ݺߣ

ݺߣShare a Scribd company logo

Часто задаваемые вопросы на пути к PCI соответствию

D
Digital Security
1 of 13
Downloaded 12 times
Часто задаваемые вопросы на пути к соответствию PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
Часто задаваемые вопросы на пути к соответствию PCI DSS Стандарт PCI DSS 1. Разработан и продвигается Советом PCI SSC, организованным международными платежными системами Visa, MasterCard, American Express, Discovery, JCB 2. Соответствие обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Для организаций, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, проводимый компанией, обладающей статусом QSA 4. В России на март 2010 года свое соответствие PCI DSS путем проведения on-site аудита подтвердили только 6 поставщиков услуг (в том числе банков) © 2002—2010, Digital Security 2
Часто задаваемые вопросы на пути к соответствию PCI DSS Путь к соответствию PCI DSS © 2002—2010, Digital Security 3
Часто задаваемые вопросы на пути к соответствию PCI DSS Этапы пути к соответствию PCI DSS 1. Предварительный QSA-аудит • Отчет о соответствии (ROC) • План мероприятий (Action Plan) = формальная таблица со сроками (!) 2. Разработка рекомендаций по приведению в соответствие • Экспертное заключение QSA-консультанта с подробными рекомендациями 3. Разработка технического проекта по приведению в соответствие • Согласованный технический проект, описывающий все планируемые решения 4. Внедрение разработанных решений • Акт выполненных работ 5. Выполнение регламентированных проверок • Отчет о тесте на проникновение • Отчет об ASV-сканировании 6. Сертификационный QSA-аудит • Отчет о соответствии (ROC) • Сертификат соответствия © 2002—2010, Digital Security 4
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №1: Область аудита 1. Требования стандарта распространяются на все системы, хранящие, обрабатывающие и передающие данные о держателях карт 2. Требования стандарта распространяются на все связанные системы – то есть не отделенные корректно настроенным межсетевым экраном 3. Для in-house процессинга банка есть разница между областью аудита и областью применимости требований стандарта: • Требования стандарта распространяются на все карточные бизнес-процессы - как эквайринг, так и эмиссию • QSA-аудиту подлежит процесс эквайринга • Принятие решения о необходимости проводить QSA-аудит процесса эмиссии относится к компетенции МПС (http://selfservice.talisma.com/article.aspx?article=5391&p=81) © 2002—2010, Digital Security 5
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №2: Стандарты конфигурации 1. Необходимы в соответствии с требованием 2.2 стандарта PCI DSS 2. Best Practice: разделить стандарты на две логические части: • Стандарт, описывающий базовую конфигурацию семейства устройств или ПО • Паспорт, в котором отражены текущие настройки каждого компонента информационной инфраструктуры 3. Рекомендуется связать эти документы с процедурами управления изменениями для повышения прозрачности управления информационной инфраструктурой © 2002—2010, Digital Security 6
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №3: Применение шифрования 1. Криптографическая защита данных о держателях карт – это не только использование механизмов шифрования, но и применение безопасных процедур управления ключами 2. Процедуры управления ключами должны быть разработаны для каждого случая использования механизмов шифрования 3. Самые распространенные ошибки: • PAN в БД зашифрован, однако ключ шифрования лежит в открытом виде на диске • Забывание о физической безопасности ключевых носителей при хранении и передаче © 2002—2010, Digital Security 7
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №4: Удаленный доступ 1. Корректная реализация удаленного доступа не включает удаленный компьютер в область применения требований PCI DSS 2. Корректно настроенный удаленный доступ это: • Наличие DMZ, обособленной при помощи межсетевых экранов • Корректная настройка списков контроля доступа межсетевых экранов • Применение двухфакторной аутентификации удаленных пользователей • Криптографическая защита канала связи с удаленным узлом • Запрет на использование буфера обмена и сохранения данных на удаленный носитель © 2002—2010, Digital Security 8
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №5: Протоколирование событий 1. Корректная реализация требований по протоколированию событий включает в себя в том числе процедуры регулярного анализа журналов 2. Наиболее распространенной ошибкой является включение механизмов протоколирования всех систем «по-максимуму», как следствие: • Невозможность осмысленного анализа записей журналов • Проблемы с дисковым пространством для хранения файлов журналов © 2002—2010, Digital Security 9
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №6: Нормативная документация СМИБ 1. Процессом обеспечения безопасности необходимо управлять - эффективность системы менеджмента информационной безопасностью ничуть не менее важна, чем эффективность средств защиты 2. Аудитор хочет увидеть работающий на практике процесс, а не кипу бумаг, в которых «что-то было по этому вопросу» 3. Best Practice: воспользоваться методиками, описанными в ISO 27001 и СТО БР ИББС-1.0-2008 © 2002—2010, Digital Security 10
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №7: Компенсирующие меры 1. Условием возможности применения компенсирующей меры является невозможность выполнения требования стандарта PCI DSS в силу наличия обоснованных ограничений 2. Компенсирующая мера не должна являться выполнением другого требования стандарта 3. Компенсирующая мера должна снижать риск, против которого направлено требование стандарта, не менее эффективно, чем выполнение требования 4. Невыполнение требования о запрете хранения критичных аутентификационных данных (CVV2/CVC2, track, PIN/PIN-block) нельзя заменить никакой компенсирующей мерой 5. Компенсирующую меру следует рассматривать как временную меру, «заплатку», так как самый простой способ снизить риск описан в требовании стандарта, все остальные – заведомо сложнее © 2002—2010, Digital Security 11
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №8: Процесс сертификационного аудита 1. Аудитор оценивает выполнение требования исходя из: • Интервьюирования сотрудников • Анализа документации • Изучения конфигураций компонентов информационной инфраструктуры • Наблюдения за процессом 2. Аудитор собирает свидетельства о выполнении требований (записи, снимки экранов, копии документов) 3. Собранные свидетельства хранятся в QSA-компании в течение 3-х лет с момента аудита и могут быть запрошены и изучены Советом PCI SSC в рамках программы контроля качества аудита наряду с отчетными документами © 2002—2010, Digital Security 12
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 13

