Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Секция 1
Обзор стандарта PCI DSS
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д...
1-2 Индустрия платежных карт
Банк-эквайер – банк, предоставляющий услуги эквайринга.
Банк-эмитент – банк, выпустивший плат...
1-3 Эмиссия платежных карт МПС Visa и MasterCard
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обух...
1-4 Две стадии эквайринга по картам МПС Visa и MasterCard
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург,...
1-5 Авторизация – шаг 1
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, ли...
1-6 Авторизация – шаг 2
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, ли...
1-7 Авторизация – шаг 3
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, ли...
1-8 Авторизация – шаг 4
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, ли...
1-9 Авторизация – шаг 5
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, ли...
1-10 Авторизация – шаг 6
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, л...
1-11 Авторизация – шаг 7
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, л...
1-12 Авторизация – шаг 8
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, л...
1-13 Клиринг и взаиморасчет – шаг 1
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-14 Клиринг и взаиморасчет – шаг 2
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-15 Клиринг и взаиморасчет – шаг 3
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-16 Клиринг и взаиморасчет – шаг 4
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-17 Клиринг и взаиморасчет – шаг 5
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-18 Клиринг и взаиморасчет – шаг 6
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-19 Клиринг и взаиморасчет – шаг 7
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
1-20 Банки-принципалы и аффилированные банки
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховск...
1-21 Платежные шлюзы
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. ...
1-22 Поставщики услуг и торгово-сервисные предприятия
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр....
1-23 Распределение ответственности за безопасность данных
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург,...
1-24 Стандарты безопасности данных индустрии платежных карт
Совет PCI SSC (Payment Card Industry Security Standards Counci...
1-25 Стандарты безопасности данных индустрии платежных карт
Стандарт PCI P2PE (Payment Card Industry Point-to-Point Encryp...
1-26 Стандарт PCI DSS
Объект применения: организация, в информационной инфраструктуре которой хранятся,
обрабатываются или...
1-27 Стандарт PCI PA-DSS
Объект применения: приложение, которое хранит, обрабатывает или передает данные о
держателях карт...
1-28 Структура стандарта PCI DSS
Стандарт PCI DSS актуальной на 28 апреля 2016 года версии 3.2 содержит в себе 415 проверо...
1-29 Способы подтверждения соответствия стандарту PCI DSS
Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ)
Выпо...
1-30 Обязательные независимые проверки защищенности
Проверка Описание
Требование 11.2 PCI DSS
Внешнее сканирование
уязвимо...
1-31 Обязательные независимые проверки защищенности
Проверка Описание
Требование 11.2 PCI DSS
Внешнее сканирование
уязвимо...
1-32 Обязательные независимые проверки защищенности
Проверка Описание
Требование 11.3 PCI DSS
Внешнее и внутреннее
тестиро...
1-33 Контроль защищенности внешних веб-приложений
Проверка Описание
Требование 6.6 PCI DSS
Контроль защищенности
внешних (...
1-34 Уровни и требования международных платежных систем
Международные платежные системы определяют требования к способу по...
1-35 Классификация Visa, торгово-сервисные предприятия
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка б...
1-36 Классификация MasterCard, торгово-сервисные предприятия
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обраб...
1-37 Классификация Visa, поставщики услуг
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка более 300 тыс....
1-38 Классификация MasterCard, поставщики услуг
Уровень Критерии
Подтверждение
соответствия PCI DSS
1
• обработка более 30...
Секция 2
Внедрение стандарта PCI DSS
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборо...
2-2 Внедрение стандарта PCI DSS
Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American
Expr...
2-3 Мотивация внедрения PCI DSS в мировой практике
Отношения «Кнут» «Пряник»
МПС –
Эквайер
• требование об увеличении разм...
2-4 Мотивация внедрения PCI DSS в российской практике
Отношения «Кнут» «Пряник»
МПС –
Эквайер
• требование об увеличении р...
2-5 Роль и место процесса внедрения PCI DSS в организации
В компании без выделенных ИТ и ИБ подразделений
(малый магазин)
...
2-6 Процесс внедрения PCI DSS в общем виде
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской...
2-7 Внедрение PCI DSS собственными силами
* - в случае применимости теста на проникновение необходимо иметь собственное не...
2-8 Внедрение PCI DSS с минимальным уровнем аутсорсинга
* - тест на проникновение может быть выполнен квалифицированным пе...
2-9 Внедрение PCI DSS со средним уровнем аутсорсинга
* - предварительный аудит выполняется QSA-аудитором консультанта, что...
2-10 Внедрение PCI DSS с максимальным уровнем аутсорсинга
* - консультант-интегратор разрабатывает и внедряет необходимые ...
2-11 Типовой проект по внедрению PCI DSS (средний аутсорсинг)
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петерб...
2-12 Этапы проекта по внедрению PCI DSS
Оценка соответствия PCI DSS – экспертная оценка информационной инфраструктуры с це...
2-13 Этапы проекта по внедрению PCI DSS (продолжение)
Разработка документации – подготовка пакета внутренних нормативных д...
2-14 Этапы проекта по внедрению PCI DSS (продолжение)
Сертификационный QSA-аудит – выполнение сертификационного QSA-аудита...
2-15
Вариант Применимость
Кол-во
вопросов
SAQ A
Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по...
2-16 Применение листов самооценки PCI DSS 3.2
Вариант Применимость
Кол-во
вопросов
SAQ C-VT
Мерчанты, вручную через Интерн...
2-17 Применение листов самооценки PCI DSS 3.2
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховс...
Секция 3
Область применимости требований PCI DSS
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обух...
3-2 Определение области применимости стандарта PCI DSS
Требования стандарта PCI DSS применимы ко всем компонентам информац...
3-3 Данные платежных карт
Вид Обозначение Определение
Номер карты PAN
Номер, идентифицирующий платёжную карту,
наносится н...
3-4 Категории данных платежных карт (ДПК)
Категория Вид Правила хранения
Данные о держателях
карт (ДДК)
PAN
При хранении с...
3-5 Информационная инфраструктура организации
Информационная инфраструктура – это разделяемый развивающийся гетерогенный п...
3-6 Описание информационной инфраструктуры
Информационная инфраструктура может быть описана следующими тремя элементами*:
...
3-7 Инфраструктура банка (упрощенная) – схема сети
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Об...
