对于组织来说,低估开发良好网络图的重要性并不罕见. 您公司的网络图是您的 PCI合规计划 不应忽视或不发达.

根据要求1.1.2支付卡行业数据安全标准(PCI DSS), 您的公司必须有“一个当前的网络图,它标识持卡人数据环境和其他网络之间的所有连接, 包括无线网络.对于需求1.1.3, 你必须有“一张显示所有持卡人数据如何跨系统和网络流动的当前图表”.”

这些图表之所以重要,有两个原因:

    1. 首先,也是最重要的, 通过说明持卡人数据环境(CDE)的关键组件以及持卡人数据如何在CDE中流动,它们旨在成为您的团队更好地理解公司合规范围的工具.
    2. 它们还可以帮助您的评估人员了解持卡人数据存储在哪里, 加工过的, 并传输,以确认您是否正确定义了CDE.

HB火博体育app官网倾向于看这些PCI DSS需求只是为了证明合规性, 但他们也在帮助HB火博体育app官网. 网络图确保您的团队和评估人员都清楚什么是范围内的,什么不是范围内的.

您的合规团队负责准确地了解CDE系统在公司网络环境中的位置,以及持卡人数据如何在整个环境中移动. 网络图的目标是将这些信息合成为易于理解的CDE说明.

设计不佳或不完整的网络图可能暗示您的团队没有完全理解其环境. 对于评估者来说,这种差距通常是一个明确的信号,表明他或她应该注意潜在的深层次问题.

HB火博体育app官网在这里帮助您了解如何最好地满足需求1.1.2和1.1.3. 下面是一些好的网络图的特点.

它简单易懂.

经常, HB火博体育app官网看到的网络图详细地描述了各个系统, 网段, 和连接的元素. 信息的过载会使区分范围内和范围外组件或在环境中跟踪持卡人数据流变得困难.

良好的PCI网络图, 如下见过, 对网络环境不熟悉的人士及/或资讯科技专家是否容易理解. 不熟悉网络的人应该能够很容易地识别系统, 网段, 以及组成CDE的信用卡数据流.

一个简单的网络图的要素包括:

    • 明确指示什么在范围内,什么不在范围内. 颜色编码对此非常有效.
    • 一个只有必要细节的最小结构. 从简单开始,只添加表示CDE关键组件所需的所有细节.
    • 解释符号、数据流路径和颜色编码的简单键.

过度解释是人类的天性,试图涵盖HB火博体育app官网所有的基础. 虽然呈现CDE的全貌是很重要的, 同样重要的是不要混淆不必要的信息, 分散的细节.

它清楚地说明了您的CDE和持卡人数据流.

这里的关键词是“清晰”,并且应该与简单相结合.

你的团队将使用符号, 图片, 和彩色编码来说明您的CDE以及数据如何通过它. 对系统类型或系统组使用适当的符号, 和框或阴影周围的网络段和物理位置是非常有用的. 同时,对这些要素进行简短的描述.g. 网络防火墙, 账户数据库服务器, or DMZ网络)作为系统或网络名称的补充或替代. 而 FWADSRV001 对你来说可能很有意义,对不熟悉的读者来说可能没有. 正如前面提到过的, 在您的图表中包含一个密钥,以便其他人轻松地破译符号和颜色编码.

一个常见的问题是网络图显示了系统的位置以及它们是如何连接的(满足需求1.1.2)但未能说明持卡人数据如何在环境中移动(要求1).1.3). 必须准确显示持卡人数据进入公司环境的位置, 它是如何通过你的关键系统和网络的, 储存在哪里(如果适用), 以及它在哪里被处理.

还记得, 您的关系图应该包括在存储中起作用的所有关键系统, 处理, 或传送持卡人资料,让持卡人清楚知道他们的位置. 根据需求2.4、贵组织应维护范围内系统组件的清单. 这个清单将是识别关键系统的重要组成部分,以便在您的图表中清楚地表示.

每次对CDE进行更改后都会更新它.

持续更新的图表明有足够级别的法规遵循监督,并且团队知道他们的地位. 当对CDE进行更改时, 确保您的团队正在修改网络图以反映这些更改. 您应该定期检查您的网络图,以确保它们是最新的. 不要等到你的年度评估才去发现去年环境的变化, 这些变化已经显著影响了你的合规范围!  PCI决策支持系统没有明确规定检查的频率,但每半年进行一次检查将是一个好的开始.

因为可能不止一个人参与了这些图表, 在文档中添加基于版本和权限的控件也很有帮助. 此步骤将保持图的版本一致. 您的团队将需要记录每个图修改的日期,以向评估人员显示它是当前的.

PCI遵从性 是否每年不止一次的考核. 法规遵循要求您的团队对其CDE有全面的了解,并在做出更改时进行调整. 一个最新的图表使您的评估人员清楚地知道您的公司是积极的 监控您的CDE以满足您的PCI遵从性 目标,而不是简单地走走过场当你的评估来临时.

它可能感觉好像PCI要求使您的生活更加困难, 或者你不得不跳圈来保持顺从. 合规的现实, 虽然, 这些要求是为了帮助你吗, 更重要的是, 您的客户和业务合作伙伴依赖您来保护他们的数据安全.

LBMC信息安全帮助您理解PCI需求. HB体育 今天了解更多关于您的公司的PCI合规.

例如网络图

PCI实例组网图