SlideShare a Scribd company logo

PCI DSS как перейти с версии 2.0 на 3.0

R
RISSPA_SPb
Technology
1 of 19
Download to read offline
Стандарт PCI DSS: как перейти с версии 2.0 на 3.0 Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 27 февраля 2014 года, семинар RISSPA © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
2 Цикл развития стандарта PCI DSS Совет PCI SSC – международный регулятор в сфере безопасности индустрии платежных карт – применяет трехлетний цикл развития стандартов PCI: Первый год: Внедрение в индустрию Третий год: Согласование новой версии (действуют обе версии: 2.0 и 3.0) (действует одна версия: 3.0) 3.0 2015 Второй год: Сбор обратной связи (действует одна версия: 3.0) © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
3 Что делать в 2014 году? «Я впервые начинаю готовиться к подтверждению соответствия PCI DSS, какую версию мне выбрать?» - PCI DSS 3.0. «Я долго готовился к подтверждению соответствия PCI DSS, а тут новая версия стандарта вышла, что мне делать?» - подтвердить соответствие PCI DSS 2.0 и постепенно переходить на 3.0. «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
4 Обзор существенных изменений Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся Изменение Компоненты, хранящие, передающие и обрабатывающие карточные Корректность ограничения области данные, должны быть отделены применимости требований стандарта корректно настроенным межсетевым проверяется тестом на проникновение экраном (L3, L2) Изменение Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций - Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM Уточнение © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
5 Обзор существенных изменений (продолжение) Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных Уточнение Присутствовало неявно Изменение Увеличена гибкость путем Отдельные требования о длине и объединения в одно требование о сложности пароля длине и/или сложности пароля - Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 | Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту - Изменение (активно с 1 июля 2015 года) Добавлено требование о необходимости борьбы с подменой POS-терминалов 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
6 Обзор существенных изменений (продолжение) Категория Уточнение Было в версии 2.0 Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и Следует ежедневно читать и критичных системных журналов. анализировать все журналы Добавлена гибкость путем протоколирования событий предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 Стало в версии 3.0 Определены требования к методике теста на проникновение и необходимость её документирования - | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
7 Переход на версию PCI DSS 3.0 Переход на новую версию стандарта – это как миграция на новую версию операционной системы – вроде бы, изменения некритичны, но пока учтешь все нюансы в рамках целой компании, получается весьма солидный проект. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
8 Задачи перехода на версию PCI DSS 3.0 Задача №1: Взять перечень логов из требования 10.6.1 и проверить, что все они пишутся и анализируются ежедневно: • все события безопасности; • журналы всех системных компонентов, осуществляющих хранение, обработку или передачу данных держателей карт или критичных аутентификационных данных, или влияющих на их безопасность; • журналы всех критичных системных компонентов; • журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, межсетевых экранов, систем обнаружения и предотвращения вторжений, серверов аутентификации). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
9 Задачи перехода на версию PCI DSS 3.0 Задача №2: Доработать процедуру ежегодного анализа рисков, включив в нее принятие решения о том, как часто должны анализироваться остальные логи, не вошедшие в перечень требования 10.6.1. Составить перечень таких логов и проверить, что они ведутся и анализируются. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
10 Задачи перехода на версию PCI DSS 3.0 Задача №3: Проверить, что критичные аутентификационные данные не хранятся нигде в информационной инфраструктуре, даже в отсутствии полных номеров карт. Типовые места: • логи SMS-шлюзов мобильной коммерции; • схемы псевдо-рекуррентных транзакций; • логи PIN-клавиатур в debug-режиме. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
11 Задачи перехода на версию PCI DSS 3.0 Задача №4: Включить в договоры с разработчиками, пишущими программное обеспечение на заказ, описание обязательных этапов безопасной разработки. Описание можно взять из внутренних регламентов безопасности процессов разработки приложений. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
12 Задачи перехода на версию PCI DSS 3.0 Задача №5: Проверить, что собственные разработчики программного обеспечения проходят обучение по вопросам, как не допускать общеизвестные уязвимости в коде и как безопасно обрабатывать данные в оперативной памяти. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
13 Задачи перехода на версию PCI DSS 3.0 Задача №6: Создать и постоянно поддерживать в актуальном состоянии перечень POS-терминалов с указанием производителя, модели, месторасположения и серийного номера. Задача №7: Организовать периодическую инвентаризацию всех POS-терминалов и проверку, что они не подменены и их конфигурация не претерпела несанкционированных изменений. Задача №8: Организовать регулярное обучение для работников о том, что нельзя подпускать посторонних к POS-терминалам, можно использовать только проверенные терминалы, а также о том, как опознать попытки мошенничества с POS-терминалами и куда о них сообщать. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
14 Задачи перехода на версию PCI DSS 3.0 Задача №9: Разработать и внедрить документированную процедуру регулярных внутренних аудитов. Цель аудитов – убедиться в выполнении требований стандарта PCI DSS. Задача №10: Разработать и внедрить документированную процедуру регулярных проверок используемых в информационной инфраструктуре технологий и продуктов. Цель проверок – убедиться, что технологии и продукты поддерживаются производителем и обеспечивают требуемый уровень безопасности. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
15 Задачи перехода на версию PCI DSS 3.0 Задача №11: После завершения проекта по переходу организации на PCI DSS 3.0 проверить, что все произведенные изменения в конфигурациях, технологиях и бизнес-процессах учтены во внутренних нормативных документах. Задача №12: Проверить, что все регулярные процедуры, предусмотренные стандартом PCI DSS, корректно отражены во внутренних нормативных документах. Задача №13: Составить и постоянно поддерживать в актуальном состоянии перечень компонентов информационной инфраструктуры. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
16 Задачи перехода на версию PCI DSS 3.0 Задача №14: Довести новые и обновленные внутренние нормативные документы, а также новые знания до сведения сотрудников, создать атмосферу осведомленности о рисках. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
17 Что делать в 2014 году? «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... ...сроков выполнения перечисленных задач в вашей организации. Если эта цель достижима до даты очередного подтверждения соответствия – выбирайте версию PCI DSS 3.0, в ином случае – PCI DSS 2.0. Помните: в 2015 году альтернативы не будет! © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
18 © ООО «Дейтерий», 2010 – 2013 Стандартизованный шаблон Отчета о соответствии (ROC 3.0) | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
19 Спасибо! Спасибо за внимание! Вопросы? sergey.shustikov@deiteriy.com www.pcidsstraining.ru © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Recommended

Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиКарта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиSoftline
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройКРОК
 
Импортозамещение КРОК
Импортозамещение КРОКИмпортозамещение КРОК
Импортозамещение КРОККРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 

Recommended

Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиКарта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасностиSoftline
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройРешение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктуройКРОК
 
Импортозамещение КРОК
Импортозамещение КРОКИмпортозамещение КРОК
Импортозамещение КРОККРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколенияЭЛВИС-ПЛЮС
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийКРОК
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложенийКРОК
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиКРОК
 
Сервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудованияСервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудованияКРОК
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решенияКРОК
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами КРОК
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийКРОК
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSDeiteriy Co. Ltd.
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Expolink
 
Портальные решения
Портальные решенияПортальные решения
Портальные решенияКРОК
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторовВыбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторовCisco Russia
 
11
1111
11Baska789
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchMarcus Drost
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13Jason Coombs
 

More Related Content

What's hot

Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколенияЭЛВИС-ПЛЮС
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийКРОК
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложенийКРОК
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиКРОК
 
Сервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудованияСервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудованияКРОК
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решенияКРОК
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами КРОК
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийКРОК
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSDeiteriy Co. Ltd.
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Expolink
 
Портальные решения
Портальные решенияПортальные решения
Портальные решенияКРОК
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минутAleksey Lukatskiy
 
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторовВыбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторовCisco Russia
 

What's hot (19)

Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложенийУслуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
 
Внедрение бизнес приложений
Внедрение бизнес приложенийВнедрение бизнес приложений
Внедрение бизнес приложений
 
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессамиРешения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессами
 
Сервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудованияСервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудования
 
Инфраструктурные программные решения
Инфраструктурные программные решенияИнфраструктурные программные решения
Инфраструктурные программные решения
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операцийРешения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
 
Портальные решения
Портальные решенияПортальные решения
Портальные решения
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторовВыбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
 

Viewers also liked

Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchMarcus Drost
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13Jason Coombs
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoroSerena Sbanchi
 
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...Jason Coombs
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)hannahsole6
 
Road map to your success MKG Insurance Marketing Organization
Road map to your success MKG Insurance Marketing OrganizationRoad map to your success MKG Insurance Marketing Organization
Road map to your success MKG Insurance Marketing OrganizationMKG Enterprises Corp
 
Carthographic Map Explanation
Carthographic Map Explanation Carthographic Map Explanation
Carthographic Map Explanation Andrea González
 
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...Jason Coombs
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...Jason Coombs
 
