Одно из требований стандарта звучит так: любой доступ к ДДК должен отслеживаться.

Вопрос интересует в разрезе аудита, обеспечиваемого БД Oracle, а именно:

- стандартный аудит обеспечивает регистрацию только факта обращения пользователя к некой таблице. В качестве примера в ней может быть 1000 несенситивных и 1 сенситивное (с ДДК) поле. Теперь пользователь обратился к полю, ну, например, с датой заключения контракта. Аудит делает запись из которой невозможно определить - был ли факт доступа к ДДК или нет (к какому из 1001 одного поля было обращение)? Требование стандарта выполнить невозможно.

Другой вариант аудита в БД Oracle:
- FGA аудит - теперь аудит можно взвести на конкретный столбец на конкретный оператор select, insert, update, delete и (вырожденный случай) merge. Теперь мы знаем, что пользователь имел доступ именно к ДДК, но к какой именно записи из миллионов? Он прочитал данные ДДК Иванова, Петрова, Сидорова, всех вместе? Требование стандарта опять не возможно выполнить.

Ну и как дальше быть?

Слышал рекомендации - используйте аудит уровня приложения - но поставщик решения такую функциональность не реализовал и даже не обещает (а это один из мировых лидеров в области решений для процессинга). Менять карточный софт процессинга - нонсенс - это даже не миллионы долларов...

Ваши мнения?

Стандарт говорит только о том, что если осуществляется доступ к каким-либо данным держателя карт, то нужно это событие зарегистрировать.
1. Какого именно держателя - все равно и нет требований в данные регистрации писать, к ЧЬИМ данным осуществлялся доступ. Таким образом, никаких ограничений на использование FGA для целей PCi Compliance нет.
2. Стандарт не запрещает избыточности аудита. То, что будет регистрироваться доступ к таблице, в которой есть ДДК, безотносительно того, осуществляется ли в данном случае доступ именно к ДДК или к лежащим в соседних столбцах данным, не является нарушением стандарта. Таким образом стандартный механизм Oracle Auditing тоже можно использовать.

Если говорить с позиции уменьшения количества избыточных (не обязательныхс точки зрения PCI DSS) регистрируемых событий, мой выбор-FGA. Его же рекомендуют использовать вендоры, прошедшие сертификацию по PA DSS, которые сделали ставку не на аудит на уровне приложения, а на использование средств аудита СУБД

Анна, а как тогда понимать следущее требование (цитата из локализованной Вашей организацией версии стандарта 1.2.1):

"п. 10.3
В регистрируемых событиях для каждого системного компонента должны записываться по крайней мере следующие элементы:
...
п. 10.3.6
Идентификатор или название задействованных данных, системного компонента или ресурса
..."

Задействованные данные - это ли не указание на конкретные ДДК?

В качестве идентификатора/имени задействованных в событии данных вполне достаточно названия таблицы, к которой производится доступ.

Ну, если дела обстоят именно так, то слава богу - одной проблемой меньше. Непосредственно из текста стандарта такой вывод сделать проблематично.

P.S.: А есть ли какие-то официальные комментарии по данному вопросу (FAQ, документация, Member Letter, и т.п.) на ресурсах консила и иже с ним? Так сказать, справка с печатью?

Маленькая добака: Как аудитор, Вы же должны понимать, что всякое утверждение, требование, декларация должны быть подкреплены объективным свидетельством аудита, пунктом в документации, ...

Документа с печатью, в котором был бы написан текст "не нужно протоколировать имя держателя карты, к которой производится доступ" -нет, как нет и обратного утверждения, что это делать нужно.
Как аудитор, я еще знаю такое словосочетание : "auditor judgement" :-)

Спасибо. Значит на том и сойдемся.