Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

PCI DSS как перейти с версии 2.0 на 3.0

695 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

PCI DSS как перейти с версии 2.0 на 3.0

  1. 1. Стандарт PCI DSS: как перейти с версии 2.0 на 3.0 Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 27 февраля 2014 года, семинар RISSPA © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  2. 2. 2 Цикл развития стандарта PCI DSS Совет PCI SSC – международный регулятор в сфере безопасности индустрии платежных карт – применяет трехлетний цикл развития стандартов PCI: Первый год: Внедрение в индустрию Третий год: Согласование новой версии (действуют обе версии: 2.0 и 3.0) (действует одна версия: 3.0) 3.0 2015 Второй год: Сбор обратной связи (действует одна версия: 3.0) © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  3. 3. 3 Что делать в 2014 году? «Я впервые начинаю готовиться к подтверждению соответствия PCI DSS, какую версию мне выбрать?» - PCI DSS 3.0. «Я долго готовился к подтверждению соответствия PCI DSS, а тут новая версия стандарта вышла, что мне делать?» - подтвердить соответствие PCI DSS 2.0 и постепенно переходить на 3.0. «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  4. 4. 4 Обзор существенных изменений Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся Изменение Компоненты, хранящие, передающие и обрабатывающие карточные Корректность ограничения области данные, должны быть отделены применимости требований стандарта корректно настроенным межсетевым проверяется тестом на проникновение экраном (L3, L2) Изменение Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций - Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM Уточнение © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  5. 5. 5 Обзор существенных изменений (продолжение) Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных Уточнение Присутствовало неявно Изменение Увеличена гибкость путем Отдельные требования о длине и объединения в одно требование о сложности пароля длине и/или сложности пароля - Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 | Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту - Изменение (активно с 1 июля 2015 года) Добавлено требование о необходимости борьбы с подменой POS-терминалов 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  6. 6. 6 Обзор существенных изменений (продолжение) Категория Уточнение Было в версии 2.0 Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и Следует ежедневно читать и критичных системных журналов. анализировать все журналы Добавлена гибкость путем протоколирования событий предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 Стало в версии 3.0 Определены требования к методике теста на проникновение и необходимость её документирования - | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  7. 7. 7 Переход на версию PCI DSS 3.0 Переход на новую версию стандарта – это как миграция на новую версию операционной системы – вроде бы, изменения некритичны, но пока учтешь все нюансы в рамках целой компании, получается весьма солидный проект. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  8. 8. 8 Задачи перехода на версию PCI DSS 3.0 Задача №1: Взять перечень логов из требования 10.6.1 и проверить, что все они пишутся и анализируются ежедневно: • все события безопасности; • журналы всех системных компонентов, осуществляющих хранение, обработку или передачу данных держателей карт или критичных аутентификационных данных, или влияющих на их безопасность; • журналы всех критичных системных компонентов; • журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, межсетевых экранов, систем обнаружения и предотвращения вторжений, серверов аутентификации). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  9. 9. 9 Задачи перехода на версию PCI DSS 3.0 Задача №2: Доработать процедуру ежегодного анализа рисков, включив в нее принятие решения о том, как часто должны анализироваться остальные логи, не вошедшие в перечень требования 10.6.1. Составить перечень таких логов и проверить, что они ведутся и анализируются. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  10. 10. 10 Задачи перехода на версию PCI DSS 3.0 Задача №3: Проверить, что критичные аутентификационные данные не хранятся нигде в информационной инфраструктуре, даже в отсутствии полных номеров карт. Типовые места: • логи SMS-шлюзов мобильной коммерции; • схемы псевдо-рекуррентных транзакций; • логи PIN-клавиатур в debug-режиме. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  11. 11. 11 Задачи перехода на версию PCI DSS 3.0 Задача №4: Включить в договоры с разработчиками, пишущими программное обеспечение на заказ, описание обязательных этапов безопасной разработки. Описание можно взять из внутренних регламентов безопасности процессов разработки приложений. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  12. 12. 12 Задачи перехода на версию PCI DSS 3.0 Задача №5: Проверить, что собственные разработчики программного обеспечения проходят обучение по вопросам, как не допускать общеизвестные уязвимости в коде и как безопасно обрабатывать данные в оперативной памяти. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  13. 13. 13 Задачи перехода на версию PCI DSS 3.0 Задача №6: Создать и постоянно поддерживать в актуальном состоянии перечень POS-терминалов с указанием производителя, модели, месторасположения и серийного номера. Задача №7: Организовать периодическую инвентаризацию всех POS-терминалов и проверку, что они не подменены и их конфигурация не претерпела несанкционированных изменений. Задача №8: Организовать регулярное обучение для работников о том, что нельзя подпускать посторонних к POS-терминалам, можно использовать только проверенные терминалы, а также о том, как опознать попытки мошенничества с POS-терминалами и куда о них сообщать. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  14. 14. 14 Задачи перехода на версию PCI DSS 3.0 Задача №9: Разработать и внедрить документированную процедуру регулярных внутренних аудитов. Цель аудитов – убедиться в выполнении требований стандарта PCI DSS. Задача №10: Разработать и внедрить документированную процедуру регулярных проверок используемых в информационной инфраструктуре технологий и продуктов. Цель проверок – убедиться, что технологии и продукты поддерживаются производителем и обеспечивают требуемый уровень безопасности. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  15. 15. 15 Задачи перехода на версию PCI DSS 3.0 Задача №11: После завершения проекта по переходу организации на PCI DSS 3.0 проверить, что все произведенные изменения в конфигурациях, технологиях и бизнес-процессах учтены во внутренних нормативных документах. Задача №12: Проверить, что все регулярные процедуры, предусмотренные стандартом PCI DSS, корректно отражены во внутренних нормативных документах. Задача №13: Составить и постоянно поддерживать в актуальном состоянии перечень компонентов информационной инфраструктуры. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  16. 16. 16 Задачи перехода на версию PCI DSS 3.0 Задача №14: Довести новые и обновленные внутренние нормативные документы, а также новые знания до сведения сотрудников, создать атмосферу осведомленности о рисках. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  17. 17. 17 Что делать в 2014 году? «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... ...сроков выполнения перечисленных задач в вашей организации. Если эта цель достижима до даты очередного подтверждения соответствия – выбирайте версию PCI DSS 3.0, в ином случае – PCI DSS 2.0. Помните: в 2015 году альтернативы не будет! © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  18. 18. 18 © ООО «Дейтерий», 2010 – 2013 Стандартизованный шаблон Отчета о соответствии (ROC 3.0) | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  19. 19. 19 Спасибо! Спасибо за внимание! Вопросы? sergey.shustikov@deiteriy.com www.pcidsstraining.ru © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

×