Om computersystemen en netwerken goed te beveiligen, moet je gewoon slimmer, beter en intelligenter zijn dan de mensen die je beveiliging proberen te omzeilen.

PCI-DSS Scoping

De PCI-DSS security-standaard schrijft voor hoe computersystemen, netwerken en bedrijfsprocessen moeten worden beveiligd om fraude met creditcardgegevens tegen te gaan. In brede termen zijn de eisen geformuleerd voor álle systemen die creditcarddata opslaan, verwerken of verzenden.


Binnen de standaard zijn geen eisen opgenomen over netwerksegmentatie of andere vormen van isolatie van systemen. Het is dus in theorie mogelijk om compliant te worden zonder dat een opdeling is gemaakt in netwerksegmenten, VLAN’s of scheidingen in computersystemen. In de praktijk komt dit echter nooit voor, omdat dan álle aangesloten systemen, workstations en servers moeten voldoen aan de PCI-DSS-richtlijn, een zeer kostbare en uiterst arbeidsintensief proces.


Het is daarom van belang om de hoeveelheid systemen die onder de PCI-DSS-richtlijnen vallen, zoveel mogelijk te beperken. Binnen PCI-DSS is dit gedefinieerd als de ‘Scope’ van de compliance. Hoe groter de scope, des te meer systemen dienen te voldoen aan de PCI-DSS-richtlijnen.


De ‘Scope’ van de PCI-Compliance bepaalt niet alleen welke mensen en middelen precies in beschouwing worden genomen, maar is tevens een zeer belangrijke factor in het bepalen van de kosten voor implementatie. Hoe kleiner de scope, des te eenvoudiger wordt de weg naar compliance. Hierdoor worden doorgaans kosten gereduceerd tot een zo laag mogelijk nivo. Elk PCI-DSS-project dient te beginnen met het bepalen van de juiste scope, omdat dit in latere fases gaat bepalen hoeveel werk de PCI-compliance gaat vereisen.


Voor het bepalen van de scope wordt gekeken naar die systemen die payment card-gegevens bevatten en alle systemen, mensen en organisatorische processen die hier direkt mee communiceren. Dat wil zeggen dat de afbakening van de scope in heldere termen moet worden weergegeven, bijvoorbeeld door firewalls te identificeren die netwerk-omgevingen scheiden of ruimtes aan te wijzen die nog wel ‘in scope’ vallen en ruimtes die ‘out of scope’ zijn.


Activiteiten

Fortytwo werkt in de eerste fases op diverse manieren naar de definitieve scopebepaling toe. De activiteiten zijn als grofweg als volgt te definieren:


  • Stap 1. In kaart brengen systeemlandschap en betrokken systemen In de eerste stap wordt, aan de hand van interviews met betrokkenen, de systeemomgeving in kaart gebracht. Dat wil zeggen dat gekeken wordt hoe de netwerken er ongeveer uit zien, welke systemen en databases van belang zijn voor PCI-DSS en waar de grenzen getrokken zouden kunnen gaan worden. Hieruit volgt een scope, die vaak erg breed is.


  • Stap 2. Reduceren scope Het is onze ervaring dat de scope in stap 1 doorgaans te ruim is voor het verdere PCI-DSS-traject. Daarom werken we in deze stap samen om de scope te verkleinen en maatregelen te nemen waardoor creditcard-gegevens door zo weinig mogelijk systemen worden verwerkt of opgeslagen.


  • Stap 3. Vastleggen en controleren van de grenzen van de omgeving In de derde stap wordt gekeken of de omgeving daadwerkelijk goed begrensd is in technische zin. Dat wil zeggen dat gedetailleerd wordt gekeken naar de netwerkomgeving en eventuele securityvoorzieningen die aanwezig zijn. Onderdeel hiervan is een globale inspectie van de firewall-configuraties, netwerkconfiguraties op het nivo van switching en routing (laag 2 & laag 3) en eventuele aanvullende security-voorzieningen. Tevens is een visuele inspectie van de servers, serverruimtes en bekabeling onderdeel van deze stap.


    Meer interesse ? Neem contact op via Contact