More Related Content
Similar to PCI DSS как перейти с версии 2.0 на 3.0
Similar to PCI DSS как перейти с версии 2.0 на 3.0 (20)
More from RISSPA_SPb (11)
PCI DSS как перейти с версии 2.0 на 3.0
- 1. Стандарт PCI DSS: как перейти с версии 2.0 на 3.0
Сергей Шустиков
Генеральный директор Deiteriy
CISA, PCI QSA, PCI PA-QSA
27 февраля 2014 года, семинар RISSPA
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 2. 2
Цикл развития стандарта PCI DSS
Совет PCI SSC – международный регулятор в сфере безопасности
индустрии платежных карт – применяет трехлетний цикл
развития стандартов PCI:
Первый год:
Внедрение в индустрию
Третий год:
Согласование новой версии
(действуют обе версии: 2.0 и 3.0)
(действует одна версия: 3.0)
3.0
2015
Второй год:
Сбор обратной связи
(действует одна версия: 3.0)
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 3. 3
Что делать в 2014 году?
«Я впервые начинаю готовиться к подтверждению
соответствия PCI DSS, какую версию мне выбрать?»
- PCI DSS 3.0.
«Я долго готовился к подтверждению соответствия PCI DSS,
а тут новая версия стандарта вышла, что мне делать?»
- подтвердить соответствие PCI DSS 2.0 и постепенно
переходить на 3.0.
«Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую
версию мне выбрать в 2014?»
- зависит от...
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 4. 4
Обзор существенных изменений
Категория
Было в версии 2.0
-
Уточнение
Стало в версии 3.0
Критичные
аутентификационные
данные после авторизации нельзя
сохранять, даже если в системе нет
номера карты, к которой они
относятся
Изменение
Компоненты, хранящие, передающие
и
обрабатывающие
карточные Корректность ограничения области
данные,
должны быть отделены применимости требований стандарта
корректно настроенным межсетевым проверяется тестом на проникновение
экраном (L3, L2)
Изменение
Необходимо вести полный перечень
компонентов
информационной
инфраструктуры с описанием их
свойств и функций
-
Расширен
перечень
способов
хранения криптографических ключей,
в том числе добавлены HSM
Уточнение
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 5. 5
Обзор существенных изменений (продолжение)
Категория
Было в версии 2.0
-
Уточнение
Стало в версии 3.0
Документированные процедуры SDLC
распространяются на приложения,
разрабатываемые на заказ
Следует
организовать
обучение
разработчиков
ПО
безопасным
методам
программирования
с
акцентом на обработку карточных
данных
Уточнение
Присутствовало неявно
Изменение
Увеличена
гибкость
путем
Отдельные требования о длине и
объединения в одно требование о
сложности пароля
длине и/или сложности пароля
-
Изменение
(активно с 1
июля 2015 года)
© ООО «Дейтерий», 2010 – 2013
|
Поставщики услуг, имеющие доступ к
системам своих клиентов, обязаны
использовать уникальные учетные
записи для доступа к каждому клиенту
-
Изменение
(активно с 1
июля 2015 года)
Добавлено
требование
о
необходимости борьбы с подменой
POS-терминалов
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 6. 6
Обзор существенных изменений (продолжение)
Категория
Уточнение
Было в версии 2.0
Следует
ежедневно
читать
и
анализировать
журналы
протоколирования событий систем
обеспечения
безопасности
и
Следует
ежедневно
читать
и
критичных
системных
журналов.
анализировать
все
журналы
Добавлена
гибкость
путем
протоколирования событий
предоставления
возможности
администратору самому принимать
решение о критичности того или иного
журнала на основе оценки рисков
Изменение
(активно с 1
июля 2015 года)
© ООО «Дейтерий», 2010 – 2013
Стало в версии 3.0
Определены требования к методике
теста
на
проникновение
и
необходимость её документирования
-
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 7. 7
Переход на версию PCI DSS 3.0
Переход на новую версию стандарта – это как миграция на
новую версию операционной системы – вроде бы, изменения
некритичны, но пока учтешь все нюансы в рамках целой
компании, получается весьма солидный проект.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 8. 8
Задачи перехода на версию PCI DSS 3.0
Задача №1: Взять перечень логов из требования 10.6.1 и
проверить, что все они пишутся и анализируются ежедневно:
• все события безопасности;
• журналы всех системных компонентов, осуществляющих
хранение, обработку или передачу данных держателей карт
или критичных аутентификационных данных, или влияющих
на их безопасность;
• журналы всех критичных системных компонентов;
• журналы всех серверов и системных компонентов,
выполняющих функции безопасности (например, межсетевых
экранов, систем обнаружения и предотвращения вторжений,
серверов аутентификации).
