何乾脆直接回報給總經理,都是演練過程中的挑戰。
因此每當安律顧問引導客戶進行 IRP 演練時,總需耗費心力規劃一個貼切於客戶業務的可能事故情境,並帶領客戶進行符合 PDI DSS 要求的通報及處理。
安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司
如欲知詳情請前往以下官網
https://www.securevectors.com/zh-hant/pci-dss/
#PCIDSS #PCISSC #QSA (Qualified Security Assessors) #VISA#Master #SAQ(Self-Assessment Questionnaire) #AOC (Attestation of Compliance)#ASV (Approved Scanning Vendors) #卡組織 #IDS #IPS#IRP #FIM