Обзор требований стандарта PCI_DSS_и_требований_к_его_внедрению (1027412)

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

PCI DSS: Информационная безопасность в индустрии платежныхкарт17 июня 2008 года, МоскваМаксим ЭммДиректор департамента аудитаCISA, CISSP, QSAСтандарт PCI DSSРазработка иприменение PCI DSSPCI DSS применим к любой организации, которая хранит,передает или обрабатывает данные платежных картПоставщики услугLevels 1-3Торговое сервисные организацииLevels 1-4Соответствие контролируетсяплатежными системамиСоответствие контролируетсябанками-эквайерамиЧленыплатежныхсистемAcquirersСервиспровайдерыTPP, VNP, DSE ит.п.Магазины иторговые сетиИнтернетмагазиныИндустрияCEMEA &ЕвропаСевернаяАмерикаСпособ обработки картE-commerce 86%Ритейл 56%Shopping Cart 83%Отдых/развлечения 12%Хранение CVV2 86%Рестораны 58%Ритейл 15%Card present 73%Компрометацияприложений POS 72%Хранение TRACK2 87%Наибольшее количество случаев компрометацииу Торгово-сервисных организаций Level 4CEMEA &Европа68%СевернаяАмерика 85%Ноябрь 2008PCI DSS 1.2Сентябрь 2006PCI DSS 1.1Декабрь 2004PCI DSS 1.02001СтартПрограммCISP/AIS/SDPУчет текущих лучших практик по безопасности изамечаний организаций - членов КонсулаУточнение границ применения стандарта итребований к отчетностиИсключение пересекающихся требований иконсолидация требований к документированию.Разъяснение и уточнение подпунктов 12 требованиябез внесения существенных новых элементовДоработка FAQ и глоссарияPCI SSCQSA & ASVПлатежные системыVISA MasterCard, JCB,Discover,AmericanExpressРазработка и публикация стандартов PCIОпределение требований к QSA и ASVАккредитация компаний QSA и ASVОбучение и сертификация сотрудников QSAПубликация списков QSA и ASVКонтроль качества работ проводимых QSA и ASVПодтверждение выполнения требований ксертифицированным аудиторам◦ оценка выполнения требований по постоянномупрофессиональному совершенствованиюКонтроль независимости аудиторов◦ проверка документированности всех бизнесотношений клиента и аудитора вне рамок аудитаКонтроль согласованности результатов аудита◦ единообразие в интерпретации требований стандарта ипроведения аудитов◦ выборочная проверка отчетов об аудите (ROC)◦ анализ обратной связи от платежных систем ипроверяемых компанийПодтверждение выполнения требований ксертифицированным компаниям (QSA)◦ анализ внутренних процедур контроля качества аудитовПроведение аудитов в соответствиис процедурами, утвержденными PCISSCИнтерпретация требованийстандарта и адекватностикомпенсационных мерПредоставление отчетности вплатежные системы и PCI SSCТребования к QSA◦ Не проверять подконтрольные компании◦ Описывать применяемые в ходе аудита собственныесредства и оказанные услуги помимо аудита◦ Предлагать совместно с собственными продуктамивсегда несколько альтернатив◦ Не использовать статус QSA как средство продаж своихпродуктов и сервисов, не требуемых для достижениясоответствия PCI DSS◦ Не искажать смысл требований PCI DSS при маркетингеи продаже услуг и продуктов для аудируемых компанийТребования к QSA◦ Сохранять все свидетельства аудита, на основаниикоторых сделаны выводы о степени выполнениятребований◦ Хранить собранные свидетельства аудита 3 года◦ Обеспечить их адекватную защиту (контроль доступа,криптография, управление ключами)◦ Предоставлять свидетельства аудита по запроcу PCISSCУтверждение требований к Компаниям QSA & ASVв составе PCI SSCПринятие отчетности от QSAОценка работы QSA и оповещениеоб этом SSCИнтерпретация стандарта - PCI SSC◦ «В соответствие со стандартом весь доступадминистраторов должен быть зашифрован.

Этоотносится только к удаленному доступу?»Обеспечение соответствия стандарта – VISA &MasterCard◦ «Если мы не будем иметь соответствия копределенной дате, будут ли налагаться штрафы?»Применение стандарта - QSA◦ «Если мы поставим в качестве межсетевого экранаCisco PIX вместо Netscreen, будет ли этосоответствовать стандарту?»6задач12 общихтребований232 процедуры оценкиОписаниестандартаPCI DSSПостроение иподдержаниезащищеннойсети•1. Должны быть обеспечены разработка и управление конфигурациеймежсетевых экранов в целях защиты данных платежных карт•2. Не должны использоваться параметры безопасности и системныепароли, установленные производителем по умолчаниюЗащита данных •3.

Должна быть обеспечена защита данных платежных карт прихраненииплатежных•4. Должно обеспечиваться шифрование данных платежных карт,картпередаваемых по сетям общего пользованияРеализацияпрограммыуправленияуязвимостями•5. Должно использоваться и регулярно обновляться антивирусноепрограммное обеспечение•6. Должна обеспечиваться безопасность при разработке и поддержкесистем и приложенийРеализация мер построгому контролюдоступаРегулярныймониторинг итестирование сетейПоддержаниеполитикиинформационнойбезопасности• 7. Доступ к данным платежных карт должен быть ограничен всоответствии со служебной необходимостью• 8.

Каждому лицу, имеющему доступ к вычислительным ресурсам,должен быть назначен уникальный идентификатор• 9. Физический доступ к данным платежных карт должен бытьограничен• 10. Должен отслеживаться и контролироваться любой доступ к сетевымресурсам и данным платежных карт• 11. Должно выполняться регулярное тестирование систем и процессовобеспечения безопасности• 12. Должна поддерживаться политика информационной безопасности,регламентирующая деятельность сотрудников и контрагентовХранениеРазрешеноТребуетсязащитаPCI DSS3.4Номер карты (PAN)ДаДаДаИмя держателя карты(Cardholder Name)*ДаДаНетСервисный код(Service Code)*ДаДаНетДата истечения срока действия(Expiration Date)*ДаДаНетПолное содержание магнитнойполосы(Full Magnetic Stripe)Нетn/an/aНетn/an/aНетn/an/aЭлемент ДанныхДанныеплатежныхкарт(Cardholder data)КритичныеданныеавторизацииCVC2/CVV2/CID(sensitiveauthentication data)PIN / PIN BlockДопускаются длябольшинстватребованийДолжны бытьобоснованытехническими илибизнесограничениями• Должны превосходитьоригинальное требование• Необходимодокументировать всоответствии с шаблономОграничения• Перечислить ограничения, препятствующиевыполнение исходного требованияЦель• Определить цель исходных защитных мер икомпенсационных мерРиск• Описать риски, возникающие вследствиеневыполнения исходного требованияКомпенсационные меры• Определить компенсационные мерыАудитРазработкаAction PlanОбучениесотрудников«Информзащита»Консультации поустранениюнесоответствийТесты напроникновениеСканированиеуязвимостейВнедрениетехническихрешенийPCI DSS: Информационная безопасность виндустрии платежных карт17 июня 2008 года, Москва.

Характеристики

Тип файла PDF

PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.

Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.

Список файлов учебной работы