История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
Защита веб-приложений и веб-инфраструктурыInfoWatch
Андрей Бондаренко, эксперт компании Qrator Labs, поделится опытом защиты от DDoS-атак, расскажет о современных трендах и даст прогнозы о том, какие виды DDoS будут наиболее «популярны» в следующем году.
Алексей Афанасьев, эксперт InfoWatch, расскажет о подходе компании InfoWatch в борьбе с таргетированными атаками, о философии Continuous Security, а также о многомодульном решении InfoWatch Attack Killer, реализованном на технологиях компании Qrator Labs, Wallarm и Appercut и Cezurity.
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...Natasha Khramtsovsky
Доклад Лючианы Дюранти (Luciana Duranti), директора Центра международных исследований современных документов и архивов о документах в «облаке» на Инфодокуме 2013: Всероссийском профессиональном форуме «Эффективный документооборот в органах власти и местного самоуправления», 16-18 апреля 2013 г., г. Москва (перевод на русский язык к.и.н. Н.А.Храмцовской и к.т.н. А.В.Храмцовского)
Presentation of Dr. Luciana Duranti (Director, Centre for the International Study of Contemporary Records and Archives, University of British Columbia; Director, InterPARES Trust project) "Records in the Cloud: Trading Transparency and Control for Economy and Security" at the conference Infodocum 2013, Moscow, April 16-18, 2013 (translated into Russian by Dr Natasha Khramtsovsky and Dr Andrew Khramtsovsky).
I gave a public presentation and developed key messages to targeted groups. The project demonstrated that I could communicate short and long term goals from the Strategic Communications Plan. I created a PowerPoint Presentation from photos I had taken from MRC events.
Защита веб-приложений и веб-инфраструктурыInfoWatch
Андрей Бондаренко, эксперт компании Qrator Labs, поделится опытом защиты от DDoS-атак, расскажет о современных трендах и даст прогнозы о том, какие виды DDoS будут наиболее «популярны» в следующем году.
Алексей Афанасьев, эксперт InfoWatch, расскажет о подходе компании InfoWatch в борьбе с таргетированными атаками, о философии Continuous Security, а также о многомодульном решении InfoWatch Attack Killer, реализованном на технологиях компании Qrator Labs, Wallarm и Appercut и Cezurity.
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...Natasha Khramtsovsky
Доклад Лючианы Дюранти (Luciana Duranti), директора Центра международных исследований современных документов и архивов о документах в «облаке» на Инфодокуме 2013: Всероссийском профессиональном форуме «Эффективный документооборот в органах власти и местного самоуправления», 16-18 апреля 2013 г., г. Москва (перевод на русский язык к.и.н. Н.А.Храмцовской и к.т.н. А.В.Храмцовского)
Presentation of Dr. Luciana Duranti (Director, Centre for the International Study of Contemporary Records and Archives, University of British Columbia; Director, InterPARES Trust project) "Records in the Cloud: Trading Transparency and Control for Economy and Security" at the conference Infodocum 2013, Moscow, April 16-18, 2013 (translated into Russian by Dr Natasha Khramtsovsky and Dr Andrew Khramtsovsky).
I gave a public presentation and developed key messages to targeted groups. The project demonstrated that I could communicate short and long term goals from the Strategic Communications Plan. I created a PowerPoint Presentation from photos I had taken from MRC events.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем.
С 30 июня 2015 станет обязательным соответствие требованиям последней версии стандарта PCI DSS 3.0, которая вышла в ноябре 2013 года. Уже сейчас стали актуальными вопросы подготовки организации и сертификации по новым требованиям.
В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения новой версии PCI DSS 3.0.
