Mikilvægt er að vernda gögn korthafa í hamförum. PCI DSS-samhæft hörmungarbataáætlun tryggir gagnaöryggi og samfellu í viðskiptum. Svona á að búa til einn:

1. Áhættumat og greining á viðskiptaáhrifum: Þekkja áhættu eins og náttúruhamfarir eða netárásir og skilja áhrif þeirra (td niður í miðbæ, gagnatap).
2. Búðu til áætlun um endurheimt hamfara: Þróaðu ítarleg endurheimtarskref, skilgreindu liðshlutverk og skjalfestu allt.
3. Örugg gagnaafrit: Notaðu dulkóðuð öryggisafrit sem eru geymd á öruggan hátt (fyrri geymsla í skýi eða utan þess).
4. Prófaðu og staðfestu reglulega: Prófaðu áætlunina árlega til að tryggja að hún virki og uppfylli PCI DSS staðla.
5. Viðhalda og uppfæra: Skoðaðu og uppfærðu áætlunina reglulega til að laga sig að kerfisbreytingum.

Lykilmælikvarðar: Einbeittu þér að RTO (Recovery Time Objective) og RPO (Recovery Point Objective) til að lágmarka niður í miðbæ og gagnatap. Reglulegar prófanir og uppfærslur halda áætlun þinni skilvirkri og í samræmi.

Hvernig á að mæta fylgni fyrir Disaster Recovery með IDR Manager

1: Framkvæma áhættumat og greiningu á viðskiptaáhrifum

Traust PCI DSS samhæft hamfarabataáætlun byrjar á a áhættumat og viðskiptaáhrifagreining (BIA). Þessi skref hjálpa til við að finna hugsanlegar ógnir og áhrif þeirra á gagnaöryggi korthafa.

Þekkja hugsanlega áhættu

Til að bera kennsl á áhættu þarftu að greina hvernig kerfi hafa samskipti, sérstaklega greiðsluvinnslukerfi. Til dæmis gæti bilun á netþjóni við endurheimt stofnað PCI DSS samræmi í hættu.

Hér eru helstu áhættuflokkar sem þarf að hafa í huga:

Áhættuflokkur	Dæmi	Áhrif á PCI DSS samræmi
Náttúruhamfarir	Flóð, jarðskjálftar, eldar	Skemmdir á gagnaverum
Netógnir	Ransomware, DDoS árásir, brot	Útsetning korthafagagna
Bilanir í innviðum	Vélbúnaðarvandamál, rafmagnsleysi	Niður í kerfi
Mannlegir þættir	Mistök starfsmanna, hótanir innherja	Óviðkomandi gagnaaðgangur

Skilja greiningu á viðskiptaáhrifum

A Business Impact Analysis (BIA) metur hvernig truflanir gætu hindrað getu þína til að vernda gögn korthafa og vera í samræmi við PCI DSS. Tvær mikilvægar mælikvarðar leiða þetta ferli:

• RTO (Recovery Time Objective): Hámarks niður í miðbæ sem fyrirtækið þitt þolir.
• RPO (Recovery Point Objective): Hámarks ásættanlegt gagnatap.

Fyrir PCI DSS samræmi, einbeittu þér BIA þinni að kerfum sem meðhöndla korthafagögn. Hér er það sem á að greina:

• Forgangur mikilvægra kerfa: Tilgreina hvaða kerfi verður að endurheimta fyrst.
• Gagnaháðir: Skilja hvernig kerfi og geymslustaðir eru tengdir.
• Fjárhagsleg áhrif: Reiknaðu kostnað við niður í miðbæ og gagnatap.
• Rekstraráhrif: Metið hvernig kerfisbilanir gætu haft áhrif á samræmi.

"Félög geta tryggt aðlögun með því að fella PCI DSS kröfur inn í hamfarabataáætlun sína, þar á meðal örugga öryggisafritun og geymslu gagna, reglulegar prófanir og skjöl."

