Стандарт PCI DSS 1_1 (1027417), страница 6
Текст из файла (страница 6)
Каждая организация должна соответствовать стандарту PCI DSS и принеобходимости подтверждать свое соответствие.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 17Приложение B: Компенсационные мерыКомпенсационные меры – Общие положенияИспользование компенсационных мер может быть обосновано для большинства требованийстандарта PCI DSS в том случае, когда организация не может соответствовать техническойспецификации требования, но может в значительной мере снизить связанный с данным требованиемриск. За полным определением компенсационных мер необходимо обратиться к документу «PCI DSS:Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, and Acronyms).Эффективность компенсационной меры зависит от конкретной среды, в которой реализуется мера,смежных защитных мер и конфигурации меры.
Компании должны отдавать себе отчет в том, чтокакая-то конкретная компенсационная мера не будет эффективной во всех средах. Каждаякомпенсационная мера должна быть основательно оценена после реализации для подтверждениясвоей эффективности.Ниже представлены компенсационные меры для компаний, которые не способны привести данныеплатежных карт к нечитаемому виду в соответствии с требованием 3.4.Компенсационные меры для требования 3.4Использование компенсационных мер можно рассматривать для тех компаний, которые не могутпривести данные платежных карт к нечитаемому виду (например, при помощи шифрования) ввидуобъективных технических ограничений или требований бизнеса.
Условием обеспечениясоответствия стандарту PCI DSS для требований, в отношении которых использованыкомпенсационные меры, является документирование требований бизнеса или технологическихограничений, не позволяющих выполнить соответствующее требование, и проведение анализарисков для данного требования3.Компании, которые рассматривают возможность использования компенсационных мер, связанных стребованием приведения данных платежных карт к нечитаемому виду, должны понимать риск,вызываемый хранением данных платежных карт в читаемом виде. Обычно меры должныпредоставлять дополнительную защиту для снижения любого дополнительного риска, вызываемогохранением данных платежных карт в читаемом виде. Меры, предполагаемые к использованию вкачестве компенсационных, должны применяться в дополнение к мерам стандарта PCI DSS и должныудовлетворять определению компенсационных мер, которое дается в документе «PCI DSS: Термины,аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, and Acronyms).
Компенсационные мерымогут представлять собой устройство, комбинацию устройств, приложений и мер, удовлетворяющихвсем перечисленным ниже условиям:1. Обеспечение дополнительного уровня сегментации/абстракции (например, на сетевом уровне)2. Обеспечение возможности ограничения доступа к данным платежных карт или базам данных наоснове следующих критериев:• IP-адреса/MAC-адреса• Приложения/сервисы• Учетные записи пользователей/групп• Тип данных (фильтрация пакетов)3. Ограничение логического доступа к базе данных• Логический доступ к базе данных должен контролироваться независимо от Active Directoryили LDAP (Lightweight Directory Access Protocol)4. Предотвращение/обнаружение распространенных атак на приложения или базы данных (например,SQL-инъекции).3Прим.
ИЗ. Результаты анализа рисков рекомендуется оформлять в шаблоне Compensating controls Worksheet,приведенном в Security Audit Procedures, Приложение С.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 18.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
