Trustwave: Введение в практику PCI DSS

2,078 views

Published on

История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
2,078
On SlideShare
0
From Embeds
0
Number of Embeds
273
Actions
Shares
0
Downloads
0
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Trustwave: Введение в практику PCI DSS

  1. 1. Введение в практику PCI DSS<br />From: Андрей Рогожин, PCI-QSA<br />Date: 02 апреля 2011 г.<br />
  2. 2. Обзор<br />История развития PCI DSS<br />Экосистема сертификации PCI DSS<br />Требования платежных систем по подтверждению соответствия<br />Требования PCI DSS<br />Статистика несоответствий и инцидентов<br />Открытое обсуждение<br />
  3. 3. История развития PCI DSS<br />Середина 90-х: разрозненные стандарты защиты конфиденциальной платежной информации в разных регионах и платежных системах<br />Июнь 2001: Visa Cardholder Information Security Program (CISP), CISP Security Audit Procedures версии 1.0<br />Март 2004: Совместное сотрудничество Visa и MasterCard,CISP Security Audit Procedures версии 2.3<br />Декабрь 2004: PCI DSS версии 1.0<br />Сентябрь 2006: Основание Payment Card Industry Security Standards Council (PCI SSC), PCI DSS версии 1.1<br />Октябрь 2008: PCI DSS версии 1.2<br />Август 2009: Обновление PCI DSS 1.2.1<br />Октябрь 2010: PCI DSS версии 2.0<br />
  4. 4. Что такое PCI SSC?<br />Независимая отраслевая организация, ответственная за развитие и управление стандартами безопасности индустрии платежных карт<br />Основатели: American Express, Discover Financial, JCB, MasterCard Worldwide, Visa Inc.<br />Цели PCI Security Standards Council:<br />Обновление и управление жизненным циклом стандартов<br />Повышение уровня защищенности платежной информации<br />Продвижение стандартов и повышение осведомленности<br />Обеспечение участия заинтересованных сторон<br />Аккредитация и проверка ASV/QSA/PA-QSA и PED Labs<br />Выступать в качестве единого представителя индустрии <br />
  5. 5. Ресурсы, предоставляемые PCI SSC<br />PCI DSS, PCI PTS, PCI PA-DSS иподдерживающие документы<br />PCI SSC FAQs<br />Обучение и поддержка<br />Членство для организаций-участников, проведение собраний, обратная связь<br />Списки QSA, ASV, PA-QSA, сертифицированных платежных приложений и устройств PED<br />https://www.pcisecuritystandards.org<br />
  6. 6. Стандарты индустрии платежных карт<br />Защита платежной информации держателей карт<br />Торговые организациии провайдеры<br />PCI DSS<br />Стандартбезопасностиданных<br />Разработчики ПО<br />PCI PA-DSS<br />Платежныеприложения<br />Производители<br />PCI PTS<br />Устройства для ввода PIN-кода<br />Безопасностьиндустрии платежныхкарт & соответствие<br />Экосистема платежных устройств, приложений, инфраструктуры и пользователей<br />
  7. 7. Стандарты индустрии платежных карт<br />PCIPTSрегламентирует защиту от физического вмешательства, криптографические процессы, и другие средства защиты PIN-кода<br />Зашифрованный PIN-код передается в платежные приложения или терминалы<br />PCI PA-DSS регламентирует безопасность платежных приложений для совметимости с требованиями PCI DSS<br />Платежное приложение получает карточные данные из устройств PED или других источников и инициирует тразакцию<br />PCI DSSрегламентирует безопасноть систем и сетей хранящих, обрабатывающих или передающих карточные данные<br />Системы и сети получают карточные данные из платежных приложений или других источников<br />
  8. 8. PCI DSS<br />PCIDSSраспростаняется на любую организацию, которая хранит, обрабатывает или передает карточные данные<br />Реграментирует безопасноть любых системных компонентов, входящих в среду или подключенных к среде обработки карточных данных торговой организации или сервис-провайдера<br />Взаимосвязь PTSи PCI DSS<br />PCI DSS запрещает хранение зашифрованных PIN-блоков<br />Требования не пересекаются<br />Взаимосвязь PA-DSSи PCI DSS<br />Платежные приложения должны быть совместимы с требованиями PCI DSS, а не нарушать их<br />Требования PCI DSS повторяются во многих требованиях к платежным приложениям PA-DSS<br />
  9. 9. Программы соответствия платежных систем<br />Каждая из платежных систем разрабатывает и поддерживает свою программу соответствия PCI DSS в соотвествии со своей политикой управления рисками<br />American Express: Data Security Operating Policy (DSOP)<br />Discover: Discover Information Security Compliance (DISC)<br />JCB: Data Security Program<br />MasterCard: Site Data Protection (SDP)<br />Visa США: Cardholder Information Security Program (CISP)<br />Другие регионы Visa: программа Account Information Security (AIS)<br />
  10. 10. Программы соответствия платежных систем<br />Программы соответствия платежных систем включают:<br />Отслеживание и принудительное применение<br />Штрафы, комисии, сроки подтверждения соответствия<br />Процедуры подтверждения соответствия и критерии тех организаций, для которых обязательно подтверждение соотвествия<br />Утверждение и публикацию списка организаций, подтвердивших соответствие<br />Критерии деления организаций на уровни<br />Платежные системы также ответственны за проведение расследований и принятие ответных мер в случае утечек карточных данных<br />
  11. 11. Критерии Visa AIS (CEMEA) для торговых организаций<br />
  12. 12. Требования Visa AIS (CEMEA) для торговых организаций<br />