Til að halda hamfarabataáætlun þinni viðeigandi skaltu endurskoða áhættumat og BIAs þegar viðskiptaumhverfi þitt verður fyrir miklum breytingum. Þetta tryggir að áætlun þín haldist í takt við bæði rekstrarþarfir og PCI DSS kröfur.

Þegar áhætta og áhrif eru ljós er næsta skref að byggja upp hamfaraáætlun sem inniheldur þessar niðurstöður.

2: Búðu til hörmungaráætlun

Þegar þú hefur lokið áhættumati þínu og greiningu á viðskiptaáhrifum (BIA), er næsta skref að búa til hamfaraáætlun sem uppfyllir PCI DSS staðla. Þessi áætlun virkar sem leiðarvísir þinn til að vernda gögn korthafa við mikilvæg atvik.

Lykilatriði í áætlun um endurheimt hamfara

Hamfarabataáætlun sem er í samræmi við PCI DSS verður að einbeita sér að bæði tæknilegum og skipulagslegum bataaðgerðum. Markmiðið er að tryggja að gögn korthafa séu örugg í öllu ferlinu.

Hér eru nauðsynlegir þættir:

Hluti	Lýsing	PCI DSS Krafa
Viðbragðsteymi og samskipti	Skilgreindu hlutverk teymisins og settu samskiptareglur	Krafa 12.10
Endurheimtaraðferðir	Ítarleg skref til að endurheimta kerfi	Krafa 9.5
Samskiptareglur um meðferð gagna	Aðferðir til að dulkóða og flytja gögn korthafa á öruggan hátt	Krafa 3.4

Stilltu endurheimtarmælingar til að uppfylla PCI DSS staðla:

• RTO samræmi: Skilgreindu Recovery Time Objectives (RTOs) og Recovery Point Objectives (RPOs) til að lágmarka bæði niður í miðbæ og gagnatap. Þessar mælingar verða að vera í samræmi við PCI DSS leiðbeiningar.
• Öryggiseftirlit: Gakktu úr skugga um að dulkóðun og aðgangsstýringum sé beitt stöðugt meðan á endurheimtarferlinu stendur.

Skráning og uppfærsla á áætluninni

Ítarleg skjöl eru nauðsynleg fyrir PCI DSS samræmi. Þetta felur í sér að útlista endurheimtarskref, skrá neyðartengiliði, viðhalda skrá yfir kerfi og kortleggja gagnaflæði.

Mikilvæg skjöl innihalda:

• Ítarlegar verklagsreglur: Skýrar, skref-fyrir-skref leiðbeiningar til að endurheimta mikilvæg kerfi.
• Upplýsingar um tengiliði: Uppfærðar neyðarsamskiptaupplýsingar fyrir lykilstarfsmenn.
• Eignabirgðir: Núverandi listi yfir kerfi sem meðhöndla gögn korthafa.
• Ósjálfstæðiskort: Sjónræn framsetning á kerfistengingum og gagnaflæði.

"Gakktu úr skugga um að hamfarasvæði uppfylli PCI DSS staðla til að koma í veg fyrir að farið sé eftir eyðum á framleiðsluvaktum."

Það er mikilvægt að endurskoða og uppfæra hamfaraáætlunina reglulega – ársfjórðungslega, árlega og hvenær sem kerfisbreytingar eiga sér stað – til að halda reglunum.

Þegar bataáætlunin þín er traust, er næsta áhersla lögð á að tryggja öryggisafrit af gögnum til að styðja bæði við samræmi og endurheimtarþarfir.

3: Innleiða örugga öryggisafritun og geymslu gagna

Eftir að hafa búið til endurheimtaráætlun er næsta skref að tryggja að öryggisafrit þín séu örugg. Þetta er mikilvægt til að vernda viðkvæmar greiðsluupplýsingar og vera í samræmi við PCI DSS kröfur.

