Übereinstimmung mit PCI DSS

 

Der PCI-Datensicherheitsstandard (PCI DSS) ist ein Informationssicherheitsstandard zum Schutz von Finanztransaktionen mit Kreditkarten bestimmter Marken. Gängige Kreditkartenhersteller wie Visa, MasterCard und American Express verlangen von jedem Unternehmen, das Finanztransaktionen mit ihren Karten durchführt, die Einhaltung des PCI-DSS-Standards. Die Software zur Einhaltung der PCI-DSS-Standards muss den Schutz des Systems gewährleisten und den Zugriff auf alle Daten in Bezug auf Kreditkarten und deren Besitzer überwachen.

 

Ekran System ist eine skalierbare und kosteneffektive Lösung, die eine kontinuierliche Überwachung von Benutzeraktionen auf Windows-, Linux- und Citrix-Servern und -Desktops ermöglicht und zusätzliche Authentifizierung erfordert, so dass Sie die PCI-DSS-Anforderungen erfüllen können. Ekran System zeichnet alle Benutzeraktionen im erweiterten indizierten Videoformat zusammen mit den entsprechenden Metadaten auf, unabhängig von der verwendeten Software. Dies ermöglicht die Einhaltung des PCI-DSS-Standards für Cloud-Lösungen.

 

Anforderung 8: Weisen Sie jeder Person, die Zugriff auf den Computer hat, eine eindeutige Kennung zu

Durch die Zuweisung einer eindeutigen Kennung (ID) zu jeder Person mit Zugriff ist jede(r) Einzelne uneingeschränkt für die eigenen Handlungen verantwortlich. Wenn ein solches System der Verantwortlichkeit implementiert ist, können Maßnahmen an wichtigen Daten und Systemen nur von bekannten und autorisierten Benutzern und Prozessen vorgenommen werden, und sämtliche Maßnahmen lassen sich auf den jeweiligen Initiator zurückführen.

 

Hinweis: Diese Anforderungen gelten für alle Konten, einschließlich Point-of-Sale-Konten, mit administrativen Fähigkeiten und alle Konten, die verwendet werden, um Karteninhaberdaten anzuzeigen oder auf Systeme mit Karteninhaberdaten zuzugreifen. Hierunter fallen auch Konten, die von Anbietern und anderen Dritten (z. B. für Support oder Wartung) verwendet werden.

 

8.1.1 Zuweisen einer eindeutigen ID für alle Benutzer, bevor diesen der Zugriff auf Systemkomponenten oder Karteninhaberdaten gestattet wird.

 

8.2 Neben einer eindeutigen ID muss mindestens eine der folgenden Methoden zur Authentifizierung sämtlicher Benutzer zum Einsatz kommen, damit das Benutzerauthentifizierungsmanagement für Nichtverbraucherbenutzer und - Administratoren auf allen Systemkomponenten ordnungsgemäß verläuft:

  • Etwas, das Sie wissen, wie zum Beispiel ein Kennwort oder ein Kennsatz;
  • Etwas, das Sie haben, wie zum Beispiel ein Token oder eine Smartcard;
  • Etwas, das Sie sind, wie zum

 

8.3 Authentifizierung anhand zweier Faktoren beim Remote-Zugriff auf das Netzwerk durch interne Mitarbeiter (Benutzer und Administratoren) und Dritte (einschließlich Anbieterzugriff zu Support- oder Wartungszwecken).

 

Hinweis: Bei der Zwei-FaktorAuthentifizierung müssen zwei der drei Authentifizierungsmethoden (siehe Anforderung 8.2 für eine Beschreibung der Authentifizierungsmethoden) bei der Authentifizierung eingesetzt werden. Wenn ein Faktor zweimalig verwendet wird (z. B. wenn zwei separate Kennwörter eingesetzt werden) handelt es sich nicht um eine Zwei-FaktorAuthentifizierung. Beispiele für Technologien mit zwei Faktoren sind der RemoteAuthentifizierungs- und Einwähldienst (RADIUS) mit Tokens; Terminal Access Controller Access Control System (TACACS) mit Tokens und andere Technologien, die eine Zwei-FaktorAuthentifizierung ermöglichen.

 

8.5 Keine Verwendung von IDs und Kennwörtern für Gruppen bzw. mehrere Personen oder die allgemeine Nutzung oder von anderen Authentifizierungsmethoden und Beachtung der folgenden Punkte:

  • Allgemeine Benutzer-IDs werden deaktiviert oder entfernt.
  • Es gibt keine gemeinsamen Benutzer-IDs für Systemadministrationsaufgaben und andere wichtige Funktionen.
  • Es werden keine gemeinsamen und allgemeinen Benutzer-IDs zur Administration von Systemkomponenten verwendet.

