1 vliyanie pci dss na business-processy

770 views
710 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
770
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

1 vliyanie pci dss na business-processy

  1. 1. Влияние стандартов серии PCI на бизнес-процессы в различных отраслях Эмм Максим, MBA, QSA, CISA, CISSP Директор Департамента Аудита
  2. 2. PCI DSS: Что надо было сделать? • Что надо сделать было всем: – Определить PCI Scope – Выполнить все требования PCI DSS – Подтверждать соответствие PCI DSS в соответствии с правилами платежных систем ежегодно • Дополнительно: – Банкам отчитываться в платежные системы по соответствию PCI своих мерчантов – Мерчантам использовать только сертифицированные по PA DSS решения
  3. 3. “Письма счастья” от VISA • November 2008 – IML 28/08: Visa International PCI DSS Compliance Validation Framework • April 2009 – IML 05/09: Visa Inc. PCI DSS framework for VisaNet (Direct Connect) Processors • May 2009 – IML 13/09: Risk based approach to PCI DSS Validation – IML 11/09: Global PCI DSS Service Provider List and Compliance • June 2009 – IML 17/09: Reminder of Upcoming PCI DSS Validation Compliance Framework Deadlines – Payment Application Security Mandates
  4. 4. Банки: Сроки от VISA • Ноябрь 2008 – Классифицировать своих мерчантов по уровням • 30 сентября 2009 – Убедиться что мерчанты 1 и 2 уровня не сохраняют критичных данных после авторизации и послать Merchant Compliance Validation Report • 1 июля 2010 – Вновь подключаемые мерчанты должны использовать PA DSS сертифицированное программное обеспечение или соответствовать PCI DSS • 30 сентября 2010 – Обеспечить полное соответствие PCI DSS провести сертификационный аудит • 1 июля 2012 – Все подключенные мерчанты должны использовать PA DSS сертифицированное программное обеспечение
  5. 5. За что обещают штрафовать Банки? • Ежемесячно: – За мерчантов 1 и 2 уровня не подтвердивших соответствие PCI DSS – За несоответствие PCI DSS • По факту: – Нарушение требований программы AIS – Нарушение требований по отчетности
  6. 6. Банки – влияние на бизнес • Дополнительные расходы на: – Новое программное обеспечение – Персонал – Средства защиты – Услуги аудиторов и консультантов – Сетевое и серверное оборудование • Изменение бизнес-процессов: – Выпуска и обслуживания карт – Мониторинга банкоматов • Изменение ИТ и ИБ сервисов: – Управление изменениями – Управление доступом – …
  7. 7. VISA: Мерчанты Уровен Критерий Требования ь 1 Любое торгово-сервисное - Ежегодный аудит на соответствие предприятие, обрабатывающее более требованиям PCI DSS 6 млн. транзакций по Visa в год или - Ежеквартальное сканирование сети интернациональные ТСП, которым был - Наличие аттестата соответствия присвоен 1 уровень Visa в другом регионе или стране 2 ТСП, обрабатывающие от 1 млн. - Ежегодное самостоятельное заполнение до 6 млн. транзакций по Visa в год (по опросного листа (SAQ) всем платежным каналам) - Ежеквартальное сканирование сети - Наличие аттестата соответствия 3 ТСП, обрабатывающие от 20 000 – Ежегодное заполнение SAQ до 1 млн. транзакций электронной – Ежеквартальное сканирование сети торговли по Visa в год – Наличие аттестата соответствия 4 ТСП, обрабатывающие менее 20 000 – Рекомендуется ежегодное заполнение SAQ транзакций электронной торговли по – Ежеквартальное сканирование сети, если Visa в год, или все другие ТСП, применимо обрабатывающие до 1 млн. транзакций – Проверка соответствия требованиям, в год выполняемая эквайером
  8. 8. Мерчанты: Сроки от VISA • 30 сентября 2009 – Мерчантам 1 и 2 уровня перестать сохранять критичные данные после авторизации • 1 июля 2010 – Для новых подключений необходимо использовать PA DSS сертифицированное программное обеспечение или соответствовать PCI DSS • 30 сентября 2010 – Мерчантам 1 уровня обеспечить полное соответствие PCI DSS и провести сертификационный аудит • 1 июля 2012 – Заменить кассовые решения на PA DSS сертифицированные
  9. 9. Мерчанты – влияние на бизнес • Дополнительные расходы на: – Новое программное обеспечение – Персонал – Средства защиты – Услуги аудиторов и консультантов – Сетевое и серверное оборудование • Изменение ИТ и ИБ сервисов: – Управление изменениями – Управление доступом –…
  10. 10. VISA: Сервис провайдеры Уровень Критерий Требования 1 Все процессоры, – Ежегодный аудит на соответствие подключенные к VisaNet, или требованиям PCI DSS любой поставщик услуг, – Ежеквартальное сканирование сети обрабатывающий более 300 – Наличие аттестата соответствия 000 транзакций в год 2 Любой поставщик услуг, – Ежегодное самостоятельное заполнение обрабатывающий менее 300 опросного листа 000 транзакций по Visa в год – Ежеквартальное сканирование сети – Наличие аттестата соответствия
  11. 11. Сервис провайдеры: Сроки от VISA • 30 сентября 2009 – перестать сохранять критичные данные после авторизации • 30 сентября 2010 – обеспечить полное соответствие PCI DSS и провести сертификационный аудит
  12. 12. “PCI Compliance: Информационная безопасность в индус платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Эмм Максим, MBA, QSA, CISA, CIS Директор Департамента Аудита (495) 980 23 45 maxus@infosec.ru

×