Veldu öryggisafritunarstefnu

Að velja rétta öryggisafritunarstefnu þýðir að jafnvægi gagnaöryggis og aðgengis. Nálgun þín ætti að vera í takt við þitt Endurheimtartímamarkmið (RTO) og Recovery Point Objectives (RPO) en fylgja ströngum öryggisstöðlum.

Hér eru tveir algengir valkostir til að íhuga:

Tegund öryggisafritunar	Öryggiseiginleikar	PCI DSS röðun
Skýjalausnir	Dulkóðun, stöðug vernd, geymsla á mörgum svæðum	Uppfyllir geymsluþarfir utan svæðis og RPO markmið
Líkamleg geymsla utan staðar	Líkamlegar öryggisráðstafanir, árleg endurskoðun	Uppfyllir kröfur um öryggisafritun fjölmiðla

Skýtengd öryggisafrit bjóða upp á dulkóðun og offramboð á mörgum stöðum, á meðan líkamleg geymsla utan staðar tryggir eftirfylgni með öruggri aðstöðu og reglubundnum úttektum. Blönduð nálgun getur sameinað styrkleika beggja.

Verndaðu öryggisafritunarstaðsetningar

Hvort sem þú ert að nota skýja- eða líkamlega geymslu, verður að verja afrit með bæði líkamlegum og stafrænum öryggisráðstöfunum. PCI DSS krefst árlegrar endurskoðunar á afritunarstöðum til að tryggja samræmi.

Helstu öryggisráðstafanir fyrir varastaðsetningar eru:

• Dulkóðun og aðgangsstýring: Notaðu sömu ströngu stýringar og notaðar eru fyrir aðalgagnaumhverfi.
• Líkamlegt öryggi: Notaðu eftirlitsmyndavélar, aðgangsskrár og öryggisstarfsfólk á staðnum.
• Umhverfisvernd: Haltu réttu hitastigi, rakastigi og eldvarnarkerfi til að koma í veg fyrir skemmdir.

"Mettu reglulega hamfaraendurheimtustaði fyrir PCI-samræmi til að forðast eyður í umfjöllun."

Fyrir skýjalausnir, vertu viss um að veitandinn þinn bjóði upp á:

• Fjölþátta auðkenning
• Ítarlegar aðgangsskrár
• Dreift geymsla yfir mörg svæði
• Fullt PCI DSS samræmi

Að vinna með löggiltum hýsingaraðilum með reynslu í PCI DSS getur bætt aukalagi af öryggi og sérfræðiþekkingu við öryggisafritunarstefnu þína.

Þegar öryggisafrit þín eru örugg er næsta skref að prófa og staðfesta hamfarabataáætlunina þína til að tryggja að hún virki eins og til er ætlast.

sbb-itb-59e1987

4: Prófaðu og staðfestu áætlun um endurheimt hamfara

Prófun er lykilskref til að tryggja PCI DSS samræmi og vernd korthafagagna í neyðartilvikum. Með því að prófa reglulega geturðu komið auga á veikleika og tekið á þeim áður en raunveruleg hörmung verður.

Prófunaraðferðir fyrir samræmi

PCI DSS krefst þess að hamfarabataáætlanir séu prófaðar að minnsta kosti einu sinni á ári. Prófunarferlið þitt ætti að vera stöðugt og ítarlegt.

Hér er það sem traust prófunaráætlun ætti að innihalda:

Prófunarhluti	Tíðni	Helstu kröfur
Kerfisendurheimtarprófun	Árlegt/Tvisvar árlega	Staðfestu að hægt sé að endurheimta kerfi sem meðhöndla korthafagögn á skilvirkan hátt
Staðfesting gagnaafritunar	Ársfjórðungslega	Gakktu úr skugga um að öryggisafrit séu ósnortin og að hægt sé að endurheimta þau þegar þörf krefur
Skjalaskoðun	Mánaðarlega	Haltu verklagsreglum og tengiliðaupplýsingum uppfærðum

Prófun hjálpar til við að staðfesta að bataáætlun þín uppfylli RTO (Recovery Time Objective) og RPO (Recovery Point Objective) viðmið. Vertu viss um að halda nákvæmar skrár yfir allar prófunarniðurstöður, þar sem þessi skjöl eru nauðsynleg fyrir PCI DSS samræmisúttektir.