1) SAS поддерживает широкую линейку токенов (аппаратную, программную, генерируемых на стороне сервера), которые позволяют каждому пользователю выбрать определенный тип токена для своих индивидуальных нужд;
2) Двухфакторная аутентификация может быть использована там, где сейчас ис-пользуются статический пароли за счет применения индустриальных стандартов таких как RADIUS и SAML, а также агентов для интеграции со службами;
3) SAS поддерживает генераторы одноразовых паролей сторонних производителей, что позволяет мигрировать на новую платформу, использую приобретенные токены в компании;
4) Высокий уровень автоматизации позволяет снизить расходы на управление и администрирование SAS;
5) Срок действия токенов не ограничен и они могут быть переинициализированы для новых пользователей, тем самым снизив общую стоимость владения системой;
6) Пользователю может быть присвоено более одного токена, что позволит выполнять процедуру аутентификации с различных устройств;
7) SAS предоставляет портал самообслуживания, снижая при этом нагрузку на администрирование и сокращая время решения проблем, связанных с генераторами одноразовых паролей;
8) SAS сертифицирован в системе сертификации ФСТЭК России на соответствие требованиям технических условий.
Международный и российский опыт внедрения PCI DSS. Типовой проект по внедрению PCI DSS. Варианты аутсорсинга и взаимодействие с консультантом. Выбор метода подтверждения соответствия.
2. Напоминание №1: о применимости PCI DSS
PCI DSS применим ко всем организациям, вовлеченным в процессы обработки
данных платежных карт, включая:
- торгово-сервисные предприятия
- банки эквайеры
- процессинговые центры
- банки эмитенты
- поставщиков услуг
- и т.д.
3. Напоминание №2: о регулировании в PCI
PCI Security Standards Council:
– Разрабатывает и совершенствует PCI DSS и прочие стандарты безопасности
индустрии платежных карт
– Проводит обучение по стандартам безопасности
– Авторизует организации на проведение проверок по стандартам
– Контроль и надзор за деятельностью организаций, авторизованных советом на
проведение проверок по стандартам
МПС (VISA, MasterCard, Discover, American Express, JCB)
– Устанавливают программы соответствия требованиям стандартов безопасности
индустрии платежных карт для организаций, осуществляющих обработку данных
платежных карт их бренда
– Определяют штрафные санкции для организаций, не соответствующих требованиям
стандартов
– Определяют требования по реагированию на инциденты, связанные с
компрометацией данных платежных карт
4. Напоминание №2: о регулировании в PCI
Члены МПС, торгово-сервисные предприятия, сервис-провайдеры и их агенты должны
формально подтвердить соответствие требованиям по защите данных платежных карт.
http://www.visacemea.com/ac/ais/data_security.jsp
http://www.mastercard.com/sdp
http://www.americanexpress.com/datasecurity
http://www.discovernetwork.com/fraudsecurity/disc.html
http://partner.jcbcard.com/security/jcbprogram/index.html
5. Напоминание №3: о контроле за соответствием
торгово-сервисных предприятий
Ответственность за соблюдение ТСП требований PCI DSS несет банк эквайер
Разные МПС устанавливают разные уровни ТСП
Для разных уровней ТСП - разные требования по отчетности о соответствии
> 6 млн транзакций или была допущена компрометация ДПК
• Ежегодно: QSA-аудит (AOC)
• Ежеквартально: ASV-сканирование
< 6 млн транзакций в год
• Ежегодно: Самооценка (SAQ)
• Ежеквартально: ASV-сканирование
6. Напоминание №4: PCI P2PE
Приложения и решения PCI P2PE:
Обеспечивают надежное шифрование ДПК при их передаче от POI в процессинг
Позволяют управлять криптографическими ключами
Позволяют существенно сократить область аудита PCI DSS для торгово-сервисных
предприятий
Полный список сертифицированных решений и приложений публикуется на
официальном сайте PCI SSC:
https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php
https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php
По состоянию на 24.02.2014:
Сертифицированных решений PCI P2PE – 2 (два)
Сертифицированных приложений PCI P2PE – 3 (три)
7. Взаимодействие с сервис-провайдерами
PCI DSS 2.0 – Требование 12.8
Если привлекаемые сервис-провайдеры способны повлиять на безопасность ДПК,
компания должна обеспечить:
Ведение списка таких сервис-провайдеров
Письменное принятие сервис-провайдерами ответственности за безопасность ДПК
Проверку сервис-провайдеров перед их привлечением
Контроль статуса соответствия сервис-провайдеров требованиям PCI DSS
Самая распространенная реализация:
Attestation of Compliance, подписанный QSA
Шаблонные фразы в типовом договоре, например:
− «Услуги оказываются в соответствии с требованиями PCI DSS»
− «Поставщик Услуг обеспечивает конфиденциальность обрабатываемой
информации»
− «все операции выполняются только по письменным заявкам Клиента»
8. Пример №1
Colocation
АОС
Выбор QSA?
