SlideShare a Scribd company logo

Программа для банков-эквайеров по приведению мерчантов к PCI DSS

Alex Babenko
Alex Babenko
1 of 14
Download to read offline
V Уральский форум «Информационная безопасность банков» 11-16 февраля 2013, Республика Башкортостан Программа для банков-эквайеров по приведению мерчантов к PCI DSS Алексей Бабенко руководитель направления, PA&PCI QSA
О чем Вы могли забыть… Стандарт PCI DSS применим ко всем объектам и организациям, осуществляющим хранение, обработку или передачу данных платежных карт. МПС определяют требования по подтверждению соответствия и штрафные меры, исходя из собственных рисков. Крайние сроки уже наступили (сентябрь 2010, март 2011, июль 2012).
Требования МПС Visa Account Information Security www.visacemea.com/ac/ais/data_security.jsp MasterCard Site Data Protection www.mastercard.com/sdp American Express Data Security www.americanexpress.com/datasecurity Discover Information Security & Compliance www.discovernetwork.com/merchants/fraud-protection JCB Data Security Program www.partner.jcbcard.com/security/jcbprogram
Уровни торгово-сервисных предприятий Количество транзакций за год 1 000 000 6 000 000 + скомпрометированные ТСП Уровень ТСП 4 2 1 0 Уровень ТСП 4 3 Количество e-commerce 20 000 1 000 000 транзакций за год Согласно: Visa Account Information Security MasterCard Site Data Protection
Подтверждение соответствия ТСП требованиям PCI DSS 1 2 3 4 ASV QSA ASV SAQ ASV SAQ ASV и SAQ по требованию ASV QSA ASV QSA ASV SAQ ASV SAQ
Отчетность о соответствии PCI DSS Эквайер несет ответственность за МПС соблюдение ТСП требований PCI DSS, в том числе за использование ТСП PA-DSS сертифицированного ПО. Экваер, член МПС Согласно: ТСП Visa Account Information Security MasterCard Site Data Protection http://www.mastercard.com/us/merchant/pdf/SDP_Program_Revisions.pdf http://corporate.visa.com/media-center/press-releases/press931.jsp
Отчетность о соответствии PCI DSS Отчетность каждые полгода: • статус каждого ТСП 1 и 2 уровня, • сводная статистика по ТСП 3 уровня. МПС может запросить документацию о проверке соответствия по конкретному ТСП. Отчетность ежеквартально: статус каждого ТСП 1, 2, 3 уровня.
Risk-based PCI DSS Validation ТСП реализовавшие шифрование канала передачи ДПК от точки захвата до процессинга (ТСП не имеет доступа к данным) могут выполнить только первые 4 пункта PCI SSC's Prioritized Approach. ТСП реализовавшие прием карт с EMV чипом, для стран с уровнем использования EMV-транзакций с iCVV не менее 75% могут выполнить только первые 4 пункта PCI SSC's Prioritized Approach. При условии доказательства отсутствия хранения критичных данных авторизации ТСП 1 уровня могут заменить QSA-аудит заполнением SAQ.
Visa Technology Innovation Program (TIP) ТСП могут быть освобождены от ежегодной оценки, если: • Был подтвержденный факт соответствия PCI DSS (либо составлен план по его достижению); • Критичные данные авторизации (track1/2, PIN/PIN-block, CVV2) не хранятся после завершения процесса авторизации; • Не менее 75% транзакций обработано с использованием POS терминалов, поддерживающих EMV-транзакции/ беспроводные карты; • Нет прецедентов компрометации данных карт.
P2PE (Point-to-Point Encryption) решения Решение P2PE – совокупность устройств, ПО и процессов, обеспечивающая надежное шифрование данных платежных карт от точки взаимодействия (POI) до среды расшифрования, а именно: • Надежное шифрование данных платежных карт в точках взаимодействия c клиентом (POI); • Использование P2PE сертифицированных приложений в точках взаимодействия; • Безопасное управление устройствами шифрования/расшифрования; • Обеспечение безопасности среды расшифрования данных и самих данных в открытом виде, безопасное управление ключами. Подробнее: www.slideshare.net/arekusux/pci-p2pe
Выгода от внедрения P2PE решений 1 Использование P2PE решений, позволяет сократить область проверки PCI DSS для ТСП 1 уровня. 2 3 4 ТСП уровня 2-4, использующие для обработки данных только сертифицированные P2PE решения, заполняют SAQ P2PE-HW v2.0, содержащий минимальное количество требований (в основном требования к документированным политикам). P2PE решения помогают обеспечивать безопасную обработку данных платежных карт.
Услуги компании «Информзащита» Разработка программы контроля соответствия ТСП; PCI DSS Compliance для ТСП 1 и 2 уровня; Заполнение SAQ PCI DSS для ТСП 2, 3 и 4 уровня; Сканирование PCI ASV. Подготовка , проведение сертификации PCI DSS, поддержание соответствия требованиям PCI DSS; Тест на проникновение PCI DSS. Сертификация и поддержание соответствия программного обеспечения требованиям стандарта PA-DSS.
Почему мы? Первые в СНГ: QSA и ASV с 2006 года, PA-QSA с 2008 года. Профессиональный штат: 8 QSA аудиторов, 2 PA-QSA аудитора. Более 70 аудитов PCI DSS, 11 сертифицированных PA-DSS приложений. Более 2500 государственных и коммерческих организаций в России и странах СНГ доверили нам выполнение работ по обеспечению информационной безопасности.
Вопросы? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com