 

Ekran System bietet ein zusätzliches Authentifizierungs-Tool, mit dem Sie einzelne Benutzer identifizieren können, die gemeinsam genutzte Konten verwenden, z. B. Administrator. Zu Beginn der Sitzung stellt der Benutzer zusätzliche Anmeldeinformationen bereit, mit denen Sie das Sitzungsvideo und alle zugehörigen Informationen mit diesem bestimmten Benutzer verknüpfen können.

 

 

Ekran System provides a secondary authentication tool allowing you to identify unique users using shared accounts, such as “administrator”. At the start of the session a user is required to provide additional credentials which allows you to tie session video recording and all log data to that specific user.

 

Anforderung 10: Überwachen und kontrollieren Sie den gesamten Zugriff auf Netzwerkressourcen und Karteninhaberdaten

Protokollierungssysteme und die Möglichkeit, Benutzeraktivitäten nachzuverfolgen, sind wichtige Elemente bei dem Versuch, eine Zugriffsschutzverletzung zu verhindern oder aufzuspüren bzw. deren Auswirkungen so gering wie möglich zu halten. Durch Protokolle in den verschiedenen Umgebungen kann die Ursache von Problemen schnell gefunden werden. Außerdem können Warnmeldungen ausgegeben und Analysen erstellt werden. Die Ursache für eine Sicherheitsverletzung lässt sich ohne Protokolle der Systemaktivität nur sehr schwer oder sogar gar nicht ermitteln.

 

10.1 Implementierung von Audit-Trails zur Verknüpfung des gesamten Zugriffs auf Systemkomponenten mit den einzelnen Benutzern.

 

10.2 Implementierung automatisierter Audit-Trails für alle Systemkomponenten zur Rekonstruktion der folgenden Ereignisse:

 

10.2.1 Alle individuellen Zugriffe auf Karteninhaberdaten

 

10.2.2 Alle von einer Einzelperson mit Root- oder Administratorrechten vorgenommene Aktionen

 

10.2.3 Zugriff auf alle Audit-Trails

 

10.2.4 Ungültige logische Zugriffsversuche

 

10.2.5 Verwendung der sowie Änderungen an Identifizierungs- und Authentifizierungsmechanismen (u. a. bei der Erstellung neuer Konten, Heraufstufung von Rechten usw.) und sämtliche Änderungen, Ergänzungen und Löschungen an bzw. von Konten mit „root“- oder Administratorrechten

 

10.2.6 Initialisieren, Beenden oder Anhalten der Prüfprotokolle

 

10.2.7 Erstellen und Löschen von Objekten auf Systemebene

 

10.3 Aufzeichnung von mindestens den folgenden Audit-Trail-Einträgen für alle Systemkomponenten zu jedem Ereignis:

 

10.3.1 Benutzeridentifizierung

 

10.3.2 Ereignistyp

 

10.3.3 Datum und Uhrzeit

 

10.3.4 Angabe von Erfolgen oder Fehlschlägen

 

10.3.5 Ereignisursprung

 

10.3.6 Identität oder Namen der betroffenen Daten, Systemkomponenten oder Ressourcen.

 

10.4 Synchronisieren Sie mit Technologien zur Zeitsynchronisierung alle wichtigen Systemuhren und -zeiten und stellen Sie sicher, dass folgende Elemente zur Ermittlung, Weitergabe und Speicherung der richtigen Zeit implementiert sind:

 

Hinweis: Eine Zeitsynchronisierungstechnologie ist beispielsweise das Network Time Protocol (NTP).

 

10.4.1 Auf wichtigen Systeme ist die Uhrzeit korrekt und einheitlich.

 

10.4.2 Zeitinformationen sind geschützt.

 

10.4.3 Zeiteinstellungen werden von branchenüblichen Zeitquellen empfangen.

 

10.5 Schutz der Audit-Trails vor Veränderungen.

 

10.5.1 Beschränkung der Anzeige der Audit-Trails auf Personen, die aus geschäftlichen Gründen darauf zugreifen müssen.

 

10.5.2 Schutz von Audit-Trail-Dateien vor nicht autorisierten Änderungen.

 

10.5.3 Sofortige Sicherung von AuditTrail-Dateien auf einem zentralen Protokollserver oder auf Medien, die sich nur schwer ändern lassen.

 

10.5.4 Erstellung von Protokollen für nach außen gerichtete Technologien auf sicheren zentralen und internen Protokollservern oder Medien.

 

10.5.5 Mithilfe von Software zur Dateiintegritätsüberwachung und zur Erfassung von Änderungen in Protokollen muss dafür gesorgt werden, dass bei der Änderung von bestehenden Protokolldaten ein Alarm ausgelöst wird (nicht jedoch bei der Eingabe neuer Daten).