Recommended

Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
КРОК
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Alex Babenko
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
КРОК
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
arogozhin
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
Tim Parson
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Konstantin Feoktistov
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
ЭЛВИС-ПЛЮС
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга
ЭЛВИС-ПЛЮС
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
ЭЛВИС-ПЛЮС
Perimetr
PerimetrPerimetr
Perimetr
ЭЛВИС-ПЛЮС
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Michael Kozloff
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb

More Related Content

What's hot (20)

Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
arogozhin
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
Tim Parson
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Konstantin Feoktistov
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
ЭЛВИС-ПЛЮС
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга
ЭЛВИС-ПЛЮС
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
ЭЛВИС-ПЛЮС
Perimetr
PerimetrPerimetr
Perimetr
ЭЛВИС-ПЛЮС
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Michael Kozloff
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
arogozhin
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
Tim Parson
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Konstantin Feoktistov
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
RISSPA_SPb
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
ЭЛВИС-ПЛЮС
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга
ЭЛВИС-ПЛЮС
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
Aleksey Lukatskiy
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
ЭЛВИС-ПЛЮС
Perimetr
PerimetrPerimetr
Perimetr
ЭЛВИС-ПЛЮС
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Michael Kozloff

Similar to Часто задаваемые вопросы на пути к PCI соответствию (20)

Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
Digital Security
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
Informzaschita
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
GlobalLogic Ukraine
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
Informzaschita
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Konstantin Feoktistov
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
Arma Systems
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
Iso25999
Iso25999Iso25999
Iso25999
Nyukers
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
Informzaschita
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
Informzaschita
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасности
CTI2014
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
RISSPA_SPb
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Digital Security
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
Digital Security
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
Informzaschita
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
GlobalLogic Ukraine
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
Informzaschita
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Konstantin Feoktistov
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
Arma Systems
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
Iso25999
Iso25999Iso25999
Iso25999
Nyukers
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
Informzaschita
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
Informzaschita
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасности
CTI2014
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
RISSPA_SPb
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Digital Security

More from Digital Security (12)

Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
Digital Security
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
Digital Security
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
Digital Security
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
Digital Security
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
Digital Security
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
Digital Security
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
Digital Security
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
Digital Security
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
Digital Security
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
Digital Security
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Digital Security
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
Digital Security
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
Digital Security
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
Digital Security
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
Digital Security
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
Digital Security
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
Digital Security
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
Digital Security
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
Digital Security
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
Digital Security
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
Digital Security
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Digital Security

