Informatiebeveiligingsbeleid

Inhoud

Invoering. 3

Informatiebeveiligingsbeleid. 3

  1. Netwerk veiligheid. 4
  2. Aanvaardbaar gebruik beleid. 4
  3. Bescherm opgeslagen gegevens. 4
  4. Informatie Classificatie. 5
  5. Toegang tot de Gevoelige Kaarthoudergegevens. 5
  6. Fysieke bewaking. 6
  7. Bescherm gegevens tijdens het transport. 6
  8. Verwijdering van opgeslagen gegevens. 7
  9. Beveiligingsbewustzijn en procedures. 7
  10. Responsplan voor beveiligingsincidenten met creditcard (PCI). 8
  11. Overdracht van gevoelige informatiebeleid. 12
  12. Beheer van gebruikerstoegang. 12
  13. Toegangscontrolebeleid. 13

Bijlage A – Overeenkomst om te voldoen aan formulier – Overeenkomst om te voldoen aan het informatiebeveiligingsbeleid. 15

Bijlage B – Lijst met apparaten. 16

 

 

 

 

 

 

 

 


 

Invoering

Dit beleidsdocument omvat alle aspecten van beveiliging rond vertrouwelijke bedrijfsinformatie en moet worden verspreid onder alle medewerkers van het bedrijf. Alle medewerkers van het bedrijf moeten dit document in zijn geheel lezen en het formulier ondertekenen om te bevestigen dat ze dit beleid hebben gelezen en volledig begrijpen. Dit document zal jaarlijks of indien relevant door het management worden herzien en bijgewerkt om nieuw ontwikkelde beveiligingsnormen in het beleid op te nemen en waar van toepassing opnieuw worden verspreid onder alle werknemers en contractanten.

Informatiebeveiligingsbeleid

 

WhatNaturalsLove.com verwerkt dagelijks gevoelige kaarthouderinformatie. Gevoelige informatie moet over voldoende waarborgen beschikken om de gegevens van de kaarthouder en de privacy van de kaarthouder te beschermen en om te zorgen voor naleving van verschillende voorschriften, samen met het bewaken van de toekomst van de organisatie.

WhatNaturalsLove.com verbindt zich ertoe de privacy van al haar klanten te respecteren en alle klantgegevens te beschermen tegen externe partijen. Daarom zet het management zich in voor het handhaven van een veilige omgeving waarin kaarthoudergegevens worden verwerkt, zodat we deze beloften kunnen nakomen.

Werknemers die gevoelige kaarthoudergegevens verwerken, moeten ervoor zorgen:

  • Bedrijfs- en kaarthouderinformatie behandelen op een manier die past bij hun gevoeligheid en classificatie;
  • Beperk persoonlijk gebruik van WhatNaturalsLove.com informatie- en telecommunicatiesystemen en zorg ervoor dat dit uw werkprestaties niet verstoort;
  • com behoudt zich het recht voor om elektronische communicatie, apparatuur, systemen en netwerkverkeer voor welk doel dan ook te controleren, openen, beoordelen, controleren, kopiëren, opslaan of verwijderen;
  • Gebruik geen e-mail, internet en andere middelen van het Bedrijf om deel te nemen aan enige actie die beledigend, bedreigend, discriminerend, lasterlijk, lasterlijk, pornografisch, obsceen, intimiderend of illegaal is;
  • Maak geen personeelsinformatie bekend, tenzij hiervoor toestemming is verleend;
  • Bescherm gevoelige kaarthouderinformatie;
  • Houd wachtwoorden en accounts veilig;
  • Vraag goedkeuring aan het management voordat nieuwe software of hardware, verbindingen met derden, enz. tot stand worden gebracht;
  • Installeer geen ongeautoriseerde software of hardware, inclusief modems en draadloze toegang, tenzij je expliciete toestemming van het management hebt;
  • Laat bureaus altijd vrij van gevoelige kaarthoudergegevens en vergrendel computerschermen wanneer ze onbeheerd zijn;
  • Informatiebeveiligingsincidenten moeten onverwijld worden gemeld aan de persoon die lokaal verantwoordelijk is voor de incidentrespons. Zoek uit wie dit is.

We hebben allemaal de verantwoordelijkheid om ervoor te zorgen dat de systemen en gegevens van ons bedrijf worden beschermd tegen ongeoorloofde toegang en oneigenlijk gebruik. Als u niet zeker bent over een van de hierin beschreven beleidslijnen, dient u advies en begeleiding in te winnen bij uw lijnmanager.

 

1. Netwerkbeveiliging

Een netwerkdiagram op hoog niveau van het netwerk wordt bijgehouden en jaarlijks herzien. Het netwerkdiagram geeft een overzicht op hoog niveau van de kaarthoudergegevensomgeving (CDE), die minimaal de verbindingen in en uit de CDE toont. Kritieke systeemcomponenten binnen de CDE, zoals POS-apparaten, databases, webservers, enz., en alle andere noodzakelijke betalingscomponenten, indien van toepassing, moeten ook worden geïllustreerd.

