Tillbaka till resurser
Blogg

The Scoping Exercise: The Foundation for PCI DSS Compliance

nov 11, 2022

8 min

Woman putting a toy brick on top of another

PCI DSS Scope Reduction – “Requirement Zero”

När du startar ett PCI DSS-complianceprojekt är scoping det som vissa QSAs kallar för “requirement zero”. Ju mer komplexa processer och system du har för att lagra, överföra eller behandla kortdata (CHD), desto svårare blir det att uppnå och upprätthålla compliance.

Att minska PCI DSS-scope är därför ett avgörande mål för alla organisationer, eftersom det i slutändan leder till (ibland dramatiskt) lägre totala kostnader för compliance. Om ett system tas ur scope slipper du både kostnad och arbete kopplat till återkommande aktiviteter (t.ex. patchning, sårbarhetsskanningar) samt årliga revisioner.

Ytterligare fördelar inkluderar enklare underhåll av säkerhetskontroller och minskad risk genom en mindre attackyta.

Scope-reduktion är därmed det viktigaste verktyget för att begränsa omfattningen av compliance-arbetet. Det rekommenderas starkt att organisationer implementerar en strategi för detta redan i början av projektet, eftersom scoping definierar gränsen där alla krav ska uppfyllas.

Samtidigt kan scope-reduktion kräva förändringar i både nätverksarkitektur och affärsprocesser, vilket gör det till en utmaning att genomföra utan att påverka tjänster eller skapa höga kostnader.

Viktiga begrepp

Out-of-scope

Ett system (eller en systemkomponent) anses vara out-of-scope endast när det är helt isolerat från CDE (Card Data Environment). Det innebär att även om systemet komprometteras ska det inte kunna påverka säkerheten i CDE.

Connected systems

CDE och alla anslutna system räknas som in-scope. Ett anslutet system är varje komponent som kommunicerar med någon del av CDE, oavsett syfte, protokoll eller vilken enhet som initierar kommunikationen.

Ett system anses vara isolerat (och därmed out-of-scope) endast om det:

  • Inte kan kommunicera med CDE
  • Har verifierats att det inte kan kompromettera CDE:s säkerhet

Hur man verifierar att ett system är out-of-scope

Penetrationstestning och segmenteringskontroller

Implementera en metodik för penetrationstestning och genomföra tester som bekräftar att segmentering fungerar korrekt.

PCI Council anger att segmenteringskontroller ska inkludera:

  • Host discovery
  • Port scanning
  • Verifiering att isolerade nät inte har åtkomst till CDE

Riskbedömning av exkluderade system

PCI DSS kräver även att organisationer:

  • Genomför riskbedömning av både anslutna och exkluderade system
  • Verifierar att exkluderade system inte kan påverka CDE

Om ett exkluderat system kan påverka CDE vid kompromettering måste det inkluderas i scope.

Metoder för att minska PCI DSS-scope

Remove (Eliminera)

  • Skapa en uppdaterad CHD-flödesdiagram
  • Konsolidera system som hanterar CHD
  • Eliminera redundant lagring och applikationer

Truncate / Mask (Trunkering och maskning)

  • Använd endast delar av PAN där möjligt
  • Minskad datamängd minskar risk och kan ta system ur scope

Hashing

  • Ersätt PAN med hashvärden
  • Använd salt (random input) för att förhindra jämförelser mot förberäknade tabeller

Tokenization

Tokenization ersätter känslig data med tokens. Fördelarna är:

  • Mindre beroende av kryptering och nyckelhantering
  • Skydd mot attacker som extraherar data från minne
  • Möjliggör analys och databehandling via tokens

Nya lösningar inkluderar:

  • Vault-less tokenization
  • In-memory tokenization
  • Tokenization as a Service (TaaS)

Point-to-Point Encryption (P2PE)

  • Krypterar data från insamlingspunkt till säker endpoint
  • Rekommenderad metod för handlare
  • Begränsat antal validerade lösningar (men växande)