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 9. 9
Задачи перехода на версию PCI DSS 3.0
Задача №2: Доработать процедуру ежегодного анализа рисков,
включив в нее принятие решения о том, как часто должны
анализироваться остальные логи, не вошедшие в перечень
требования 10.6.1. Составить перечень таких логов и проверить,
что они ведутся и анализируются.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 10. 10
Задачи перехода на версию PCI DSS 3.0
Задача №3: Проверить, что критичные аутентификационные
данные не хранятся нигде в информационной инфраструктуре,
даже в отсутствии полных номеров карт.
Типовые места:
• логи SMS-шлюзов мобильной коммерции;
• схемы псевдо-рекуррентных транзакций;
• логи PIN-клавиатур в debug-режиме.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 11. 11
Задачи перехода на версию PCI DSS 3.0
Задача №4: Включить в договоры с разработчиками, пишущими
программное обеспечение на заказ, описание обязательных
этапов безопасной разработки.
Описание можно взять из внутренних регламентов
безопасности процессов разработки приложений.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 12. 12
Задачи перехода на версию PCI DSS 3.0
Задача №5: Проверить, что собственные разработчики
программного обеспечения проходят обучение по вопросам, как
не допускать общеизвестные уязвимости в коде и как безопасно
обрабатывать данные в оперативной памяти.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 13. 13
Задачи перехода на версию PCI DSS 3.0
Задача №6: Создать и постоянно поддерживать в актуальном
состоянии
перечень
POS-терминалов
с
указанием
производителя, модели, месторасположения и серийного
номера.
Задача №7: Организовать периодическую инвентаризацию всех
POS-терминалов и проверку, что они не подменены и их
конфигурация не претерпела несанкционированных изменений.
Задача №8: Организовать регулярное обучение для работников
о том, что нельзя подпускать посторонних к POS-терминалам,
можно использовать только проверенные терминалы, а также о
том, как опознать попытки мошенничества с POS-терминалами и
куда о них сообщать.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 14. 14
Задачи перехода на версию PCI DSS 3.0
Задача №9: Разработать и внедрить документированную
процедуру регулярных внутренних аудитов. Цель аудитов –
убедиться в выполнении требований стандарта PCI DSS.
Задача №10: Разработать и внедрить документированную
процедуру
регулярных
проверок
используемых
в
информационной инфраструктуре технологий и продуктов. Цель
проверок – убедиться, что технологии и продукты
поддерживаются производителем и обеспечивают требуемый
уровень безопасности.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 15. 15
Задачи перехода на версию PCI DSS 3.0
Задача №11: После завершения проекта по переходу
организации на PCI DSS 3.0 проверить, что все произведенные
изменения в конфигурациях, технологиях и бизнес-процессах
учтены во внутренних нормативных документах.
Задача №12: Проверить, что все регулярные процедуры,
предусмотренные стандартом PCI DSS, корректно отражены во
внутренних нормативных документах.
Задача №13: Составить и постоянно поддерживать в актуальном
состоянии
перечень
компонентов
информационной
инфраструктуры.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 16. 16
Задачи перехода на версию PCI DSS 3.0
Задача №14: Довести новые и обновленные внутренние
нормативные документы, а также новые знания до сведения
сотрудников, создать атмосферу осведомленности о рисках.
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 17. 17
Что делать в 2014 году?
«Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую
версию мне выбрать в 2014?»
- зависит от...
...сроков выполнения перечисленных задач в вашей
организации. Если эта цель достижима до даты
очередного подтверждения соответствия – выбирайте
версию PCI DSS 3.0, в ином случае – PCI DSS 2.0.
Помните: в 2015 году альтернативы не будет!
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com
- 18. 18
© ООО «Дейтерий», 2010 – 2013
Стандартизованный шаблон Отчета о соответствии (ROC 3.0)
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
info@deiteriy.com