Bovendien moet ASV worden uitgevoerd en voltooid door een door PCI SSC goedgekeurde scanleverancier, indien van toepassing. Het bewijs van deze scans moet gedurende een periode van 18 maanden worden bewaard.

 

2. Beleid voor acceptabel gebruik

 

De bedoelingen van het management voor het publiceren van een beleid voor acceptabel gebruik zijn niet om beperkingen op te leggen die in strijd zijn met de gevestigde cultuur van openheid, vertrouwen en integriteit van WhatNaturalsLove.com. Het management zet zich in om de werknemers, partners en WhatNaturalsLove.com te beschermen tegen illegale of schadelijke acties, bewust of onbewust door individuen. WhatNaturalsLove.com houdt een goedgekeurde lijst bij van technologieën en apparaten en personeel met toegang tot dergelijke apparaten, zoals beschreven in Bijlage B.

  • Werknemers zijn verantwoordelijk voor het gebruik van gezond verstand met betrekking tot de redelijkheid van persoonlijk gebruik.
  • Werknemers moeten alle nodige stappen ondernemen om ongeoorloofde toegang tot vertrouwelijke gegevens, waaronder gegevens van kaarthouders, te voorkomen.
  • Houd wachtwoorden veilig en deel geen accounts. Geautoriseerde gebruikers zijn verantwoordelijk voor de beveiliging van hun wachtwoorden en accounts.
  • Alle pc's, laptops en werkstations moeten worden beveiligd met een met een wachtwoord beveiligde screensaver met de automatische activeringsfunctie.
  • Alle POS- en pincode-invoerapparaten moeten naar behoren worden beschermd en beveiligd, zodat er niet mee kan worden geknoeid of gewijzigd.
  • De lijst met apparaten in bijlage B zal regelmatig worden bijgewerkt wanneer apparaten worden gewijzigd, toegevoegd of buiten gebruik worden gesteld. Er zal regelmatig een inventarisatie van apparaten worden uitgevoerd en apparaten worden geïnspecteerd om mogelijke manipulatie of vervanging van apparaten te identificeren.
  • Gebruikers moeten worden getraind in het vermogen om verdacht gedrag te identificeren waarbij geknoei of vervanging kan worden uitgevoerd. Elk verdacht gedrag zal dienovereenkomstig worden gemeld.
  • Informatie op draagbare computers is bijzonder kwetsbaar, speciale zorg moet worden betracht.
  • Berichten door werknemers vanaf een e-mailadres van het Bedrijf naar nieuwsgroepen moeten een disclaimer bevatten waarin staat dat de geuite meningen strikt van henzelf zijn en niet noodzakelijkerwijs die van WhatNaturalsLove.com, tenzij het plaatsen in het kader van zakelijke taken is.
  • Werknemers moeten uiterst voorzichtig zijn bij het openen van e-mailbijlagen die zijn ontvangen van onbekende afzenders en die virussen, e-mailbommen of Trojaanse paardencode kunnen bevatten.

3. Bescherm opgeslagen gegevens 

  • Alle gevoelige kaarthoudergegevens die worden opgeslagen en verwerkt door WhatNaturalsLove.com en haar medewerkers moeten te allen tijde veilig worden beschermd tegen ongeoorloofd gebruik. Alle gevoelige kaartgegevens die WhatNaturalsLove.com om zakelijke redenen niet langer nodig heeft, moeten op een veilige en onherstelbare manier worden weggegooid.
  • Als het niet specifiek nodig is om het volledige PAN (Permanent Account Number) te zien, moet het worden gemaskeerd wanneer het wordt weergegeven.
  • PAN'S die niet zijn beveiligd zoals hierboven vermeld, mogen niet naar het externe netwerk worden verzonden via berichtentechnologieën voor eindgebruikers zoals chats, ICQ-messenger enz.,

Het is ten strengste verboden om op te slaan:

  1. De inhoud van de betaalkaart magneetstrip (track data) op welk medium dan ook.
  2. Het CVV/CVC (het 3- of 4-cijferige nummer op het handtekeningpaneel op de achterkant van de betaalkaart) op welk medium dan ook.
  3. De PIN of de versleutelde PIN Block onder alle omstandigheden.

4. Informatieclassificatie

 

Gegevens en media die gegevens bevatten, moeten altijd worden gelabeld om het gevoeligheidsniveau aan te geven.

  • Vertrouwelijke gegevens kunnen informatie-activa zijn waarvoor er wettelijke vereisten zijn om openbaarmaking te voorkomen of financiële sancties voor openbaarmaking, of gegevens die ernstige schade zouden toebrengen aan WhatNaturalsLove.com indien openbaar gemaakt of gewijzigd. Vertrouwelijke gegevens omvatten gegevens van kaarthouders .
  • Gegevens over intern gebruik kunnen informatie bevatten die volgens de eigenaar van de gegevens moet worden beschermd om ongeoorloofde openbaarmaking te voorkomen.
  • Openbare gegevens zijn informatie die vrij verspreid mag worden.