3-8 Инфраструктура банка (упрощенная) – компоненты
Приложения
Название
На каком компьютере
установлено
Какие хранилища исп...
3-9 Инфраструктура банка (упрощенная) – компоненты
Хранилища данных
Тип Название
На каком компьютере
установлено
Какие ДДК...
3-10 Инфраструктура банка (упрощенная) – компоненты
Компьютеры
Название IP-интерфейсы ОС
Сервер приложений карточного фрон...
3-11 Инфраструктура банка (упрощенная) – компоненты
Активное сетевое оборудование
Название IP-интерфейсы Модель
Маршрутиза...
3-12 Инфраструктура банка (упрощенная) – потоки ДДК
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. О...
3-13 Область применимости PCI DSS в инфраструктуре банка
Голубым цветом отмечены компоненты,
обрабатывающие, хранящие и пе...
3-14 Область аудита PCI DSS
Согласно требованиям международных платежных систем требования стандарта PCI DSS
распространяю...
3-15 Инфраструктура банка (упрощенная) – потоки ДДК - эмиссия
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петерб...
3-16 Область аудита PCI DSS в инфраструктуре банка
Желтым цветом отмечены компоненты, обрабатывающие,
хранящие и передающи...
3-17 Смежные информационные системы в инфраструктуре банка
Красным цветом отмечены компоненты, относящиеся к
смежным инфор...
3-18 Потоки ДДК между участниками процесса эквайринга
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр....
3-19 Платежный шлюз – схема сети (упрощенная)
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховс...
3-20 Платежный шлюз – потоки ДДК
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д...
3-21 Платежный шлюз – область применимости PCI DSS
Голубым цветом отмечены компоненты,
обрабатывающие, хранящие и передающ...
3-22 Интернет-магазин – схема сети
Этот Интернет-магазин принимает ДДК на своем сайте
© ООО «Дейтерий», 2010 – 2016 | 1920...
3-23 Интернет-магазин – потоки ДДК
Этот Интернет-магазин принимает ДДК на своем сайте
© ООО «Дейтерий», 2010 – 2016 | 1920...
3-24 Интернет-магазин – область применимости PCI DSS
Этот Интернет-магазин принимает ДДК на своем сайте
Голубым цветом отм...
3-25 Розничный магазин – схема сети
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
3-26 Розничный магазин – потоки ДДК
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборон...
3-27 Розничный магазин – область применимости PCI DSS
Голубым цветом отмечены компоненты,
обрабатывающие, хранящие и перед...
Секция 4
Сужение области применимости стандарта PCI DSS
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, п...
4-2 Сужение области применимости PCI DSS
Уменьшение количества компонентов информационной инфраструктуры организации, на
к...
4-3 Методы сужения области применимости PCI DSS
Уменьшить размер области применимости требований PCI DSS можно следующими ...
4-4 Область применимости PCI DSS в инфраструктуре банка
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные систе...
4-5 Потоки ДДК в инфраструктуре банка
- потоки ДДК эквайринга - потоки ДДК эмиссии
© ООО «Дейтерий», 2010 – 2016 | 192012,...
4-6 Шаг 1 - избежать обработки, хранения и передачи ДДК
Согласно бизнес-
требованиям
рассматриваемого банка,
приложение Ин...
4-7 Шаг 1 - избежать обработки, хранения и передачи ДДК
- потоки ДДК эквайринга - потоки ДДК эмиссии - не ДДК
© ООО «Дейте...
4-8 Шаг 2 - шифровать передаваемые ДДК
Можно
зашифровать канал
связи для тонкого
клиента (например,
использовать VPN)
- по...
4-9 Шаг 2 - шифровать передаваемые ДДК
- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде
© ООО «Дейте...
4-10 Результат выполнения шагов 1 и 2
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
© ООО «Дейтерий...
4-11 Шаг 3 - отделить смежные информационные системы
Теперь ничто не мешает
отделить сегмент 192.168.110.x
межсетевым экра...
4-12 Результат выполнения шага 3
- обработка ДДК эквайринга - обработка ДДК эмиссии
© ООО «Дейтерий», 2010 – 2016 | 192012...
4-13 Результат сужения области применимости PCI DSS в банке
- обработка ДДК эквайринга - обработка ДДК эмиссии
© ООО «Дейт...
4-14 Область применимости PCI DSS в розничном магазине
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр...
4-15 Потоки ДДК в розничном магазине
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Оборо...
4-16 Применение токенизации
Согласно бизнес-
требованиям
рассматриваемого
магазина, ERP-система
может оперировать
уникальн...
4-17 Применение токенизации
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271...
4-18 Применение токенизации
- обработка ДДК эквайринга - смежные системы
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, С...
4-19 Применение сегментации
ERP-систему и рабочую
станцию можно
выделить в отдельный
сегмент сети
- обработка ДДК эквайрин...
4-20 Применение сегментации
- обработка ДДК эквайринга
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр...
4-21 Результат сужения области применимости PCI DSS в магазине
- обработка ДДК эквайринга
© ООО «Дейтерий», 2010 – 2016 | ...
Секция 5
Выполнение требований PCI DSS
© ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обо...
5-2 Метод приоритетного подхода
Стандарт PCI DSS содержит 415 проверочных процедур, которые должны дать положительный
резу...
5-3 Этап 1. Удаление КАД и ограничение хранения ДДК
Согласно требованиям раздела 3 стандарта PCI DSS, критичные аутентифик...
5-4 Этап 1. Удаление КАД и ограничение хранения ДДК
Иногда найти, где именно в информационной инфраструктуре организации с...
