Часто задаваемые вопросы на пути к PCI соответствию
- 1. Часто задаваемые вопросы на пути к соответствию PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
- 2. Часто задаваемые вопросы на пути к соответствию PCI DSS Стандарт PCI DSS 1. Разработан и продвигается Советом PCI SSC, организованным международными платежными системами Visa, MasterCard, American Express, Discovery, JCB 2. Соответствие обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Для организаций, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, проводимый компанией, обладающей статусом QSA 4. В России на март 2010 года свое соответствие PCI DSS путем проведения on-site аудита подтвердили только 6 поставщиков услуг (в том числе банков) © 2002—2010, Digital Security 2
- 3. Часто задаваемые вопросы на пути к соответствию PCI DSS Путь к соответствию PCI DSS © 2002—2010, Digital Security 3
- 4. Часто задаваемые вопросы на пути к соответствию PCI DSS Этапы пути к соответствию PCI DSS 1. Предварительный QSA-аудит • Отчет о соответствии (ROC) • План мероприятий (Action Plan) = формальная таблица со сроками (!) 2. Разработка рекомендаций по приведению в соответствие • Экспертное заключение QSA-консультанта с подробными рекомендациями 3. Разработка технического проекта по приведению в соответствие • Согласованный технический проект, описывающий все планируемые решения 4. Внедрение разработанных решений • Акт выполненных работ 5. Выполнение регламентированных проверок • Отчет о тесте на проникновение • Отчет об ASV-сканировании 6. Сертификационный QSA-аудит • Отчет о соответствии (ROC) • Сертификат соответствия © 2002—2010, Digital Security 4
- 5. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №1: Область аудита 1. Требования стандарта распространяются на все системы, хранящие, обрабатывающие и передающие данные о держателях карт 2. Требования стандарта распространяются на все связанные системы – то есть не отделенные корректно настроенным межсетевым экраном 3. Для in-house процессинга банка есть разница между областью аудита и областью применимости требований стандарта: • Требования стандарта распространяются на все карточные бизнес-процессы - как эквайринг, так и эмиссию • QSA-аудиту подлежит процесс эквайринга • Принятие решения о необходимости проводить QSA-аудит процесса эмиссии относится к компетенции МПС (http://selfservice.talisma.com/article.aspx?article=5391&p=81) © 2002—2010, Digital Security 5
- 6. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №2: Стандарты конфигурации 1. Необходимы в соответствии с требованием 2.2 стандарта PCI DSS 2. Best Practice: разделить стандарты на две логические части: • Стандарт, описывающий базовую конфигурацию семейства устройств или ПО • Паспорт, в котором отражены текущие настройки каждого компонента информационной инфраструктуры 3. Рекомендуется связать эти документы с процедурами управления изменениями для повышения прозрачности управления информационной инфраструктурой © 2002—2010, Digital Security 6
- 7. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №3: Применение шифрования 1. Криптографическая защита данных о держателях карт – это не только использование механизмов шифрования, но и применение безопасных процедур управления ключами 2. Процедуры управления ключами должны быть разработаны для каждого случая использования механизмов шифрования 3. Самые распространенные ошибки: • PAN в БД зашифрован, однако ключ шифрования лежит в открытом виде на диске • Забывание о физической безопасности ключевых носителей при хранении и передаче © 2002—2010, Digital Security 7
- 8. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №4: Удаленный доступ 1. Корректная реализация удаленного доступа не включает удаленный компьютер в область применения требований PCI DSS 2. Корректно настроенный удаленный доступ это: • Наличие DMZ, обособленной при помощи межсетевых экранов • Корректная настройка списков контроля доступа межсетевых экранов • Применение двухфакторной аутентификации удаленных пользователей • Криптографическая защита канала связи с удаленным узлом • Запрет на использование буфера обмена и сохранения данных на удаленный носитель © 2002—2010, Digital Security 8
- 9. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №5: Протоколирование событий 1. Корректная реализация требований по протоколированию событий включает в себя в том числе процедуры регулярного анализа журналов 2. Наиболее распространенной ошибкой является включение механизмов протоколирования всех систем «по-максимуму», как следствие: • Невозможность осмысленного анализа записей журналов • Проблемы с дисковым пространством для хранения файлов журналов © 2002—2010, Digital Security 9
- 10. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №6: Нормативная документация СМИБ 1. Процессом обеспечения безопасности необходимо управлять - эффективность системы менеджмента информационной безопасностью ничуть не менее важна, чем эффективность средств защиты 2. Аудитор хочет увидеть работающий на практике процесс, а не кипу бумаг, в которых «что-то было по этому вопросу» 3. Best Practice: воспользоваться методиками, описанными в ISO 27001 и СТО БР ИББС-1.0-2008 © 2002—2010, Digital Security 10
- 11. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №7: Компенсирующие меры 1. Условием возможности применения компенсирующей меры является невозможность выполнения требования стандарта PCI DSS в силу наличия обоснованных ограничений 2. Компенсирующая мера не должна являться выполнением другого требования стандарта 3. Компенсирующая мера должна снижать риск, против которого направлено требование стандарта, не менее эффективно, чем выполнение требования 4. Невыполнение требования о запрете хранения критичных аутентификационных данных (CVV2/CVC2, track, PIN/PIN-block) нельзя заменить никакой компенсирующей мерой 5. Компенсирующую меру следует рассматривать как временную меру, «заплатку», так как самый простой способ снизить риск описан в требовании стандарта, все остальные – заведомо сложнее © 2002—2010, Digital Security 11
- 12. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №8: Процесс сертификационного аудита 1. Аудитор оценивает выполнение требования исходя из: • Интервьюирования сотрудников • Анализа документации • Изучения конфигураций компонентов информационной инфраструктуры • Наблюдения за процессом 2. Аудитор собирает свидетельства о выполнении требований (записи, снимки экранов, копии документов) 3. Собранные свидетельства хранятся в QSA-компании в течение 3-х лет с момента аудита и могут быть запрошены и изучены Советом PCI SSC в рамках программы контроля качества аудита наряду с отчетными документами © 2002—2010, Digital Security 12
- 13. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 13