Документ представляет собой введение в практику PCI DSS, освещая историю его развития и ключевые требования к безопасности данных держателей карт. Он описывает экосистему сертификации, территориальные стандарты, цели и задачи PCI Security Standards Council, а также необходимые меры для обеспечения соответствия. В документе также затрагиваются программы соответствия различных платежных систем и основные требования PCI DSS.

1. Введение в практику PCI DSSFrom: Андрей Рогожин, PCI-QSADate: 02 апреля 2011 г.

2. ОбзорИстория развития PCI DSSЭкосистема сертификации PCI DSSТребования платежных систем по подтверждению соответствияТребования PCI DSSСтатистика несоответствий и инцидентовОткрытое обсуждение

3. История развития PCI DSSСередина 90-х: разрозненные стандарты защиты конфиденциальной платежной информации в разных регионах и платежных системахИюнь 2001: Visa Cardholder Information Security Program (CISP), CISP Security Audit Procedures версии 1.0Март 2004: Совместное сотрудничество Visa и MasterCard,CISP Security Audit Procedures версии 2.3Декабрь 2004: PCI DSS версии 1.0Сентябрь 2006: Основание Payment Card Industry Security Standards Council (PCI SSC), PCI DSS версии 1.1Октябрь 2008: PCI DSS версии 1.2Август 2009: Обновление PCI DSS 1.2.1Октябрь 2010: PCI DSS версии 2.0

4. Что такое PCI SSC?Независимая отраслевая организация, ответственная за развитие и управление стандартами безопасности индустрии платежных картОснователи: American Express, Discover Financial, JCB, MasterCard Worldwide, Visa Inc.Цели PCI Security Standards Council:Обновление и управление жизненным циклом стандартовПовышение уровня защищенности платежной информацииПродвижение стандартов и повышение осведомленностиОбеспечение участия заинтересованных сторонАккредитация и проверка ASV/QSA/PA-QSA и PED LabsВыступать в качестве единого представителя индустрии

5. Ресурсы, предоставляемые PCI SSCPCI DSS, PCI PTS, PCI PA-DSS иподдерживающие документыPCI SSC FAQsОбучение и поддержкаЧленство для организаций-участников, проведение собраний, обратная связьСписки QSA, ASV, PA-QSA, сертифицированных платежных приложений и устройств PEDhttps://www.pcisecuritystandards.org

6. Стандарты индустрии платежных картЗащита платежной информации держателей картТорговые организациии провайдерыPCI DSSСтандартбезопасностиданныхРазработчики ПОPCI PA-DSSПлатежныеприложенияПроизводителиPCI PTSУстройства для ввода PIN-кодаБезопасностьиндустрии платежныхкарт & соответствиеЭкосистема платежных устройств, приложений, инфраструктуры и пользователей

7. Стандарты индустрии платежных картPCIPTSрегламентирует защиту от физического вмешательства, криптографические процессы, и другие средства защиты PIN-кодаЗашифрованный PIN-код передается в платежные приложения или терминалыPCI PA-DSS регламентирует безопасность платежных приложений для совметимости с требованиями PCI DSSПлатежное приложение получает карточные данные из устройств PED или других источников и инициирует тразакциюPCI DSSрегламентирует безопасноть систем и сетей хранящих, обрабатывающих или передающих карточные данныеСистемы и сети получают карточные данные из платежных приложений или других источников

8. PCI DSSPCIDSSраспростаняется на любую организацию, которая хранит, обрабатывает или передает карточные данныеРеграментирует безопасноть любых системных компонентов, входящих в среду или подключенных к среде обработки карточных данных торговой организации или сервис-провайдераВзаимосвязь PTSи PCI DSSPCI DSS запрещает хранение зашифрованных PIN-блоковТребования не пересекаютсяВзаимосвязь PA-DSSи PCI DSSПлатежные приложения должны быть совместимы с требованиями PCI DSS, а не нарушать ихТребования PCI DSS повторяются во многих требованиях к платежным приложениям PA-DSS

9. Программы соответствия платежных системКаждая из платежных систем разрабатывает и поддерживает свою программу соответствия PCI DSS в соотвествии со своей политикой управления рискамиAmerican Express: Data Security Operating Policy (DSOP)Discover: Discover Information Security Compliance (DISC)JCB: Data Security ProgramMasterCard: Site Data Protection (SDP)Visa США: Cardholder Information Security Program (CISP)Другие регионы Visa: программа Account Information Security (AIS)

10. Программы соответствия платежных системПрограммы соответствия платежных систем включают:Отслеживание и принудительное применениеШтрафы, комисии, сроки подтверждения соответствияПроцедуры подтверждения соответствия и критерии тех организаций, для которых обязательно подтверждение соотвествияУтверждение и публикацию списка организаций, подтвердивших соответствиеКритерии деления организаций на уровниПлатежные системы также ответственны за проведение расследований и принятие ответных мер в случае утечек карточных данных

