Документ посвящен стандарту PCI DSS, его применению в сфере безопасности данных платежных карт и требованиям для достижения соответствия. Рассматриваются основные изменения в стандарте, история его возникновения и детали аудита для организаций, работающих с платежными картами. Также подчеркивается важность технологий защиты и процесс сертификации для различных устройств, связанных с обработкой и хранением данных карт.

1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель IntercontinentalPCI DSSописаниеприменение соответствиеБабенко Алексейстарший аудитор

2. О чем пойдет речь?DSS для PCIОсновные требования стандартаВнутренняя кухня DSSПуть к соответствию за 10 шаговСопутствующие стандарты

3. История возникновения1.22.01.01.1newСтандарт PCI DSSСтарт программ CISP/AIS/SDPПервая сеть VISA ATM19701980199020002010080183060413661млд. карт Visa и MasterCard$ 36 млн.мошеннических транзакций$ 300 млн.мошеннических транзакций$ 5 550 млн.мошеннических транзакций

4. Область применения стандартаPCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт

5. Безопасность данных платежных карт

6. Требования стандарта (1 из 2)

7. Требования стандарта (2 из 2)

8. Область проверки стандартаАвторизация, клиринг/сеттлментМониторинг мошенническихтранзакций, разрешение диспутовПоддержка клиентов (call-центр)Аналитика и статистика по транзакциям

9. Основные изменения 1.2 -> 2.0Новых глобальных требований не добавилосьУточнен ряд требований, детализация и упрощение восприятия процедурИзменились требования к процедуре определения области оценки (scoping)Усложнение требований 6.2, 6.5.6, 11.2Вступают в силу с 1 января 2011 года, возможно проведение аудита по версии 1.2 конца 2011 года

10. Разработка и контроль применения

11. Ответственность PCI SSCРазработка и публикация стандартов PCIОпределение требований к QSA, PA-QSAи ASVАккредитация компанийи публикация списков QSA, PA-QSAи ASVОбучение и сертификация сотрудников QSA, PA-QSAКонтроль качества работ проводимых QSA, PA-QSAи ASV

12. Ответственность QSAПроведение аудитов в соответствии с утвержденными процедурамиОбеспечение поддержки и консультации по выполнению требований до полного соответствияИнтерпретация требований стандарта и адекватности компенсационных мерПредоставление отчетности в платежные системы и PCI SSC

13. Ответственность МПСУтверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSCОпределение способов подтверждения соответствия PCI DSSОпределения границ области проверки соответствия Штрафы за невыполнение требований

14. Путь к соответствию

15. Реестр хранения данных карт (матрица данных)Ресурсы, участвующие в передаче, обработке, хранении данных картЛогическое и физическое размещение ресурсовDataflowНаличие и механизмы сегментации и экранированияИспользование беспроводных технологий

16. Анализируются процессы управления ИТ и безопасностью, а не текущие настройки системВыявляются несоответствия стандартуПо результатам — Action planСогласованы решения и компенсационные мерыВыбраны технические средстваОдна работа – один ответственныйПриоритет работ с учетом рисков ИБ

17. Иерархия документов: от политики до процедур и инструкцийНе разработка «в стол», а разработка и документирование процессовОпределение порядка изменения документов

18. Использование встроенных защитных механизмовНастройка существующих внешних средств защитыВнедрение программно-технических средств:«Необходимо» или «полезно»Перекрывание защитных механизмовПростота эксплуатацииВозможность масштабирования

19. Контролируемость выбранного решенияПростота исполнения процедурНаличие «обратной связи» процессаСовершенствование и доработка процедур/регламентов, корректировка мер

20. Проводится после внедрения основных мерВнешнее сканирование проводит PCI ASVТестирование защищенности выявляет основные недоработки в реализации мер или зоне их охватаПовторение при отрицательном результате

21. Процедуры аудита определены PCI SSCОбласть аудита может быть меньше чем PCI DSS ScopeАудит проводится с применением «выборки» ресурсов, помещений, людейЯвляется «снимком» состояния на момент проведения аудита

22. PCI Compliance не «вечный двигатель», безопасность это процессКонтрольные процедуры:Заложенные стандартом (определены периодичность и методы контроля)ВнутренниеИзменение инфраструктуры и угроз ИБ

23. Сопутствующие стандарты

24. Payment Application DSSОбласть применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлментаНеобходима сертификация:POS терминалы, банкоматы, киоски для оплаты,системы процессинга и пр.Сертификация не нужнаПриложения собственной разработки для или приложения на заказОтдельно стоящие POS терминалыСУБДОперационные системыWeb серверы

25. PIN Entry DevicesЦель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PINПрограмма тестирования и утверждения устройств отражает:требования безопасности к устройствам;методология тестирования;процесс сертификации и утверждения.

26. ВопросыБабенко Алексейстарший аудитор a.babenko@infosec.ru+7 (495) 980-23-45 доп.458 www.infosec.ru