Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 2
Текст из файла (страница 2)
43Требование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности ................................................................... 47Поддержание политики информационной безопасности...........................................................................................................................................................
49Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов........... 49Приложение А: Применимость стандарта PCI DSS к хостинг-провайдерам ............................................................................................................................ 57Требование А.1: Хостинг-провайдеры должны защищать среду данных платежных карт ..........................................................................................................
57Приложение B: Компенсационные меры...................................................................................................................................................................................... 61Компенсационные меры – Общие положения ............................................................................................................................................................................... 61Компенсационные меры для требования 3.4 ................................................................................................................................................................................ 61Приложение С: Компенсационные меры. Пример.......................................................................................................................................................................
62Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 3ВведениеДокумент PCI Security Audit Procedures разработан для использования аудиторами, проводящими onsite-аудит предприятия торгово-сервисной сети исервис-провайдеров на соответствие требованиям стандарта Payment Card Industry Data Security Standard (PCI DSS). Требования и процедуры аудита,содержащиеся в данном документе, основываются на стандарте PCI DSS.Содержание документа:•Введение•Применимость PCI DSS•Границы области оценки для соответствия требованиям PCI DSS•Инструкции по созданию и требования к содержанию отчета Report on Compliance•Проведение повторной проверки для подтверждения устранения несоответствий•Процедуры аудита безопасностиПРИЛОЖЕНИЯ:•Приложение A: Применимость стандарта PCI DSS к хостинг-провайдерам•Приложение B: Компенсационные меры•Приложение C: Компенсационные меры.
ПримерCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 4Применимость PCI DSSПриведенная ниже таблица иллюстрирует наиболее часто используемые элементы данных платежных карт и критичные данные авторизации (sensitiveauthentication data); разрешено или запрещено хранение каждого элемента данных; должна ли выполняться защита каждого элемента данных. Даннаятаблица не претендует на роль исчерпывающей, она представлена лишь в целях демонстрации различных типов требований, которые применяются ккаждому элементу данных.ХранениеразрешеноТребуетсязащитаТребование 3.4стандартаPCI DSSНомер карты (PAN)ДАДАДАИмя держателя карты(Cardholder Name)*ДАДА*НЕТСервисный код(Service Code)*ДАДА*НЕТДата истечения срокадействия(Expiration Date)*ДАДА*НЕТПолное содержаниемагнитной полосы(Full Magnetic Stripe)НЕТ--CVC2/CVV2/CIDНЕТ--PIN/PIN BlockНЕТ--Элемент данныхДанные платежных картКритичные данныеавторизации (sensitiveauthentication data)*** Эти элементы данных должны защищаться, если они хранятся совместно с номером PAN.
При этом уровень защиты должен соответствоватьтребованиям общей защиты среды данных платежных карт стандарта PCI DSS. В соответствии с другими законами (например, связанными сзащитой личных данных клиентов, частной информацией, кражей идентификационной информации или обеспечением безопасности данных) можетпотребоваться специфическая защита этих данных или оглашение установленных правил компании в случае, если в ходе ведения бизнеса ведетсясбор персональных данных клиентов. Однако требования стандарта PCI DSS не применяются, если не выполняются хранение, обработка илипередача номеров PAN.** Критичные данные авторизации (sensitive authentication data) не должны сохраняться после прохождения процедуры авторизации (дажев зашифрованном виде).Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 5Границы области оценки1 для соответствия требованиям PCI DSSТребования стандарта PCI DSS применяются ко всем «системным компонентам».
Под системным компонентом понимается любой сетевой компонент,сервер или приложение, входящий в состав или подключенный к среде данных платежных карт. Среда данных платежных карт – часть сети, в которойобрабатываются данные платежных карт или критичные данные авторизации. Продуманная сегментация сети, изолирующая системы, на которыхвыполняются хранение, обработка или передача данных платежных карт, от остальной сети, позволяет уменьшить границы области среды данныхплатежных карт.
К сетевым компонентам относятся (но не ограничиваются ими) межсетевые экраны, коммутаторы, маршрутизаторы, беспроводные точкидоступа, сетевые устройства и устройства защиты информации. Типы серверов включают (но не ограничиваются ими) web-серверы, серверы баз данных,аутентификационные серверы, почтовые серверы, прокси-серверы, NTP- и DNS-серверы. К приложениям относятся все приобретенные и разработанныеприложения, как внутренние, так и внешние (Интернет).Продуманная сегментация сети, изолирующая системы, на которых выполняются хранение, обработка или передача данных платежных карт, от остальнойсети, позволит уменьшить границы области среды данных платежных карт. Аудитор должен удостовериться, что сегментация достаточна для уменьшенияграниц области аудита.Сервис-провайдер или предприятия торгово-сервисной сети могут пользоваться третьей стороны (Third Party Provider, TPP) для управления такимикомпонентами, как маршрутизаторы, межсетевые экраны, базы данных, серверы, или для обеспечения их физической безопасности.
В этом случае можетподвергнуться угрозе среда данных платежных карт. Соответствующие услуги организации, имеющей статус TPP, должны быть оценены: 1) во времяпроведения аудита PCI DSS у каждого клиента этой организации; 2) во время проведения собственного аудита организации, являющейся TPP.Для сервис-провайдеров, которым обязательно прохождение ежегодного onsite-аудита, проверка соответствия должна быть выполнена для всех системных2компонентов, с помощью которых выполняются хранение, обработка или передача данных платежных карт, если явно не определены другие требования.Для предприятий торгово-сервисной сети, которым обязательно прохождение ежегодного onsite-аудита, область оценки ограничивается системами илисистемными компонентами, с помощью которых выполняются хранение, обработка или передача данных платежных карт, имеющие отношение кавторизации (Authorization) и выполнению расчетов (Settlement), включая следующее:•Все внешние подключения к сети предприятия торгово-сервисной сети (например, удаленный доступ сотрудников, платежных систем), доступтретьих сторон или техническая поддержка).•Все подключения к системам и сетям, которые обеспечивают авторизацию платежей и автоматизацию расчетов (например, подключения длядоступа сотрудников или управление маршрутизаторами и межсетевыми экранами).•Любые хранилища данных за пределами систем авторизации платежей и расчетов, в которых выполняется хранение более чем 500 000номеров платежных карт.
Примечание: даже в случае исключения хранилищ данных или систем из границ области оценки предприятие торговосервисной сети все равно несет ответственность за обеспечение того, что все системы, с помощью которых выполняются хранение, обработкаили передача данных платежных карт, соответствуют требованиям стандарта PCI DSS.•POS-среда – место, где принимаются транзакции в предприятии торгово-сервисной сети (т.е. розничный магазин, ресторан, гостиница, заправка,супермаркет или другое размещение POS-терминалов).•В случае отсутствия внешнего доступа к предприятию торгово-сервисной сети (по сети Интернет, беспроводной сети, VPN, dial-in, broadband илипублично доступных компьютеров/информационных киосков) POS-среда может быть исключена из области аудита.Беспроводные технологииВ случае использования беспроводных технологий для хранения, обработки или передачи данных платежных карт (например, POS-транзакций, «ускоренияочередей») или если беспроводная сеть является частью среды данных платежных карт (например, полностью не отделена от нее межсетевым экраном) на12Прим.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
