PCI 是否规定了应在应用程序级别记录多少,或者只是不应该记录什么?
我现在正在为太多的日志记录而苦苦挣扎,有些人认为我们应该拥有它。从调试的角度来看,我发现过多的日志记录在过去几乎没有用,并且有点同意Jeff Atwood 关于仅异常日志记录的观点。
我目前在我支持的应用程序中使用 AspectJ 进行大约 99% 的日志记录,所以这两种方式都不是什么大问题,除非在查看这些异常的日志并且它们开始占用相当多的空间时.
Web 应用程序的 PCI 的日志记录要求
信息安全
应用安全
日志记录
遵守
pci-dss
2021-08-11 16:33:18
2个回答
您应该记录:
- 对持卡人数据的所有个人访问
- 具有 root 或管理权限的任何个人采取的所有操作
- 访问所有审计跟踪
- 无效的逻辑访问尝试
- 使用识别和认证机制
- 审计日志的初始化
- 系统级对象的创建和删除
这些必须以不可变的方式使用可验证的日期和时间(启用适当的时间同步)进行记录。您应该“将审计跟踪历史保留至少一年,至少三个月可立即进行分析(例如,在线、存档或可从备份中恢复)。”
您需要查看整个文档并了解构成大 12 的所有子要求。https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf
但是,要回答 Jeff Atwood 理论并保持自己的理智,您应该将 PCI DSS 相关日志与应用程序活动日志分开。我建议将异常复制到单独的日志工具中,以便从开发人员的角度来看,日志是可读且稀疏的。从审核员的角度来看,您的综合日志可以非常全面并用于重建活动。
我已经看到多个标记为1 级合规性的企业实现了合规性,几乎没有做出任何努力来修改他们的应用程序日志记录超出默认提供的内容。要获得合规性复选标记,您可能只需很少显示即可完成(尽管审计师不一致仍然是通配符)。
话虽如此,以下是支付应用程序数据安全标准(v. 2.0/Oct 2010)中关于支付应用程序活动的相关日志片段 :
