“PCI Compliance: Информационная безопасность
 в индустрии платежных карт”
 Семинар компании «Информзащита»
 г. Москва, 8 и...
Основные вопросы
• Часть 1. Все о стандарте
   – Зоны ответственности МПС, PCI SSC, PCI QSA
   – Жизненный цикл
   – Источ...
Часть 1. Зоны ответственности
• Консул (PCI SSC)
  – разработка и поддержание серии стандартов (PCI
    DSS, PCI PTS, PA-D...
Часть 1. Жизненный цикл PCI DSS
                             1. Market
    2 года            Implementation: 9 мес
       ...
Часть 1. Источники требований
• Спецификация
• Сопутствующие документы
  – Словарь
  – Ориентирование в PCI DSS (Navigatio...
Часть 1. Интерпретация
требований аудитором

                        Опыт
                   подтвержденных
              ...
Часть 1. Компенсационные меры
• Применяются в случае наличия технических
  или бизнес-ограничений
• Допустимы практически ...
Часть 2. Виды сервиса
• 1 группа: обработка данных платежных карт
  – хранение, процессинг, передача данных
• 2 группа: им...
Часть 2. Примеры сервис-провайдера
• Банк использует платежный шлюз для
  e-commerce мерчантов
• ИТ-интегратор управляет г...
Часть 2. Сервис-провайдеры и PCI
Compliance
• 1 группа: обработка данных платежных карт
  – Наличие результатов PCI-аудита...
Часть 3. PA-DSS: причины появления
• Невозможность или сложность выполнения
  требований PCI DSS
  – Сохранение TRACK,CVC2...
Часть 3. “Серебряная пуля” PCI DSS
• Реализация переложена на разработчиков:
  – Все применимые к прикладному уровню требо...
Часть 3. PA-DSS vs PCI DSS
• Область применения PCI значительно шире
  чем PA-DSS
• Наличие сертификата PA-DSS на использу...
Часть 4. PCI DSS Scope
• Область применения PCI DSS - все компоненты
  сетевой инфраструктуры, которые
  – Непосредственно...
Часть 4. PCI DSS Scope. Примеры
Часть 4. Assessment (Audit) Scope
•   Может быть меньше PCI Scope
•   Область высокого риска безопасности
•   Определяет М...
“PCI Compliance: Информационная
безопасность в индустрии платежных карт”
Семинар компании «Информзащита»
г. Москва, 08 июн...
Upcoming SlideShare
Loading in …5
×

2.pci dss eto nujno znat

968 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
968
On SlideShare
0
From Embeds
0
Number of Embeds
94
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2.pci dss eto nujno znat

  1. 1. “PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky PCI DSS: Это нужно знать Гольдштейн Анна, CISA, CISSP, PCI & PA QSA Заместитель директора департамента аудита
  2. 2. Основные вопросы • Часть 1. Все о стандарте – Зоны ответственности МПС, PCI SSC, PCI QSA – Жизненный цикл – Источники требований и суждение аудитора • Часть 2. Сервис-провайдеры • Часть 3. PCI vs PA DSS • Часть 4. PCI DSS Scope
  3. 3. Часть 1. Зоны ответственности • Консул (PCI SSC) – разработка и поддержание серии стандартов (PCI DSS, PCI PTS, PA-DSS) – обучение и сертификация QSA и ASV • МПС: локальные программы безопасности – необходимость и сроки соответствия PCI DSS – правила подтверждения соответствия – штрафы за нарушение определенных правил • Аудитор – определение области PCI DSS – интерпретация требований и оценка выполнения
  4. 4. Часть 1. Жизненный цикл PCI DSS 1. Market 2 года Implementation: 9 мес (1/10/08-30/06/09) 5. Discuss new 2. Feedback period: 4 version: 1 мес мес (1/07/09- (30/09/10) 31/10/09) 4. New version, 3. Feedback review revision and final and decision: 6 мес review: 4 мес (1/11/09-30/04/10) (1/05/10-31/08/10)
  5. 5. Часть 1. Источники требований • Спецификация • Сопутствующие документы – Словарь – Ориентирование в PCI DSS (Navigation PCI DSS) – Дополнения к стандарту (Information supplements) • PCI DSS FAQ
  6. 6. Часть 1. Интерпретация требований аудитором Опыт подтвержденных компрометаций Новые Информация о руководства по новых угрозах безопасности PCI SSC Изменение интерпретации требований
  7. 7. Часть 1. Компенсационные меры • Применяются в случае наличия технических или бизнес-ограничений • Допустимы практически для всех требований • Должны быть «сверх» прочих требований PCI DSS для данной ситуации • Роль аудитора: – Оценка достаточности – Проверка текущей реализации – Проверка процесса поддержки
  8. 8. Часть 2. Виды сервиса • 1 группа: обработка данных платежных карт – хранение, процессинг, передача данных • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Управление ресурсами (ОС, СУБД, МЭ, сетевое оборудование) – Организация физической безопасности помещений и ресурсов
  9. 9. Часть 2. Примеры сервис-провайдера • Банк использует платежный шлюз для e-commerce мерчантов • ИТ-интегратор управляет граничным сетевым оборудованием банка • Банк использует процессинг, в котором в свою очередь реализует управление сетевым оборудованием и физ. защиту
  10. 10. Часть 2. Сервис-провайдеры и PCI Compliance • 1 группа: обработка данных платежных карт – Наличие результатов PCI-аудита сервис- провайдера, подтверждающего PCI compliance – Включение проверок предоставляемых сервисов в собственный аудит • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Мониторинг соответствия предоставляемых сервисов требованиям PCI DSS
  11. 11. Часть 3. PA-DSS: причины появления • Невозможность или сложность выполнения требований PCI DSS – Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением – Невозможность удалитыь/вычистить TRACK,CVC2/CVV2 из архивов – Хранение номеров карт (PAN) в открытом виде – Отказ поддержки вендором приложения патчей на СУБД
  12. 12. Часть 3. “Серебряная пуля” PCI DSS • Реализация переложена на разработчиков: – Все применимые к прикладному уровню требования PCI DSS – Возможность работы приложения в PCI DSS- compliant среде – Контроль уровня безопасности приложения – Решение проблемы совместимости с обновлениями безопасности платформ
  13. 13. Часть 3. PA-DSS vs PCI DSS • Область применения PCI значительно шире чем PA-DSS • Наличие сертификата PA-DSS на используемое приложение – не гарантирует выполнения требований PCI DSS – не исключает приложение из области оценки PCI DSS аудита
  14. 14. Часть 4. PCI DSS Scope • Область применения PCI DSS - все компоненты сетевой инфраструктуры, которые – Непосредственно владеют данными платежных карт (обрабатывают, передают, хранят) – Имеют доступ к компонентам, владеющим данными • Способы сужения – Уменьшение числа компонентов, обрабатывающих полные номера карт – Сетевая сегментация + фильтрация – Терминальные технологии и другие способы ограничения доступа
  15. 15. Часть 4. PCI DSS Scope. Примеры
  16. 16. Часть 4. Assessment (Audit) Scope • Может быть меньше PCI Scope • Область высокого риска безопасности • Определяет МПС • Документируется в отчете об аудите • Сегодня: – Авторизация – Расчеты (clearing/ settlement) – Fraud-monitoring
  17. 17. “PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Гольдштейн Анна Заместитель директора департамента аудита • (495) 980 23 45 • goldanna@infosec.ru

×