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
PCI DSS 3.2
Upcoming SlideShare
Loading in …5
×

PCI DSS 3.2

680 views

Published on

pci dss

Published in: Technology
  • Be the first to comment

PCI DSS 3.2

  1. 1. Секция 1 Обзор стандарта PCI DSS © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  2. 2. 1-2 Индустрия платежных карт Банк-эквайер – банк, предоставляющий услуги эквайринга. Банк-эмитент – банк, выпустивший платежную карту. Международная платежная система (МПС) – сообщество банков, установившее правила обращения платежных карт (Visa, MasterCard, American Express, Discovery, JCB). Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций. Примерами поставщиков услуг являются банки-эмитенты, банки-эквайеры, платежные шлюзы, хостинг-провайдеры. Торгово-сервисное предприятие (ТСП) – организация, принимающая платежные карты к оплате за товары и услуги. Эквайринг – процесс приема платежных карт к оплате за товары и услуги. Различают банкоматный (Automated Teller Machine, ATM) эквайринг – выдачу наличных по платежной карте с использованием банкомата, торговый (Point of Sale, POS) эквайринг – прием платежных карт к оплате за товары и услуги торгово-сервисных предприятий с использованием POS-терминалов и Интернет-эквайринг – прием платежных карт к оплате за товары и услуги с использованием средств электронной коммерции. Эмиссия – процесс выпуска (персонализации) платежных карт. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  3. 3. 1-3 Эмиссия платежных карт МПС Visa и MasterCard © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  4. 4. 1-4 Две стадии эквайринга по картам МПС Visa и MasterCard © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  5. 5. 1-5 Авторизация – шаг 1 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  6. 6. 1-6 Авторизация – шаг 2 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  7. 7. 1-7 Авторизация – шаг 3 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  8. 8. 1-8 Авторизация – шаг 4 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  9. 9. 1-9 Авторизация – шаг 5 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  10. 10. 1-10 Авторизация – шаг 6 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  11. 11. 1-11 Авторизация – шаг 7 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  12. 12. 1-12 Авторизация – шаг 8 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  13. 13. 1-13 Клиринг и взаиморасчет – шаг 1 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  14. 14. 1-14 Клиринг и взаиморасчет – шаг 2 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  15. 15. 1-15 Клиринг и взаиморасчет – шаг 3 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  16. 16. 1-16 Клиринг и взаиморасчет – шаг 4 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  17. 17. 1-17 Клиринг и взаиморасчет – шаг 5 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  18. 18. 1-18 Клиринг и взаиморасчет – шаг 6 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  19. 19. 1-19 Клиринг и взаиморасчет – шаг 7 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  20. 20. 1-20 Банки-принципалы и аффилированные банки © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  21. 21. 1-21 Платежные шлюзы © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  22. 22. 1-22 Поставщики услуг и торгово-сервисные предприятия © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  23. 23. 1-23 Распределение ответственности за безопасность данных © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  24. 24. 1-24 Стандарты безопасности данных индустрии платежных карт Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS, PCI P2PE, PCI PTS, PCI TSP и Card Production. Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт. Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM). © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  25. 25. 1-25 Стандарты безопасности данных индустрии платежных карт Стандарт PCI P2PE (Payment Card Industry Point-to-Point Encryption) – набор руководящих документов, содержащих требования к решениям, обеспечивающим шифрование «точка-точка» и позволяющим защитить данные платежных карт от точки ввода карточных данных на стороне ТСП до точки безопасного расшифрования на стороне эквайера. Стандарт PCI TSP (Payment Card Industry Token Service Provider) – набор дополнительных требований безопасности для поставщиков услуг токенизации. Стандарты Card Production – стандарты безопасности Logical Security и Physical Security для эмитентов платежных карт. Стандарт DESV (Designated Entities Supplemental Validation) – набор дополнительных требований для организаций, которым международные платежные системы или банк-эквайер присвоили статус Designated Entity. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  26. 26. 1-26 Стандарт PCI DSS Объект применения: организация, в информационной инфраструктуре которой хранятся, обрабатываются или передаются данные платежных карт, либо её отдельный бизнес-процесс (сервис), в который вовлечены данные платежных карт, или несколько таких бизнес-процессов. Примеры бизнес-процессов (сервисов): • ATM- и POS-эквайринг в процессинговом центре; • торгово-сервисное предприятие электронной коммерции (Интернет-магазин); • платежный шлюз электронной коммерции; • производство и персонализация платежных карт; • размещение оборудования в машинных залах центра обработки данных; • предоставление виртуальной инфраструктуры центра обработки данных (в т. ч. MSP). Критерий применимости: хранение, обработка или передача хотя бы одного номера карты какой- либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в рамках какого-либо бизнес-процесса организации. Критерий соответствия: выполнение 100% применимых требований стандарта PCI DSS. Способ подтверждения соответствия: определяется международной платежной системой и банком-эквайером отдельно для разных типов организаций. Регулярность подтверждения соответствия: ежегодно. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  27. 27. 1-27 Стандарт PCI PA-DSS Объект применения: приложение, которое хранит, обрабатывает или передает данные о держателях карт (платежное приложение), а также процесс его разработки. Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в процессе авторизации транзакции или выполнения взаиморасчетов. Не применим к приложениям, разработанным самостоятельно для собственных нужд, а также к приложениям, разработанным на заказ для одного заказчика. Критерий соответствия: выполнение 100% применимых к приложению требований стандарта. Способ подтверждения соответствия: проверка безопасности приложения аудиторской организацией (PA-QSA), сертифицированной Советом PCI SSC. Регулярность подтверждения соответствия: ежегодно, способ зависит от значимости обновлений приложения с точки зрения безопасности обработки карточных данных. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  28. 28. 1-28 Структура стандарта PCI DSS Стандарт PCI DSS актуальной на 28 апреля 2016 года версии 3.2 содержит в себе 415 проверочных процедуры, распределенных по двенадцати разделам: 1. Защита вычислительной сети. 2. Конфигурация компонентов информационной инфраструктуры. 3. Защита хранимых данных о держателях карт. 4. Защита передаваемых данных о держателях карт. 5. Антивирусная защита информационной инфраструктуры. 