5. Toegang tot de gevoelige kaarthoudergegevens

Alle toegang tot gevoelige kaarthouders moet worden gecontroleerd en geautoriseerd. Alle functies waarvoor toegang tot kaarthoudergegevens nodig is, moeten duidelijk worden gedefinieerd.

  • Elke weergave van de kaarthouder moet minimaal worden beperkt tot de eerste 6 en de laatste 4 cijfers van de kaarthoudergegevens.
  • Toegang tot gevoelige kaarthouderinformatie zoals PAN's, persoonlijke informatie en zakelijke gegevens is beperkt tot werknemers die een legitieme behoefte hebben om dergelijke informatie te bekijken.
  • Andere werknemers mogen geen toegang hebben tot deze vertrouwelijke gegevens, tenzij ze een echte zakelijke behoefte hebben.
  • Als gegevens van kaarthouders worden gedeeld met een serviceprovider ( derde partij), wordt een lijst van dergelijke serviceproviders bijgehouden zoals beschreven in bijlage C.
  • com zal ervoor zorgen dat er een schriftelijke overeenkomst is met daarin een bevestiging dat de Dienstverlener verantwoordelijk is voor de kaarthoudergegevens waarover de Dienstverlener beschikt.
  • com zal ervoor zorgen dat er een vastgesteld proces is, inclusief de juiste due diligence, voordat het met een Serviceprovider in zee gaat.
  • com zal een proces hebben om de PCI DSS-conformiteitsstatus van de serviceprovider te controleren.

 

6. Fysieke beveiliging 

Toegang tot gevoelige informatie in zowel harde als zachte media moet fysiek worden beperkt om te voorkomen dat onbevoegden gevoelige gegevens verkrijgen.

  • Media wordt gedefinieerd als elk bedrukt of handgeschreven papier, ontvangen faxen, diskettes, back-uptapes, harde schijf van een computer, enz.
  • Media die gevoelige kaarthouderinformatie bevatten, moeten op een veilige manier worden behandeld en verspreid door vertrouwde personen.
  • Bezoekers moeten altijd worden begeleid door een vertrouwde medewerker in gebieden met gevoelige kaarthouderinformatie.
  • Er moeten procedures zijn om al het personeel te helpen gemakkelijk onderscheid te maken tussen werknemers en bezoekers, vooral in gebieden waar kaarthoudergegevens toegankelijk zijn. "Werknemer" verwijst naar fulltime en parttime werknemers, tijdelijke werknemers en personeel, en consultants die "ingezeten" zijn op bedrijfslocaties. Een "bezoeker" wordt gedefinieerd als een verkoper, gast van een werknemer, servicepersoneel of iemand die het pand voor een korte tijd, meestal niet meer dan één dag, fysiek moet betreden.
  • Er moet een lijst worden bijgehouden van apparaten die betaalkaartgegevens accepteren.
  • De lijst moet het merk, het model en de locatie van het apparaat bevatten.
  • De lijst moet het serienummer of een unieke identificatie van het apparaat bevatten
  • De lijst moet worden bijgewerkt wanneer apparaten worden toegevoegd, verwijderd of verplaatst
  • De oppervlakken van POS-apparaten worden periodiek geïnspecteerd om manipulatie of vervanging te detecteren.
  • Personeel dat de apparaten gebruikt, moet zijn opgeleid en zich bewust zijn van het omgaan met de POS-apparaten
  • Personeel dat de apparaten gebruikt, moet de identiteit verifiëren van en=y personeel van derden dat beweert de apparaten te repareren of onderhoudstaken uit te voeren, nieuwe apparaten te installeren of apparaten te vervangen.
  • Personeel dat de apparaten gebruikt, moet worden opgeleid om verdacht gedrag en indicaties van manipulatie van de apparaten aan het juiste personeel te melden. WhatNaturalsLove.com-sites. Een "bezoeker" wordt gedefinieerd als een verkoper, gast van een werknemer, servicepersoneel of iedereen die het pand voor korte tijd, meestal niet meer dan één dag, moet betreden.
  • Er wordt strikte controle gehouden over de externe of interne distributie van alle media die kaarthoudergegevens bevatten en moet worden goedgekeurd door het management
  • Er wordt strikte controle gehouden over de opslag en toegankelijkheid van media
  • Op alle computers waarop gevoelige kaarthoudergegevens worden opgeslagen, moet een schermbeveiliging met wachtwoordbeveiliging zijn ingeschakeld om ongeoorloofd gebruik te voorkomen.

7. Bescherm gegevens tijdens transport 

Alle gevoelige gegevens van kaarthouders moeten veilig worden beschermd als ze fysiek of elektronisch moeten worden vervoerd.

