Введение в стандарт, основные требования и путь к соответствию шаг за шагом.

1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental PCI DSS описание применение соответствие Бабенко Алексей старший аудитор

2. О чем пойдет речь? DSS для PCI Основные требования стандарта Внутренняя кухня DSS Путь к соответствию за 10 шагов Сопутствующие стандарты

3. История возникновения 1.2 2.0 1.0 1.1 new Стандарт PCI DSS Старт программ CISP/AIS/SDP Первая сеть VISA ATM 1970 1980 1990 2000 2010 08 01 83 06 04 13 66 1млд. карт Visa и MasterCard $ 36 млн.мошеннических транзакций $ 300 млн.мошеннических транзакций $ 5 550 млн.мошеннических транзакций

4. Область применения стандарта PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт

5. Безопасность данных платежных карт

6. Требования стандарта (1 из 2)

7. Требования стандарта (2 из 2)

8. Область проверки стандарта Авторизация, клиринг/сеттлмент Мониторинг мошенническихтранзакций, разрешение диспутов Поддержка клиентов (call-центр) Аналитика и статистика по транзакциям

9. Основные изменения 1.2 -> 2.0 Новых глобальных требований не добавилось Уточнен ряд требований, детализация и упрощение восприятия процедур Изменились требования к процедуре определения области оценки (scoping) Усложнение требований 6.2, 6.5.6, 11.2 Вступают в силу с 1 января 2011 года, возможно проведение аудита по версии 1.2 конца 2011 года

10. Разработка и контроль применения

11. Ответственность PCI SSC Разработка и публикация стандартов PCI Определение требований к QSA, PA-QSAи ASV Аккредитация компанийи публикация списков QSA, PA-QSAи ASV Обучение и сертификация сотрудников QSA, PA-QSA Контроль качества работ проводимых QSA, PA-QSAи ASV

12. Ответственность QSA Проведение аудитов в соответствии с утвержденными процедурами Обеспечение поддержки и консультации по выполнению требований до полного соответствия Интерпретация требований стандарта и адекватности компенсационных мер Предоставление отчетности в платежные системы и PCI SSC

13. Ответственность МПС Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC Определение способов подтверждения соответствия PCI DSS Определения границ области проверки соответствия Штрафы за невыполнение требований

14. Путь к соответствию

15. Реестр хранения данных карт (матрица данных) Ресурсы, участвующие в передаче, обработке, хранении данных карт Логическое и физическое размещение ресурсов Dataflow Наличие и механизмы сегментации и экранирования Использование беспроводных технологий

16. Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем Выявляются несоответствия стандарту По результатам — Action plan Согласованы решения и компенсационные меры Выбраны технические средства Одна работа – один ответственный Приоритет работ с учетом рисков ИБ

17. Иерархия документов: от политики до процедур и инструкций Не разработка «в стол», а разработка и документирование процессов Определение порядка изменения документов

18. Использование встроенных защитных механизмов Настройка существующих внешних средств защиты Внедрение программно-технических средств: «Необходимо» или «полезно» Перекрывание защитных механизмов Простота эксплуатации Возможность масштабирования

19. Контролируемость выбранного решения Простота исполнения процедур Наличие «обратной связи» процесса Совершенствование и доработка процедур/регламентов, корректировка мер

20. Проводится после внедрения основных мер Внешнее сканирование проводит PCI ASV Тестирование защищенности выявляет основные недоработки в реализации мер или зоне их охвата Повторение при отрицательном результате

21. Процедуры аудита определены PCI SSC Область аудита может быть меньше чем PCI DSS Scope Аудит проводится с применением «выборки» ресурсов, помещений, людей Является «снимком» состояния на момент проведения аудита

22. PCI Compliance не «вечный двигатель», безопасность это процесс Контрольные процедуры: Заложенные стандартом (определены периодичность и методы контроля) Внутренние Изменение инфраструктуры и угроз ИБ

23. Сопутствующие стандарты

24. Payment Application DSS Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента Необходима сертификация: POS терминалы, банкоматы, киоски для оплаты, системы процессинга и пр. Сертификация не нужна Приложения собственной разработки для или приложения на заказ Отдельно стоящие POS терминалы СУБД Операционные системы Web серверы

25. PIN Entry Devices Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PIN Программа тестирования и утверждения устройств отражает: требования безопасности к устройствам; методология тестирования; процесс сертификации и утверждения.

26. Вопросы Бабенко Алексей старший аудитор a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru