Domanda:
La conformità PCI riduce davvero i rischi e migliora la sicurezza?
Tate Hansen
2010-11-21 13:45:41 UTC
view on stackexchange narkive permalink

Tanto vale portare questo argomento caldo qui!

Per chi non lo sapesse: https://www.pcisecuritystandards.org/

Cinque risposte:
#1
+32
AviD
2010-11-21 16:33:31 UTC
view on stackexchange narkive permalink

Una buona domanda, ma forse dovresti formularla "PCI danneggia la sicurezza".

Per rispondere a entrambe le domande, distinguerei in modo molto approssimativo tra due tipi di organizzazioni (anche se la maggior parte rientra tra questi due estremi):

  • Organizzazioni attente alla sicurezza, che eseguire regolarmente analisi basate sul rischio aziendale, disporre di un SDL completo, eseguire tutte le mosse giuste, ecc.
  • Organizzazioni inconsapevoli della sicurezza, che non hanno interesse in nulla che non siano assolutamente forzate da fare, e soprattutto no se non fa soldi.

Per il secondo gruppo, PCI aiuta assolutamente, molto, nei seguenti modi:

  • Consapevolezza (ora qualcuno è almeno consentito per menzionare la sicurezza, e si spera che ne parlino tutti)
  • Budget - poiché altrimenti la direzione non avrebbe mai stanziato risorse per investire in nessuna forma di sicurezza, ora almeno sono costretti almeno a parole.
  • Linea di base minima delle attività con il minimo comune denominatore. (Si spera che questo includa la formazione degli sviluppatori, che aiuta più di qualsiasi regolamento ...)

Fondamentalmente li costringe a riconoscere la sicurezza, e si spera che ne venga fuori qualcosa di buono in più.

Per il primo gruppo, ci sono due (due e mezzo) conseguenze principali:

  • Ci sono (rare) situazioni in cui l'organizzazione deve scegliere tra una sicurezza reale soluzione e conformità con l'LCD di riferimento generico.
  • Il budget viene ora allocato in modo forzato all'LCD di base minimo e generico come definito da un gruppo esterno che non sa nulla della propria attività. (Questo budget sarebbe probabilmente più utile in diverse attività / prodotti / ecc. Di sicurezza).
  • La direzione è più veloce nel trasferire qualsiasi investimento in sicurezza che non sia imposto direttamente dal PCI - "se non ne hanno bisogno / se è abbastanza buono per loro senza, perché dovremmo preoccuparci?" o "Se fosse importante, PCI lo avrebbe richiesto".

In questo caso, PCI sta facendo più male che bene, dal momento che convincerli a costruire in sicurezza non è un problema per questi org.

Tuttavia, un vantaggio della conformità PCI che è condiviso su tutta la linea:

La conformità PCI riduce il rischio di sanzioni in caso di non conformità .

Eh, più ci penso, più mi piace quell'ultima nota. Penso che lo riutilizzerò ... Quindi con la presente dichiaro la * Legge di conformità * di AviD: "La conformità PCI riduce il rischio di sanzioni in caso di non conformità": D
Quella legge generalizza bene in: "La conformità riduce il rischio di sanzioni in caso di inadempienza". Funziona sia per i requisiti di quotazione SOX o NYSE che per PCI. :)
@caelyx, hai ragione - questa è stata la mia prima iterazione di quella "legge", nelle domande successive qui era già generalizzata. :)
#2
+10
ken5m1th
2010-11-21 23:07:11 UTC
view on stackexchange narkive permalink

La prima cosa di cui devi essere consapevole è che PCI DSS NON ha lo scopo di proteggere la tua organizzazione. Ha lo scopo di proteggere le reti di pagamento e l'ecosistema dei pagamenti. Può sembrare strano a molti, ma basta chiedere a Visa e Mastercard.

