Модель обучения школы отраслевых переводчиков "Альянс ПРО" (для TFR-2014)
Перевод PCI DSS на русский язык: технология и «подводные камни»
1. Перевод PCI DSS на русский язык:
технология и «подводные камни»
2. Евгений
Бартов
Докладчик
• Перевожу с 1998 г., редактирую
с 2006 г.
• Вступил в Союз переводчиков
России в 2011 г.
• Тренирую переводчиков с 2011
г.
• Руковожу ГК «Альянс ПРО»
(бюро технических переводов,
Школа отраслевых переводчиков)
4. ПРЕДЫСТОРИЯ
• 2010 год. В наше бюро присылают на
перевод первые Отчеты о соответствии.
Выявляется острая нехватка переводчиков по
информационной безопасности. Многие
переводчики вообще не видят разницы
между ИТ и ИБ.
В том же году я принимаю решение
углубиться в эту тему и начать изучать ИБ
вообще, и PCI DSS в частности.
5. ПРЕДЫСТОРИЯ
• 2011 год. Начинаю пробовать делать
первые переводы информационных
приложений от Совета PCI SSC,
публикую их, принимаю критические
замечания.
Несмотря на то, что я в среде
ИБшников чужой, в целом сообщество
меня и мое начинание принимает
приветливо.
6. ПРЕДЫСТОРИЯ
• 2013 год. Проанализировав имеющиеся в
сети переводы PCI DSS 2.0, я принял
решение, что надо учесть их ошибки и
попробовать сделать независимую версию от
моего бюро.
Вскоре выяснилось, что параллельно
подобную работу вел и Евгений Безгодов,
руководитель Deiteriy.
С тех пор мы по стандартам работаем
вместе, в т.ч. и по PCI DSS 3.0, и сейчас
представляем вам результат нашей
совместной работы.
8. Статистика
Пока переработаны нами и одобрены
Советом PCI SSC:
– Глоссарий. Основные определения,
аббревиатуры и сокращения стандартов
PCI DSS и PA-DSS
– Стандарт безопасности данных
индустрии платежных карт (PCI DSS)
14. To introduce PCI DSS v1.2 as "PCI DSS
Requirements and Security Assessment
Procedures," eliminating redundancy between
documents, and make both general and specific
changes from PCI DSS Security Audit Procedures
v1.1.
В документе "Стандарт безопасности данных
индустрии платежных карт (PCI DSS).
Требования и процедуры аудита безопасности"
версии 1.2 содержатся общие и конкретные
изменения по сравнению с версией 1.1 под
названием "Процедуры аудита безопасности".
15. To introduce PCI DSS v1.2 as "PCI DSS Requirements
and Security Assessment Procedures," eliminating
redundancy between documents, and make both
general and specific changes from PCI DSS Security
Audit Procedures v1.1.
Дело в том, что в стандарте версии 1.1 были только
требования, а проверочные процедуры были описаны
в отдельном документе. При переходе на версию 1.2
была устранена избыточность документов –
требования и проверочные процедуры были сведены в
одну таблицу в одном документе.
16. To introduce PCI DSS v1.2 as "PCI DSS Requirements and
Security Assessment Procedures," eliminating redundancy
between documents, and make both general and specific
changes from PCI DSS Security Audit Procedures v1.1.
В документе "PCI DSS Requirements and Security
Assessment Procedures" ("Стандарт безопасности
данных индустрии платежных карт. Требования и
процедуры оценки безопасности") версии 1.2 устранена
избыточность документов, а также в него внесены
общие и частные изменения в сравнении с версией 1.1
под названием "PCI DSS Security Audit Procedures"
("Процедуры оценки безопасности").