6. Разработка и поддержка информационных систем. 7. Управление доступом к данным о держателях карт. 8. Механизмы аутентификации. 9. Физическая защита информационной инфраструктуры. 10. Протоколирование событий и действий. 11. Контроль защищенности информационной инфраструктуры. 12. Управление информационной безопасностью. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  29. 29. 1-29 Способы подтверждения соответствия стандарту PCI DSS Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ) Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. В ходе проверки ISA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. Сбор свидетельств выполнения требований стандарта не требуется. По результатам QSA подготавливает Отчет о Соответствии (Report on Compliance, ROC). По результатам ISA подготавливает Отчет о Соответствии (Report on Compliance, ROC). Отчетным документом является самостоятельно заполненный лист самооценки SAQ. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  30. 30. 1-30 Обязательные независимые проверки защищенности Проверка Описание Требование 11.2 PCI DSS Внешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV) Выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC. Сканированию подлежат все внешние IP-интерфейсы информационной инфраструктуры в рамках области применимости требований стандарта PCI DSS. Требование 11.3 PCI DSS Внешнее и внутреннее тестирование на проникновение (pentest) Выполняется ежегодно* независимым поставщиком услуг тестирования на проникновение. Тестирование должно выполняться в соответствии заранее определенной методике на уровне сети и на уровне приложений, как извне, так и изнутри области применимости требований стандарта PCI DSS. При этом границы области применимости требований стандарта PCI DSS определяются тестом на проникновение. Может также выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  31. 31. 1-31 Обязательные независимые проверки защищенности Проверка Описание Требование 11.2 PCI DSS Внешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV) Выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC. Сканированию подлежат все внешние IP-интерфейсы информационной инфраструктуры в рамках области применимости требований стандарта PCI DSS. Выполнять ASV-сканирование должен работник организации, имеющий достаточную квалификацию, или (если такого работника в организации нет) внешняя независимая организация. Если в ходе ASV-сканирования были обнаружены уязвимости, их необходимо устранить в соответствии с внутренней политикой обработки уязвимостей организации и провести повторное сканирование. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  32. 32. 1-32 Обязательные независимые проверки защищенности Проверка Описание Требование 11.3 PCI DSS Внешнее и внутреннее тестирование на проникновение (pentest) Выполняется ежегодно* независимым поставщиком услуг тестирования на проникновение. Тестирование должно выполняться в соответствии с заранее определенной методикой на уровне сети и на уровне приложений, как извне, так и изнутри области применимости требований стандарта PCI DSS. При этом границы области применимости требований стандарта PCI DSS определяются тестом на проникновение. Может также выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом. (*) После 1 февраля 2018 года поставщикам услуг необходимо будет проводить тестирование на проникновение в части проверки корректности сегментации сети не реже одного раза в шесть месяцев. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  33. 33. 1-33 Контроль защищенности внешних веб-приложений Проверка Описание Требование 6.6 PCI DSS Контроль защищенности внешних (публичных) веб- приложений Существует три варианта выполнения требования: • сканирование уязвимостей приложения при помощи специализированного сканера безопасности веб- приложений; • аудит защищенности веб-приложений вручную экспертами, специализирующимися на безопасности веб- приложений. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом; • установка перед веб-приложением межсетевого экрана прикладного уровня (Web Application Firewall, WAF). © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  34. 34. 1-34 Уровни и требования международных платежных систем Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год. Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг. В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт. Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы. Международные платежные системы и банк-эквайер могут дополнительно присвоить статус Designated Entity организации, которая обрабатывает большие объемы данных платежных карт или была неоднократно замечена в ходе расследований инцидентов ИБ, связанных с их утечкой. Этот статус будет обязывать организацию проходить дополнительную сертификацию DESV. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  35. 35. 1-35 Классификация Visa, торгово-сервисные предприятия Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 6 млн. транзакций в год, или • решение Visa о назначении уровня 1 • QSA или ISA ежегодно • ASV ежеквартально 2 • обработка от 1 до 6 млн. транзакций в год • SAQ ежегодно • ASV ежеквартально 3 • обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции • SAQ ежегодно • ASV ежеквартально 4 • обработка до 20 тыс. транзакций в год с применением электронной коммерции, или до 1 млн. транзакций в год иным способом • SAQ ежегодно (рекомендовано) • ASV ежеквартально (если применимо) © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  36. 36. 1-36 Классификация MasterCard, торгово-сервисные предприятия Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 6 млн. транзакций в год, или • решение MasterCard о назначении уровня 1, или • уровень 1 согласно критериям Visa, или • компрометация карточных данных • QSA или ISA ежегодно • ASV ежеквартально 2 • обработка от 1 до 6 млн. транзакций в год, или • уровень 2 согласно критериям Visa • QSA или ISA ежегодно • ASV ежеквартально 3 • обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции, или • уровень 3 согласно критериям Visa • SAQ ежегодно • ASV ежеквартально 4 • все остальные • SAQ ежегодно • ASV ежеквартально © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  37. 37. 1-37 Классификация Visa, поставщики услуг Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 300 тыс. транзакций в год*, или • процессинг, напрямую подключенный к VisaNet (через VisaNet Extended Access Server, VEAS), (VNP),независимо от количества транзакций • QSA ежегодно • ASV ежеквартально 2 • обработка менее 300 тыс. транзакций в год • SAQ ежегодно • ASV ежеквартально * - суммарное количество транзакций по картам Visa или суммарное количество карт Visa, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  38. 38. 1-38 Классификация MasterCard, поставщики услуг Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 300 тыс. транзакций в год*, или • внешний процессинг (Third Party Processor, TPP), независимо от количества транзакций • QSA ежегодно • ASV ежеквартально 2 • обработка менее 300 тыс. транзакций в год • SAQ ежегодно • ASV ежеквартально * - суммарное количество транзакций по картам MasterCard или суммарное количество карт MasterCard, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  39. 39. Секция 2 Внедрение стандарта PCI DSS © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  40. 