Часто задаваемые вопросы на пути к PCI соответствию

  • 1. Часто задаваемые вопросы на пути к соответствию PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
  • 2. Часто задаваемые вопросы на пути к соответствию PCI DSS Стандарт PCI DSS 1. Разработан и продвигается Советом PCI SSC, организованным международными платежными системами Visa, MasterCard, American Express, Discovery, JCB 2. Соответствие обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Для организаций, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, проводимый компанией, обладающей статусом QSA 4. В России на март 2010 года свое соответствие PCI DSS путем проведения on-site аудита подтвердили только 6 поставщиков услуг (в том числе банков) © 2002—2010, Digital Security 2
  • 3. Часто задаваемые вопросы на пути к соответствию PCI DSS Путь к соответствию PCI DSS © 2002—2010, Digital Security 3
  • 4. Часто задаваемые вопросы на пути к соответствию PCI DSS Этапы пути к соответствию PCI DSS 1. Предварительный QSA-аудит • Отчет о соответствии (ROC) • План мероприятий (Action Plan) = формальная таблица со сроками (!) 2. Разработка рекомендаций по приведению в соответствие • Экспертное заключение QSA-консультанта с подробными рекомендациями 3. Разработка технического проекта по приведению в соответствие • Согласованный технический проект, описывающий все планируемые решения 4. Внедрение разработанных решений • Акт выполненных работ 5. Выполнение регламентированных проверок • Отчет о тесте на проникновение • Отчет об ASV-сканировании 6. Сертификационный QSA-аудит • Отчет о соответствии (ROC) • Сертификат соответствия © 2002—2010, Digital Security 4
  • 5. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №1: Область аудита 1. Требования стандарта распространяются на все системы, хранящие, обрабатывающие и передающие данные о держателях карт 2. Требования стандарта распространяются на все связанные системы – то есть не отделенные корректно настроенным межсетевым экраном 3. Для in-house процессинга банка есть разница между областью аудита и областью применимости требований стандарта: • Требования стандарта распространяются на все карточные бизнес-процессы - как эквайринг, так и эмиссию • QSA-аудиту подлежит процесс эквайринга • Принятие решения о необходимости проводить QSA-аудит процесса эмиссии относится к компетенции МПС (http://selfservice.talisma.com/article.aspx?article=5391&p=81) © 2002—2010, Digital Security 5
  • 6. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №2: Стандарты конфигурации 1. Необходимы в соответствии с требованием 2.2 стандарта PCI DSS 2. Best Practice: разделить стандарты на две логические части: • Стандарт, описывающий базовую конфигурацию семейства устройств или ПО • Паспорт, в котором отражены текущие настройки каждого компонента информационной инфраструктуры 3. Рекомендуется связать эти документы с процедурами управления изменениями для повышения прозрачности управления информационной инфраструктурой © 2002—2010, Digital Security 6
  • 7. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №3: Применение шифрования 1. Криптографическая защита данных о держателях карт – это не только использование механизмов шифрования, но и применение безопасных процедур управления ключами 2. Процедуры управления ключами должны быть разработаны для каждого случая использования механизмов шифрования 3. Самые распространенные ошибки: • PAN в БД зашифрован, однако ключ шифрования лежит в открытом виде на диске • Забывание о физической безопасности ключевых носителей при хранении и передаче © 2002—2010, Digital Security 7
  • 8. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №4: Удаленный доступ 1. Корректная реализация удаленного доступа не включает удаленный компьютер в область применения требований PCI DSS 2. Корректно настроенный удаленный доступ это: • Наличие DMZ, обособленной при помощи межсетевых экранов • Корректная настройка списков контроля доступа межсетевых экранов • Применение двухфакторной аутентификации удаленных пользователей • Криптографическая защита канала связи с удаленным узлом • Запрет на использование буфера обмена и сохранения данных на удаленный носитель © 2002—2010, Digital Security 8
  • 9. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №5: Протоколирование событий 1. Корректная реализация требований по протоколированию событий включает в себя в том числе процедуры регулярного анализа журналов 2. Наиболее распространенной ошибкой является включение механизмов протоколирования всех систем «по-максимуму», как следствие: • Невозможность осмысленного анализа записей журналов • Проблемы с дисковым пространством для хранения файлов журналов © 2002—2010, Digital Security 9
  • 10. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №6: Нормативная документация СМИБ 1. Процессом обеспечения безопасности необходимо управлять - эффективность системы менеджмента информационной безопасностью ничуть не менее важна, чем эффективность средств защиты 2. Аудитор хочет увидеть работающий на практике процесс, а не кипу бумаг, в которых «что-то было по этому вопросу» 3. Best Practice: воспользоваться методиками, описанными в ISO 27001 и СТО БР ИББС-1.0-2008 © 2002—2010, Digital Security 10
  • 11. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №7: Компенсирующие меры 1. Условием возможности применения компенсирующей меры является невозможность выполнения требования стандарта PCI DSS в силу наличия обоснованных ограничений 2. Компенсирующая мера не должна являться выполнением другого требования стандарта 3. Компенсирующая мера должна снижать риск, против которого направлено требование стандарта, не менее эффективно, чем выполнение требования 4. Невыполнение требования о запрете хранения критичных аутентификационных данных (CVV2/CVC2, track, PIN/PIN-block) нельзя заменить никакой компенсирующей мерой 5. Компенсирующую меру следует рассматривать как временную меру, «заплатку», так как самый простой способ снизить риск описан в требовании стандарта, все остальные – заведомо сложнее © 2002—2010, Digital Security 11
  • 12. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №8: Процесс сертификационного аудита 1. Аудитор оценивает выполнение требования исходя из: • Интервьюирования сотрудников • Анализа документации • Изучения конфигураций компонентов информационной инфраструктуры • Наблюдения за процессом 2. Аудитор собирает свидетельства о выполнении требований (записи, снимки экранов, копии документов) 3. Собранные свидетельства хранятся в QSA-компании в течение 3-х лет с момента аудита и могут быть запрошены и изучены Советом PCI SSC в рамках программы контроля качества аудита наряду с отчетными документами © 2002—2010, Digital Security 12
  • 13. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 13