确保Desktop Central符合支付卡行业(PCI)数据安全标准

支付卡行业数据安全标准(PCI DSS)是为了提高持卡人数据的安全性而开发的。它促进了在全球范围内采用一致的数据安全措施。PCI DSS为设计的技术和操作要求提供了一个基准。PCI DSS适用于支付卡处理涉及的所有实体,包括商家、处理机构、收单机构,发行机构和服务提供商。它也适用于存储、处理或传输持卡人数据(CHD)和/或敏感认证数据(SAD)的实体。

在PCI DSS下,关于持卡人数据的安全性有12种不同的要求。在线/离线接受、存储、处理或传输卡信息的所有企业都必须遵守要求。请参考以下摘要。

PCI DSS概述

需求 需求描述
构建并维护安全的网络和系统
  • 安装并维护防火墙配置,以保护持卡人数据
  • 不使用供应商提供的默认系统密码和其他默认安全参数
保护持卡人数据
  • 保护已存储的持卡人数据
  • 加密在开放的公共网络中传输的持卡人数据
维护漏洞管理程序
  • 保护所有系统免受恶意软件的侵害,并定期更新杀毒软件或程序
  • 开发并维护安全系统和应用程序
实施严格的访问控制措施
  • 据业务需要限制对持卡人数据的访问
  • 识别和验证对系统组件的访问
  • 限制对持卡人数据的物理访问
定期监控和测试网络
  • 跟踪并监视对网络资源和持卡人数据的所有访问
  • 定期测试安全系统和流程
维护信息安全政策
  • 维护针对所有人员的信息安全策略

Desktop Central满足PCI DSS 3.2要求

让我们看看企业如何使用ManageEngine Desktop Central(桌面和移动设备管理解决方案)来满足PCI DSS要求。本文档将帮助IT团队了解ManageEngine的Desktop Central及其如何满足PCI DSS要求。

下表概述了Desktop Central满足的PCI DSS控制要求。列出的需求描述来自PCI安全标准委员会网站:https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf

需求 需求描述 Desktop Central如何实现这些需求?
1.4

在任何移动设备和/或员工拥有的设备上安装个人防火墙软件,这些设备可以在网络之外连接到互联网(例如,员工使用的笔记本电脑),也可以用来访问网络。

Desktop Central的软件部署可帮助IT管理员安装任何类型的.exe或.msi应用程序,包括防火墙软件。它将允许IT管理员管理和监视应用程序。Windows和Mac均支持此功能。

对于移动设备,Desktop Central“移动设备管理”提供了安装防火墙应用程序的功能,并使IT管理员可以通过资产清单控制台监视应用程序的状态。此外,应用程序管理将限制用户卸载Desktop Central部署的应用程序,无论它们是员工自有设备还是公司设备。

2.1 在网络上安装系统前,更改供应商提供的默认值,并删除或禁用不必要的默认账户。

Desktop Central允许创建和配置强密码以保护设备安全并防止设备被入侵。

2.3

使用强加密对所有非控制台管理访问进行加密。使用诸如SSH、VPN或TLS等技术进行基于Web的管理和其他非控制台管理访问。

通过Desktop Central,IT管理员可以保护Desktop Central服务器与代理之间的通信安全。您甚至可以导入第三方安全证书并禁用旧版本TLS。
2.4

维护PCI DSS下的所有系统资产清单。

Desktop Central定期扫描网络中的台式机/服务器/移动设备,以收集硬件和软件详细信息并将其存储在数据库中。然后,IT管理员将能够以具有粒度级详细信息的报表的形式获取最新的资产/资产清单信息。
5.1 在经常受恶意软件影响的系统(特别是个人电脑和服务器)上部署杀毒软件。

Desktop Central允许IT管理员创建系统的自定义组(在这种情况下,通常是受影响的系统),并将杀毒软件应用程序部署到该特定组,以确保系统安全。

 

