服务器日志和 Splunk -PCI-DSS 中的卡数据

Posted 2023-02-22

【中文标题】服务器日志和 Splunk -PCI-DSS 中的卡数据

【英文标题】：Card Data in server logs & Splunk -PCI-DSS

【发布时间】：2017-01-01 13:06:41

【问题描述】：

我对存储在 Splunk 中的日志有一点问题。按照 PCI-DSS 的规定，服务器、数据库和日志应该每季度扫描一次，以防发现任何卡数据，如果发现，文件应该被销毁。在我们使用 cardrecon 扫描后，我们发现一些 PAN 存储在服务器的日志文件中并删除了这些文件。但是 Splunk 也存储了这台服务器的日志，根据 PCI-DSS，存储在 Splunk 等上的日志不能被编辑或删除。您能否告诉我如何处理这些日志，或者这种情况是否不符合 PCI-DSS。 （顺便说一下，卡数据只包括 PAN。）

谢谢

【参考方案1】：

在要求 10.5.3 中它说

及时将审计跟踪文件备份到集中式日志服务器或 难以更改的媒体。

“困难”不等于“不可能”。 ;-)

换句话说：如果您获得授权，您可以更改日志（例如屏蔽 PAN）。当然，在做类似的事情之前最好和你的审计员核实一下。 并确保这种情况（PAN 的记录）不会再次发生，例如通过使用 syslog-ng 的重写功能或类似的东西。

【讨论】：

谢谢，我们将确保不会再次发生这种情况 :) 我理解您的建议，如果我们可以/应该编辑已记录的日志，最好与我们的 QSA 核对是吗？

是的。我们遇到了类似的问题并涉及了我们的 QSA。结果他没有被逗乐，但我们被允许在他观看时更改条目，并写了一个记录以验证没有其他任何内容被更改。这不是处理事情的最佳方式，但比不加掩饰 PAN 更好。