Recommended

О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюКРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 

Recommended

О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Сертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюСертификация системы управления информационной безопасностью
Сертификация системы управления информационной безопасностьюКРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Expolink
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средЭЛВИС-ПЛЮС
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_cryptouisgslide
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 

More Related Content

What's hot

Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Expolink
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средЭЛВИС-ПЛЮС
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_cryptouisgslide
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейЭЛВИС-ПЛЮС
 

What's hot (20)

Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_crypto
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 

Similar to Программа для банков-эквайеров по приведению мерчантов к PCI DSS

введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processyInformzaschita
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.DialogueScience
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14DialogueScience
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxrusbase
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordqqlan
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSDeiteriy Co. Ltd.
 
Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО Aleksandrs Baranovs
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 

Similar to Программа для банков-эквайеров по приведению мерчантов к PCI DSS (20)

введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBox
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
 
Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО
 
PayOkey
PayOkeyPayOkey
PayOkey
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 

More from Alex Babenko

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощностьAlex Babenko
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаAlex Babenko
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияAlex Babenko
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББСAlex Babenko
 

More from Alex Babenko (10)

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкинга
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 

Программа для банков-эквайеров по приведению мерчантов к PCI DSS

  • 1. V Уральский форум «Информационная безопасность банков» 11-16 февраля 2013, Республика Башкортостан Программа для банков-эквайеров по приведению мерчантов к PCI DSS Алексей Бабенко руководитель направления, PA&PCI QSA
  • 2. О чем Вы могли забыть… Стандарт PCI DSS применим ко всем объектам и организациям, осуществляющим хранение, обработку или передачу данных платежных карт. МПС определяют требования по подтверждению соответствия и штрафные меры, исходя из собственных рисков. Крайние сроки уже наступили (сентябрь 2010, март 2011, июль 2012).
  • 3. Требования МПС Visa Account Information Security www.visacemea.com/ac/ais/data_security.jsp MasterCard Site Data Protection www.mastercard.com/sdp American Express Data Security www.americanexpress.com/datasecurity Discover Information Security & Compliance www.discovernetwork.com/merchants/fraud-protection JCB Data Security Program www.partner.jcbcard.com/security/jcbprogram
  • 4. Уровни торгово-сервисных предприятий Количество транзакций за год 1 000 000 6 000 000 + скомпрометированные ТСП Уровень ТСП 4 2 1 0 Уровень ТСП 4 3 Количество e-commerce 20 000 1 000 000 транзакций за год Согласно: Visa Account Information Security MasterCard Site Data Protection