40. 2-2 Внедрение стандарта PCI DSS Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP). В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем. Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов. Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение. К середине 2012 года все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  41. 41. 2-3 Мотивация внедрения PCI DSS в мировой практике Отношения «Кнут» «Пряник» МПС – Эквайер • требование об увеличении размера страхового депозита; • штраф от 25 до 200 тыс. долларов; • материальная ответственность за инциденты у подключенных ТСП и поставщиков услуг. • предоставление возможностей для расширения бизнеса, например лицензии на Internet-эквайринг или разрешения на подключение банка- аффилиата. Эквайер – Мерчант • расторжение или не заключение договора эквайринга. • снижение размера комиссии за проведение транзакции. Эквайер – Поставщик услуг • расторжение или не заключение договора на приобретение услуг. • совместные проекты по обслуживанию мерчантов. Мерчант – Поставщик услуг и Поставщик услуг – Поставщик услуг • расторжение или не заключение договора на приобретение услуг. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  42. 42. 2-4 Мотивация внедрения PCI DSS в российской практике Отношения «Кнут» «Пряник» МПС – Эквайер • требование об увеличении размера страхового депозита; • штраф от 25 до 200 тыс. долларов; • материальная ответственность за инциденты у подключенных ТСП и поставщиков услуг. • предоставление возможностей для расширения бизнеса, например лицензии на Internet-эквайринг или разрешения на подключение банка- аффилиата. Эквайер – Мерчант • расторжение или не заключение договора эквайринга. • снижение размера комиссии за проведение транзакции. Эквайер – Поставщик услуг • расторжение или не заключение договора на приобретение услуг. • совместные проекты по обслуживанию мерчантов. Мерчант – Поставщик услуг и Поставщик услуг – Поставщик услуг • расторжение или не заключение договора на приобретение услуг. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  43. 43. 2-5 Роль и место процесса внедрения PCI DSS в организации В компании без выделенных ИТ и ИБ подразделений (малый магазин) В компании с выделенным ИТ-подразделением (средний магазин, платежный шлюз) В компании с выделенными ИТ- и ИБ-подразделениями (крупный магазин, крупный поставщик услуг, банк) © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  44. 44. 2-6 Процесс внедрения PCI DSS в общем виде © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  45. 45. 2-7 Внедрение PCI DSS собственными силами * - в случае применимости теста на проникновение необходимо иметь собственное независимое выделенное подразделение или сотрудника, обладающего компетенцией и опытом. ** - невозможно самостоятельно подтвердить соответствие в случае, когда требуется QSA-аудит. *** - внутренний ISA аудитор должен быть обучен и сертифицирован Советом PCI SSC. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  46. 46. 2-8 Внедрение PCI DSS с минимальным уровнем аутсорсинга * - тест на проникновение может быть выполнен квалифицированным персоналом консультанта. ** - лист самооценки SAQ может быть заполнен консультантом, что сокращает затраты времени и снижает вероятность ошибки при заполнении. *** - QSA-аудит может выполняться только консультантом, сертифицированным Советом PCI SSC. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  47. 47. 2-9 Внедрение PCI DSS со средним уровнем аутсорсинга * - предварительный аудит выполняется QSA-аудитором консультанта, что сокращает затраты времени и снижает вероятность ошибочного толкования того или иного требования стандарта. ** - консультант выдает рекомендации, ИТ- и ИБ-подразделения организации их внедряют. *** - консультант может взять на себя часть регулярных процедур, например ASV-сканирование. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  48. 48. 2-10 Внедрение PCI DSS с максимальным уровнем аутсорсинга * - консультант-интегратор разрабатывает и внедряет необходимые технические и организационные решения. ** - консультант-интегратор выполняет регулярные процедуры и ведет необходимые записи. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  49. 49. 2-11 Типовой проект по внедрению PCI DSS (средний аутсорсинг) © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  50. 50. 2-12 Этапы проекта по внедрению PCI DSS Оценка соответствия PCI DSS – экспертная оценка информационной инфраструктуры с целью выявления несоответствий требованиям PCI DSS. Оценка выполняется путем выполнения аудита, включающего в себя интервью с сотрудниками организации-заказчика, изучение информационных систем и анализ внутренней нормативной документации. Неотъемлемой частью аудита является определение области применимости требований стандарта PCI DSS в информационной инфраструктуре организации-заказчика. Разработка рекомендаций по выполнению требований PCI DSS – на основе изученной документации, проведенных интервью и осмотренной информационной инфраструктуры, а также с учетом бизнес-требований организации-заказчика разрабатываются рекомендации по выполнению требований стандарта PCI DSS. Рекомендации также включают в себя информацию о возможных способах уменьшения области применимости требований стандарта PCI DSS. Внедрение рекомендаций в информационную инфраструктуру – внесение необходимых изменений технического и организационного характера в соответствии с разработанными рекомендациями. Включает в себя настройку оборудования и информационных систем, доработку программного обеспечения, установку обновлений, внедрение систем защиты информации, а также модернизацию бизнес-процессов и процессов управления информационной безопасностью организации. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  51. 51. 2-13 Этапы проекта по внедрению PCI DSS (продолжение) Разработка документации – подготовка пакета внутренних нормативных документов (процедур, инструкций, регламентов, политик), наличие которых в организации необходимо для выполнения требований стандарта PCI DSS. Документы разрабатываются с учетом особенностей структуры, размеров и бизнес-процессов организации-заказчика. Консультационная поддержка внедрения – экспертная консультационная поддержка сотрудников организации-заказчика в процессе выполнения ими действий по приведению информационной инфраструктуры в соответствие PCI DSS. ASV-сканирование – автоматизированное сканирование внешнего периметра сети на наличие уязвимостей, которое выполняется при помощи сканера, предоставляемого сертифицированным поставщиком услуг сканирования (Approved Scanning Vendor, ASV). Тест на проникновение – мероприятие по активному обследованию защищенности информационной инфраструктуры организации-заказчика, представляющее собой моделирование действий потенциального злоумышленника. Выполнение тестирования на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тестирование выполняется вручную на сетевом уровне и на прикладном уровне, при этом используются две модели нарушителя – внешний (из сети Интернет) и внутренний (из сети организации-заказчика). © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  52. 52. 