 

10.6 Überprüfung von Protokollen und Systemereignissen für alle Systemkomponenten auf Unregelmäßigkeiten oder verdächtige Aktivitäten.

 

Hinweis: Zur Einhaltung dieser Anforderung können ProtokollHarvesting-, -Analyse- und Alarmtools eingesetzt werden.

 

10.7 Aufbewahrung der Audit-TrailVerlaufsdaten für mindestens ein Jahr. Zur Analyse müssen diese Daten für einen Zeitraum von mindestens drei Monaten direkt zur Verfügung stehen (beispielsweise online, archiviert oder aus einer Sicherung wiederherstellbar).

 

Jeder Benutzer von Ekran System ist eindeutig mit den persönlichen Anmeldeinformationen identifiziert, die er zur Anmeldung verwendet. Die Aktionen von Benutzern, die mit dem Web-Kontrollfeld arbeiten, werden in einem separaten internen Protokoll aufgezeichnet, das bei Bedarf angesehen werden kann. Ekran System bietet eine Reihe von integrierten Benutzerberechtigungen, mit denen Sie die Zugriffsebene auf die Komponenten des Systems jedes einzelnen Benutzers steuern können.

Alle Daten zur Benutzeraktivität können über die sichere Exportfunktion exportiert werden, die Daten mit einer eindeutigen digitalen Signatur in einem Offline-Format verschlüsselt und so ein gut geschütztes tragbares Audit-Protokoll bereitstellt. Dank der Unterstützung der MS SQL-Datenbank haben Benutzer von Ekran System Zugang zu allen Sicherungs- und Datenschutzfunktionen, die sie bietet.

 

Das Ekran System unterstützt Sie bei der Erfüllung der folgenden PCI DSS-Anforderungen:

 

Anforderung 10.1. Das Ekran System zeichnet jeden Zugriff auf die Systemkomponente sorgfältig auf und korreliert diesen eindeutig mit dem Namen eines bestimmten Benutzers. Benutzer freigegebener Konten können mithilfe der optionalen Authentifizierungsfunktion identifiziert werden.

 

Anforderung 10.2. Das Ekran System zeichnet alle Aktionen während der Sitzung unabhängig von den verwendeten Anwendungen auf.

  • Die Videoaufnahmefunktion des Ekran-Systems kann zur Überwachung und Steuerung des Zugriffs auf vertrauliche Daten, einschließlich Karteninhaberdaten, verwendet werden
  • Das Ekran-System zeichnet die Aktionen privilegierter Benutzer auf, einschließlich Systemadministratoren. Der berechtigte Benutzer kann die Aufzeichnung nicht anhalten oder abstellen.
  • Alle aufgezeichneten Daten werden auf dem Server in einem komprimierten Format gespeichert. Administratoren können nur auf diese Daten zugreifen, wenn entsprechende Berechtigungen vorhanden sind. Der Zugriff auf Daten wird immer im integrierten Überwachungsprotokoll aufgezeichnet.
  • Die Überwachung der Aktionen von privilegierten Benutzern, die von Ekran System ausgeführt werden, kann verwendet werden, um Änderungen im System zu erkennen, z. B. das Erstellen oder Löschen von Konten und die Erhöhung der Benutzerberechtigungen.
  • Nur Benutzer mit vollem Zugriff auf das Ekran System Web Control Panel können den Aufzeichnungsprozess verwalten. Ein Benutzer, der die Systemüberwachung durchführt, kann die Videoaufzeichnung unabhängig von der Anzahl der Berechtigungen nicht anhalten oder deaktivieren.
  • Die Überwachung der Aktionen von privilegierten Benutzern, die von Ekran System ausgeführt werden, kann verwendet werden, um das Erstellen und Entfernen von Objekten auf Systemebene zu verfolgen und zu steuern.

 

Anforderung 10.3. Das Ekran System zeichnet alle notwendigen Daten und andere Metadaten auf. Jeder Screenshot ist vollständig repräsentativ und wird durch verschiedene Metadaten ergänzt: aktive Fensternamen (vollständige Namen aktiver Anwendungen, Dokumente, Webseitenadressen usw.), Anwendungsnamen, Benutzername, Hostname, Sitzungstyp, Datum und Uhrzeit.

 

Darüber hinaus trägt das Ekran-System dazu bei, die Anforderungen von 10.4, 10.5 (10.5.1-10.5.3), 10.6 (10.6.1) und 10.7 zu erfüllen. Einzelheiten zur Einhaltung spezifischer Anforderungen finden Sie in unserer wtechnischen Dokumentation unter Verwendung des Ekran-Systems.

 

Das Ekran-System bietet ein innovatives kostengünstiges Lizenzierungssystem, das das System für Unternehmen jeder Größe verfügbar macht. Eine kostenlose Online-Demo und Testversion ist ebenfalls verfügbar.