PCIは、アプリケーションレベルでどれだけのログを記録する必要があるか、または単にログに記録すべきでないものを指示しますか?
私は今、あまりにも多くのロギングに苦労しています。デバッグの観点からは、過去に過剰なロギングはほとんど役に立たないことがわかりました Jeff Atwood on exception only logging にある程度同意しています。
現在、サポートしているアプリケーションのロギングの約99%でAspectJを使用しているので、これらの例外のログを確認するときと、かなりの量のスペースを取り始めていることを除いて、どちらの方法でも大した問題ではありません。 。
あなたはログすることが期待されています:
これらは、不変の方法で検証可能な日付と時刻(適切な時刻同期が有効)でログに記録する必要があります。 「監査証跡の履歴を少なくとも1年間保持し、最低3か月はすぐに分析に利用できます(たとえば、オンライン、アーカイブ済み、またはバックアップから復元可能)。」
ドキュメント全体を見て、大きな12を構成するすべてのサブ要件を理解する必要があります https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf
ただし、Jeff Atwoodの理論に答え、独自の健全性を維持するには、PCI DSS関連ログをアプリケーションアクティビティログとは別にしておく必要があります。例外は別のログ機能にコピーすることをお勧めします。監査者の観点から見ると、包括的なログは、包括的で、アクティビティの再構築に使用できます。
レベル1コンプライアンスのタグが付けられた複数の企業が、デフォルトで提供されているものを超えてアプリケーションロギングを変更するための努力をほとんどまたはまったく行わずにコンプライアンスを達成するのを見てきました。コンプライアンスチェックマークを取得するには、ほとんど表示せずにそれを行うことができます(ただし、監査人の不整合は依然としてワイルドカードです)。
そうは言っても、ここに Payment Application Data Security Standard (v。2.0/Oct 2010)からのpayment applicationアクティビティ: