Обзор требований стандарта PCI_DSS_и_требований_к_его_внедрению (Статьи, стандарты, спецификации)

PCI DSS: Информационная безопасность в индустрии платежныхкарт17 июня 2008 года, МоскваМаксим ЭммДиректор департамента аудитаCISA, CISSP, QSAСтандарт PCI DSSРазработка иприменение PCI DSSPCI DSS применим к любой организации, которая хранит,передает или обрабатывает данные платежных картПоставщики услугLevels 1-3Торговое сервисные организацииLevels 1-4Соответствие контролируетсяплатежными системамиСоответствие контролируетсябанками-эквайерамиЧленыплатежныхсистемAcquirersСервиспровайдерыTPP, VNP, DSE ит.п.Магазины иторговые сетиИнтернетмагазиныИндустрияCEMEA &ЕвропаСевернаяАмерикаСпособ обработки картE-commerce 86%Ритейл 56%Shopping Cart 83%Отдых/развлечения 12%Хранение CVV2 86%Рестораны 58%Ритейл 15%Card present 73%Компрометацияприложений POS 72%Хранение TRACK2 87%Наибольшее количество случаев компрометацииу Торгово-сервисных организаций Level 4CEMEA &Европа68%СевернаяАмерика 85%Ноябрь 2008PCI DSS 1.2Сентябрь 2006PCI DSS 1.1Декабрь 2004PCI DSS 1.02001СтартПрограммCISP/AIS/SDPУчет текущих лучших практик по безопасности изамечаний организаций - членов КонсулаУточнение границ применения стандарта итребований к отчетностиИсключение пересекающихся требований иконсолидация требований к документированию.Разъяснение и уточнение подпунктов 12 требованиябез внесения существенных новых элементовДоработка FAQ и глоссарияPCI SSCQSA & ASVПлатежные системыVISA MasterCard, JCB,Discover,AmericanExpressРазработка и публикация стандартов PCIОпределение требований к QSA и ASVАккредитация компаний QSA и ASVОбучение и сертификация сотрудников QSAПубликация списков QSA и ASVКонтроль качества работ проводимых QSA и ASVПодтверждение выполнения требований ксертифицированным аудиторам◦ оценка выполнения требований по постоянномупрофессиональному совершенствованиюКонтроль независимости аудиторов◦ проверка документированности всех бизнесотношений клиента и аудитора вне рамок аудитаКонтроль согласованности результатов аудита◦ единообразие в интерпретации требований стандарта ипроведения аудитов◦ выборочная проверка отчетов об аудите (ROC)◦ анализ обратной связи от платежных систем ипроверяемых компанийПодтверждение выполнения требований ксертифицированным компаниям (QSA)◦ анализ внутренних процедур контроля качества аудитовПроведение аудитов в соответствиис процедурами, утвержденными PCISSCИнтерпретация требованийстандарта и адекватностикомпенсационных мерПредоставление отчетности вплатежные системы и PCI SSCТребования к QSA◦ Не проверять подконтрольные компании◦ Описывать применяемые в ходе аудита собственныесредства и оказанные услуги помимо аудита◦ Предлагать совместно с собственными продуктамивсегда несколько альтернатив◦ Не использовать статус QSA как средство продаж своихпродуктов и сервисов, не требуемых для достижениясоответствия PCI DSS◦ Не искажать смысл требований PCI DSS при маркетингеи продаже услуг и продуктов для аудируемых компанийТребования к QSA◦ Сохранять все свидетельства аудита, на основаниикоторых сделаны выводы о степени выполнениятребований◦ Хранить собранные свидетельства аудита 3 года◦ Обеспечить их адекватную защиту (контроль доступа,криптография, управление ключами)◦ Предоставлять свидетельства аудита по запроcу PCISSCУтверждение требований к Компаниям QSA & ASVв составе PCI SSCПринятие отчетности от QSAОценка работы QSA и оповещениеоб этом SSCИнтерпретация стандарта - PCI SSC◦ «В соответствие со стандартом весь доступадминистраторов должен быть зашифрован.

Этоотносится только к удаленному доступу?»Обеспечение соответствия стандарта – VISA &MasterCard◦ «Если мы не будем иметь соответствия копределенной дате, будут ли налагаться штрафы?»Применение стандарта - QSA◦ «Если мы поставим в качестве межсетевого экранаCisco PIX вместо Netscreen, будет ли этосоответствовать стандарту?»6задач12 общихтребований232 процедуры оценкиОписаниестандартаPCI DSSПостроение иподдержаниезащищеннойсети•1. Должны быть обеспечены разработка и управление конфигурациеймежсетевых экранов в целях защиты данных платежных карт•2. Не должны использоваться параметры безопасности и системныепароли, установленные производителем по умолчаниюЗащита данных •3.

Должна быть обеспечена защита данных платежных карт прихраненииплатежных•4. Должно обеспечиваться шифрование данных платежных карт,картпередаваемых по сетям общего пользованияРеализацияпрограммыуправленияуязвимостями•5. Должно использоваться и регулярно обновляться антивирусноепрограммное обеспечение•6. Должна обеспечиваться безопасность при разработке и поддержкесистем и приложенийРеализация мер построгому контролюдоступаРегулярныймониторинг итестирование сетейПоддержаниеполитикиинформационнойбезопасности• 7. Доступ к данным платежных карт должен быть ограничен всоответствии со служебной необходимостью• 8.

Каждому лицу, имеющему доступ к вычислительным ресурсам,должен быть назначен уникальный идентификатор• 9. Физический доступ к данным платежных карт должен бытьограничен• 10. Должен отслеживаться и контролироваться любой доступ к сетевымресурсам и данным платежных карт• 11. Должно выполняться регулярное тестирование систем и процессовобеспечения безопасности• 12. Должна поддерживаться политика информационной безопасности,регламентирующая деятельность сотрудников и контрагентовХранениеРазрешеноТребуетсязащитаPCI DSS3.4Номер карты (PAN)ДаДаДаИмя держателя карты(Cardholder Name)*ДаДаНетСервисный код(Service Code)*ДаДаНетДата истечения срока действия(Expiration Date)*ДаДаНетПолное содержание магнитнойполосы(Full Magnetic Stripe)Нетn/an/aНетn/an/aНетn/an/aЭлемент ДанныхДанныеплатежныхкарт(Cardholder data)КритичныеданныеавторизацииCVC2/CVV2/CID(sensitiveauthentication data)PIN / PIN BlockДопускаются длябольшинстватребованийДолжны бытьобоснованытехническими илибизнесограничениями• Должны превосходитьоригинальное требование• Необходимодокументировать всоответствии с шаблономОграничения• Перечислить ограничения, препятствующиевыполнение исходного требованияЦель• Определить цель исходных защитных мер икомпенсационных мерРиск• Описать риски, возникающие вследствиеневыполнения исходного требованияКомпенсационные меры• Определить компенсационные мерыАудитРазработкаAction PlanОбучениесотрудников«Информзащита»Консультации поустранениюнесоответствийТесты напроникновениеСканированиеуязвимостейВнедрениетехническихрешенийPCI DSS: Информационная безопасность виндустрии платежных карт17 июня 2008 года, Москва.