SlideShare a Scribd company logo

Cтандарт PCI DSS изменения в новой версии

R
RISSPA_SPb
Technology
1 of 22
Download to read offline
Стандарт PCI DSS: изменения и нововведения в версии 3.0 Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 22 ноября 2013 года, семинар RISSPA © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
2 PCI DSS – стандарт информационной безопасности Payment Card Industry Data Security Standard (PCI DSS) – стандарт безопасности данных индустрии платежных карт. Обязателен для всех организаций, обрабатывающих, хранящих и/или передающих данные платежных карт Visa, MasterCard, American Express, JCB, Discover. Факты о версии 2.0: • 288 проверочных процедур • 12 тематических разделов • соответствие = 100% внедрение • ежегодное подтверждение • вариант подтверждения зависит от бизнес-процесса © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
3 Стандарты безопасности данных индустрии платежных карт Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS. Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт. Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
4 Статус на конец 2013 года Текущее положение дел © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
5 Экскурс в историю Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP). В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем. Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов. Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение. На текущий момент все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
6 Способы подтверждения соответствия стандарту PCI DSS Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ) Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. В ходе проверки ISA-аудиторы Сбор свидетельств выполнения собирают свидетельства требований стандарта не выполнения требований требуется. стандарта и сохраняют их в течение трех лет. По результатам QSA По результатам подготавливает Отчет о подготавливает Отчет Соответствии (Report on Соответствии (Report Compliance, ROC). Compliance, ROC). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | ISA Отчетным документом о является самостоятельно on заполненный лист самооценки SAQ. +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
7 Уровень проникновения PCI DSS в США* Количество Доля транзакций Visa Доля подтвердивших соответствие PCI DSS Мерчанты 1 уровня 404 50% 98% Мерчанты 2 уровня 1 066 13% 91% Мерчанты 3 уровня 3 149 5% 58% Мерчанты 4 уровня ~ 5 000 000 32% средний** 60 100% 98% 1 367 не применимо 93% Категория Процессинги VNP Иные поставщики услуг * - по данным Visa USA ** - доля подтвердивших соответствие PCI DSS среди ТСП 4 уровня, использующих только выделенные эквайером POS-терминалы, – средний, а среди ТСП 4 уровня, использующих платежные приложения – низкий. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
8 Адаптация PCI DSS в России PCI DSS в России: • Под эгидой Банка России некоммерческое партнерство АБИСС осуществляет официальный перевод стандартов на русский язык • Есть идеи включить перевод стандарта в перечень официальных нормативных актов Банка России в рамках регулирования НПС • Осуществляется перевод на русский язык и перенос в Россию официальных учебных курсов Совета PCI SSC © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
9 Проблема №1 Проблема №1: Стандарт представляет собой контрольную карту или «поваренную книгу», одну на всех... …one size fits all? …управление рисками? …модель угроз? © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
10 Проблема №1 (продолжение) «Мы не хотим ваш ISO, у нас узкоспециализированный стандарт! Все его требования должны быть выполнены!» (с) Лорен Холлоуэй, PCI SSC, 30.10.2013 © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
11 Проблема №2 Проблема №2: Подход PCI DSS: «Всё или ничего!»... ...ура, я выполнил 100% требований стандарта! …теперь я безопасен! © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 на | www.deiteriy.com 100% | info@deiteriy.com
12 © ООО «Дейтерий», 2010 – 2013 Проблема №2 (продолжение) | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
13 Проблема №2 (продолжение) Причина 1, идеологическая: Ложная исходная цель – получить соответствие, а не защищенную инфраструктуру Причина 2, организационная: Снижение приоритета процессов ИБ от максимального почти до нуля Причина 3, психологическая: Отсутствие постоянного объективного ориентира – ложное чувство защищенности безопасность перестает существовать в тот момент, когда ей перестают заниматься © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
14 Проблема №3 Проблема №3: Выполнение стандарта часто снижает защиту! • 10.2 – собирать и читать логи! ...купим хранилище под терабайты ненужного текста? • 11.1 – раз в квартал проверять Wi-Fi в серверной! ...а в остальное время злоумышленники впадают в спячку? • 1.3.6 – включить stateful inspection! ...и пусть нас за-DDOS-ят! • ...и это далеко не все... © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
15 Проблема №4 Проблема №4: Возрастает регуляторное давление на QSA... State of art © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б Monkey work | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
16 Статус на конец 2013 года Версия 3.0 © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
17 Версия 3.0: встречайте! 7 ноября 2013 года трехлетний цикл обновления стандартов PCI DSS и PCI PA-DSS завершился выходом версии 3.0 Новость хорошая: -уточнения привнесли определенность в отдельные требования -Новость плохая: -все методологические проблемы не только остались на месте, но и усугубились © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
18 Каковы изменения? Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся Изменение Компоненты, хранящие, передающие и обрабатывающие карточные Корректность ограничения области данные, должны быть отделены применимости требований стандарта корректно настроенным межсетевым проверяется тестом на проникновение экраном (L3, L2) Изменение Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций Присутствовало неявно Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM Уточнение © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
19 Каковы изменения? (продолжение) Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных Уточнение Присутствовало неявно Изменение Увеличена гибкость путем Отдельные требования о длине и объединения в одно требование о сложности пароля длине и/или сложности пароля - Изменение © ООО «Дейтерий», 2010 – 2013 | Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту - Изменение (активно с 1 июля 2015 года) Добавлено требование необходимости борьбы скиммингом и подделкой карт 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | о со info@deiteriy.com
20 Каковы изменения? (продолжение) Категория Уточнение Было в версии 2.0 Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и Следует ежедневно читать и критичных системных журналов. анализировать все журналы Добавлена гибкость путем протоколирования событий предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 Стало в версии 3.0 Определены требования к методике теста на проникновение и необходимость её документирования - | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
21 Выводы Вывод: Несмотря на недостатки, для компаний с низким уровнем зрелости процессов ИБ, к которым относится подавляющее большинство участников индустрии платежных карт, PCI DSS – хорошее начало пути, а для компаний с высоким уровнем зрелости процессов ИБ – это метод внешнего контроля. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
22 Спасибо! Спасибо за внимание! Вопросы? sergey.shustikov@deiteriy.com www.pcidsstraining.ru © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Recommended

Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
Andrey Beshkov
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
Получение максимальной отдачи от межсетевого экрана нового поколения
Получение максимальной отдачи от межсетевого экрана нового поколенияПолучение максимальной отдачи от межсетевого экрана нового поколения
Получение максимальной отдачи от межсетевого экрана нового поколенияCisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 

Recommended

Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
Andrey Beshkov
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
Получение максимальной отдачи от межсетевого экрана нового поколения
Получение максимальной отдачи от межсетевого экрана нового поколенияПолучение максимальной отдачи от межсетевого экрана нового поколения
Получение максимальной отдачи от межсетевого экрана нового поколенияCisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
Cisco Russia
 
Обзор технологии обеспечения безопасности web-трафика
Обзор технологии обеспечения безопасности web-трафикаОбзор технологии обеспечения безопасности web-трафика
Обзор технологии обеспечения безопасности web-трафикаCisco Russia
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 
Pwc современные угрозы иб
Pwc современные угрозы ибPwc современные угрозы иб
Pwc современные угрозы ибExpolink
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
КРОК
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
#Modern threats pwc
#Modern threats pwc#Modern threats pwc
#Modern threats pwcExpolink
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
Cisco Russia
 
Побеждать или сойти с дистанции
Побеждать или сойти с дистанцииПобеждать или сойти с дистанции
Побеждать или сойти с дистанции
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014Tim Parson
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
 
Взгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыВзгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктуры
areconster
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
MRC Power Point.2012
MRC Power Point.2012MRC Power Point.2012
MRC Power Point.2012
JoAnne Breault
 

More Related Content

What's hot

Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
Cisco Russia
 
Обзор технологии обеспечения безопасности web-трафика
Обзор технологии обеспечения безопасности web-трафикаОбзор технологии обеспечения безопасности web-трафика
Обзор технологии обеспечения безопасности web-трафикаCisco Russia
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 
Pwc современные угрозы иб
Pwc современные угрозы ибPwc современные угрозы иб
Pwc современные угрозы ибExpolink
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
КРОК
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
#Modern threats pwc
#Modern threats pwc#Modern threats pwc
#Modern threats pwcExpolink
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
Cisco Russia
 