18. PCI DSS applies to all entities involved in payment card
processing-including merchants, processors, acquirers, issuers,
and service providers, as well as all other entities that store,
process or transmit cardholder data (CHD) and/or sensitive
authentication data (SAD)
Данный стандарт применяется для всех организаций
сферы обработки платежных данных: торгово-сервисных
предприятий, процессинговых центров, банков-эквайеров,
организаций, выпускающих платежные карты, и
поставщиков услуг, а также других организаций, которые
хранят, обрабатывают или передают данные держателей
карт и (или) критичные аутентификационные данные
19. PCI DSS applies to all entities involved in payment card
processing-including merchants, processors, acquirers,
issuers, and service providers, as well as all other
entities that store, process or transmit cardholder data
(CHD) and/or sensitive authentication data (SAD)
торгово-сервисное предприятие —> ТСП
организация, выпускающая платежные карты —>
эмитент
данные держателей карт —> ДДК
критичные аутентификационные данные —> КАД
20. PCI DSS applies to all entities involved in payment
card processing-including merchants, processors,
acquirers, issuers, and service providers, as well as all
other entities that store, process or transmit
cardholder data (CHD) and/or sensitive authentication
data (SAD)
Данный стандарт применяется для всех
организаций, вовлеченных в обработку платежных
карт: ТСП, процессинговых центров, эквайреров,
эмитентов и поставщиков услуг, а также всех
прочих организаций, которые хранят,
обрабатывают или передают ДДК и (или)
критичные аутентификационные данные (КАД).
22. This document, PCI Data Security Standard
Requirements and Security Assessment Procedures,
combines the 12 PCI DSS requirements and
corresponding testing procedures into a security
assessment tool.
В данном документе, "Стандарт безопасности
данных индустрии платежных карт (PCI DSS).
Требования и процедуры аудита безопасности",
приведены 12 требований стандарта и описаны
соответствующие процедуры проведения оценки
соответствия данному стандарту.
23. This document, PCI Data Security Standard
Requirements and Security Assessment Procedures,
combines the 12 PCI DSS requirements and
corresponding testing procedures into a security
assessment tool.
В данном документе, "Стандарт безопасности
данных индустрии платежных карт (PCI DSS).
Требования и процедуры оценки безопасности", 12
требований стандарта и соответствующие им
проверочные процедуры … (ваши версии?)
24. This document, PCI Data Security Standard
Requirements and Security Assessment Procedures,
combines the 12 PCI DSS requirements and
corresponding testing procedures into a security
assessment tool.
В данном документе, "Стандарт безопасности
данных индустрии платежных карт (PCI DSS).
Требования и процедуры оценки безопасности", 12
требований стандарта и соответствующие им
проверочные процедуры скомбинированы в
единый инструмент оценки безопасности.
30. Systems that provide security services (for
example, authentication servers), facilitate
segmentation (for example, internal firewalls),
or may impact the security of (for example,
name resolution or web redirection servers) the
CDE.
системы, обеспечивающие безопасность
(например, серверы аутентификации),
способствующие сегментации (например,
внутренние брандмауэры) или влияющие на
безопасность информационной среды
держателей карт;
31. Systems that provide security services (for
example, authentication servers), facilitate
segmentation (for example, internal firewalls),
or may impact the security of (for example,
name resolution or web redirection servers) the
CDE.
брандмауэр —> межсетевой экран;
информационная среда держателей карт —>
среда ДДК
32. Systems that provide security services (for
example, authentication servers), facilitate
segmentation (for example, internal firewalls),
or may impact the security of (for example,
name resolution or web redirection servers) the
CDE.
системы, которые:
- предоставляют службы безопасности
(например, серверы аутентификации),
- способствуют сегментации сети (например,
внутренние межсетевые экраны),
- могут влиять на безопасность среды ДДК
(например, серверы разрешения имен или веб-
переадресации);
34. Network components including but not limited to
firewalls, switches, routers, wireless access points,
network appliances, and other security appliances.