Taktu upp prófunarvandamál

Þegar próf koma í ljós eyður skaltu skrá þessar niðurstöður, forgangsraða mikilvægustu málunum og innleiða lagfæringar. Vandamál eins og ófullnægjandi endurheimt gagna, tafir á bata eða samskiptavandamál ætti að leysa strax.

Afritunarstaðsetningar þurfa einnig athygli. Þau verða að uppfylla sömu PCI DSS öryggisstaðla og aðalkerfin þín. Að prófa þessar síður tryggir að þær séu tilbúnar þegar þörf krefur.

Eftir hverja prófun skaltu safna öllum hagsmunaaðilum til yfirlits. Notaðu þennan tíma til að ræða hvað virkaði, hvað virkaði ekki og hvernig hægt er að bæta áætlunina. Uppfærðu verklagsreglur um endurheimt hörmungar út frá þessari innsýn og öllum breytingum á viðskiptaumhverfi þínu.

Reglulegar prófanir staðfesta ekki aðeins að áætlunin þín virkar heldur tryggir hún einnig að hún sé í takt við PCI DSS kröfur og þarfir fyrirtækis þíns.

5: Viðhalda og uppfæra hörmungaráætlunina

Nauðsynlegt er að halda hamfaraáætlun þinni uppfærðri til að uppfylla PCI DSS kröfur. Reglulegar uppfærslur tryggja að áætlunin haldist virk og uppfyllir nýjustu öryggisstaðla til að vernda gögn korthafa.

Framkvæma endurskoðun og úttektir

PCI DSS krefst þess að þú endurskoðar hamfaraáætlun þína árlega. Hins vegar gæti tíðni umsagna verið mismunandi eftir áhættuþáttum fyrirtækis þíns og hvers kyns breytingum á kerfum sem meðhöndla gögn korthafa.

Tegund endurskoðunar	Tíðni	Fókussvæði
Rekstrarskoðun	Ársfjórðungslega	Kerfisstillingar, endurheimtarskref
Alhliða endurskoðun	Árlega	Reglueftirlit, áhættumat
Breytingastjórnun	Eftir þörfum	Uppfærslur á innviðum eða starfsfólki

Löggiltir sérfræðingar, eins og Qualified Security Assessors (QSAs), eru lykillinn að því að tryggja að áætlun þín um endurheimt hamfara uppfylli PCI DSS staðla. Þessir sérfræðingar meta verklagsreglur þínar og veita sérfræðiráðgjöf til að hjálpa þér að halda reglunum.

Reglulegar úttektir og endurskoðun hjálpa ekki aðeins við að viðhalda reglunum heldur einnig að finna svæði þar sem hægt er að bæta áætlunina þína.

Fella inn lærdóma

Áætlun þín um að endurheimta hörmungar ætti að laga sig út frá raunverulegum atvikum og prófunarniðurstöðum. Notaðu þessa innsýn til að bæta endurheimtartíma, auka áreiðanleika öryggisafritunar og hagræða samhæfingu teyma.

Fyrir utanaðkomandi geymslu skaltu íhuga að vinna með veitendum sem bjóða upp á örugga valkosti eins og dulkóðuð afrit, stýrða bataþjónustu eða PCI-samhæfða skýgeymslu. Gakktu úr skugga um að þessi aðstaða sé endurskoðuð árlega til að staðfesta að hún uppfylli öryggisstaðla.

Þegar þú gerir uppfærslur á áætlun þinni skaltu skrá helstu upplýsingar eins og:

• Ástæðan fyrir uppfærslunni
• Hvernig það hefur áhrif á núverandi verklag
• Allar breytingar sem tengjast samræmi
• Tímalína fyrir framkvæmd

Að lokum skaltu tryggja að allar hamfaraendurheimtarsíður sem sjá um korthafagögn beiti sömu öryggisráðstöfunum og aðalaðstaðan þín. Stöðugt öryggi á öllum stöðum er mikilvægt til að vernda viðkvæmar upplýsingar.