5.1.2

对于被认为通常不受恶意软件影响的系统,执行定期评估是否有新的恶意威胁,以确认此类系统是否仍不需要杀毒软件。

Desktop Central可简化杀毒软件的更新过程,并检查相关的带宽成本。它还可以自动执行更新,从而节省管理员的时间。杀毒软件更新中,除传统的恶意软件(如病毒、特洛伊木马和蠕虫)外,还包括恶意软件和间谍软件更新。

 

5.2

确保维护所有防病毒机制:

保持最新

执行定期扫描

生成根据PCI DSS Requirement 10.7保留的审计日志

 

Desktop Central可以检测和更新过时的杀毒软件或补丁。

此外,Desktop Central还为MS Forefront Client Security Definitions提供独家支持。

 

6.1 建立一个过程来识别安全漏洞,使用可靠的外部安全漏洞来源,并为新发现的安全漏洞评估风险等级(例如,“高”、“中”或“低”)。

Desktop Central定期扫描组织网络中的系统,识别缺失的补丁,并根据系统风险等级(如健康、有漏洞和高危)进行修复。并且,IT管理员可以使用Desktop Central来自定义健康性等级。

IT管理员可以根据风险等级部署补丁,并确保为系统安装最新补丁。

6.2

通过安装供应商提供的安全补丁,确保所有系统组件和软件免受已知漏洞的伤害。在发布后一个月内安装关键的安全补丁。

借助其漏洞扫描和补丁检测功能,Desktop Central“补丁管理”可以根据缺失的补丁或系统漏洞来管理补丁部署。此外,“自动补丁程序部署”可在补丁发布后的一个月内帮助部署安全补丁(即可以通过自动化来满足此要求)。

部署补丁后,代理将在系统中应用相关的安全补丁,并更新执行的状态。IT管理员可以下载安装状态报表验证计算机的实际安装状态。

7.1.1

定义每个角色的访问需求,包括:

每个角色因工作需要而要访问的系统组件和数据资源。

访问资源所需的权限级别(例如,用户、管理员等)。

Desktop Central的RBAC(基于角色的访问控制)使IT人员可以将日常活动委派给其他具有明确权限的技术员。IT管理员可以根据策略需要定制任意数量的角色并分配权限,然后将这些角色与Desktop Central用户关联。

 

8.1.4

至少每90天删除/禁用非活动用户账户。

如果系统在指定的天数内处于非活动状态,Desktop Central会通知IT管理员。使IT管理员了解所管的设备状态。不活动的用户信息可以以报表的形式查看。

 

8.1.6 限制登录尝试次数,重复多次尝试即锁定用户ID。

Desktop Central的“移动设备管理”可帮助IT管理员为用户设置允许的密码尝试次数限制。如果密码尝试次数超过限制,设备数据将被擦除,以保护数据安全性。

此外,Desktop Central可帮助记录密码尝试失败的次数。

8.1.7

将锁定时间设置为至少30分钟,或直到管理员取消锁定用户ID。

通过Desktop Central“移动设备管理”,IT管理员可以指定锁定设备屏幕的时间。如果设备空闲时间超过设定的时间,设备将自动锁定。

 

8.1.8 如果会话空闲时间超过15分钟,则要求用户重新进行身份验证以重新激活终端或会话。

Desktop Central的电源管理提供“待机唤醒后需要输入密码”选项,用户在系统唤醒时进行身份验证。设置的配置可以从统一的控制台部署到多个系统,这为IT管理员提供了完全的控制权。

此外,远程会话设置允许IT管理员设置最大空闲会话超时,即如果会话超过了空闲时间,则将断开连接,且远程计算机将自动锁定。

8.2.3

密码/口令必须符合以下条件:

要求至少七个字符的长度

包含数字和字母字符

Desktop Central“移动设备管理”允许IT管理员创建密码策略,如数字、字母、密码长度等。

Desktop Central提供读取密码复杂度的选项。

8.2.4 至少每90天更改用户密码/口令。

Desktop Central“移动设备管理”提供指定要重置密码的周期的选项。

IT管理员可以在Desktop Central中配置指定日期的告警,以通知IT团队可以根据告警提示修改密码/口令。

8.2.5

不允许使用与最近四个密码/口令相同的新密码/口令。

Desktop Central“移动设备管理”允许在历史记录中保留几个密码,IT管理员可以指定要保留的先前密码的数量,限制用户重复使用。

 