Sono d'accordo con i commenti di AviD. La "conformità PCI" riduce alcuni rischi specifici e probabilmente rende quelle organizzazioni (che non stanno facendo nulla) più sicure. Ma la conformità PCI non dovrebbe essere l'obiettivo finale di qualsiasi organizzazione.

Un'altra cosa da chiarire è che esiste una GRANDE differenza tra "Conformità PCI" e in realtà esercitare tutti i requisiti di PCI DSS in modo commisurato al rischio. Molte organizzazioni sono "Conforme" (o pensano di esserlo) oggi a causa della scarsa interpretazione di PCI DSS da parte di qualcuno o perché non hanno effettuato una valutazione completa delle lacune.

ma questo fa parte del problema: tutto ciò che importa è che sei "conforme". Non c'è alcun vantaggio PCI nel fare qualcosa al di là di questo. Ovviamente sono d'accordo in linea di principio con i tuoi commenti su obiettivo e rischio, ma questo non è richiesto dal PCI, o addirittura incoraggiato.
Per elaborare l'ultimo punto - la conformità PCI rimuove dall'organizzazione la capacità di applicare qualsiasi gestione del rischio o analisi contestuale - devi conformarti a QUESTO, e questo è tutto, nessuna scelta al riguardo.
#3
+9
VP.
2011-05-05 02:54:25 UTC
view on stackexchange narkive permalink

Come esperienza, ho lavorato per un elaboratore di carte di credito, PCI ci ha aiutato a

1) Ottenere l'attenzione dai manager di alto livello (la sicurezza è diventata importante quando hanno sentito che potevamo perdere i diritti di lavorare con VISA e Mastercard).

2) La sicurezza ha avuto la possibilità di entrare a far parte del ciclo di vita di sviluppo dell'intera azienda e gli sviluppatori hanno iniziato a pensare due volte prima di fornire una soluzione come "salva il numero di sicurezza in questo txt e lascialo lì, in giro, in un desktop utilizzato da 30 persone "

3) La sicurezza ha ottenuto un budget per gestire l'eredità, renderla conforme, ripensare le vecchie soluzioni e trovare nuove soluzioni per i vecchi hack

Quindi, secondo me, essere conformi PCI non rendere la tua azienda più sicura, sì, ha l'obiettivo principale di proteggere VISA e Mastercard, ma aprirà alcune porte alla sicurezza, ti darà più budget e può aiutare rivedere la tua eredità ed essere più diligente con il ciclo di vita dello sviluppo del software in generale.

#4
+4
atdre
2011-04-04 07:37:51 UTC
view on stackexchange narkive permalink

PCI DSS aiuta il PCI SSC (PCI Council) a fare soldi, e molto.

Aiuta anche i partner PCI SSC a fare soldi, e molto.

Non "aiuta" la sicurezza o la comunità della sicurezza in alcun modo particolare. Posso citare numerosi esempi di come danneggia la posizione di sicurezza delle informazioni delle organizzazioni e ostacola la loro capacità di eseguire un'adeguata gestione della sicurezza delle informazioni e la gestione del rischio. Tuttavia, il miglior esempio è che sottrae denaro a buoni progetti e lo consegna nelle mani del PCI SSC e dei suoi partner (vedi sopra), che sembrano sempre finanziare progetti pessimi. Questo è anche il modo in cui funziona SANS.

Affermare che la conformità allo standard PCI DSS riduce il rischio e migliora la sicurezza è come dire che Jenny Craig (o Weight Watchers) riduce il grasso e migliora la felicità.

#5
+3
NSSec
2010-11-21 14:12:18 UTC
view on stackexchange narkive permalink

Direi che ci sono alcune cose nel PCI-DSS che hanno senso per molte aziende (anche quando non elaborano carte di credito) e che sì, se implementato correttamente, questo può rendere un'organizzazione più sicuro. Oltre a ciò, tutto dipende dalla mentalità (rispetto a PCI-DSS) dell'organizzazione che cerca di raggiungere la conformità PCI-DSS.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...