Að pakka því inn

Með því að fylgja þrepunum fimm sem lýst er geta stofnanir búið til hamfaraáætlun sem heldur gögnum korthafa öruggum á meðan þeir uppfylla PCI DSS staðla. Þessi skipulega nálgun kemur jafnvægisþörfum í samræmi við samfellu í rekstri.

Helstu veitingar

Skrefin – áhættumat, áætlanagerð, örugg afrit, prófun og viðhald – koma saman til að mynda sterkan grunn til að vernda gögn og tryggja að farið sé að. Regluleg endurskoðun, örugg afrit og stöðugar prófanir eru nauðsynlegar til að vernda upplýsingar korthafa.

Samræmi er lykilatriði. Viðreisnaráætlun vegna hamfara þrífst á réttri framkvæmd og eftirliti. Samstarf við viðurkenndan öryggismatsaðila getur staðfest viðleitni þína til að uppfylla reglur, en reglulegar uppfærslur og prófanir tryggja að stefna þín haldist árangursrík og uppfærð.

Til að vernda gögn korthafa og viðhalda PCI DSS samræmi er mikilvægt að einbeita sér að áframhaldandi endurbótum og ströngum öryggisráðstöfunum. Hvort sem þú ert að treysta á innri öryggisafrit eða ytri veitendur, þá er mikilvægt að viðhalda öryggi á öllum stöðum. Tíðar uppfærslur, prófanir og eftirlitseftirlit hjálpa til við að halda áætlun þinni áreiðanlegri og gögnum þínum öruggum.

Algengar spurningar

Hér eru svör við algengum spurningum um PCI DSS kröfur í hamfarabata til að hjálpa til við að skýra samræmi.

Krefst PCI hamfarabata?

Já, PCI DSS samræmi er nauðsynlegt ef korthafagögn (CHD) eru geymd, unnin eða send við hamfarabata. Helstu atriði sem þarf að huga að eru:

• Hamfarabatasíður sem meðhöndla korthafagögn verða að vera hluti af PCI DSS samræmissviði.
• Áætlanir um endurheimt hamfara sem fela í sér CHD verða að gangast undir reglubundnar prófanir, með endurskoðun gerðar að minnsta kosti árlega.
• Afritunarstaðsetningar sem geyma gögn korthafa eru nauðsynlegar til að fylgja PCI DSS samræmisstöðlum.

Hvernig ættu hamfaraendurheimtarsíður og skýgeymsla að vera í samræmi við PCI DSS?

Hamfarabatasíður sem meðhöndla framleiðslugögn án þess að uppfylla PCI DSS kröfur geta útsett fyrirtæki fyrir nokkrum áhættum:

Áhættuflokkur	Hugsanleg áhrif
Öryggi	Meiri varnarleysi fyrir gagnabrotum
Fylgni	Hætta á að missa vottun
Löglegt	Möguleg viðurlög við reglugerðum
Viðskipti	Veikuð batageta

Til að uppfylla PCI DSS staðla verða skýgeymslulausnir að tryggja öruggan gagnaflutning og geymslu, endurtaka gögn yfir mörg svæði, framkvæma reglulegar prófanir og viðhalda réttum skjölum um aðgerðir til að uppfylla reglur.

Hvort sem notaðar eru lausnir á staðnum eða í skýjagrunni, er forgangsverkefnið alltaf það sama: að vernda gögn korthafa í gegnum hamfarabataferlið.

Tengdar bloggfærslur

• Gátlisti fyrir samsetningu miðlara: 8 atriði sem þarf að huga að
• Gátlisti fyrir líkamlegt öryggi gagnavera 2024
• Hvernig á að tryggja gagnaver gegn líkamlegum ógnum
• SOC 2 samræmi: öryggisafritunaraðferðir útskýrðar