PCI SSC - Neueste Trainingsdumps

FRAGE 24
Die Einsichtnahme in die Audit-Protokolldateien sollte beschränkt sein auf?

Personen, die die protokollierte Aktivität durchgeführt haben

Personen mit Lese-/Schreibzugriff

Personen mit Administrator-Rechten

Personen mit einem berufsbezogenen Bedarf

Erläuterung
Die PCI DSS-Anforderung 10.5.5 besagt, dass Unternehmen den Zugang zu Audit-Protokollen auf Personen beschränken müssen, die ihn für ihre Arbeit benötigen1. Damit soll verhindert werden, dass unbefugte oder böswillige Benutzer die Audit-Protokolle manipulieren oder löschen, was die Integrität und Verfügbarkeit der Protokolle gefährden und die Aufdeckung und Untersuchung von Sicherheitsvorfällen behindern könnte. Audit-Protokolle enthalten sensible und vertrauliche Informationen wie Karteninhaberdaten, Benutzeridentitäten, Systemaktivitäten und Sicherheitsereignisse und müssen daher vor unbefugter Einsichtnahme, Änderung oder Löschung geschützt werden2. Personen mit einem berufsbezogenen Bedarf sind diejenigen, die einen legitimen und dokumentierten geschäftlichen Grund für den Zugriff auf die Audit-Protokolle haben, wie Systemadministratoren, Sicherheitspersonal, Prüfer oder Ermittler3. Die richtige Antwort ist daher Option D.
Die anderen Optionen sind nicht zutreffend, was die Zugriffskontrolle für Audit-Protokolldateien betrifft. Option A trifft nicht zu, da die Personen, die die protokollierten Aktivitäten durchgeführt haben, möglicherweise keinen berufsbedingten Bedarf haben, die Audit-Protokolle einzusehen, und einen Interessenkonflikt oder die böswillige Absicht haben könnten, die Protokolle zu ändern oder zu löschen. Option B ist nicht zutreffend, da Personen mit Lese-/Schreibzugriff möglicherweise keinen berufsbedingten Bedarf für den Zugriff auf die Prüfungsprotokolle haben und ein Risiko der unbefugten oder versehentlichen Änderung oder Löschung der Protokolle darstellen können. Option C ist nicht zutreffend, da Personen mit Administratorrechten möglicherweise keinen berufsbedingten Bedarf für den Zugriff auf die Prüfprotokolle haben und ihre Rechte missbrauchen oder von Angreifern zur Kompromittierung der Protokolle missbraucht werden könnten. Referenzen:
PCI DSS v3.2.1
Effektive tägliche Protokollüberwachung - PCI Security Standards Council
Protokollierung für die Einhaltung des PCI DSS - Tueoris

FRAGE 25
Was ist der Zweck der Klassifizierung von Medien, die Karteninhaberdaten enthalten?

Sicherstellung, dass die Medien entsprechend der Sensibilität der darauf enthaltenen Daten geschützt sind

Sicherstellung, dass Medien mit Karteninhaberdaten vierteljährlich aus gesicherten Bereichen entfernt werden

Sicherstellen, dass die Medien deutlich und sichtbar als "vertraulich" gekennzeichnet sind, damit alle Mitarbeiter wissen, dass die Medien Karteninhaberdaten enthalten

Sicherstellung, dass alle Medien unabhängig von ihrem Inhalt nach demselben Zeitplan vernichtet werden

FRAGE 26
Welches Szenario erfüllt die PCI DSS-Anforderungen für die Beschränkung des Zugriffs auf Datenbanken mit Karteninhaberdaten?

Der Benutzerzugriff auf die Datenbank erfolgt nur über programmatische Methoden

Der Benutzerzugang zur Datenbank ist auf System- und Netzwerkadministratoren beschränkt.