2-14 Этапы проекта по внедрению PCI DSS (продолжение) Сертификационный QSA-аудит – выполнение сертификационного QSA-аудита сертифицированными QSA-аудиторами организации-консультанта. Выполняется согласно официальной процедуре аудита, регламентированной Советом PCI SSC. При аудите осуществляется сбор свидетельств аудита и документирование наблюдений. По результатам аудиторы подготавливают Отчет о соответствии (Report on Compliance). Заполнение листа самооценки SAQ – выполнение мероприятий по самооценке соответствия информационной инфраструктуры организации требованиям стандарта PCI DSS. В ходе этой процедуры заполняется лист самооценки (Self Assessment Questionnaire, SAQ), разработанный Советом PCI SSC. Форма листа SAQ бывает нескольких типов (A, A-EP, B, B-IP, C, C-VT, P2PE, D), выбор типа листа зависит от специфики обработки карточных данных в организации. Поддержка соответствия PCI DSS – выполнение регулярных процедур, обеспечивающих защиту карточных данных в соответствии с требованиями стандарта PCI DSS. Процедуры включают в себя ASV-сканирование периметра сети, внутреннее сканирование безопасности, учет и контроль изменений в информационной инфраструктуре, контроль доступа к данным и другие регулярные действия, связанные с работой системы менеджмента информационной безопасности. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  53. 53. 2-15 Вариант Применимость Кол-во вопросов SAQ A Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по вводу и обработке данных платежных карт на аутсорсинг поставщику услуг, подтвердившему соответствие PCI DSS, и не имеющие возможность влиять на безопасность платежных транзакций. Не применим к транзакциям, осуществляемым с предъявлением платежной карты. 24 (было 14) SAQ A-EP Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по передаче, обработке и хранению данных платежных карт на аутсорсинг поставщику услуг, подтвердившему соответствие PCI DSS, при этом способные влиять на безопасность платежных транзакций. Применим только к электронной коммерции. 192 (было 139) SAQ B Мерчанты, использующие механические импринтеры или выделенные POS- терминалы, использующие телефонную линию, не передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных. Не применим к электронной коммерции. 41 SAQ B-IP Мерчанты, использующие выделенные POS-терминалы, прошедшие проверку на соответствие стандарту PCI PTS, использующие IP-соединение с процессинговым центром, и не имеющие электронных хранилищ карточных данных. Не применим к электронной коммерции. 83 Продолжение таблицы на следующем слайде… Применение листов самооценки PCI DSS 3.2 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  54. 54. 2-16 Применение листов самооценки PCI DSS 3.2 Вариант Применимость Кол-во вопросов SAQ C-VT Мерчанты, вручную через Интернет заполняющие карточными данными о транзакции форму виртуального терминала поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных. Не применим к электронной коммерции. 79 (было 74) SAQ C Мерчанты, использующие платежные приложения и системы, соединенные с сетью Интернет, и не имеющие электронных хранилищ карточных данных. Не применим к электронной коммерции. 158 (было 140) SAQ P2PE Мерчанты, использующие аппаратные терминалы, управляемые при помощи сертифицированного P2PE-решения и являющиеся его частью, не имеющие электронных хранилищ карточных данных. Не применим к электронной коммерции. 33 (было 35) SAQ D Все мерчанты и все поставщики услуг, кроме тех, кому согласно требованиям МПС или эквайера необходим ISA- или QSA-аудит. 415 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  55. 55. 2-17 Применение листов самооценки PCI DSS 3.2 © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Что изменилось в SAQ A 3.2? • Добавили технические требования 2.1, 8.1.1, 8.1.3, 8.2, 8.2.3, 8.5. • Добавили требование о наличии плана реагирования на инцидент в случае взлома. • Добавили возможность указать информацию о QIR (Qualified Integrator and Reseller). • Уточнили, что ДДК из отчетов торгово-сервисное предприятие может сохранять только на бумажных носителях. • Косметические исправления. • Добавили в Appendix A3 текст о возможной применимости DESV к торгово-сервисному предприятию. Что изменилось в SAQ A-EP 3.2? • Расширили перечень требований в части 1, 4, 5, 6, 7, 8, 10 и 11 разделов PCI DSS. • Добавили Appendix A2 для торгово-сервисных предприятий, которые используют небезопасные версии протоколов SSL и TLS. • Изменения аналогичные SAQ A 3.2.
  56. 56. Секция 3 Область применимости требований PCI DSS © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  57. 57. 3-2 Определение области применимости стандарта PCI DSS Требования стандарта PCI DSS применимы ко всем компонентам информационной инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях карт, а также смежным по отношению к ним информационным системам. Смежная информационная система – это система, соединение с которой не защищено корректно настроенным межсетевым экраном. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  58. 58. 3-3 Данные платежных карт Вид Обозначение Определение Номер карты PAN Номер, идентифицирующий платёжную карту, наносится на её лицевую сторону. Имя держателя карты CHNAME Имя и фамилия человека, которому банк предоставил право распоряжения платёжной картой, наносится на её лицевую сторону. Дата окончания срока действия карты EXPDATE Дата, после которой платёжная карта становится недействительной, наносится на её лицевую сторону. Сервисный код SCODE Служебное значение, содержащееся на магнитной полосе (чипе) карты. Содержимое магнитной полосы / чипа TRACK Вся информация, содержащаяся на магнитной полосе (чипе) карты. Проверочное значение CVV2 / CVC2 Значение, используемое для авторизации платёжной транзакции без считывания магнитной полосы (чипа) карты, наносится на её оборотную сторону. ПИН-код и его шифрограмма PIN и PINBLOCK Значение, используемое для авторизации платёжной транзакции на банкоматах и POS-терминалах, и его шифрограмма (ПИН-блок). © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  59. 59. 3-4 Категории данных платежных карт (ДПК) Категория Вид Правила хранения Данные о держателях карт (ДДК) PAN При хранении следует применять один из методов защиты согласно требованию 3.4 стандарта PCI DSS. CHNAME Разрешается хранить.EXPDATE SCODE Критичные аутентификационные данные (КАД) TRACK Запрещается хранить после авторизации транзакции, даже в зашифрованном виде. CVV2 / CVC2 PIN и PINBLOCK © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  60. 60. 3-5 Информационная инфраструктура организации Информационная инфраструктура – это разделяемый развивающийся гетерогенный парк информационно-технологических возможностей, построенный на открытых стандартизованных интерфейсах.* * – определение информационной инфраструктуры взято из публикации «Theorizing about the Design of Information Infrastructures: Design Kernel Theories and Principles», O. Hanseth, K. Lyytinen. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  61. 61. 3-6 Описание информационной инфраструктуры Информационная инфраструктура может быть описана следующими тремя элементами*: 1. Перечень компонентов информационной инфраструктуры по уровням: • приложения; • хранилища данных (базы данных и плоские файлы); • компьютеры; • активное сетевое оборудование; 2. Схема сетевой инфраструктуры; 3. Схема потоков данных (прикладной инфраструктуры). * – согласно официальной процедуре QSA-аудита, утвержденной Советом PCI SSC, каждый Отчет о Соответствии (Report on Compliance, ROC) должен содержать в себе все три элемента описания информационной инфраструктуры организации в рамках области аудита: перечень компонентов, схему сети и схему потоков данных. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  62. 62. 3-7 Инфраструктура банка (упрощенная) – схема сети © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  63. 63. 3-8 Инфраструктура банка (упрощенная) – компоненты Приложения Название На каком компьютере установлено Какие хранилища использует PA- DSS Карточный фронт-офис • Сервер приложений карточного фронт-офиса • БД карточного фронт-офиса + Карточный бэк-офис • Сервер приложений карточного бэк-офиса • БД карточного бэк-офиса • Сетевая папка на сервере приложений карточного бэк-офиса + АБС • Сервер приложений АБС • БД АБС - Интернет-банк • Веб-сервер Интернет- банка • БД Интернет-банка - Приложение для выпуска карт • Компьютер для персонализации карт • БД карточного бэк-офиса + © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  64. 64. 3-9 Инфраструктура банка (упрощенная) – компоненты Хранилища данных Тип Название На каком компьютере установлено Какие ДДК хранит БД БД карточного фронт-офиса Сервер БД карточного фронт-офиса PAN БД БД карточного бэк-офиса Сервер БД карточного бэк-офиса PAN БД БД АБС Сервер БД АБС - БД БД Интернет-банка Сервер БД Интернет-банка PAN Файлы Сетевая папка на сервере приложений карточного бэк-офиса Сервер приложений карточного бэк-офиса PAN © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  65. 65. 3-10 Инфраструктура банка (упрощенная) – компоненты Компьютеры Название IP-интерфейсы ОС Сервер приложений карточного фронт-офиса 10.10.8.2 Windows Server 2008 Сервер приложений карточного бэк-офиса 10.10.8.4 Windows Server 2008 Сервер приложений АБС 10.10.8.6 Red Hat Enterprise Linux 6 Веб-сервер Интернет-банка 192.168.110.8 Red Hat Enterprise Linux 6 Сервер БД карточного фронт-офиса 10.10.8.3 Windows Server 2008 Сервер БД карточного бэк-офиса 10.10.8.5 Windows Server 2008 Сервер БД АБС 10.10.8.7 Red Hat Enterprise Linux 6 Сервер БД Интернет-банка 192.168.110.9 Red Hat Enterprise Linux 6 Рабочая станция 1 192.168.110.101 Windows 7 Professional Рабочая станция 2 192.168.110.102 Windows 7 Professional Компьютер для персонализации карт 10.10.8.15 Windows 7 Professional HSM 1 10.10.8.11 - HSM 2 10.10.8.12 - © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  66. 66. 3-11 Инфраструктура банка (упрощенная) – компоненты Активное сетевое оборудование Название IP-интерфейсы Модель Маршрутизатор 1 LAN 10.10.8.251 Cisco 2800 Series WAN white IP x.x.x.x Маршрутизатор 2 LAN 10.10.8.252 Cisco ASA 5500 Series LAN 192.168.110.252 WAN white IP y.y.y.y © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  67. 67. 3-12 Инфраструктура банка (упрощенная) – потоки ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  68. 68. 3-13 Область применимости PCI DSS в инфраструктуре банка Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  69. 69. 3-14 Область аудита PCI DSS Согласно требованиям международных платежных систем требования стандарта PCI DSS распространяются на все компоненты информационной инфраструктуры, обрабатывающие, хранящие или передающие данные о держателях карт. Область аудита – это совокупность компонентов информационной инфраструктуры, включенных в процесс оценки соответствия PCI DSS в рамках выполнения ISA- или QSA-аудита или заполнения листа самооценки SAQ. В большинстве случаев область аудита совпадает с областью применимости PCI DSS. Исключением из этого правила являются банки, обладающие собственной как эквайринговой, так и эмиссионной инфраструктурой. На момент 2012 года для них существует неофициальное правило МПС Visa и MasterCard, гласящее, что приводить в соответствие требованиям PCI DSS следует как эквайринговую, так и эмиссионную инфраструктуру, однако при этом в область сертификационного аудита входит только эквайринговая часть. Эмиссионная инфраструктура может быть включена в область аудита по желанию эмитента (это приветствуется) или по отдельному требованию международной платежной системы*. * – эта информация получена в октябре 2010 года в ходе ежегодного мероприятия PCI SSC European Community Meeting 2010 от главы службы безопасности МПС Visa Europe – Шейна Болфе (Shane Balfe) и вице-президента по безопасности МПС MasterCard Майкла Грина (Michael Green). © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  70. 70. 3-15 Инфраструктура банка (упрощенная) – потоки ДДК - эмиссия © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  71. 71. 3-16 Область аудита PCI DSS в инфраструктуре банка Желтым цветом отмечены компоненты, обрабатывающие, хранящие и передающие только эмиссионные (свои) ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  72. 72. 3-17 Смежные информационные системы в инфраструктуре банка Красным цветом отмечены компоненты, относящиеся к смежным информационным системам © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  73. 73. 3-18 Потоки ДДК между участниками процесса эквайринга © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  74. 74. 3-19 Платежный шлюз – схема сети (упрощенная) © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  75. 75. 3-20 Платежный шлюз – потоки ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  76. 76. 3-21 Платежный шлюз – область применимости PCI DSS Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  77. 77. 3-22 Интернет-магазин – схема сети Этот Интернет-магазин принимает ДДК на своем сайте © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  78. 78. 3-23 Интернет-магазин – потоки ДДК Этот Интернет-магазин принимает ДДК на своем сайте © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  79. 79. 3-24 Интернет-магазин – область применимости PCI DSS Этот Интернет-магазин принимает ДДК на своем сайте Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  80. 80. 3-25 Розничный магазин – схема сети © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  81. 81. 3-26 Розничный магазин – потоки ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  82. 82. 3-27 Розничный магазин – область применимости PCI DSS Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  83. 83. Секция 4 Сужение области применимости стандарта PCI DSS © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  84. 84. 4-2 Сужение области применимости PCI DSS Уменьшение количества компонентов информационной инфраструктуры организации, на которые распространяются требования стандарта PCI DSS, оказывает благотворное влияние: • повышает уровень защищенности данных о держателях карт вследствие уменьшения количества потенциально уязвимых бизнес-процессов, приложений, хранилищ данных, компьютеров и сетевых устройств; • снижает затраты на обеспечение безопасности данных о держателях карт и выполнение требований стандарта PCI DSS. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  85. 85. 