  • 5. Подтверждение соответствия ТСП требованиям PCI DSS 1 2 3 4 ASV QSA ASV SAQ ASV SAQ ASV и SAQ по требованию ASV QSA ASV QSA ASV SAQ ASV SAQ
  • 6. Отчетность о соответствии PCI DSS Эквайер несет ответственность за МПС соблюдение ТСП требований PCI DSS, в том числе за использование ТСП PA-DSS сертифицированного ПО. Экваер, член МПС Согласно: ТСП Visa Account Information Security MasterCard Site Data Protection http://www.mastercard.com/us/merchant/pdf/SDP_Program_Revisions.pdf http://corporate.visa.com/media-center/press-releases/press931.jsp
  • 7. Отчетность о соответствии PCI DSS Отчетность каждые полгода: • статус каждого ТСП 1 и 2 уровня, • сводная статистика по ТСП 3 уровня. МПС может запросить документацию о проверке соответствия по конкретному ТСП. Отчетность ежеквартально: статус каждого ТСП 1, 2, 3 уровня.
  • 8. Risk-based PCI DSS Validation ТСП реализовавшие шифрование канала передачи ДПК от точки захвата до процессинга (ТСП не имеет доступа к данным) могут выполнить только первые 4 пункта PCI SSC's Prioritized Approach. ТСП реализовавшие прием карт с EMV чипом, для стран с уровнем использования EMV-транзакций с iCVV не менее 75% могут выполнить только первые 4 пункта PCI SSC's Prioritized Approach. При условии доказательства отсутствия хранения критичных данных авторизации ТСП 1 уровня могут заменить QSA-аудит заполнением SAQ.
  • 9. Visa Technology Innovation Program (TIP) ТСП могут быть освобождены от ежегодной оценки, если: • Был подтвержденный факт соответствия PCI DSS (либо составлен план по его достижению); • Критичные данные авторизации (track1/2, PIN/PIN-block, CVV2) не хранятся после завершения процесса авторизации; • Не менее 75% транзакций обработано с использованием POS терминалов, поддерживающих EMV-транзакции/ беспроводные карты; • Нет прецедентов компрометации данных карт.
  • 10. P2PE (Point-to-Point Encryption) решения Решение P2PE – совокупность устройств, ПО и процессов, обеспечивающая надежное шифрование данных платежных карт от точки взаимодействия (POI) до среды расшифрования, а именно: • Надежное шифрование данных платежных карт в точках взаимодействия c клиентом (POI); • Использование P2PE сертифицированных приложений в точках взаимодействия; • Безопасное управление устройствами шифрования/расшифрования; • Обеспечение безопасности среды расшифрования данных и самих данных в открытом виде, безопасное управление ключами. Подробнее: www.slideshare.net/arekusux/pci-p2pe
  • 11. Выгода от внедрения P2PE решений 1 Использование P2PE решений, позволяет сократить область проверки PCI DSS для ТСП 1 уровня. 2 3 4 ТСП уровня 2-4, использующие для обработки данных только сертифицированные P2PE решения, заполняют SAQ P2PE-HW v2.0, содержащий минимальное количество требований (в основном требования к документированным политикам). P2PE решения помогают обеспечивать безопасную обработку данных платежных карт.
  • 12. Услуги компании «Информзащита» Разработка программы контроля соответствия ТСП; PCI DSS Compliance для ТСП 1 и 2 уровня; Заполнение SAQ PCI DSS для ТСП 2, 3 и 4 уровня; Сканирование PCI ASV. Подготовка , проведение сертификации PCI DSS, поддержание соответствия требованиям PCI DSS; Тест на проникновение PCI DSS. Сертификация и поддержание соответствия программного обеспечения требованиям стандарта PA-DSS.
  • 13. Почему мы? Первые в СНГ: QSA и ASV с 2006 года, PA-QSA с 2008 года. Профессиональный штат: 8 QSA аудиторов, 2 PA-QSA аудитора. Более 70 аудитов PCI DSS, 11 сертифицированных PA-DSS приложений. Более 2500 государственных и коммерческих организаций в России и странах СНГ доверили нам выполнение работ по обеспечению информационной безопасности.
  • 14. Вопросы? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru arekusux.blogspot.com