Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации)
Описание файла
Файл "Процедуры аудита безопасности PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.
Просмотр PDF-файла онлайн
Текст из PDF
Payment Card Industry (PCI) Data Security StandardSecurity Audit ProceduresПроцедуры аудита безопасностиВерсия 1.1Редакция: Сентябрь 2006Перевод:ЗАО НИП «ИНФОРМЗАЩИТА»PCI QSA, PCI ASVhttp://www.infosec.rupcidss@infosec.ru7-495-9802345Translated by:NIP INFORMZASCHITAPCI QSA, PCI ASVhttp://www.infosec.rupcidss@infosec.ru7-495-9802345Данный документ является объектом интеллектуальной собственности ЗАО НИП «Информзащита».ЗАО НИП «Информзащита» предоставляет право на использование этого документа в личных некоммерческих целях и впределах своей организации.
Копирование и/или передача его третьим лицам (в том числе в отредактированном виде) и/илиего опубликование могут быть осуществлены только с письменного согласия ЗАО НИП «Информзащита», при этом продажаили любая иная возмездная передача данного документа запрещается.В случае возникновения замечаний или предложений по переводу просьба направлять их по адресу pcidss@infosec.ru.Данный документ предоставляется ЗАО НИП «Информзащита» в качестве информационной услуги. Это неофициальныйперевод официального документа «Payment Card Industry (PCI) Data Security Standard.
Security Audit Procedures», находящегосяпо адресу https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf, собственность PCI Security StandardsCouncil LLC. Текст на английском языке, находящийся по этому адресу, должен рассматриваться в качестве официальнойверсии документа для любых целей. В случае возникновения каких-либо двусмысленностей или несогласованностей междуэтим текстом и текстом на английском языке необходимо руководствоваться оригиналом. Данный перевод публикуется вподтверждение и в согласии с условиями, определенными в договоре на разрешение перевода между PCI SSC иЗАО НИП «Информзащита».
Ни PCI Security Standards Council LLC, ни ЗАО НИП «Информзащита» не берут на себяответственность за какие-либо содержащиеся здесь неточности.This translated document is provided by NIP INFORMZASCHITA as an informational service. This is an unofficial translation of theofficial document, “Payment Card Industry (PCI) Data Security Standard. Security Audit Procedures”, located athttps://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf copyright © February 2008 PCI Security Standards CouncilLLC. The English text to be found at such address shall for all purposes be regarded as the official version of this document, and to theextent of any ambiguities or inconsistencies between this text and the English text, the English text at such location shall control. Thistranslation is published with acknowledgement of and in agreement with terms specified in a translation permissions agreementbetween PCI SSC and NIP INFORMZASCHITA.
Neither PCI Security Standards Council LLC nor NIP INFORMZASCHITA assumeresponsibility for any errors contained herein.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 2ОглавлениеВведение .............................................................................................................................................................................................................................................4Применимость PCI DSS .....................................................................................................................................................................................................................5Границы области оценки для соответствия требованиям PCI DSS............................................................................................................................................6Беспроводные технологии................................................................................................................................................................................................................6Аутсорсинг ........................................................................................................................................................................................................................................7Создание выборки ............................................................................................................................................................................................................................7Компенсационные меры ...................................................................................................................................................................................................................8Инструкции по созданию и требования к содержанию отчета Report on Compliance ..............................................................................................................8Проведение повторной проверки для подтверждения устранения несоответствий ...............................................................................................................9Построение и поддержание защищенной сети.............................................................................................................................................................................
10Требование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных платежных карт............. 10Требование 2: Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию.........................
14Защита данных платежных карт .................................................................................................................................................................................................... 17Требование 3: Должна быть обеспечена защита данных платежных карт при хранении............................................................................................................
17Требование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования................................................ 24Реализация программы управления уязвимостями ................................................................................................................................................................... 26Требование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечение............................................................................ 26Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений...............................................................................
27Реализация мер по строгому контролю доступа ......................................................................................................................................................................... 32Требование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью...................................................... 32Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор .....................................
33Требование 9: Физический доступ к данным платежных карт должен быть ограничен ............................................................................................................... 38Регулярный мониторинг и тестирование сетей........................................................................................................................................................................... 43Требование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных карт ...................................................