Побеждать или сойти с дистанции
Побеждать или сойти с дистанцииПобеждать или сойти с дистанции
Побеждать или сойти с дистанции
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
 
Взгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыВзгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктуры
areconster
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 

What's hot (20)

Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
 
Коммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной средыКоммерческие преимущества широкого внедрения облачной среды
Коммерческие преимущества широкого внедрения облачной среды
 
Обзор технологии обеспечения безопасности web-трафика
Обзор технологии обеспечения безопасности web-трафикаОбзор технологии обеспечения безопасности web-трафика
Обзор технологии обеспечения безопасности web-трафика
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
 
Pwc современные угрозы иб
Pwc современные угрозы ибPwc современные угрозы иб
Pwc современные угрозы иб
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
#Modern threats pwc
#Modern threats pwc#Modern threats pwc
#Modern threats pwc
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
 
Побеждать или сойти с дистанции
Побеждать или сойти с дистанцииПобеждать или сойти с дистанции
Побеждать или сойти с дистанции
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
 
Взгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктурыВзгляд на безопасность со стороны инфраструктуры
Взгляд на безопасность со стороны инфраструктуры
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 

Viewers also liked

Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
MRC Power Point.2012
MRC Power Point.2012MRC Power Point.2012
MRC Power Point.2012
JoAnne Breault
 
Apple history Year vice
Apple history Year viceApple history Year vice
Apple history Year vice
Tijinet
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Presentation1
Presentation1Presentation1
Presentation1
carragan
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
Jason Coombs
 
IIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresIIS Security And Programming Countermeasures
IIS Security And Programming Countermeasures
Jason Coombs
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
Jason Coombs
 
RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA_SPb
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding MottJOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
Jason Coombs
 
Mike Miozza for Mayor Action Plan - City of Fall River
Mike Miozza for Mayor Action Plan - City of Fall RiverMike Miozza for Mayor Action Plan - City of Fall River
Mike Miozza for Mayor Action Plan - City of Fall River
JoAnne Breault
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
Jason Coombs
 
Resume
ResumeResume
Resume
Anuj Kumar
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3
Jason Coombs
 
C programming
C programmingC programming
C programming
Harshit Varshney
 
2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application
MKG Enterprises Corp
 
Semestrario
SemestrarioSemestrario
Semestrario
johangomez1998
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)
hannahsole6
 

Viewers also liked (20)

Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
 
MRC Power Point.2012
MRC Power Point.2012MRC Power Point.2012
MRC Power Point.2012
 
7
77
7
 
Apple history Year vice
Apple history Year viceApple history Year vice
Apple history Year vice
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Presentation1
Presentation1Presentation1
Presentation1
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 11, 2014
 
IIS Security And Programming Countermeasures
IIS Security And Programming CountermeasuresIIS Security And Programming Countermeasures
IIS Security And Programming Countermeasures
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
 
RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding MottJOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
 
Mike Miozza for Mayor Action Plan - City of Fall River
Mike Miozza for Mayor Action Plan - City of Fall RiverMike Miozza for Mayor Action Plan - City of Fall River
Mike Miozza for Mayor Action Plan - City of Fall River
 
3
33
3
 
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
 
Resume
ResumeResume
Resume
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Part 3
 
C programming
C programmingC programming
C programming
 
2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application2014 MKG Enterprises Corp. employment application
2014 MKG Enterprises Corp. employment application
 
Semestrario
SemestrarioSemestrario
Semestrario
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)
 

Similar to Cтандарт PCI DSS изменения в новой версии

Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
 
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSSУправление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Deiteriy Co. Ltd.
 
