SlideShare a Scribd company logo

Типовые ошибки в Implementation Guide

D
Digital Security

Типовые ошибки в Implementation Guide

Technology
1 of 9
Download to read offline
Типовые ошибки в Implementation Guide Евгений Безгодов Digital Security Ведущий аналитик по ИБ
Типовые ошибки в Implementation Guide Что такое Implementation Guide? 1. Implementation Guide – это документ, разрабатываемый поставщиком приложения и представляющий собой Руководство по внедрению приложения в соответствии с требованиями PCI DSS 2. Стандарт PA-DSS требует обязательного наличия Implementation Guide для приложения © 2002—2010, Digital Security 2
Типовые ошибки в Implementation Guide Роль Implementation Guide при достижении соответствия Implementation Разработчик ПО Guide _______ _____ PA-DSS Compliance PCI DSS Compliance Платежное приложение ООО «Эх, заплачу!» © 2002—2010, Digital Security 3
Типовые ошибки в Implementation Guide Содержание Implementation Guide 1. Важно! Implementation Guide определяет границу ответственности разработчика и пользователя 2. Цель Implementation Guide – предоставить интеграторам и администраторам приложения полную информацию о том, как обеспечить соблюдение требований PCI DSS при внедрении и эксплуатации приложения 3. Стандартом PA-DSS определен перечень обязательных разделов Implementation Guide, описывающих выполнение соответствующих требований этого Стандарта 4. Наиболее частая ошибка при разработке Implementation Guide – неполное предоставление информации. © 2002—2010, Digital Security 4
Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide 1. Удаление критичных аутентификационных данных, сохраненных предыдущими версиями приложения ОЙ! Секретная информация не маскируется ни в базе данных, ни во время просмотра в приложении. Это объясняется тем, что оператор, выпускающий карты, видит PAN и CVV2 непосредственно на готовой карте, поэтому скрывать от него эту информацию нет смысла. 2. Удаление критичных аутентификационных данных, сохраненных в процессе поиска неисправностей приложения 3. Удаление данных о держателях карт после истечения срока хранения этих данных, установленного пользователем 4. Удаление криптографических ключей и зашифрованных данных, сохраненных предыдущими версиями приложения © 2002—2010, Digital Security 5
Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide, продолжение 5. Использование уникальных идентификаторов пользователей и безопасной аутентификации для административного доступа и доступа к данным о держателях карт ОЙ! START_ACC - техническая учетная запись с жестко ограниченными правами и паролем по умолчанию “START_ACC". Пользователя START_ACC нельзя удалять, менять ему пароль, лишать привилегий и права подключения к БД. 6. Использование уникальных идентификаторов пользователей и безопасной аутентификации для доступа к рабочим станциям, серверам и базам данных Для доступа в приложение из предыдущего примера используются учетные ОЙ! записи сервера БД. 7. Внедрение автоматического протоколирования событий © 2002—2010, Digital Security 6
Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide, продолжение 8. Безопасное подключение беспроводных технологий 9. Безопасная передача данных о держателях карт посредством беспроводных технологий 10. Хранение данных о держателях карт только на серверах, неподключенных к Интернет Об этом разработчики Implementation Guide часто забывают написать. ОЙ! 11. Безопасная доставка обновлений приложения от производителя 12. Применение двухфакторной аутентификации для удаленного доступа к приложению 13. Безопасное использование функций удаленного доступа к приложению © 2002—2010, Digital Security 7
Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide, заключение 14. Безопасная передача данных о держателях карт посредством общедоступных сетей 15. Шифрование данных о держателях карт, передаваемых посредством пользовательских технологий передачи сообщений 16. Шифрование неконсольного административного доступа Это минимальный набор требований, способы выполнения которых следует описать в Implementation Guide. © 2002—2010, Digital Security 8
Типовые ошибки в Implementation Guide Вопросы? Вопросы? FORUM.PCIDSS.RU © 2002—2010, Digital Security 9

Recommended

BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияAleksey Lukatskiy
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятии4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятииAleksey Lukatskiy
 
