Dovresti registrare:

• Tutti gli accessi individuali ai dati dei titolari di carta
• Tutte le azioni intraprese da qualsiasi individuo con privilegi di root o amministrativi
• Accesso a tutti gli audit trail
• Tentativi di accesso logico non validi
• Uso di meccanismi di identificazione e autenticazione
• Inizializzazione dei log di audit
• Creazione e cancellazione di oggetti a livello di sistema

Questi devono essere registrati con una data verificabile & time (corretta sincronizzazione dell'ora abilitata) in modo immutabile. Dovresti: "Conservare la cronologia dell'audit trail per almeno un anno, con un minimo di tre mesi immediatamente disponibili per l'analisi (ad esempio, online, archiviati o ripristinabili dal backup)".

Tu " Voglio esaminare l'intero documento e comprendere tutti i requisiti secondari che compongono il grande 12. https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

Per rispondere alla teoria di Jeff Atwood, tuttavia, e mantenere la propria sanità mentale, è necessario mantenere i registri relativi allo standard PCI DSS separati dai registri delle attività dell'applicazione. Suggerirei di copiare le eccezioni in una struttura di registro separata in modo che, dal punto di vista dello sviluppatore, i registri siano leggibili e sparsi. Dal punto di vista del revisore, i tuoi registri completi possono essere, beh, esaurienti e utilizzati per ricostruire l'attività.

Ho visto più aziende contrassegnate per la conformità al livello 1 ottenere la conformità con uno sforzo minimo o nullo per modificare la registrazione dell'applicazione oltre a quanto fornito per impostazione predefinita. Per ottenere un segno di spunta di conformità, probabilmente puoi farlo mostrando molto poco (l'incoerenza del revisore è ancora un carattere jolly).

Detto questo, ecco i frammenti di registrazione pertinenti dal Payment Application Data Security Standard (v. 2.0 / ottobre 2010) per quanto riguarda l ' attività di richiesta di pagamento :