сетевые компоненты, включая, помимо прочего,
брандмауэры, коммутаторы, маршрутизаторы,
беспроводные точки доступа, устройства сетевой
безопасности и другие устройства безопасности
35. Network components including but not limited to
firewalls, switches, routers, wireless access points,
network appliances, and other security appliances.
сетевые компоненты, в том числе:
- межсетевые экраны,
- коммутаторы,
- маршрутизаторы,
- беспроводные точки доступа,
- устройства сетевой безопасности,
- прочие устройства безопасности;
37. Contact each payment brand or the acquirer to
determine reporting requirements and instructions.
За подробностями следует обращаться к
представителям соответствующей платежной
системы или эквайеру
38. Contact each payment brand or the acquirer to
determine reporting requirements and instructions.
См. ПОЛОЖЕНИЕ О ПОРЯДКЕ ЭМИССИИ
КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ БАНКОВСКИХ
КАРТ И ОСУЩЕСТВЛЕНИЯ РАСЧЕТОВ ПО
ОПЕРАЦИЯМ, СОВЕРШАЕМЫМ С ИХ
ИСПОЛЬЗОВАНИЕМ (ЦБ РФ от 9 апреля 1998 г. N
23-П):
Эквайрер — кредитная организация,
осуществляющая эквайринг.
39. Contact each payment brand or the acquirer to
determine reporting requirements and instructions.
Для получения информации об инструкциях и
требованиях по предоставлению подтверждения
статуса соответствия следует обращаться к
представителям каждой международной
платежной системы или к эквайреру.
41. Optionally, those updates can be encrypted with a
symmetric key, and access control lists can be
created that specify the IP addresses of client
machines that will be provided with the time updates
(to prevent unauthorized use of internal time servers).
Данные обновления могут быть дополнительно
зашифрованы симметричным ключом и списками
контроля доступа, определяющими IP-адреса
машин, которым разрешено получать обновления
времени (чтобы предупредить неавторизованное
использование внутренних серверов времени).
42. Optionally, those updates can be encrypted with a
symmetric key, and access control lists can be
created that specify the IP addresses of client
machines that will be provided with the time updates
(to prevent unauthorized use of internal time servers).
Как вариант, данные обновления можно
зашифровать с помощью симметричного ключа, а
также можно создать списки контроля доступа,
определяющие IP-адреса клиентских машин,
которым будут предоставляться обновления
времени (чтобы предотвратить
несанкционированное использование внутренних
серверов времени).
44. Organizations should contact their acquirer or the
individual payment brands directly to understand
whether SAD is permitted to be stored prior to
authorization, for how long, and any related usage and
protection requirements.
Организации должны напрямую связаться со
своими эквайерами или отделениями,
отвечающими за отдельные торговые марки,
чтобы узнать, разрешается ли хранить критичные
аутентификационные данные до авторизации и в
течение какого срока, а также получить
информацию о других требованиях к
использованию и защите данных.
45. Organizations should contact their acquirer or the
individual payment brands directly to understand
whether SAD is permitted to be stored prior to
authorization, for how long, and any related usage and
protection requirements.
Организациям следует связаться со своими
эквайрерами или напрямую с конкретными
международными платежными системами, чтобы
узнать, разрешается ли хранить КАД до
авторизации, в течение какого срока, а также
узнать о соответствующих требованиях к
использованию и защите данных.
46. This requirement does not supersede stricter
requirements in place for displays of cardholder data
—for example, legal or payment card brand
requirements for point-of-sale (POS) receipts.
Это требование не заменяет собой иные более
строгие требования к отображению данных
держателей карт (например, юридические
требования или требования к брендированию
платежных карт на чеках кассовых терминалов (в
местах продаж).
47. This requirement does not supersede stricter
requirements in place for displays of cardholder data
—for example, legal or payment card brand
requirements for point-of-sale (POS) receipts.
Это требование не заменяет собой существующие
более строгие требования к отображению ДДК
(например, требования законодательства или
международных платежных систем к чекам POS-
терминалов).