Byod for ya c
Byod for ya cByod for ya c
Byod for ya cExpolink
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)Aleksey Lukatskiy
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)Aleksey Lukatskiy
 

Recommended

BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияAleksey Lukatskiy
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятии4 сценария внедрения BYOD на предприятии
4 сценария внедрения BYOD на предприятииAleksey Lukatskiy
 
Byod for ya c
Byod for ya cByod for ya c
Byod for ya cExpolink
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)Aleksey Lukatskiy
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)Aleksey Lukatskiy
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
Cisco Russia
 
06 videomax
06 videomax 06 videomax
06 videomax
malvvv
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)Aleksey Lukatskiy
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБjet_information_security
 
Risspa
RisspaRisspa
RisspaExpolink
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspaExpolink
 
Mobile security risspa
Mobile security risspaMobile security risspa
Mobile security risspaExpolink
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Solar Security
 
Isa 99
Isa 99Isa 99
Isa 99
zl0ypilot
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийAleksey Lukatskiy
 
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозMicrosoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Expolink
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Digital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 

More Related Content

What's hot

Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)Aleksey Lukatskiy
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartizationAleksey Lukatskiy
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
Cisco Russia
 
06 videomax
06 videomax 06 videomax
06 videomax
malvvv
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)Aleksey Lukatskiy
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБjet_information_security
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspaExpolink
 
Mobile security risspa
Mobile security risspaMobile security risspa
Mobile security risspaExpolink
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Solar Security
 
Isa 99
Isa 99Isa 99
Isa 99
zl0ypilot
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийAleksey Lukatskiy
 
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозMicrosoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Expolink
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 

What's hot (20)

Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
TrustSec и Identity Services Engine
TrustSec и Identity Services Engine TrustSec и Identity Services Engine
TrustSec и Identity Services Engine
 
06 videomax
06 videomax 06 videomax
06 videomax
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
 
Jet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБJet inView – новое имя на рынке ИБ
Jet inView – новое имя на рынке ИБ
 
Risspa
RisspaRisspa
Risspa
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspa
 
Mobile security risspa
Mobile security risspaMobile security risspa
Mobile security risspa
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
Isa 99
Isa 99Isa 99
Isa 99
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
 
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозMicrosoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угроз
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
 

Viewers also liked

Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Digital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБОDigital Security
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
Digital Security
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
Digital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
PA DSS solution
PA DSS solutionPA DSS solution
PA DSS solution
rory obr
 

Viewers also liked (7)

Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
PA DSS solution
PA DSS solutionPA DSS solution
PA DSS solution
 

Similar to Типовые ошибки в Implementation Guide

Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security StrategyAleksey Lukatskiy
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspaExpolink
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Элвис Плюс - На пути к мобильной безопасности
Элвис Плюс - На пути к мобильной безопасностиЭлвис Плюс - На пути к мобильной безопасности
Элвис Плюс - На пути к мобильной безопасности
Expolink
 
Видео как инструмент управления
Видео как инструмент управленияВидео как инструмент управления
Видео как инструмент управленияNikolai Ptitsyn
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersEssential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersNikolay Romanov
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
MrCoffee94
 
Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...
Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...
Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...
Expolink
 
Cisco byod
Cisco byodCisco byod
Cisco byod
moldovaictsummit2016
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Expolink
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database SecurityAndrei Novikau
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийDigital Security
 

Similar to Типовые ошибки в Implementation Guide (20)

Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Data Centric Security Strategy
Data Centric Security StrategyData Centric Security Strategy
Data Centric Security Strategy
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
#Mobile security risspa
#Mobile security risspa#Mobile security risspa
#Mobile security risspa
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Элвис Плюс - На пути к мобильной безопасности
Элвис Плюс - На пути к мобильной безопасностиЭлвис Плюс - На пути к мобильной безопасности
Элвис Плюс - На пути к мобильной безопасности
 
Видео как инструмент управления
Видео как инструмент управленияВидео как инструмент управления
Видео как инструмент управления
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersEssential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data Centers
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...
Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...
Oracle. Андрей Гусаков. "Архитектура безопасности для противодействия внешним...
 
