1. «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental PCI DSS описание применение соответствие Бабенко Алексей старший аудитор
2. О чем пойдет речь? DSS для PCI Основные требования стандарта Внутренняя кухня DSS Путь к соответствию за 10 шагов Сопутствующие стандарты
3. История возникновения 1.2 2.0 1.0 1.1 new Стандарт PCI DSS Старт программ CISP/AIS/SDP Первая сеть VISA ATM 1970 1980 1990 2000 2010 08 01 83 06 04 13 66 1млд. карт Visa и MasterCard $ 36 млн.мошеннических транзакций $ 300 млн.мошеннических транзакций $ 5 550 млн.мошеннических транзакций
4. Область применения стандарта PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт
8. Область проверки стандарта Авторизация, клиринг/сеттлмент Мониторинг мошенническихтранзакций, разрешение диспутов Поддержка клиентов (call-центр) Аналитика и статистика по транзакциям
9. Основные изменения 1.2 -> 2.0 Новых глобальных требований не добавилось Уточнен ряд требований, детализация и упрощение восприятия процедур Изменились требования к процедуре определения области оценки (scoping) Усложнение требований 6.2, 6.5.6, 11.2 Вступают в силу с 1 января 2011 года, возможно проведение аудита по версии 1.2 конца 2011 года
11. Ответственность PCI SSC Разработка и публикация стандартов PCI Определение требований к QSA, PA-QSAи ASV Аккредитация компанийи публикация списков QSA, PA-QSAи ASV Обучение и сертификация сотрудников QSA, PA-QSA Контроль качества работ проводимых QSA, PA-QSAи ASV
12. Ответственность QSA Проведение аудитов в соответствии с утвержденными процедурами Обеспечение поддержки и консультации по выполнению требований до полного соответствия Интерпретация требований стандарта и адекватности компенсационных мер Предоставление отчетности в платежные системы и PCI SSC
13. Ответственность МПС Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC Определение способов подтверждения соответствия PCI DSS Определения границ области проверки соответствия Штрафы за невыполнение требований
15. Реестр хранения данных карт (матрица данных) Ресурсы, участвующие в передаче, обработке, хранении данных карт Логическое и физическое размещение ресурсов Dataflow Наличие и механизмы сегментации и экранирования Использование беспроводных технологий
16. Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем Выявляются несоответствия стандарту По результатам — Action plan Согласованы решения и компенсационные меры Выбраны технические средства Одна работа – один ответственный Приоритет работ с учетом рисков ИБ
17. Иерархия документов: от политики до процедур и инструкций Не разработка «в стол», а разработка и документирование процессов Определение порядка изменения документов
18. Использование встроенных защитных механизмов Настройка существующих внешних средств защиты Внедрение программно-технических средств: «Необходимо» или «полезно» Перекрывание защитных механизмов Простота эксплуатации Возможность масштабирования
19. Контролируемость выбранного решения Простота исполнения процедур Наличие «обратной связи» процесса Совершенствование и доработка процедур/регламентов, корректировка мер
20. Проводится после внедрения основных мер Внешнее сканирование проводит PCI ASV Тестирование защищенности выявляет основные недоработки в реализации мер или зоне их охвата Повторение при отрицательном результате
21. Процедуры аудита определены PCI SSC Область аудита может быть меньше чем PCI DSS Scope Аудит проводится с применением «выборки» ресурсов, помещений, людей Является «снимком» состояния на момент проведения аудита
22. PCI Compliance не «вечный двигатель», безопасность это процесс Контрольные процедуры: Заложенные стандартом (определены периодичность и методы контроля) Внутренние Изменение инфраструктуры и угроз ИБ
24. Payment Application DSS Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента Необходима сертификация: POS терминалы, банкоматы, киоски для оплаты, системы процессинга и пр. Сертификация не нужна Приложения собственной разработки для или приложения на заказ Отдельно стоящие POS терминалы СУБД Операционные системы Web серверы
25. PIN Entry Devices Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PIN Программа тестирования и утверждения устройств отражает: требования безопасности к устройствам; методология тестирования; процесс сертификации и утверждения.
26. Вопросы Бабенко Алексей старший аудитор a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru