2.pci dss  eto nujno znat
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

2.pci dss eto nujno znat

on

  • 1,036 views

 

Statistics

Views

Total Views
1,036
Views on SlideShare
951
Embed Views
85

Actions

Likes
0
Downloads
10
Comments
0

3 Embeds 85

http://www.pcisecurity.ru 44
https://www.pcisecurity.ru 39
http://www.slideshare.net 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

2.pci dss eto nujno znat Presentation Transcript

  • 1. “PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky PCI DSS: Это нужно знать Гольдштейн Анна, CISA, CISSP, PCI & PA QSA Заместитель директора департамента аудита
  • 2. Основные вопросы • Часть 1. Все о стандарте – Зоны ответственности МПС, PCI SSC, PCI QSA – Жизненный цикл – Источники требований и суждение аудитора • Часть 2. Сервис-провайдеры • Часть 3. PCI vs PA DSS • Часть 4. PCI DSS Scope
  • 3. Часть 1. Зоны ответственности • Консул (PCI SSC) – разработка и поддержание серии стандартов (PCI DSS, PCI PTS, PA-DSS) – обучение и сертификация QSA и ASV • МПС: локальные программы безопасности – необходимость и сроки соответствия PCI DSS – правила подтверждения соответствия – штрафы за нарушение определенных правил • Аудитор – определение области PCI DSS – интерпретация требований и оценка выполнения
  • 4. Часть 1. Жизненный цикл PCI DSS 1. Market 2 года Implementation: 9 мес (1/10/08-30/06/09) 5. Discuss new 2. Feedback period: 4 version: 1 мес мес (1/07/09- (30/09/10) 31/10/09) 4. New version, 3. Feedback review revision and final and decision: 6 мес review: 4 мес (1/11/09-30/04/10) (1/05/10-31/08/10)
  • 5. Часть 1. Источники требований • Спецификация • Сопутствующие документы – Словарь – Ориентирование в PCI DSS (Navigation PCI DSS) – Дополнения к стандарту (Information supplements) • PCI DSS FAQ
  • 6. Часть 1. Интерпретация требований аудитором Опыт подтвержденных компрометаций Новые Информация о руководства по новых угрозах безопасности PCI SSC Изменение интерпретации требований
  • 7. Часть 1. Компенсационные меры • Применяются в случае наличия технических или бизнес-ограничений • Допустимы практически для всех требований • Должны быть «сверх» прочих требований PCI DSS для данной ситуации • Роль аудитора: – Оценка достаточности – Проверка текущей реализации – Проверка процесса поддержки
  • 8. Часть 2. Виды сервиса • 1 группа: обработка данных платежных карт – хранение, процессинг, передача данных • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Управление ресурсами (ОС, СУБД, МЭ, сетевое оборудование) – Организация физической безопасности помещений и ресурсов
  • 9. Часть 2. Примеры сервис-провайдера • Банк использует платежный шлюз для e-commerce мерчантов • ИТ-интегратор управляет граничным сетевым оборудованием банка • Банк использует процессинг, в котором в свою очередь реализует управление сетевым оборудованием и физ. защиту
  • 10. Часть 2. Сервис-провайдеры и PCI Compliance • 1 группа: обработка данных платежных карт – Наличие результатов PCI-аудита сервис- провайдера, подтверждающего PCI compliance – Включение проверок предоставляемых сервисов в собственный аудит • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Мониторинг соответствия предоставляемых сервисов требованиям PCI DSS
  • 11. Часть 3. PA-DSS: причины появления • Невозможность или сложность выполнения требований PCI DSS – Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением – Невозможность удалитыь/вычистить TRACK,CVC2/CVV2 из архивов – Хранение номеров карт (PAN) в открытом виде – Отказ поддержки вендором приложения патчей на СУБД
  • 12. Часть 3. “Серебряная пуля” PCI DSS • Реализация переложена на разработчиков: – Все применимые к прикладному уровню требования PCI DSS – Возможность работы приложения в PCI DSS- compliant среде – Контроль уровня безопасности приложения – Решение проблемы совместимости с обновлениями безопасности платформ
  • 13. Часть 3. PA-DSS vs PCI DSS • Область применения PCI значительно шире чем PA-DSS • Наличие сертификата PA-DSS на используемое приложение – не гарантирует выполнения требований PCI DSS – не исключает приложение из области оценки PCI DSS аудита
  • 14. Часть 4. PCI DSS Scope • Область применения PCI DSS - все компоненты сетевой инфраструктуры, которые – Непосредственно владеют данными платежных карт (обрабатывают, передают, хранят) – Имеют доступ к компонентам, владеющим данными • Способы сужения – Уменьшение числа компонентов, обрабатывающих полные номера карт – Сетевая сегментация + фильтрация – Терминальные технологии и другие способы ограничения доступа
  • 15. Часть 4. PCI DSS Scope. Примеры
  • 16. Часть 4. Assessment (Audit) Scope • Может быть меньше PCI Scope • Область высокого риска безопасности • Определяет МПС • Документируется в отчете об аудите • Сегодня: – Авторизация – Расчеты (clearing/ settlement) – Fraud-monitoring
  • 17. “PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Гольдштейн Анна Заместитель директора департамента аудита • (495) 980 23 45 • goldanna@infosec.ru