  13. 13. PCI DSS: 6 целей, 12 требований<br />Цели и требования PCI DSS<br />Внедрить и поддерживать безопасную сетевую среду<br />Install and maintain a firewall configuration to protect cardholder data<br />Do not use vendor-supplied defaults for system passwords and other security parameters<br />Protect stored cardholder data<br />Encrypt transmission of cardholder data across open, public networks<br />Защитить карточные данные<br />Поддерживать программу управления уязвимостями<br />Use and regularly update anti-virus software or programs<br />Develop and maintain secure systems and applications<br />Внедрить усиленные средства контроля доступа<br />Restrict access to cardholder data by business need-to-know<br />Assign a unique ID to each person with computer access<br />Restrict physical access to cardholder data<br />Периодический мониторинг и тестирование сетевой среды<br />Track and monitor all access to network resources and cardholder data<br />Regularly test security systems and processes<br />Поддерживать Политику ИБ<br />Maintain a policy that addresses information security for employees and contractors<br />
  14. 14. PCI DSS Requirement 1<br />Install and maintain a firewall configuration to protect cardholder data<br />Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт<br />
  15. 15. PCI DSS Requirement 2<br />Do not use vendor-supplied defaults for system passwords and other security parameters<br />Не использовать пароли и другие системные параметры, заданные производителем по умолчанию<br />
  16. 16. PCI DSS Requirement 3<br />Protect stored cardholder data<br />Обеспечить безопасное хранение данных о держателях карт<br />
  17. 17. PCI DSS Requirement 4<br />Encrypt transmission of cardholder data across open, public networks<br />Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования<br />
  18. 18. PCI DSS Requirement 5<br />Use and regularly update anti-virus software or programs<br />Использовать и регулярно обновлять антивирусное программное обеспечение<br />
  19. 19. PCI DSS Requirement 6<br />Develop and maintain secure systems and applications<br />Разрабатывать и поддерживать безопасные системы и приложения<br />
  20. 20. PCI DSS Requirement 7<br />Restrict access to cardholder data by business need to know<br />Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью<br />
  21. 21. PCI DSS Requirement 8<br />Assign a unique ID to each person with computer access<br />Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре<br />
  22. 22. PCI DSS Requirement 9<br />Restrict physical access to cardholder data<br />Ограничить физический доступ к данным о держателях карт<br />
  23. 23. PCI DSS Requirement 10<br />Track and monitor all access to network resources and cardholder data<br />Отслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт<br />
  24. 24. PCI DSS Requirement 11<br />Regularly test security systems and processes<br />Регулярно выполнять тестирование систем и процессов обеспечения безопасности<br />
  25. 25. PCI DSS Requirement 12<br />Maintain a policy that addresses information security for all personnel<br />Поддерживать политику информационной безопасности, охватывающую всех сотрудников<br />
  26. 26. О компании Trustwave<br /><ul><li>Провайдер услуг управляемой ИБ (более1400 клиентских устройствпод управлением)
  27. 27. Обрабатывает более 18 миллионов событий ИБ каждый день
  28. 28. Один из 10 крупнейших Центров Сертификации (Certificate Authority), выпустивший более 40 тысяч SSL-сертификатов
  29. 29. Выполнено более 4 тысяч тестов на проникновение сетевого и прикладного уровня
  30. 30. Проведено более 740 официальных расследований инцидентов ИБ
  31. 31. Образцовая работа по приведению в соответстие стандартам HIPAA, GLBA, SOX, ISO серии 27000
  32. 32. Лидер PCI DSS–Trustwave сертифицировано 42% сервис-провайдеров и 40% платежных приложений
  33. 33. Обладает всеми необходимыми для работе в области PCI статусами: QSA (2002); ASV (2003); PA-QSA (2005); QIRA (2005)</li></li></ul><li>Trustwave Global Security Report 2011<br />
  34. 34. Основные несоответствия PCI DSS<br />Данные по расследованным индицентам Trustwave Global Security Report 2011<br />
  35. 35. Метод получения доступа<br />Данные по расследованным индицентам Trustwave Global Security Report 2011<br />
  36. 36. Метод сбора карточных данных<br />Данные по расследованным индицентам Trustwave Global Security Report 2011<br />
  37. 37. Метод выгрузки карточных данных<br />Данные по расследованным индицентам Trustwave Global Security Report 2011<br />
  38. 38. Источник атаки<br />Данные по расследованным индицентам Trustwave Global Security Report 2011<br />
  39. 39. Эволюция векторов атаки<br />
  40. 40. Спасибо за внимание!<br />Вопросы<br />Андрей Рогожин<br />PCI-QSA, CISA, CISM, CISSP,<br />ISO 27001 & BS 25999 Lead Auditor<br />Ведущий консультант Trustwave<br />+7 916 356 2343<br />arogozhin@gmail.com<br />www.linkedin.com/in/andreyrogozhin<br />
  41. 41. Информационные ресурсы<br />PCI Security Standards Council<br />https://www.pcisecuritystandards.org<br />Visa CEMEA – программа AIS<br />http://www.visacemea.com/ac/ais/data_security.jsp<br />MasterCard – программа SDP<br />http://www.mastercard.com/sdp<br />Trustwave Global Security Report<br />https://www.trustwave.com/GSR<br />Trustwave <br />https://www.trustwave.com<br />

×