Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 3.7.7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.7
3.7.7
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать предотвращение несанкционированной замены криптографических ключей.
Цель Индивидуального подхода:
Криптографические ключи не могут быть заменены неавторизованным персоналом.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать предотвращение несанкционированной замены криптографических ключей.
Цель Индивидуального подхода:
Криптографические ключи не могут быть заменены неавторизованным персоналом.
Определенные Процедуры Тестирования Подхода:
- 3.7.7.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, и убедитесь, что они определяют предотвращение несанкционированной замены криптографических ключей.
- 3.7.7.b Опрашивать персонал и/или наблюдать за процессами, чтобы убедиться, что предотвращена несанкционированная замена ключей.
Цель:
Если злоумышленник сможет заменить ключ объекта ключом, который известен злоумышленнику, злоумышленник сможет расшифровать все данные, зашифрованные с помощью этого ключа
Надлежащая практика:
Решение для шифрования не должно допускать или допускать замену ключей из неавторизованных источников или неожиданных процессов.
Средства контроля должны включать обеспечение того, чтобы лица, имеющие доступ к ключевым компонентам или общим ресурсам, не имели доступа к другим компонентам или общим ресурсам, которые образуют необходимый порог для получения ключа.
Если злоумышленник сможет заменить ключ объекта ключом, который известен злоумышленнику, злоумышленник сможет расшифровать все данные, зашифрованные с помощью этого ключа
Надлежащая практика:
Решение для шифрования не должно допускать или допускать замену ключей из неавторизованных источников или неожиданных процессов.
Средства контроля должны включать обеспечение того, чтобы лица, имеющие доступ к ключевым компонентам или общим ресурсам, не имели доступа к другим компонентам или общим ресурсам, которые образуют необходимый порог для получения ключа.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.