3.4.2
Определенные Требования к Подходу:
При использовании технологий удаленного доступа технические средства управления предотвращают копирование и/или перемещение PAN для всего персонала, за исключением тех, кто имеет документированное, явное разрешение и законную, четко определенную бизнес-потребность.
Цель Индивидуального подхода:
PAN не может быть скопирован или перемещен неавторизованным персоналом с использованием технологий удаленного доступа.
Примечания по применению:
Хранение или перемещение PAN на локальные жесткие диски, съемные электронные носители и другие устройства хранения включает эти устройства в область применения PCI DSS.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 3.4.2.a Изучите документированные политики и процедуры, а также документированные доказательства технических средств управления, которые предотвращают копирование и/или перемещение PAN с использованием технологий удаленного доступа на локальные жесткие диски или съемные электронные носители, чтобы удостовериться в следующем:
- Технические средства управления предотвращают копирование и/или перемещение PAN для всего персонала, не имеющего явного разрешения.
- Ведется список сотрудников, имеющих разрешение на копирование и/или перемещение PAN, вместе с документированным, явным разрешением и законной, четко определенной бизнес-потребностью.
- 3.4.2.b Изучите конфигурации технологий удаленного доступа, чтобы удостовериться, что технические средства управления предотвращают копирование и/или перемещение PAN для всего персонала, если только это не разрешено явно.
- 3.4.2.c Наблюдайте за процессами и проводите интервью с персоналом, чтобы удостовериться, что только персонал с документированным, явным разрешением и законной, четко определенной бизнес-потребностью имеет разрешение на копирование и/или перемещение PAN при использовании технологий удаленного доступа.
Цель:
Перемещение PAN на несанкционированные устройства хранения — это распространенный способ получения и мошеннического использования этих данных.
Методы, гарантирующие, что только те, кто имеет явное разрешение и законную бизнес-потребность, могут копировать или перемещать PAN, минимизируют риск того, что неавторизованные лица получат доступ к PAN.
Надлежащая практика:
Копирование и перемещение PAN должно осуществляться только на устройства хранения, которые разрешены и авторизованы для данного сотрудника.
Определения:
Виртуальный рабочий стол — пример технологии удаленного доступа. Такие технологии удаленного доступа часто включают инструменты для отключения функциональности копирования и/или перемещения.
Устройства хранения включают, но не ограничиваются локальными жесткими дисками, виртуальными дисками, съемными электронными носителями, сетевыми дисками и облачным хранилищем.
Дополнительная информация:
Документация поставщика используемой технологии удаленного доступа предоставит информацию о настройках системы, необходимых для реализации этого требования.