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимостиУправление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Deiteriy Co. Ltd.
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Соблюдение интересов банка при внедрении стандарта PCI DSS
Соблюдение интересов банка при внедрении стандарта PCI DSSСоблюдение интересов банка при внедрении стандарта PCI DSS
Соблюдение интересов банка при внедрении стандарта PCI DSS
Deiteriy Co. Ltd.
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
Arma Systems
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
РИФ 2016, Все об основных требованиях по информационной безопасности к бизнесу
РИФ 2016, Все об основных требованиях по информационной безопасности к бизнесуРИФ 2016, Все об основных требованиях по информационной безопасности к бизнесу
РИФ 2016, Все об основных требованиях по информационной безопасности к бизнесу
Тарасов Константин
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
RISClubSPb
 
Проблематика подбора менеджеров по ИБ на российском рынке труда
Проблематика подбора менеджеров по ИБ на российском рынке трудаПроблематика подбора менеджеров по ИБ на российском рынке труда
Проблематика подбора менеджеров по ИБ на российском рынке труда
Dmitriy Manannikov
 

Similar to Cтандарт PCI DSS изменения в новой версии (20)

Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
 
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSSУправление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
 
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимостиУправление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
 
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
 
Соблюдение интересов банка при внедрении стандарта PCI DSS
Соблюдение интересов банка при внедрении стандарта PCI DSSСоблюдение интересов банка при внедрении стандарта PCI DSS
Соблюдение интересов банка при внедрении стандарта PCI DSS
 
20110616 ib bank-release
20110616 ib bank-release20110616 ib bank-release
20110616 ib bank-release
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
РИФ 2016, Все об основных требованиях по информационной безопасности к бизнесу
РИФ 2016, Все об основных требованиях по информационной безопасности к бизнесуРИФ 2016, Все об основных требованиях по информационной безопасности к бизнесу
РИФ 2016, Все об основных требованиях по информационной безопасности к бизнесу
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
 
Проблематика подбора менеджеров по ИБ на российском рынке труда
Проблематика подбора менеджеров по ИБ на российском рынке трудаПроблематика подбора менеджеров по ИБ на российском рынке труда
Проблематика подбора менеджеров по ИБ на российском рынке труда
 

More from RISSPA_SPb

Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаRISSPA_SPb
 

More from RISSPA_SPb (6)

Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
 
RISSPA SPb
RISSPA SPbRISSPA SPb
RISSPA SPb
 

Cтандарт PCI DSS изменения в новой версии

  • 1. Стандарт PCI DSS: изменения и нововведения в версии 3.0 Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 22 ноября 2013 года, семинар RISSPA © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 2. 2 PCI DSS – стандарт информационной безопасности Payment Card Industry Data Security Standard (PCI DSS) – стандарт безопасности данных индустрии платежных карт. Обязателен для всех организаций, обрабатывающих, хранящих и/или передающих данные платежных карт Visa, MasterCard, American Express, JCB, Discover. Факты о версии 2.0: • 288 проверочных процедур • 12 тематических разделов • соответствие = 100% внедрение • ежегодное подтверждение • вариант подтверждения зависит от бизнес-процесса © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 3. 3 Стандарты безопасности данных индустрии платежных карт Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS. Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт. Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 4. 4 Статус на конец 2013 года Текущее положение дел © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 5. 5 Экскурс в историю Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP). В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем. Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов. Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение. На текущий момент все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 6. 6 Способы подтверждения соответствия стандарту PCI DSS Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ) Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. В ходе проверки ISA-аудиторы Сбор свидетельств выполнения собирают свидетельства требований стандарта не выполнения требований требуется. стандарта и сохраняют их в течение трех лет. По результатам QSA По результатам подготавливает Отчет о подготавливает Отчет Соответствии (Report on Соответствии (Report Compliance, ROC). Compliance, ROC). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | ISA Отчетным документом о является самостоятельно on заполненный лист самооценки SAQ. +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 7. 7 Уровень проникновения PCI DSS в США* Количество Доля транзакций Visa Доля подтвердивших соответствие PCI DSS Мерчанты 1 уровня 404 50% 98% Мерчанты 2 уровня 1 066 13% 91% Мерчанты 3 уровня 3 149 5% 58% Мерчанты 4 уровня ~ 5 000 000 32% средний** 60 100% 98% 1 367 не применимо 93% Категория Процессинги VNP Иные поставщики услуг * - по данным Visa USA ** - доля подтвердивших соответствие PCI DSS среди ТСП 4 уровня, использующих только выделенные эквайером POS-терминалы, – средний, а среди ТСП 4 уровня, использующих платежные приложения – низкий. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 8. 8 Адаптация PCI DSS в России PCI DSS в России: • Под эгидой Банка России некоммерческое партнерство АБИСС осуществляет официальный перевод стандартов на русский язык • Есть идеи включить перевод стандарта в перечень официальных нормативных актов Банка России в рамках регулирования НПС • Осуществляется перевод на русский язык и перенос в Россию официальных учебных курсов Совета PCI SSC © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 9. 9 Проблема №1 Проблема №1: Стандарт представляет собой контрольную карту или «поваренную книгу», одну на всех... …one size fits all? …управление рисками? …модель угроз? © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 10. 10 Проблема №1 (продолжение) «Мы не хотим ваш ISO, у нас узкоспециализированный стандарт! Все его требования должны быть выполнены!» (с) Лорен Холлоуэй, PCI SSC, 30.10.2013 © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 11. 11 Проблема №2 Проблема №2: Подход PCI DSS: «Всё или ничего!»... ...ура, я выполнил 100% требований стандарта! …теперь я безопасен! © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 на | www.deiteriy.com 100% | info@deiteriy.com
  • 12. 12 © ООО «Дейтерий», 2010 – 2013 Проблема №2 (продолжение) | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 13. 13 Проблема №2 (продолжение) Причина 1, идеологическая: Ложная исходная цель – получить соответствие, а не защищенную инфраструктуру Причина 2, организационная: Снижение приоритета процессов ИБ от максимального почти до нуля Причина 3, психологическая: Отсутствие постоянного объективного ориентира – ложное чувство защищенности безопасность перестает существовать в тот момент, когда ей перестают заниматься © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 14. 14 Проблема №3 Проблема №3: Выполнение стандарта часто снижает защиту! • 10.2 – собирать и читать логи! ...купим хранилище под терабайты ненужного текста? • 11.1 – раз в квартал проверять Wi-Fi в серверной! ...а в остальное время злоумышленники впадают в спячку? • 1.3.6 – включить stateful inspection! ...и пусть нас за-DDOS-ят! • ...и это далеко не все... © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 15. 15 Проблема №4 Проблема №4: Возрастает регуляторное давление на QSA... State of art © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б Monkey work | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 16. 16 Статус на конец 2013 года Версия 3.0 © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 17. 17 Версия 3.0: встречайте! 7 ноября 2013 года трехлетний цикл обновления стандартов PCI DSS и PCI PA-DSS завершился выходом версии 3.0 Новость хорошая: -уточнения привнесли определенность в отдельные требования -Новость плохая: -все методологические проблемы не только остались на месте, но и усугубились © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 18. 18 Каковы изменения? Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся Изменение Компоненты, хранящие, передающие и обрабатывающие карточные Корректность ограничения области данные, должны быть отделены применимости требований стандарта корректно настроенным межсетевым проверяется тестом на проникновение экраном (L3, L2) Изменение Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций Присутствовало неявно Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM Уточнение © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 19. 19 Каковы изменения? (продолжение) Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных Уточнение Присутствовало неявно Изменение Увеличена гибкость путем Отдельные требования о длине и объединения в одно требование о сложности пароля длине и/или сложности пароля - Изменение © ООО «Дейтерий», 2010 – 2013 | Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту - Изменение (активно с 1 июля 2015 года) Добавлено требование необходимости борьбы скиммингом и подделкой карт 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | о со info@deiteriy.com
  • 20. 20 Каковы изменения? (продолжение) Категория Уточнение Было в версии 2.0 Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и Следует ежедневно читать и критичных системных журналов. анализировать все журналы Добавлена гибкость путем протоколирования событий предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 Стало в версии 3.0 Определены требования к методике теста на проникновение и необходимость её документирования - | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 21. 21 Выводы Вывод: Несмотря на недостатки, для компаний с низким уровнем зрелости процессов ИБ, к которым относится подавляющее большинство участников индустрии платежных карт, PCI DSS – хорошее начало пути, а для компаний с высоким уровнем зрелости процессов ИБ – это метод внешнего контроля. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 22. 22 Спасибо! Спасибо за внимание! Вопросы? sergey.shustikov@deiteriy.com www.pcidsstraining.ru © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com