 

  • Gegevens van kaarthouders (PAN, trackgegevens, enz.) mogen nooit via internet worden verzonden via e-mail, instant chat of andere eindgebruikerstechnologieën.
  • Als er een zakelijke rechtvaardiging is om kaarthoudergegevens via e-mail of op een andere manier te verzenden, moet dit worden gedaan na autorisatie en met behulp van een sterk coderingsmechanisme (dwz - AES-codering, PGP-codering, IPSEC, enz.).
  • Het transport van media met gevoelige kaarthoudergegevens naar een andere locatie moet door het management worden geautoriseerd, geregistreerd en geïnventariseerd voordat het het pand verlaat. Alleen beveiligde koeriersdiensten mogen worden gebruikt voor het transport van dergelijke media. De status van de zending moet worden gecontroleerd totdat deze op de nieuwe locatie is afgeleverd.

8. Verwijdering van opgeslagen gegevens

 

  • Alle gegevens moeten veilig worden verwijderd wanneer ze niet langer nodig zijn door WhatNaturalsLove.com, ongeacht de media of het applicatietype waarop ze zijn opgeslagen.
  • Er moet een automatisch proces zijn om online gegevens permanent te verwijderen, wanneer ze niet langer nodig zijn.
  • Alle papieren kopieën van kaarthoudergegevens moeten handmatig worden vernietigd wanneer ze om geldige en gerechtvaardigde zakelijke redenen niet langer nodig zijn. Er moet een driemaandelijks proces zijn om te bevestigen dat alle niet-elektronische gegevens van kaarthouders tijdig zijn verwijderd.
  • WhatNaturalsLove.com zal procedures hebben voor de vernietiging van hardcopy (papieren) materialen. Deze vereisen dat alle hardcopy materialen worden versnipperd, versnipperd, verbrand of verpulverd, zodat ze niet kunnen worden gereconstrueerd.
  • WhatNaturalsLove.com heeft gedocumenteerde procedures voor de vernietiging van elektronische media. Deze vereisen:
    • Alle kaarthoudergegevens op elektronische media moeten onherstelbaar worden gemaakt wanneer ze worden verwijderd, bijvoorbeeld door demagnetisering of elektronisch wissen met behulp van veilige verwijderingsprocessen van militaire kwaliteit of de fysieke vernietiging van de media;
    • Als programma's voor veilig wissen worden gebruikt, moet het proces de door de industrie geaccepteerde normen definiëren die worden gevolgd voor veilig verwijderen.
  • Alle kaarthouderinformatie die op vernietiging wacht, moet worden bewaard in afsluitbare opslagcontainers die duidelijk zijn gemarkeerd met "To Be Shredded" - de toegang tot deze containers moet worden beperkt.

 

 

9. Beveiligingsbewustzijn en procedures 

De hieronder beschreven beleidslijnen en procedures moeten worden opgenomen in de bedrijfspraktijken om een ​​hoog niveau van beveiligingsbewustzijn te behouden. De bescherming van gevoelige gegevens vereist regelmatige training van alle werknemers en contractanten.

  • Evalueer de verwerkingsprocedures voor gevoelige informatie en houd periodieke veiligheidsbewustzijnsvergaderingen om deze procedures op te nemen in de dagelijkse bedrijfspraktijken.
  • Verspreid dit document over het beveiligingsbeleid onder alle medewerkers van het bedrijf om te lezen. Het is vereist dat alle medewerkers bevestigen dat ze de inhoud van dit beveiligingsbeleidsdocument begrijpen door een bevestigingsformulier te ondertekenen (zie bijlage A).
  • Alle werknemers die gevoelige informatie verwerken, ondergaan antecedentenonderzoeken (zoals strafrechtelijke controles en controles van kredietwaardigheid, binnen de grenzen van de lokale wetgeving) voordat ze in dienst treden bij WhatNaturalsLove.com.
  • Alle derden met toegang tot creditcardrekeningnummers zijn contractueel verplicht om te voldoen aan de veiligheidsnormen van de kaartvereniging (PCI/DSS).
  • Het beveiligingsbeleid van het bedrijf moet jaarlijks worden herzien en indien nodig worden bijgewerkt.


10. Creditcard (PCI) beveiligingsincidentresponsplan

  • com PCI Security Incident Response Team (PCI Response Team) bestaat uit de Information Security Officer en Merchant Services. WhatNaturalsLove.com PCI-reactieplan voor beveiligingsincidenten is als volgt:

  1. Elke afdeling dient een incident te melden aan de Information Security Officer (bij voorkeur) of aan een ander lid van het PCI Response Team.
  2. Het teamlid dat de melding ontvangt, stelt het PCI Response Team op de hoogte van het incident.
  3. Het PCI Response Team zal het incident onderzoeken en de mogelijk gecompromitteerde afdeling helpen bij het beperken van de blootstelling van kaarthoudergegevens en bij het verminderen van de risico's die aan het incident zijn verbonden.
  4. Het PCI Response Team zal het probleem naar tevredenheid van alle betrokken partijen oplossen, inclusief het rapporteren van het incident en de bevindingen aan de juiste partijen (creditcardverenigingen, creditcardverwerkers, etc.) indien nodig.
  5. Het PCI Response Team zal bepalen of het beleid en de processen moeten worden geüpdatet om een ​​soortgelijk incident in de toekomst te voorkomen, en of er aanvullende waarborgen nodig zijn in de omgeving waar het incident zich heeft voorgedaan, of voor de instelling.

