Twee real-world scenario’s die de PCI-scope illustreren

Klik voor meer informatie over auteur Rob Chapman.

Wanneer ik merk dat ik PCI-compliance bespreek, lijkt het altijd alsof het gesprek in één richting gaat. Of ik nu spreek met bedrijfsleiders, IT-managers of het team dat verantwoordelijk is voor het implementeren van technologie, iedereen wil in de eerste plaats weten dat een bepaalde oplossing alle vakjes aanvinkt om ze compliant te maken of om ze te helpen compliant te blijven.

Hoewel het begrijpelijk is, weerspiegelt dat soort mentaliteit een gecompliceerd probleem in onze branche. Te vaak concentreren we ons op de vraag: “Werkt het of niet?” terwijl we eigenlijk zouden moeten vragen: “Doen we het goede?”

Ik wil graag een paar realistische scenario’s delen die dit punt illustreren en laten zien dat we een fundamentele behoefte hebben om aan te passen hoe we denken over PCI-conformiteit.

Laten we eerst de basis behandelen

Als het gaat om PCI-compliance, is een fundamenteel concept dat iedereen moet begrijpen de PCI-scope: de gegevens en systemen die onderworpen zijn aan PCI-nalevingsregels. Als u veilig wilt zijn, moet u ervan uitgaan dat alles in uw IT-omgeving binnen de scope van PCI-compliance valt, totdat het tegendeel is bewezen.

Helaas gaan te veel organisaties uit van precies het tegenovergestelde. Ze behandelen alles als buiten het bereik, tenzij ze dat iets zeker weten is in omvang. Dat is een belangrijke fout die hen snel in de problemen kan brengen.

Om het anders te zeggen, denk aan de concepten van “vertrouwde” en “niet-vertrouwde” zones. U moet PCI-scope beschouwen als een vertrouwde zone. Als u weet dat zoiets als uw betaalkaarthoudergegevensomgeving (CDE) of kassasysteem zich in PCI-bereik bevindt, moet dit deel uitmaken van een vertrouwde zone. En als iets deel uitmaakt van een niet-vertrouwde zone, valt het waarschijnlijk niet binnen PCI-bereik. Dat hangt natuurlijk af van hoe goed u uw omgeving hebt ontworpen en bereikt.

Deze vuistregel is ook van toepassing op elk systeem met een verbinding van / naar iets dat binnen het PCI-bereik valt. Door de aard van die relatie verwijzen we gewoonlijk naar deze “verbonden met” systemen als zijnde in PCI-reikwijdte.

Scenario 1: Implementatie van een nieuw C-Store POS-systeem

Een paar jaar geleden maakte ik deel uit van een project waarbij we onze kassasystemen in een grote groep gemakswinkels aan het upgraden waren. We kochten een commerciële kant-en-klare oplossing met gegevens die we naar software in de cloud stuurden. Onze verkoper had een kleine protocolconverter om die stap uit te voeren.

Toen we echter met onze uitrol begonnen, moesten we het apparaat constant opnieuw opstarten. Om het probleem op te lossen, liet de leverancier ons weten dat ze contact zouden opnemen met hun externe service om de logboeken op te halen. Het horen van “derde partij” stuurde onmiddellijk enkele rode vlaggen.

Het bleek dat de verkoper een derde partij gebruikte om het apparaat volledig te beheren, en we hadden geen contract met dat bedrijf. Maar als die derde partij rechtstreeks verbinding zou kunnen maken met ons POS, hadden we mogelijk een enorme PCI-blootstelling. Hoewel de leverancier niet dacht dat zijn apparaat binnen PCI-bereik viel, had het duidelijk een impact op ons gebruik.

Veel PCI-maagzuur komt voort uit deze “verbonden” systemen. In dit geval konden we enkele firewalls toevoegen waarmee ons kassasysteem de toegang van de externe beheerservice kon regelen om deze buiten het PCI-bereik te krijgen. Maar we moesten door allerlei hoepels springen om er te komen.

Dit scenario illustreert waarom we niet in de val kunnen trappen door te denken: “Het valt buiten de PCI-scope, dus maak je er geen zorgen over.” In dit geval was onze leverancier een beetje kortzichtig omdat ze de volledige impact van PCI-scope niet begrepen. Wanneer we hun apparaat in een echte wereld implementeren, is het zeker was in PCI-toepassingsgebied.

Scenario 2: de beveiliging aanpakken Risico’s van bewakingsapparatuur voor brandstoftanks

Een andere veel voorkomende fout in de hele branche die we zien, is volledige toegang geven tot edge-systemen zoals IoT-apparaten zonder rekening te houden met alle mogelijke PCI-gevolgen.

Op dit moment kunt u het internet op gaan en, met een minimale inspanning, toegang krijgen tot live bewakingsapparatuur voor brandstoftankmeters. Het is ronduit beangstigend als je je realiseert hoeveel gegevens van onbeveiligde randapparaten direct beschikbaar zijn op internet. Er zijn letterlijk duizenden edge-systemen en IoT-apparaten die volledig onbeveiligd zijn.

De potentiële schade door een inbreuk op de beveiliging varieert van vervelend tot catastrofaal – en het kan een achterdeur creëren om toegang te krijgen tot uw PCI-scoped systemen. Hackers kunnen de toegang van gebruikers tot een apparaat blokkeren, bijvoorbeeld bij een ransomwareaanval. Ze kunnen ook de integratie met uw kassasystemen doorbreken of milieu- / regelgevingskwesties veroorzaken. Zelfs kleine configuratiewijzigingen kunnen nachtmerries worden om op te sporen en op te lossen.

Ik heb brandstoftankmeters als voorbeeld gekozen, omdat ik uit de eerste hand weet dat dit een veelvoorkomend probleem is in de industrie. Helaas wordt het alleen maar erger naarmate steeds meer IoT-apparaten in productie gaan. In sommige opzichten is het bijna alsof je wacht tot het noodlot toeslaat in termen van het blootleggen van potentiële PCI-nalevingsproblemen.

3 belangrijke afhaalrestaurants

Ondanks deze veelvoorkomende voorbeelden van potentiële PCI-problemen, ben ik optimistisch dat we veel van onze problemen kunnen aanpakken veiligheidsuitdagingen simpelweg door onze mentaliteit op de volgende manieren aan te passen:

1. Begin met de aanname dat alles binnen PCI-scope valt totdat het tegendeel is bewezen.

2. Om de veiligheid te vergroten, moet u altijd ontwerpen voor een vertrouwde tot niet-vertrouwde gegevensstroom. Je moet vooral zorgen maken over wat er gaat komen in
uw systemen.

3. In plaats van te vragen: “Werkt het?” u moet altijd vragen: “Is dit het juiste om te doen?”

Door deze drie leidende principes te volgen, komt u een heel eind bij het voldoen aan uw kritieke PCI-nalevingsmandaten.