Anwendungs-IDs für Datenbankanwendungen können nur von Datenbankadministratoren verwendet werden

Direkte Abfragen der Datenbank sind auf gemeinsam genutzte Datenbankadministratorkonten beschränkt

FRAGE 27
Was wäre eine angemessene Stärke für den Schlüssel zur Verschlüsselung (KEK), der zum Schutz eines AES 128-Bit-Schlüssels zur Datenverschlüsselung (DEK) verwendet wird?

DES256

RSA512

AES 128

ROT 13

FRAGE 28
Was deckt der PCI PTS-Standard ab?

Point-of-Interaction-Geräte zum Schutz von Kontodaten

Sichere Kodierungsverfahren für kommerzielle Zahlungsanwendungen.

Entwicklung starker kryptographischer Algorithmen

Ende-zu-Ende-Verschlüsselungslösungen für die Übertragung von Kontodaten

FRAGE 29
Welche der folgenden Punkte können bei einer PCI DSS-Bewertung als Stichprobe geprüft werden?

PCI DSS-Anforderungen und Prüfverfahren.

Ausgleichende Kontrollen

Geschäftseinrichtungen und Systemkomponenten

Sicherheitsrichtlinien und -verfahren

FRAGE 30
Welche der folgenden Dateitypen müssen von einem Mechanismus zur Erkennung von Änderungen (z. B. einem Tool zur Überwachung der Dateiintegrität) überwacht werden?

Handbücher der Anwendungsanbieter

Dateien, die sich regelmäßig ändern

Dokumente über Sicherheitspolitik und -verfahren

Systemkonfiguration und Parameterdateien

FRAGE 31
Welche der folgenden Parteien ist für das Ausfüllen der Kontrollmatrix zum* Customized Approach verantwortlich?

Nur ein qualifizierter Sicherheitsbewerter (QSA)

Entweder QSA, AQSA oder PCLP.

Bewertete Einheit

Kartenmarken oder Acquirer

FRAGE 32
Welche der folgenden Punkte müssen in einem Notfallplan enthalten sein?

Verfahren zur Benachrichtigung des PCI SSC über den Sicherheitsvorfall

Verfahren für die Reaktion auf die Entdeckung von nicht genehmigten drahtlosen Zugangspunkten

Verfahren zur sicheren Löschung von Aufzeichnungen zur Reaktion auf Vorfälle unmittelbar nach deren Beendigung

Verfahren zur Durchführung eines Gegenangriffs auf die für den Sicherheitsvorfall verantwortliche(n) Person(en)

FRAGE 33
Wenn eine Stelle Karteninhaberdaten an einen TPSP weitergibt, welche Tätigkeit muss die Stelle dann ausführen?

Die Einrichtung muss mindestens einmal jährlich ASV-Scans auf den Systemen des TPSP durchführen.

Die Einrichtung muss mindestens vierteljährlich eine Risikobewertung des TPSP-Umfelds durchführen.

Die Einrichtung muss den Notfallplan des TPSP mindestens vierteljährlich testen

Die Einrichtung muss den Status der PCI DSS-Konformität des TPSP mindestens einmal jährlich überwachen.

FRAGE 34
Welche der folgenden Aussagen zu kompensierenden Kontrollen trifft zu?

Eine kompensierende Kontrolle ist nicht erforderlich, wenn alle anderen PCI DSS-Anforderungen erfüllt sind.

Eine kompensierende Kontrolle muss das Risiko abdecken, das mit der Nichteinhaltung der PCI DSS-Anforderung verbunden ist

Eine bestehende PCI DSS-Anforderung kann als kompensierende Kontrolle verwendet werden, wenn sie bereits umgesetzt ist.

Ein Arbeitsblatt zur Kompensationskontrolle ist nicht erforderlich, wenn der Erwerber der Kompensationskontrolle zustimmt

FRAGE 35
Wenn ein zu beurteilendes Unternehmen den maßgeschneiderten Ansatz anwendet, welche der folgenden Schritte liegen in der Verantwortung des Beurteilers?

Überwachen Sie die Kontrolle.

Ableitung von Prüfverfahren und deren Dokumentation in Anhang E des ROC.