WhatNaturalsLove.com PCI Security Incident Response Team (of equivalent in uw organisatie):

CIO

Directeur communicatie

Compliance Officer

Raad

Informatiebeveiligingsfunctionaris

Collecties en handelsservices

Risico manager

Informatiebeveiliging PCI Incident Response Procedures:

  • Een afdeling die redelijkerwijs vermoedt dat er sprake is van een accountinbreuk, of een inbreuk op kaarthouderinformatie of op systemen die verband houden met de PCI-omgeving in het algemeen, moet het PCI Incident Response Team van WhatNaturalsLove.com op de hoogte stellen. Na op de hoogte te zijn gesteld van een compromis, zal het PCI Response Team, samen met ander aangewezen personeel, het PCI Incident Response Plan implementeren om de responsplannen van de afdelingen te helpen en te verbeteren.

Melding incidentrespons

Escalatieleden (of equivalent in uw bedrijf):

Escalatie - Eerste niveau:

Informatiebeveiligingsfunctionaris-controller

Uitvoerend projectdirecteur voor Credit Collections en Merchant Services Legal Counsel

Risico manager

Directeur van WhatNaturalsLove.com Communications

Escalatie - Tweede niveau:

WhatNaturalsLove.com President

Uitvoerend Kabinet

Interne audit

Hulpleden indien nodig

Externe contacten (indien nodig)

Merken van kaartaanbieders van verkopers

Internetprovider (indien van toepassing)

Internetserviceprovider van indringer (indien van toepassing) Communicatiedragers (lokaal en interlokaal) Zakenpartners

Verzekeringsmaatschappij

Extern responsteam, indien van toepassing (CERT Coördinatiecentrum 1, enz.) Wetshandhavingsinstanties, zoals van toepassing in lokale jurisdictie

Als reactie op een systeemcompromis zullen het PCI Response Team en de aangewezen personen:

  1. Zorg ervoor dat gecompromitteerde systemen zijn geïsoleerd op/van het netwerk.
  2. Verzamel, bekijk en analyseer de logboeken en gerelateerde informatie van verschillende centrale en lokale waarborgen en beveiligingscontroles
  3. Voer de juiste forensische analyse uit van het gecompromitteerde systeem.
  1. Neem waar nodig contact op met interne en externe afdelingen en entiteiten.
  2. Stel indien nodig forensische analyses en loganalyses ter beschikking van de bevoegde wetshandhavers of beveiligingspersoneel van de kaartindustrie.
  3. Assisteren van wetshandhavers en beveiligingspersoneel van de kaartindustrie bij onderzoeksprocessen, waaronder vervolgingen.

De creditcardmaatschappijen hebben individueel specifieke vereisten waaraan het Response Team moet voldoen bij het melden van vermoedelijke of bevestigde inbreuken op kaarthoudergegevens. Zie hieronder voor deze eisen.

Meldingen van incidentrespons aan verschillende kaartschema's

  1. Waarschuw bij een vermoeden van een inbreuk op de beveiliging direct de informatiebeveiligingsfunctionaris of uw lijnmanager.
  2. De beveiligingsfunctionaris zal een eerste onderzoek doen naar de vermoedelijke inbreuk op de beveiliging.
  3. Na bevestiging dat er een inbreuk op de beveiliging heeft plaatsgevonden, zal de beveiligingsfunctionaris het management waarschuwen en beginnen met het informeren van alle relevante partijen die mogelijk door het compromis worden getroffen.

VISA-stappen

Als het compromittering van de gegevensbeveiliging betrekking heeft op creditcardrekeningnummers, voert u de volgende procedure uit:

  • Sluit alle systemen of processen die betrokken zijn bij de inbreuk af om de omvang te beperken en verdere blootstelling te voorkomen.
  • Waarschuw alle betrokken partijen en autoriteiten zoals de Merchant Bank (uw bank), Visa Fraud Control en de wetshandhaving.
  • Geef binnen 24 uur details van alle gecompromitteerde of mogelijk gecompromitteerde kaartnummers aan Visa Fraud Control.
  • Ga voor meer informatie naar: http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp_if_compromisd.html

Sjabloon voor visumincidentrapport

Deze melding moet binnen 14 dagen na de eerste melding van het incident aan VISA aan VISA worden verstrekt. Bij het invullen van de incidentenmelding moeten de volgende rapportinhoud en -normen worden gevolgd. Het incidentrapport moet veilig worden gedistribueerd naar VISA en Merchant Bank. Visa classificeert het rapport als “VISA Secret”*.

