Säkerhetsblogg

Spegel, spegel på väggen där, säg mig vem som ’in scope’ är?

Ofta under en PCI DSS-revidering tenderar organisationer att anta att allt som inte är Cardholder Data Environment (CDE) är out-of-scope, alltså att det inte omfattas av PCI DSS-standarden. CDE-anslutna system som inte har någonting att göra med säkerhet (i PCI DSS ord: konfidentialitet och integritet), såsom monitoring systems eller databaser för produkter, glöms ofta bort.

När det sedan är dags för PCI DSS-revision, så brukar PCI DSS-ansvarig på företaget bli besviken efter QSA:ns bedömning av omfattning.

Det här är ett sätt som kan minimera besvikelsen och istället få drottningen att le igen.

PCI-rådets redogörelse gällande omfattning är följande:

PCI DSS-säkerhetskraven gäller för alla systemkomponenter som ingår i eller är anslutna till kortdatamiljön. Kortdatamiljön (Cardholder Data Environment – CDE) består av personer, processer och teknik som lagrar, hanterar eller skickar kortdata eller känslig autentiseringsdata.

Det finns inga genvägar när det kommer till att “ingår i eller är anslutna till” kan vara utgående, inkommande eller dubbelriktad och på följande sätt:

  • Fysiskt
  • Trådlöst
  • Virtualiserade

Och, följande uttalanden gäller alltid när man definierar omfattning/scope:

  • System som är placerade inom CDE:n omfattas, oberoende av deras funktionalitet eller anledningen till att de är i CDE.
  • På samma sätt kan system som ansluter till ett system i CDE omfattas, oavsett funktionalitet eller orsaken till att de har anslutning till CDE.
  • I ett platt nätverk är alla system ’in scope’ även om det bara är ett enskilt system som lagrar, behandlar eller överför kontodata.

Hur gör man för att ta de system som finns anslutna till ditt nätverk men inte hanterar kortdata out-of-scope; så att de inte längre omfattas av PCI DSS?

Det enkla svaret: använd en proxy.

Om ditt nätverk är väl segmenterat kommer en IN-SCOPE-proxy att koppla bort CDE och de system som kan påverka säkerheten för CDE-enheten från resten av ditt nätverk.

Ett typiskt exempel är en övervakningsserver med en agent installerad på CDE-systemen. Utan proxy skulle agenten på ett in-scope-system upprätta en direkt anslutning med övervakningsservern, vilket skulle innebära att det omfattas av säkerhetskravet.

Med en proxy kommer agenten att bara trycka ut information från maskinen som är in scope till proxyn som är in scope och i sin tur kommer proxyn att vidarebefordra sådan agentinformation till övervakningsservern och om övervakningsservern behöver koppla tillbaka, kommer anslutningen via proxyservern, vilket leder till att övervakningsservern inte omfattas.

Proxy kan vara till nytta för olika anslutningar för olika ”service”-system, vilket gör att de hamnar out-of-scope; med bara ett ytterligare system (en proxy) kan omfattningen bli mycket mindre.

Det finns andra sätt att minska omfattningen, till exempel genom Tokenization, Containers eller Network Segmentation, men det gott folk tar vi en annan gång.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com