8.3.1和8.3.2

为所有对CDE具有非控制台管理访问/远程访问权限的人员解决多因素身份验证问题。

Desktop Central使您能够启用双因素身份验证,以提示用户输入一次性密码(OTP)和默认密码。Desktop Central支持电子邮件和Google验证器两种模式的双因素身份验证。

 

9.7.1

维护媒体的资产清单日志,且至少每年进行一次媒体盘点。

Desktop Central可帮助维护硬件设备使用日志,包括USB设备日志。可以以报表的形式下载此日志信息以进行审计,并查找“谁在何时何地做了什么”。

 

11.2.1

每季度执行漏洞扫描并根据需要手动扫描,直到解决所有“高风险”漏洞(如需求6.1中所述)为止。扫描必须由有权限的技术员执行。

使用Desktop Central执行系统扫描,将会查找操作系统中缺失的补丁,并生成漏洞级别的详细信息,包括系统漏洞级别、缺失和适用的补丁、任务状态等。

 

12.2

实施风险评估流程:
至少每年执行一次,还要在环境发生重大变化时执行。

识别关键资产、威胁和漏洞,并在正式的风险评估中得出结论。

Desktop Central提供漏洞扫描和“补丁管理”解决方案。扫描结果将生成多维度安全报表,这有助于识别威胁并了解最新安全状态。

 

12.3

制定重要功能的使用限制策略,并帮助用户正确使用指定功能。

Desktop Central使IT管理员可以实施策略,例如配置密码和限制使用摄像头、YouTube,Safari浏览器等。它还提供对公司账户(如电子邮件、Wi-Fi、VPN等)的访问。

Desktop Central帮助保护和标准化网络中的桌面和设备。

12.3.4 一种准确、轻松确定所有者、联系信息和其他信息(例如,设备的标签、编码和/或清单)的方法。

Desktop Central的“资产清单”模块提供网络中系统和设备的硬件和软件全面的详细信息。

其中包括硬件资产清单详细信息,例如内存、操作系统、制造商、设备类型、外部设备等。软件资产清单包括黑名单应用程序、许可合规性和软件评测等详细信息。

12.3.8

在一定时间的不活动后,自动断开远程访问技术会话的连接。

Desktop Central可以设置远程控制中的空闲会话超时。

IT管理员可以指定远程会话空闲的最大时间限制。当空闲时间超过指定的时间时,将断开会话连接,且远程计算机将自动锁定。

12.3.9 仅在需要供应商和业务合作伙伴时激活他们的的远程访问权限,并在使用后立即停用。

使用Desktop Central,IT管理员可以在需要时创建单独的登录。在完成所需的故障排除或会话后,可以停用该会话。

 

12.5.2

监视和分析安全告警和信息,并分发给指定的人员。

借助Desktop Central的公告功能,IT管理员可以在需要时与适当的用户交流信息。

 

12.5.4

管理用户账户,包括添加、删除和修改。

Desktop Central的RBAC(基于角色的访问控制)允许配置用户角色,其中包括角色创建、修改和删除。

 

12.5.5

监视和控制所有对数据的访问。

通过Desktop Central,IT管理员可以限制媒体设备,例如系统的USB和移动设备的SD卡,以确保数据不会外泄。

 

PCI DSS合规性的实质是供应商必须对系统和流程展示严格的安全措施,以保护持卡人信息。不遵守PCI DSS要求的缺点有很多。如果数据泄露影响到客户的支付卡数据,企业的品牌和声誉可能会受到损害,企业可能不得不支付沉重的罚款。

Desktop Central帮助企业符合PCI DSS。它有助于监视和管理桌面及移动设备,并提供详尽的报表。

我们的客户