  1. Managementsamenvatting

  1. Overzicht van het incident bijvoegen
  2. Inclusief RISICO-niveau (Hoog, Gemiddeld, Laag)
  3. Bepaal of het compromis is ingeperkt
  1. Achtergrond
  • Initiële analyse
  1. Onderzoeksprocedures

  1. Forensische tools opnemen die tijdens het onderzoek worden gebruikt
  1. bevindingen
    1. Aantal accounts dat risico loopt, identificeer die winkels en gecompromitteerd

  1. Soort rekeninginformatie die risico loopt
  2. Identificeer ALLE geanalyseerde systemen. Neem het volgende op:

  • Domain Name System (DNS)-namen

  • Internet Protocol (IP)-adressen

  • Besturingssysteem (OS) versie

  • Functie van systeem(en)

  1. Identificeer ALLE gecompromitteerde systemen. Neem het volgende op:

  • DNS-namen

  • IP-adressen

  • OS-versie

  • Functie van systeem(en)
  1. Tijdschema van compromis

  1. Alle gegevens geëxporteerd door indringer
  2. Bepaal hoe en bron van compromis
  3. Controleer alle mogelijke databaselocaties om er zeker van te zijn dat er nergens CVV2-, Track 1- of Track 2-gegevens worden opgeslagen, of ze nu versleuteld of niet-versleuteld zijn (bijv. dubbele of back-uptabellen of databases, databases die worden gebruikt in ontwikkelings-, fase- of testomgevingen, gegevens over software-engineers' automaten, enz.)
  4. Controleer indien van toepassing de beveiliging van het VisaNet-eindpunt en bepaal het risico
  1. Gecompromitteerde entiteitsactie
  • Aanbevelingen

  • Contact(en) bij entiteit en veiligheidsbeoordelaar die onderzoek doet

*Deze classificatie is van toepassing op de meest gevoelige bedrijfsinformatie, die bedoeld is voor gebruik binnen VISA. De ongeoorloofde openbaarmaking ervan kan ernstige en nadelige gevolgen hebben voor VISA, haar werknemers, aangesloten banken, zakenpartners en/of het merk.

MasterCard-stappen:

  1. Breng binnen 24 uur na een accountschade-gebeurtenis het MasterCard-gecompromitteerde accountteam telefonisch op de hoogte via 1-636-722-4100.
  2. Verstrek een gedetailleerde schriftelijke feitelijke verklaring over het compromitteren van het account (inclusief de bijdragende omstandigheden) via beveiligde e-mail naar compromitterd_account_team@mastercard.com .

  1. Geef de MasterCard Merchant Fraud Control Department een volledige lijst van alle bekende gecompromitteerde rekeningnummers.
  2. Schakel binnen 72 uur na kennisneming van een vermoedelijke accountinbreuk de diensten in van een gegevensbeveiligingsbedrijf dat aanvaardbaar is voor MasterCard om de kwetsbaarheid van de aangetaste gegevens en gerelateerde systemen te beoordelen (zoals een gedetailleerde forensische evaluatie).

  1. Verstrek wekelijks schriftelijke statusrapporten aan MasterCard, waarbij openstaande vragen en problemen worden beantwoord totdat de audit naar tevredenheid van MasterCard is voltooid.
  2. Verstrek onmiddellijk bijgewerkte lijsten van potentiële of bekende gecompromitteerde rekeningnummers, aanvullende documentatie en andere informatie die MasterCard kan vragen.

  • Geef de bevindingen van alle audits en onderzoeken aan de MasterCard Merchant Fraud Control-afdeling binnen het vereiste tijdsbestek en blijf elke openstaande blootstelling of aanbeveling aanpakken totdat deze naar tevredenheid van MasterCard is opgelost.

Zodra MasterCard de details van het gecompromitteerde accountgegevens en de lijst met gecompromitteerde rekeningnummers heeft verkregen, zal MasterCard:

  1. Identificeer de uitgevers van de accounts waarvan vermoed werd dat ze gecompromitteerd waren en groepeer alle bekende accounts onder de respectievelijke bovenliggende lid-ID's.

  1. Verspreid de rekeningnummergegevens naar de respectieve uitgevers.

Van medewerkers van WhatNaturalsLove.com wordt verwacht dat ze aan de beveiligingsfunctionaris rapporteren over eventuele beveiligingsgerelateerde problemen. De rol van de beveiligingsfunctionaris is om alle beveiligingsbeleid en -procedures effectief te communiceren aan werknemers binnen WhatNaturalsLove.com en contractanten. Daarnaast zal de beveiligingsfunctionaris toezicht houden op de planning van beveiligingstrainingssessies, toezicht houden op en handhaven van het beveiligingsbeleid dat in zowel dit document als tijdens de trainingssessies wordt beschreven en ten slotte toezicht houden op de implementatie van het incidentresponsplan in het geval van een gevoelige gegevens compromis.