Come creare un alveare in tre mosse
Come creare un alveare in tre mosseCome creare un alveare in tre mosse
Come creare un alveare in tre mosseMarta Murari
 
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI IITugas SISTEM OPERASI II
Tugas SISTEM OPERASI IIandy taiwan
 
Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentationcmaionaise
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014Jason Coombs
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014Jason Coombs
 

Viewers also liked (20)

11
1111
11
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
 
Aw16 ge
Aw16 geAw16 ge
Aw16 ge
 
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoroAffrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
 
12
1212
12
 
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)
 
Road map to your success MKG Insurance Marketing Organization
Road map to your success MKG Insurance Marketing OrganizationRoad map to your success MKG Insurance Marketing Organization
Road map to your success MKG Insurance Marketing Organization
 
Carthographic Map Explanation
Carthographic Map Explanation Carthographic Map Explanation
Carthographic Map Explanation
 
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
 
Come creare un alveare in tre mosse
Come creare un alveare in tre mosseCome creare un alveare in tre mosse
Come creare un alveare in tre mosse
 
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI IITugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
 
9
99
9
 
Visibility
VisibilityVisibility
Visibility
 
Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentation
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
 

Similar to PCI DSS как перейти с версии 2.0 на 3.0

Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCRISClubSPb
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Cisco Russia
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.Anna Chernecova
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеCisco Russia
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
Iba group ifrs_website
Iba group ifrs_websiteIba group ifrs_website
Iba group ifrs_websiteIBA Group
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Cisco Russia
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016S-Terra CSP
 
2 голов код безопасности
2 голов код безопасности2 голов код безопасности
2 голов код безопасностиjournalrubezh
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраExpolink
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимостиУправление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимостиDeiteriy Co. Ltd.
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБCisco Russia
 

Similar to PCI DSS как перейти с версии 2.0 на 3.0 (20)

Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
 
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
Iba group ifrs_website
Iba group ifrs_websiteIba group ifrs_website
Iba group ifrs_website
 
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
 
2 голов код безопасности
2 голов код безопасности2 голов код безопасности
2 голов код безопасности
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимостиУправление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
 
Тенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБТенденции развития законодательства по ИБ
Тенденции развития законодательства по ИБ
 

More from RISSPA_SPb

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA_SPb
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаRISSPA_SPb
 

More from RISSPA_SPb (11)

