'

PCI DSS

Понравилась презентация – покажи это...





Слайд 0

Бабенко Алексей старший аудитор описание применение соответствие «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental PCI DSS


Слайд 1

О чем пойдет речь? DSS для PCI Основные требования стандарта Внутренняя кухня DSS Путь к соответствию за 10 шагов Сопутствующие стандарты


Слайд 2

История возникновения 1970 1980 1990 2000 Старт программ CISP/AIS/SDP 2010 Стандарт PCI DSS 1.2 2.0 1.0 1.1 new 08 06 04 01 13 66 Первая сеть VISA ATM 83 $ 300 млн. мошеннических транзакций $ 36 млн. мошеннических транзакций $ 5 550 млн. мошеннических транзакций 1 млд. карт Visa и MasterCard


Слайд 3

Область применения стандарта PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт


Слайд 4

Безопасность данных платежных карт


Слайд 5

Требования стандарта (1 из 2)


Слайд 6

Требования стандарта (2 из 2)


Слайд 7

Область проверки стандарта Авторизация, клиринг/сеттлмент Мониторинг мошеннических транзакций, разрешение диспутов Поддержка клиентов (call-центр) Аналитика и статистика по транзакциям


Слайд 8

Основные изменения 1.2 > 2.0 Новых глобальных требований не добавилось Уточнен ряд требований, детализация и упрощение восприятия процедур Изменились требования к процедуре определения области оценки (scoping) Усложнение требований 6.2, 6.5.6, 11.2 Вступают в силу с 1 января 2011 года, возможно проведение аудита по версии 1.2 конца 2011 года


Слайд 9

Разработка и контроль применения


Слайд 10

Ответственность PCI SSC Разработка и публикация стандартов PCI Определение требований к QSA, PA-QSA и ASV Аккредитация компаний и публикация списков QSA, PA-QSA и ASV Обучение и сертификация сотрудников QSA, PA-QSA Контроль качества работ проводимых QSA, PA-QSA и ASV


Слайд 11

Ответственность QSA Проведение аудитов в соответствии с утвержденными процедурами Обеспечение поддержки и консультации по выполнению требований до полного соответствия Интерпретация требований стандарта и адекватности компенсационных мер Предоставление отчетности в платежные системы и PCI SSC


Слайд 12

Ответственность МПС Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC Определение способов подтверждения соответствия PCI DSS Определения границ области проверки соответствия Штрафы за невыполнение требований


Слайд 13

Путь к соответствию


Слайд 14

Реестр хранения данных карт (матрица данных) Ресурсы, участвующие в передаче, обработке, хранении данных карт Логическое и физическое размещение ресурсов Dataflow Наличие и механизмы сегментации и экранирования Использование беспроводных технологий


Слайд 15

Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем Выявляются несоответствия стандарту По результатам — Action plan Согласованы решения и компенсационные меры Выбраны технические средства Одна работа – один ответственный Приоритет работ с учетом рисков ИБ


Слайд 16

Иерархия документов: от политики до процедур и инструкций Не разработка «в стол», а разработка и документирование процессов Определение порядка изменения документов


Слайд 17

Использование встроенных защитных механизмов Настройка существующих внешних средств защиты Внедрение программно-технических средств: «Необходимо» или «полезно» Перекрывание защитных механизмов Простота эксплуатации Возможность масштабирования


Слайд 18

Контролируемость выбранного решения Простота исполнения процедур Наличие «обратной связи» процесса Совершенствование и доработка процедур/регламентов, корректировка мер


Слайд 19

Проводится после внедрения основных мер Внешнее сканирование проводит PCI ASV Тестирование защищенности выявляет основные недоработки в реализации мер или зоне их охвата Повторение при отрицательном результате


Слайд 20

Процедуры аудита определены PCI SSC Область аудита может быть меньше чем PCI DSS Scope Аудит проводится с применением «выборки» ресурсов, помещений, людей Является «снимком» состояния на момент проведения аудита


Слайд 21

PCI Compliance не «вечный двигатель», безопасность это процесс Контрольные процедуры: Заложенные стандартом (определены периодичность и методы контроля) Внутренние Изменение инфраструктуры и угроз ИБ


Слайд 22

Сопутствующие стандарты


Слайд 23

Payment Application DSS Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента Необходима сертификация: POS терминалы, банкоматы, киоски для оплаты, системы процессинга и пр. Сертификация не нужна Приложения собственной разработки для или приложения на заказ Отдельно стоящие POS терминалы СУБД Операционные системы Web серверы


Слайд 24

PIN Entry Devices Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PIN Программа тестирования и утверждения устройств отражает: требования безопасности к устройствам; методология тестирования; процесс сертификации и утверждения.


Слайд 25

Бабенко Алексей старший аудитор a.babenko@infosec.ru +7 (495) 980-23-45 доп.458 www.infosec.ru Вопросы


×

HTML:





Ссылка: