it-swarm-es.com

requisitos de registro para PCI para aplicaciones web

¿PCI dicta cuánto se debe registrar a nivel de aplicación o simplemente qué no se debe registrar?

Estoy luchando con demasiados registros en este momento y algunas personas piensan que deberíamos tenerlos. Desde una perspectiva de depuración, he encontrado un registro excesivo casi inútil en el pasado y estoy de acuerdo con Jeff Atwood en el registro de excepciones .

Actualmente estoy usando AspectJ para aproximadamente el 99% del registro en las aplicaciones que soporto, por lo que no es un gran problema de ninguna manera, excepto al revisar los registros para estas excepciones y también que están comenzando a ocupar una cantidad decente de espacio .

12
Casey

Se espera que inicie sesión:

  • Todos los accesos individuales a los datos del titular de la tarjeta
  • Todas las acciones realizadas por cualquier persona con privilegios de administrador o root
  • Acceso a todas las pistas de auditoría
  • Intentos de acceso lógico no válidos
  • Uso de mecanismos de identificación y autenticación
  • Inicialización de los registros de auditoría
  • Creación y eliminación de objetos a nivel de sistema.

Estos deben registrarse con una fecha y hora verificables (sincronización de hora adecuada habilitada) de manera inmutable. Debe "Conservar el historial de seguimiento de auditoría durante al menos un año, con un mínimo de tres meses inmediatamente disponibles para el análisis (por ejemplo, en línea, archivado o restaurable desde una copia de seguridad)".

Querrá ver el documento completo y comprender todos los requisitos secundarios que componen el gran 12. https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

Sin embargo, para responder a la teoría de Jeff Atwood y mantener su propia cordura, debe mantener los registros relacionados con PCI DSS separados de los registros de actividad de la aplicación. Sugeriría que las excepciones se copien en una instalación de registro separada para que desde el punto de vista del desarrollador, los registros son legibles y escasos. Desde el punto de vista del auditor, sus registros completos pueden ser, bueno, completos y utilizados para reconstruir la actividad.

11
Jeff Ferland

He visto a varias empresas etiquetadas para el cumplimiento de nivel 1 lograr el cumplimiento con poco o ningún esfuerzo realizado para modificar el registro de su aplicación más allá de lo que se proporciona de forma predeterminada. Para obtener una marca de verificación de cumplimiento, es probable que pueda hacerlo mostrando muy poco (la inconsistencia del auditor sigue siendo un comodín).

Dicho esto, aquí están los fragmentos de registro relevantes de Estándar de seguridad de datos de aplicaciones de pago (v. 2.0/Oct 2010) con respecto a aplicación de pago actividad:

alt textalt text

5
Tate Hansen