11. Критерии Visa AIS (CEMEA) для торговых организаций

12. Требования Visa AIS (CEMEA) для торговых организаций

13. PCI DSS: 6 целей, 12 требованийЦели и требования PCI DSSВнедрить и поддерживать безопасную сетевую средуInstall and maintain a firewall configuration to protect cardholder dataDo not use vendor-supplied defaults for system passwords and other security parametersProtect stored cardholder dataEncrypt transmission of cardholder data across open, public networksЗащитить карточные данныеПоддерживать программу управления уязвимостямиUse and regularly update anti-virus software or programsDevelop and maintain secure systems and applicationsВнедрить усиленные средства контроля доступаRestrict access to cardholder data by business need-to-knowAssign a unique ID to each person with computer accessRestrict physical access to cardholder dataПериодический мониторинг и тестирование сетевой средыTrack and monitor all access to network resources and cardholder dataRegularly test security systems and processesПоддерживать Политику ИБMaintain a policy that addresses information security for employees and contractors

14. PCI DSS Requirement 1Install and maintain a firewall configuration to protect cardholder dataУстановить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт

15. PCI DSS Requirement 2Do not use vendor-supplied defaults for system passwords and other security parametersНе использовать пароли и другие системные параметры, заданные производителем по умолчанию

16. PCI DSS Requirement 3Protect stored cardholder dataОбеспечить безопасное хранение данных о держателях карт

17. PCI DSS Requirement 4Encrypt transmission of cardholder data across open, public networksОбеспечить шифрование данных о держателях карт при их передаче через сети общего пользования

18. PCI DSS Requirement 5Use and regularly update anti-virus software or programsИспользовать и регулярно обновлять антивирусное программное обеспечение

19. PCI DSS Requirement 6Develop and maintain secure systems and applicationsРазрабатывать и поддерживать безопасные системы и приложения

20. PCI DSS Requirement 7Restrict access to cardholder data by business need to knowОграничить доступ к данным о держателях карт в соответствии со служебной необходимостью

21. PCI DSS Requirement 8Assign a unique ID to each person with computer accessНазначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре

22. PCI DSS Requirement 9Restrict physical access to cardholder dataОграничить физический доступ к данным о держателях карт

23. PCI DSS Requirement 10Track and monitor all access to network resources and cardholder dataОтслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт

24. PCI DSS Requirement 11Regularly test security systems and processesРегулярно выполнять тестирование систем и процессов обеспечения безопасности

25. PCI DSS Requirement 12Maintain a policy that addresses information security for all personnelПоддерживать политику информационной безопасности, охватывающую всех сотрудников

26. О компании TrustwaveПровайдер услуг управляемой ИБ (более1400 клиентских устройствпод управлением)

27. Обрабатывает более 18 миллионов событий ИБ каждый день

28. Один из 10 крупнейших Центров Сертификации (Certificate Authority), выпустивший более 40 тысяч SSL-сертификатов

29. Выполнено более 4 тысяч тестов на проникновение сетевого и прикладного уровня

30. Проведено более 740 официальных расследований инцидентов ИБ

31. Образцовая работа по приведению в соответстие стандартам HIPAA, GLBA, SOX, ISO серии 27000

32. Лидер PCI DSS–Trustwave сертифицировано 42% сервис-провайдеров и 40% платежных приложений

33. Обладает всеми необходимыми для работе в области PCI статусами: QSA (2002); ASV (2003); PA-QSA (2005); QIRA (2005)Trustwave Global Security Report 2011

34. Основные несоответствия PCI DSSДанные по расследованным индицентам Trustwave Global Security Report 2011

35. Метод получения доступаДанные по расследованным индицентам Trustwave Global Security Report 2011

36. Метод сбора карточных данныхДанные по расследованным индицентам Trustwave Global Security Report 2011

37. Метод выгрузки карточных данныхДанные по расследованным индицентам Trustwave Global Security Report 2011

38. Источник атакиДанные по расследованным индицентам Trustwave Global Security Report 2011

39. Эволюция векторов атаки

40. Спасибо за внимание!ВопросыАндрей РогожинPCI-QSA, CISA, CISM, CISSP,ISO 27001 & BS 25999 Lead AuditorВедущий консультант Trustwave+7 916 356 2343arogozhin@gmail.comwww.linkedin.com/in/andreyrogozhin

41. Информационные ресурсыPCI Security Standards Councilhttps://www.pcisecuritystandards.orgVisa CEMEA – программа AIShttp://www.visacemea.com/ac/ais/data_security.jspMasterCard – программа SDPhttp://www.mastercard.com/sdpTrustwave Global Security Reporthttps://www.trustwave.com/GSRTrustwave https://www.trustwave.com