Типовой
договор
Но что, если:
Нужна аренда виртуального сервера?
Нужны услуги по администрированию ОС/ СУБД/ ППО?
Нужны управляемые услуги (managed firewall, managed SIEM)?
Compliance?
Security?
Все ли готовы предоставить Report on Compliance?
А удастся ли внести изменения в договор?
А ЕСЛИ ЭТО ВЫЯСНИЛОСЬ В ХОДЕ АУДИТА?
9. Пример №2
Processing
Но что, если:
Процессинг расположен на территории Головной Организации, и не управляет
мерами физической безопасности?
Процессинг расположен в сети Головной Организации, и не управляет сетевым
оборудованием?
Кто для кого сервис-провайдер?
Удастся ли Процессингу диктовать условия Головной Организации?
Как убедить Головную Организацию пройти аудит?
А ЕСЛИ ЭТО ВЫЯСНИЛОСЬ В ХОДЕ АУДИТА?
10. Взаимодействие с сервис-провайдерами
PCI DSS 3.0 – Новые требования
PCI DSS Requirements
Testing Procedures
12.8.5 Maintain information about which
PCI DSS requirements are managed by
each service provider, and which are
managed by the entity.
12.8.5 Verify the entity maintains information about which PCI
DSS requirements are managed by each service provider, and
which are managed by the entity.
12.9 Additional requirement for service
providers: Service providers
acknowledge in writing to customers that
they are responsible for the security of
cardholder data the service provider
possesses or otherwise stores, processes,
or transmits on behalf of the customer, or
to the extent that they could impact the
security of the customer’s cardholder data
environment.
12.9 Additional testing procedure for service providers:
Review service provider’s policies and procedures and
observe written agreement templates to confirm the service
provider acknowledges in writing to customers that the service
provider will maintain all applicable PCI DSS requirements to
the extent the service provider handles, has access to, or
otherwise stores, processes or transmits the customer’s
cardholder data or sensitive authentication data, or manages
the customer's cardholder data environment on behalf of a
customer.
+ изменена форма Attestation of Compliance
11. Что это означает?
Значительное снижение неопределенности в распределении ответственности
между сервис-провайдерами и их клиентами:
Для сервис-провайдеров
Для существующих клиентов сервис-провайдеров
Для потенциальных клиентов сервис-провайдеров
Для QSA-аудиторов
Для международных платежных систем
12. Снова пример №1
АОС
Четко идентифицирует:
какие услуги были проверены в
ходе QSA-аудита
какие требования PCI DSS были
подтверждены для каждого
проверенного сервиса
Типовой
договор
Уже включает
необходимый текст
(требование 12.9 PCI DSS 3.0)
13. Снова пример №2
Processing
Для Процессинга:
Attestation of Compliance содержит информацию:
о перечне проверенных сервисов
о перечне неприменимых требований
Дополнительные аргументы: Требование 12.9 PCI DSS 3.0 – объективный повод
для пересмотра договора
Повышение рисков для Головной Организации
Выход:
передача всей ответственности Процессингу, ИЛИ
запуск собственной программы соответствия PCI DSS
14. Заключение
Переход на PCI DSS 3.0 потребует:
определить перечень требований, исполнение которых отдано на аутсорсинг
пересмотреть договорные отношения со своими клиентами
пересмотреть договорные отношения со своими поставщиками услуг
Время есть:
PCI DSS 2.0 актуален до 31 декабря 2014 года
Требование 12.9 PCI DSS 3.0 обязательно с 1 июля 2015 года
НО!
ДИАЛОГ НУЖНО НАЧИНАТЬ УЖЕ СЕЙЧАС!
15. ВОПРОСЫ?
Вячеслав Максимов
Заместитель генерального директора ЗАО «Андэк»
по направлению «Оптимизации процессов управления ИБ»
e-mail: v.maksimov@andek.ru
тел: +7 (495) 280-1550, доб. 1103
моб.: +7 (926) 253-4844