Ontdek kaartstappen

  1. Meld binnen 24 uur na een accountaantastingsgebeurtenis Discover Fraud Prevention op (800) 347-3102
  2. Stel een gedetailleerde schriftelijke feitelijke verklaring op over het compromitteren van de rekening, inclusief de bijdragende omstandigheden
  • Maak een lijst van alle bekende gecompromitteerde rekeningnummers

  1. Verkrijg aanvullende specifieke vereisten van Discover Card

American Express-stappen

  1. Breng binnen 24 uur na een accountaantastingsgebeurtenis American Express Merchant Services op de hoogte via (800) 528-5200 in de VS
  2. Stel een gedetailleerde schriftelijke feitelijke verklaring op over het compromitteren van de rekening, inclusief de bijdragende omstandigheden
  • Maak een lijst van alle bekende gecompromitteerde rekeningnummers Vraag aanvullende specifieke vereisten op bij American Express

11. Beleid inzake overdracht van gevoelige informatie

 

  • Alle externe bedrijven die essentiële diensten leveren aan WhatNaturalsLove.com moeten een overeengekomen Service Level Agreement verstrekken.
  • Alle externe bedrijven die hostingfaciliteiten aanbieden, moeten voldoen aan het beleid voor fysieke beveiliging en toegangscontrole van WhatNaturalsLove.com.
  • Alle externe bedrijven die toegang hebben tot kaarthouderinformatie moeten:
  1. Houd u aan de PCI DSS-beveiligingsvereisten.
  2. Hun verantwoordelijkheid erkennen voor het beveiligen van de gegevens van de Kaarthouder.
  3. Erken dat de gegevens van de kaarthouder alleen mogen worden gebruikt om een ​​transactie te helpen voltooien, een loyaliteitsprogramma te ondersteunen, een fraudecontroleservice te bieden of voor specifiek wettelijk vereist gebruik.
  4. Zorg voor passende voorzieningen voor bedrijfscontinuïteit in het geval van een grote verstoring, ramp of storing.
  5. Bied volledige medewerking en toegang om een ​​grondige veiligheidsbeoordeling uit te voeren na een inbreuk op de beveiliging door een vertegenwoordiger van de betaalkaartindustrie of een door de betaalkaartsector goedgekeurde derde partij.

12. Beheer van gebruikerstoegang

 

  • Toegang tot het bedrijf wordt gecontroleerd via een formeel gebruikersregistratieproces dat begint met een formele kennisgeving van HR of van een lijnmanager.
  • Elke gebruiker wordt geïdentificeerd door een unieke gebruikers-ID, zodat gebruikers kunnen worden gekoppeld aan en verantwoordelijk kunnen worden gesteld voor hun acties. Het gebruik van groeps-ID's is alleen toegestaan ​​als deze geschikt zijn voor de uitgevoerde werkzaamheden.
  • Er is een standaard toegangsniveau; andere diensten zijn toegankelijk indien specifiek geautoriseerd door HR/lijnmanagement.
  • De functie van de gebruiker bepaalt het toegangsniveau van de werknemer tot kaarthoudergegevens
  • Een serviceverzoek moet schriftelijk (e-mail of hardcopy) worden gedaan door de lijnmanager van de nieuwkomer of door HR. Het verzoek is vrij formaat, maar moet vermelden:

Naam van de persoon die het verzoek doet;

Functie van de nieuwkomers en werkgroep;

Startdatum;

Vereiste services (standaardservices zijn: MS Outlook, MS Office en internettoegang).

  • Elke gebruiker krijgt een kopie van zijn nieuwe gebruikersformulier met een schriftelijke verklaring van zijn toegangsrechten, ondertekend door een IT-vertegenwoordiger na de introductieprocedure. De gebruiker ondertekent het formulier om aan te geven dat hij de toegangsvoorwaarden begrijpt.
  • Toegang tot alle WhatNaturalsLove.com-systemen wordt geleverd door IT en kan alleen worden gestart nadat de juiste procedures zijn voltooid.

  • Zodra een persoon de baan bij WhatNaturalsLove.com verlaat, moeten al zijn/haar systeemaanmeldingen onmiddellijk worden ingetrokken.
  • Als onderdeel van het ontslagproces van werknemers zal HR (of lijnmanagers in het geval van contractanten) de IT-activiteiten informeren over alle vertrekkers en hun vertrekdatum.