Cisco byod
Cisco byodCisco byod
Cisco byod
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
 
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database Security
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 

More from Digital Security

На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSDigital Security
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложенийDigital Security
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 

More from Digital Security (6)

На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 

Типовые ошибки в Implementation Guide

  • 1. Типовые ошибки в Implementation Guide Евгений Безгодов Digital Security Ведущий аналитик по ИБ
  • 2. Типовые ошибки в Implementation Guide Что такое Implementation Guide? 1. Implementation Guide – это документ, разрабатываемый поставщиком приложения и представляющий собой Руководство по внедрению приложения в соответствии с требованиями PCI DSS 2. Стандарт PA-DSS требует обязательного наличия Implementation Guide для приложения © 2002—2010, Digital Security 2
  • 3. Типовые ошибки в Implementation Guide Роль Implementation Guide при достижении соответствия Implementation Разработчик ПО Guide _______ _____ PA-DSS Compliance PCI DSS Compliance Платежное приложение ООО «Эх, заплачу!» © 2002—2010, Digital Security 3
  • 4. Типовые ошибки в Implementation Guide Содержание Implementation Guide 1. Важно! Implementation Guide определяет границу ответственности разработчика и пользователя 2. Цель Implementation Guide – предоставить интеграторам и администраторам приложения полную информацию о том, как обеспечить соблюдение требований PCI DSS при внедрении и эксплуатации приложения 3. Стандартом PA-DSS определен перечень обязательных разделов Implementation Guide, описывающих выполнение соответствующих требований этого Стандарта 4. Наиболее частая ошибка при разработке Implementation Guide – неполное предоставление информации. © 2002—2010, Digital Security 4
  • 5. Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide 1. Удаление критичных аутентификационных данных, сохраненных предыдущими версиями приложения ОЙ! Секретная информация не маскируется ни в базе данных, ни во время просмотра в приложении. Это объясняется тем, что оператор, выпускающий карты, видит PAN и CVV2 непосредственно на готовой карте, поэтому скрывать от него эту информацию нет смысла. 2. Удаление критичных аутентификационных данных, сохраненных в процессе поиска неисправностей приложения 3. Удаление данных о держателях карт после истечения срока хранения этих данных, установленного пользователем 4. Удаление криптографических ключей и зашифрованных данных, сохраненных предыдущими версиями приложения © 2002—2010, Digital Security 5
  • 6. Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide, продолжение 5. Использование уникальных идентификаторов пользователей и безопасной аутентификации для административного доступа и доступа к данным о держателях карт ОЙ! START_ACC - техническая учетная запись с жестко ограниченными правами и паролем по умолчанию “START_ACC". Пользователя START_ACC нельзя удалять, менять ему пароль, лишать привилегий и права подключения к БД. 6. Использование уникальных идентификаторов пользователей и безопасной аутентификации для доступа к рабочим станциям, серверам и базам данных Для доступа в приложение из предыдущего примера используются учетные ОЙ! записи сервера БД. 7. Внедрение автоматического протоколирования событий © 2002—2010, Digital Security 6
  • 7. Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide, продолжение 8. Безопасное подключение беспроводных технологий 9. Безопасная передача данных о держателях карт посредством беспроводных технологий 10. Хранение данных о держателях карт только на серверах, неподключенных к Интернет Об этом разработчики Implementation Guide часто забывают написать. ОЙ! 11. Безопасная доставка обновлений приложения от производителя 12. Применение двухфакторной аутентификации для удаленного доступа к приложению 13. Безопасное использование функций удаленного доступа к приложению © 2002—2010, Digital Security 7
  • 8. Типовые ошибки в Implementation Guide Обязательные разделы Implementation Guide, заключение 14. Безопасная передача данных о держателях карт посредством общедоступных сетей 15. Шифрование данных о держателях карт, передаваемых посредством пользовательских технологий передачи сообщений 16. Шифрование неконсольного административного доступа Это минимальный набор требований, способы выполнения которых следует описать в Implementation Guide. © 2002—2010, Digital Security 8
  • 9. Типовые ошибки в Implementation Guide Вопросы? Вопросы? FORUM.PCIDSS.RU © 2002—2010, Digital Security 9