Dokumentieren und führen Sie Nachweise über jede angepasste Kontrolle, wie in Anhang E des PCI DSS definiert

Durchführung der gezielten Risikoanalyse gemäß PCI DSS-Anforderung 12.3.2

FRAGE 36
Ein Einzelhändler hat einen Serverraum mit Systemen, die verschlüsselte PAN-Daten speichern. Der Händler hat ein Badge-Zugangskontrollsystem implementiert, das feststellt, wer den Raum an welchem Tag und zu welcher Uhrzeit betreten und verlassen hat. Im Serverraum befinden sich keine Videokameras.

Das Zugangskontrollsystem für Ausweise muss vor Manipulationen oder Deaktivierung geschützt sein.

Der Händler muss zusätzlich zu dem bestehenden Zugangskontrollsystem Videokameras installieren

Die Daten des Zugangskontrollsystems müssen monatlich sicher gelöscht werden.

Der Händler muss zusätzlich zu dem bestehenden Zugangskontrollsystem einen Bewegungsmelder installieren.

FRAGE 37
Welcher der folgenden Begriffe entspricht der Definition von "vierteljährlich", wie sie in der Beschreibung der in den PCI DSS-Anforderungen verwendeten Zeitrahmen angegeben ist?

Zu einem bestimmten Zeitpunkt in jedem Quartal eines Jahres

Mindestens einmal alle 95 97 Tage.

Am 15. eines jeden dritten Monats

Am 1. eines jeden vierten Monats

FRAGE 38
Was ist der Zweck von "Network Security Controls" gemäß Anforderung 1?

Verwaltung von Anti-Malware im gesamten CDE.

Steuerung des Netzverkehrs zwischen zwei oder mehreren logischen oder physischen Netzsegmenten.

Schwachstellen entdecken und einordnen

PAN beim Speichern verschlüsseln

FRAGE 39
Kann ein Unternehmen sowohl den angepassten Ansatz als auch den definierten Ansatz verwenden, um dieselbe Anforderung zu erfüllen?

Nein, denn es muss ein einziger Ansatz gewählt werden

Nein, denn beim Defined Approach können nur kompensierende Kontrollen verwendet werden.

Ja, wenn das Unternehmen keine kompensierenden Kontrollen verwendet

Ja, wenn das Unternehmen zur Anwendung beider Ansätze berechtigt ist

FRAGE 40
Ein Unternehmen möchte wissen, ob das Software-Sicherheits-Framework während seiner Bewertung genutzt werden kann. Auf welche der folgenden Softwaretypen würde dies zutreffen?

Jede Zahlungssoftware im ZUE

Nur Software, die auf PCI-PTS-Geräten läuft

Validierte Zahlungsanwendungen, die von PCI SSC gelistet sind und einer PA-DSS-Bewertung unterzogen wurden

Software, die von der Einrichtung in Übereinstimmung mit dem Secure SLC Standard entwickelt wurde

FRAGE 41
Was wäre eine angemessene Stärke für den Schlüssel zur Verschlüsselung (KEK), der zum Schutz eines AES 128-Bit-Schlüssels zur Datenverschlüsselung (DEK) verwendet wird?

DES256

RSA512

AES 128

ROT 13

FRAGE 42
Der Zweck der Zuweisung einer Risikoeinstufung für Schwachstellen besteht darin,?

Gewährleistung, dass alle Schwachstellen innerhalb von 30 Tagen behoben werden

Ersetzen Sie die Notwendigkeit vierteljährlicher ASV-Scans

Setzen Sie Prioritäten bei den risikoreichsten Punkten, damit sie schneller angegangen werden können.

Sicherstellen, dass kritische Sicherheits-Patches mindestens vierteljährlich installiert werden

Kategorie PCI SSC

Online-Fragen - Gültige Praxis zu Ihrer Assessor_New_V4 Prüfung (Aktualisiert 62 Fragen) [Q24-Q42]