3.5.1.2
Определенные Требования к Подходу:
Если используется шифрование на уровне диска или раздела (вместо шифрования на уровне файла, столбца или поля базы данных) для того, чтобы сделать PAN нечитаемым, оно должно быть реализовано только следующим образом:
- На съемных электронных носителях,
ИЛИ - Если используется для несъемных электронных носителей, PAN также должен быть сделан нечитаемым с помощью другого механизма, который соответствует Требованию 3.5.1.
Цель Индивидуального подхода:
Зашифрованный PAN расшифровывается только при наличии законной деловой потребности в доступе к этому PAN.
Примечания по применению:
Это требование применяется к любому методу шифрования, который автоматически предоставляет PAN в открытом виде, когда система работает, даже если авторизованный пользователь не запрашивает эти данные напрямую.
Хотя шифрование на уровне диска или раздела может все еще присутствовать на таких устройствах, оно не может быть единственным механизмом для защиты PAN, хранящегося на этих системах. Любой хранимый PAN должен быть также сделан нечитаемым в соответствии с Требованием 3.5.1 — например, с помощью усечения или механизма шифрования на уровне данных. Полное шифрование диска помогает защитить данные в случае физической утраты диска, и поэтому его использование подходит только для съемных электронных носителей.
Медиа, являющиеся частью архитектуры дата-центра (например, горячие заменяемые диски, резервные ленты), считаются несъемными электронными носителями, к которым применяется Требование 3.5.1.
Реализации шифрования на уровне диска или раздела также должны соответствовать всем остальным требованиям PCI DSS по шифрованию и управлению ключами.
Для эмитентов и компаний, поддерживающих услуги по выпуску карт: Это требование не применяется к PAN, доступному для обработки транзакций в реальном времени. Однако оно применяется к PAN, хранящемуся для других целей. Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью учтено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 3.5.1.2.a Изучите процессы шифрования, чтобы проверить, что если используется шифрование на уровне диска или раздела для того, чтобы сделать PAN нечитаемым, оно реализовано только следующим образом:
- На съемных электронных носителях,
- ИЛИ
- Если используется для несъемных электронных носителей, изучите процессы шифрования, чтобы убедиться, что PAN также сделан нечитаемым с помощью другого метода, который соответствует Требованию 3.5.1.
- 3.5.1.2.b Изучите конфигурации и/или документацию поставщика и наблюдайте за процессами шифрования, чтобы удостовериться, что система настроена в соответствии с документацией поставщика, и результатом является то, что диск или раздел сделаны нечитаемыми.
Цель:
Шифрование на уровне диска и раздела обычно шифрует весь диск или раздел с использованием одного и того же ключа, и все данные автоматически расшифровываются, когда система запускается или когда авторизованный пользователь запрашивает их. По этой причине шифрование на уровне диска не подходит для защиты хранимого PAN на компьютерах, ноутбуках, серверах, хранилищах данных или любых других системах, которые предоставляют прозрачную расшифровку при аутентификации пользователя.
Дополнительная информация:
Если доступно, следование руководствам поставщиков по укреплению безопасности и лучшим отраслевым практикам поможет защитить PAN на этих устройствах.