13. Toegangscontrolebeleid

  • Toegangscontrolesystemen zijn aanwezig om de belangen van alle gebruikers van WhatNaturalsLove.com-computersystemen te beschermen door een veilige, beveiligde en gemakkelijk toegankelijke omgeving te bieden om in te werken.
  • com zal alle medewerkers en andere gebruikers de informatie verstrekken die zij nodig hebben om hun verantwoordelijkheden op een zo effectief en efficiënt mogelijke manier uit te voeren.
  • Generieke of groeps-ID's zijn normaal gesproken niet toegestaan, maar kunnen in uitzonderlijke omstandigheden worden verleend als er voldoende andere controles op toegang zijn.
  • De toewijzing van privilegerechten (bijv. lokale beheerder, domeinbeheerder, supergebruiker, roottoegang) wordt beperkt en gecontroleerd, en autorisatie wordt gezamenlijk verleend door de systeemeigenaar en IT-services. Technische teams waken ervoor dat er geen privileges worden verleend aan hele teams om verlies van vertrouwelijkheid te voorkomen.
  • Toegangsrechten worden toegekend volgens de principes van minste privilege en 'need to know'.
  • Elke gebruiker moet proberen de beveiliging van gegevens op het geclassificeerde niveau te houden, zelfs als technische beveiligingsmechanismen falen of ontbreken.
  • Gebruikers die ervoor kiezen om informatie op digitale media of opslagapparaten te plaatsen of een aparte database bij te houden, mogen dit alleen doen als een dergelijke actie in overeenstemming is met de classificatie van de gegevens.
  • Gebruikers zijn verplicht gevallen van niet-naleving te melden aan WhatNaturalsLove.com CISO.
  • Toegang tot de IT-bronnen en diensten van WhatNaturalsLove.com wordt verleend door middel van een uniek Active Directory-account en een complex wachtwoord.
  • Er wordt geen toegang verleend tot IT-bronnen en diensten van WhatNaturalsLove.com zonder voorafgaande authenticatie en autorisatie van het WhatNaturalsLove.com Windows Active Directory-account van een gebruiker.
  • Het uitgeven van wachtwoorden, sterkte-eisen, wijzigen en controleren worden beheerd via formele processen. Wachtwoordlengte, complexiteit en vervaltijden worden beheerd via Windows Active Directory Group Policy Objects.
  • Toegang tot vertrouwelijke, beperkte en beschermde informatie is beperkt tot bevoegde personen wiens functieverantwoordelijkheden dit vereisen, zoals bepaald door de eigenaar van de gegevens of hun aangewezen vertegenwoordiger. Verzoeken om het verlenen, wijzigen of intrekken van toegangsrechten moeten schriftelijk worden gedaan.
  • Van gebruikers wordt verwacht dat ze bekend raken met en zich houden aan het beleid, de normen en richtlijnen van WhatNaturalsLove.com voor gepast en acceptabel gebruik van de netwerken en systemen.
  • Toegang voor externe gebruikers is onderworpen aan autorisatie door IT Services en wordt verleend in overeenstemming met het Remote Access Policy en het Information Security Policy. Er is geen ongecontroleerde externe toegang toegestaan ​​tot een netwerkapparaat of netwerksysteem.
  • Toegang tot gegevens wordt op verschillende en passende wijze gecontroleerd volgens de gegevensclassificatieniveaus die zijn beschreven in het Informatiebeveiligingsbeheerbeleid.
  • Toegangscontrolemethoden omvatten aanmeldingstoegangsrechten, Windows share- en NTFS-rechten, gebruikersaccountrechten, server- en werkstationtoegangsrechten, firewallrechten, IIS intranet/extranet-authenticatierechten, SQL-databaserechten, geïsoleerde netwerken en andere methoden indien nodig.
  • Er wordt met regelmatige tussenpozen een formeel proces uitgevoerd door systeemeigenaren en gegevenseigenaren in samenwerking met IT Services om de toegangsrechten van gebruikers te beoordelen. De beoordeling wordt gelogd en IT Services tekent de beoordeling af om toestemming te geven voor de doorlopende toegangsrechten van gebruikers.

 

Bijlage A – Overeenkomst om te voldoen aan Formulier Overeenkomst om te voldoen aan het informatiebeveiligingsbeleid

_________________________

Naam werknemer (gedrukt)

________________

Afdeling

Ik ga ermee akkoord alle redelijke voorzorgsmaatregelen te nemen om ervoor te zorgen dat interne bedrijfsinformatie, of informatie die door derden zoals klanten aan WhatNaturalsLove.com is toevertrouwd, niet wordt bekendgemaakt aan onbevoegde personen. Aan het einde van mijn dienstverband of contract met WhatNaturalsLove.com, ga ik ermee akkoord alle informatie te retourneren waartoe ik toegang heb gehad als gevolg van mijn functie. Ik begrijp dat ik niet bevoegd ben om gevoelige informatie voor mijn eigen doeleinden te gebruiken, noch ben ik vrij om deze informatie aan derden te verstrekken zonder de uitdrukkelijke schriftelijke toestemming van de interne manager die de aangewezen informatie-eigenaar is.

Ik heb toegang tot een exemplaar van het informatiebeveiligingsbeleid, ik heb dit beleid gelezen en begrepen, en ik begrijp hoe dit van invloed is op mijn werk. Als voorwaarde voor blijvend dienstverband, ga ik ermee akkoord me te houden aan het beleid en andere vereisten in het beveiligingsbeleid van WhatNaturalsLove.com. Ik begrijp dat niet-naleving aanleiding zal geven tot disciplinaire maatregelen tot en met ontslag, en misschien strafrechtelijke en/of civielrechtelijke sancties.

Ik ga er ook mee akkoord om alle schendingen of vermoedelijke schendingen van het informatiebeveiligingsbeleid onmiddellijk te melden aan de aangewezen beveiligingsfunctionaris.

_________________________

De handtekening van de werknemer

 

 

_________________________

Datum

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Bijlage B – Lijst met apparaten

Naam item/apparaat

Beschrijving

Eigenaar/goedgekeurde gebruiker

Plaats

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Bijlage C - Lijst van dienstverleners

 

Naam van serviceprovider

Contact details

Aangeboden diensten

PCI DSS-compatibel

PCI DSS-validatiedatum