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
 
RISSPA SPb
RISSPA SPbRISSPA SPb
RISSPA SPb
 

PCI DSS как перейти с версии 2.0 на 3.0

  • 1. Стандарт PCI DSS: как перейти с версии 2.0 на 3.0 Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 27 февраля 2014 года, семинар RISSPA © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 2. 2 Цикл развития стандарта PCI DSS Совет PCI SSC – международный регулятор в сфере безопасности индустрии платежных карт – применяет трехлетний цикл развития стандартов PCI: Первый год: Внедрение в индустрию Третий год: Согласование новой версии (действуют обе версии: 2.0 и 3.0) (действует одна версия: 3.0) 3.0 2015 Второй год: Сбор обратной связи (действует одна версия: 3.0) © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 3. 3 Что делать в 2014 году? «Я впервые начинаю готовиться к подтверждению соответствия PCI DSS, какую версию мне выбрать?» - PCI DSS 3.0. «Я долго готовился к подтверждению соответствия PCI DSS, а тут новая версия стандарта вышла, что мне делать?» - подтвердить соответствие PCI DSS 2.0 и постепенно переходить на 3.0. «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 4. 4 Обзор существенных изменений Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся Изменение Компоненты, хранящие, передающие и обрабатывающие карточные Корректность ограничения области данные, должны быть отделены применимости требований стандарта корректно настроенным межсетевым проверяется тестом на проникновение экраном (L3, L2) Изменение Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций - Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM Уточнение © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 5. 5 Обзор существенных изменений (продолжение) Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных Уточнение Присутствовало неявно Изменение Увеличена гибкость путем Отдельные требования о длине и объединения в одно требование о сложности пароля длине и/или сложности пароля - Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 | Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту - Изменение (активно с 1 июля 2015 года) Добавлено требование о необходимости борьбы с подменой POS-терминалов 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 6. 6 Обзор существенных изменений (продолжение) Категория Уточнение Было в версии 2.0 Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и Следует ежедневно читать и критичных системных журналов. анализировать все журналы Добавлена гибкость путем протоколирования событий предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 Стало в версии 3.0 Определены требования к методике теста на проникновение и необходимость её документирования - | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 7. 7 Переход на версию PCI DSS 3.0 Переход на новую версию стандарта – это как миграция на новую версию операционной системы – вроде бы, изменения некритичны, но пока учтешь все нюансы в рамках целой компании, получается весьма солидный проект. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 8. 8 Задачи перехода на версию PCI DSS 3.0 Задача №1: Взять перечень логов из требования 10.6.1 и проверить, что все они пишутся и анализируются ежедневно: • все события безопасности; • журналы всех системных компонентов, осуществляющих хранение, обработку или передачу данных держателей карт или критичных аутентификационных данных, или влияющих на их безопасность; • журналы всех критичных системных компонентов; • журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, межсетевых экранов, систем обнаружения и предотвращения вторжений, серверов аутентификации). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 9. 9 Задачи перехода на версию PCI DSS 3.0 Задача №2: Доработать процедуру ежегодного анализа рисков, включив в нее принятие решения о том, как часто должны анализироваться остальные логи, не вошедшие в перечень требования 10.6.1. Составить перечень таких логов и проверить, что они ведутся и анализируются. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 10. 10 Задачи перехода на версию PCI DSS 3.0 Задача №3: Проверить, что критичные аутентификационные данные не хранятся нигде в информационной инфраструктуре, даже в отсутствии полных номеров карт. Типовые места: • логи SMS-шлюзов мобильной коммерции; • схемы псевдо-рекуррентных транзакций; • логи PIN-клавиатур в debug-режиме. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 11. 11 Задачи перехода на версию PCI DSS 3.0 Задача №4: Включить в договоры с разработчиками, пишущими программное обеспечение на заказ, описание обязательных этапов безопасной разработки. Описание можно взять из внутренних регламентов безопасности процессов разработки приложений. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 12. 12 Задачи перехода на версию PCI DSS 3.0 Задача №5: Проверить, что собственные разработчики программного обеспечения проходят обучение по вопросам, как не допускать общеизвестные уязвимости в коде и как безопасно обрабатывать данные в оперативной памяти. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 13. 13 Задачи перехода на версию PCI DSS 3.0 Задача №6: Создать и постоянно поддерживать в актуальном состоянии перечень POS-терминалов с указанием производителя, модели, месторасположения и серийного номера. Задача №7: Организовать периодическую инвентаризацию всех POS-терминалов и проверку, что они не подменены и их конфигурация не претерпела несанкционированных изменений. Задача №8: Организовать регулярное обучение для работников о том, что нельзя подпускать посторонних к POS-терминалам, можно использовать только проверенные терминалы, а также о том, как опознать попытки мошенничества с POS-терминалами и куда о них сообщать. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 14. 14 Задачи перехода на версию PCI DSS 3.0 Задача №9: Разработать и внедрить документированную процедуру регулярных внутренних аудитов. Цель аудитов – убедиться в выполнении требований стандарта PCI DSS. Задача №10: Разработать и внедрить документированную процедуру регулярных проверок используемых в информационной инфраструктуре технологий и продуктов. Цель проверок – убедиться, что технологии и продукты поддерживаются производителем и обеспечивают требуемый уровень безопасности. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 15. 15 Задачи перехода на версию PCI DSS 3.0 Задача №11: После завершения проекта по переходу организации на PCI DSS 3.0 проверить, что все произведенные изменения в конфигурациях, технологиях и бизнес-процессах учтены во внутренних нормативных документах. Задача №12: Проверить, что все регулярные процедуры, предусмотренные стандартом PCI DSS, корректно отражены во внутренних нормативных документах. Задача №13: Составить и постоянно поддерживать в актуальном состоянии перечень компонентов информационной инфраструктуры. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 16. 16 Задачи перехода на версию PCI DSS 3.0 Задача №14: Довести новые и обновленные внутренние нормативные документы, а также новые знания до сведения сотрудников, создать атмосферу осведомленности о рисках. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 17. 17 Что делать в 2014 году? «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... ...сроков выполнения перечисленных задач в вашей организации. Если эта цель достижима до даты очередного подтверждения соответствия – выбирайте версию PCI DSS 3.0, в ином случае – PCI DSS 2.0. Помните: в 2015 году альтернативы не будет! © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 18. 18 © ООО «Дейтерий», 2010 – 2013 Стандартизованный шаблон Отчета о соответствии (ROC 3.0) | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 19. 19 Спасибо! Спасибо за внимание! Вопросы? sergey.shustikov@deiteriy.com www.pcidsstraining.ru © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com