4-3 Методы сужения области применимости PCI DSS Уменьшить размер области применимости требований PCI DSS можно следующими способами: • избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет непосредственной необходимости с точки зрения бизнеса; • шифровать хранимые и передаваемые данные о держателях карт, при условии шифрования, расшифрования и управления криптографическими ключами только на компонентах, находящихся в области применимости PCI DSS, исходя из того, что отсутствие актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие доступа к самим данным; • отделить смежные информационные системы, не участвующие в обработке, хранении и передаче данных о держателях карт, корректно настроенными межсетевыми экранами; • применить токенизацию – заменить данные о держателях карт при обработке их уникальными идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив корреляцию между исходными данными и используемым токеном. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  86. 86. 4-4 Область применимости PCI DSS в инфраструктуре банка - обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  87. 87. 4-5 Потоки ДДК в инфраструктуре банка - потоки ДДК эквайринга - потоки ДДК эмиссии © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  88. 88. 4-6 Шаг 1 - избежать обработки, хранения и передачи ДДК Согласно бизнес- требованиям рассматриваемого банка, приложение Интернет- банка может оперировать маскированными значениями PAN Можно организовать терминальный доступ к ДПК (тонкий клиент) с двухфакторной аутентификацией © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  89. 89. 4-7 Шаг 1 - избежать обработки, хранения и передачи ДДК - потоки ДДК эквайринга - потоки ДДК эмиссии - не ДДК © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  90. 90. 4-8 Шаг 2 - шифровать передаваемые ДДК Можно зашифровать канал связи для тонкого клиента (например, использовать VPN) - потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  91. 91. 4-9 Шаг 2 - шифровать передаваемые ДДК - потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  92. 92. 4-10 Результат выполнения шагов 1 и 2 - обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  93. 93. 4-11 Шаг 3 - отделить смежные информационные системы Теперь ничто не мешает отделить сегмент 192.168.110.x межсетевым экраном на Маршрутизаторе 2 Приложение и БД АБС можно выделить в отдельный сегмент сети - обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  94. 94. 4-12 Результат выполнения шага 3 - обработка ДДК эквайринга - обработка ДДК эмиссии © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  95. 95. 4-13 Результат сужения области применимости PCI DSS в банке - обработка ДДК эквайринга - обработка ДДК эмиссии © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  96. 96. 4-14 Область применимости PCI DSS в розничном магазине © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  97. 97. 4-15 Потоки ДДК в розничном магазине © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  98. 98. 4-16 Применение токенизации Согласно бизнес- требованиям рассматриваемого магазина, ERP-система может оперировать уникальными идентификаторами клиентов вместо PAN © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  99. 99. 4-17 Применение токенизации © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  100. 100. 4-18 Применение токенизации - обработка ДДК эквайринга - смежные системы © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  101. 101. 4-19 Применение сегментации ERP-систему и рабочую станцию можно выделить в отдельный сегмент сети - обработка ДДК эквайринга - смежные системы © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  102. 102. 4-20 Применение сегментации - обработка ДДК эквайринга © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  103. 103. 4-21 Результат сужения области применимости PCI DSS в магазине - обработка ДДК эквайринга © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  104. 104. Секция 5 Выполнение требований PCI DSS © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  105. 105. 5-2 Метод приоритетного подхода Стандарт PCI DSS содержит 415 проверочных процедур, которые должны дать положительный результат при том или ином варианте подтверждения соответствия организации его требованиям.* В ответ на закономерный вопрос: «С выполнения какого требования стандарта лучше начинать его внедрение?» Советом PCI SSC был разработан документ под названием «Приоритетный подход к выполнению требований стандарта PCI DSS». Приоритетный подход рекомендует выполнять требования в шесть этапов: 1. Удаление КАД и ограничение хранения ДДК. 2. Защита периметра, внутренних и беспроводных сетей. 3. Обеспечение безопасности приложений, БД и ОС. 4. Мониторинг и контроль доступа. 5. Защита хранимых данных. 6. Внедрение системы менеджмента информационной безопасности. * - вариантами подтверждения соответствия стандарту PCI DSS являются: заполнение листа самооценки (SAQ), выполнение внутреннего ISA-аудита и выполнение внешнего QSA-аудита. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  106. 106. 5-3 Этап 1. Удаление КАД и ограничение хранения ДДК Согласно требованиям раздела 3 стандарта PCI DSS, критичные аутентификационные данные (КАД), к которым относятся TRACK, CVV2, PIN или PIN-block, после авторизации транзакции хранить запрещается. Единственным исключением является хранение КАД эмитентом для обеспечения возможности авторизации транзакции. Номера карт (PAN), относящиеся к данным о держателях карт (ДДК), хранить можно, при этом они должны быть защищены в соответствии с требованием 3.4 стандарта PCI DSS. Из конкретных мер по обеспечению безопасности платежной индустрии это требование является наиболее важным во всем стандарте PCI DSS. Оно направлено на снижение наиболее высоких рисков, связанных с утечкой данных, обладая которыми можно выполнить транзакцию по карте. Если критичные аутентификационные данные сохраняются после авторизации, их необходимо удалить и настроить компоненты информационной инфраструктуры таким образом, чтобы исключить возможность сохранения КАД в будущем. Номера карт могут потребоваться организации в её бизнес-процессах, а их хранение несет меньший риск, чем хранение КАД. Однако их при хранении следует защищать, а срок хранения ДДК должен быть ограничен бизнес-требованиями организации. «Если тебе это больше не нужно – не храни это» – золотое правило обеспечения безопасности индустрии платежных карт. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  107. 107. 5-4 Этап 1. Удаление КАД и ограничение хранения ДДК Иногда найти, где именно в информационной инфраструктуре организации спрятались КАД и ДДК бывает очень непросто. Задача несколько облегчается тем, что у каждого вида ДДК или КАД есть свои излюбленные места: 1. PAN - обитает практически везде, но особенно предпочитает: • таблицы баз данных с журналами транзакций; • файлы протоколирования событий приложений фронт-офиса; • хранилища данных и журналы, связанные с системами электронной коммерции; • таблицы баз данных бэк-офиса; • журналы протоколирования событий на банкоматах (ATM), их контрольная лента; • в розничных магазинах – системы поддержки программ лояльности и журналы протоколирования операций контрольно-кассовой техники; • служебная почта сотрудников call-центра и технической поддержки; • АБС банка; • архивы бумажных документов о выдаче персонализированных карт; • автоматизированные системы риск-менеджмента и фрод-мониторинга. © ООО «Дейтерий», 2010 – 2016 | 192012, Россия, Санкт-Петербург, пр. Обуховской Обороны д. 271, лит. А | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

×