SlideShare a Scribd company logo

Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS

Download as PPTX, PDF
Deiteriy Co. Ltd., profile picture
Deiteriy Co. Ltd.

Документ представляет обзор стандарта PCI DSS, который регулирует безопасность данных в индустрии платежных карт. Описываются ключевые понятия, роли участников процесса, а также требования к безопасности для поставщиков услуг и торгово-сервисных предприятий. Стандарт включает 288 проверочных процедур, распределённых по двенадцати разделам, и требует регулярного подтверждения соответствия.

Technology
Related topics:
PCI DSS Training
1 of 35
Downloaded 32 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Секция 1 Обзор стандарта PCI DSS
1-2 Индустрия платежных карт © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Банк-эквайер – банк, предоставляющий услуги эквайринга. Банк-эмитент – банк, выпустивший платежную карту. Международная платежная система (МПС) – сообщество банков, установившее правила обращения платежных карт (Visa, MasterCard, American Express, Discovery, JCB). Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций. Примерами поставщиков услуг являются банки-эмитенты, банки-эквайеры, платежные шлюзы, хостинг-провайдеры. Торгово-сервисное предприятие (ТСП) – организация, принимающая платежные карты к оплате за товары и услуги. Эквайринг – процесс приема платежных карт к оплате за товары и услуги. Различают банкоматный (Automated Teller Machine, ATM) эквайринг – выдачу наличных по платежной карте с использованием банкомата, торговый (Point of Sale, POS) эквайринг – прием платежных карт к оплате за товары и услуги торгово-сервисных предприятий с использованием POS-терминалов и Интернет-эквайринг – прием платежных карт к оплате за товары и услуги с использованием средств электронной коммерции. Эмиссия – процесс выпуска (персонализации) платежных карт.
1-3 Эмиссия платежных карт МПС Visa и MasterCard © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-4 Две стадии эквайринга по картам МПС Visa и MasterCard © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-5 Авторизация – шаг 1 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-6 Авторизация – шаг 2 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-7 Авторизация – шаг 3 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-8 Авторизация – шаг 4 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-9 Авторизация – шаг 5 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-10 Авторизация – шаг 6 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-11 Авторизация – шаг 7 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-12 Авторизация – шаг 8 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-13 Клиринг и взаиморасчет – шаг 1 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-14 Клиринг и взаиморасчет – шаг 2 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-15 Клиринг и взаиморасчет – шаг 3 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-16 Клиринг и взаиморасчет – шаг 4 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-17 Клиринг и взаиморасчет – шаг 5 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-18 Клиринг и взаиморасчет – шаг 6 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-19 Клиринг и взаиморасчет – шаг 7 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-20 Банки-принципалы и аффилированные банки © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-21 Платежные шлюзы © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-22 Поставщики услуг и торгово-сервисные предприятия © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-23 Распределение ответственности за безопасность данных © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
1-24 Стандарты безопасности данных индустрии платежных карт © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS. Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт. Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).
1-25 Стандарт PCI DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Объект применения: организация, в информационной инфраструктуре которой хранятся, обрабатываются или передаются данные о держателях карт. Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover). Критерий соответствия: выполнение 100% применимых к организации требований стандарта. Способ подтверждения соответствия: определяется международной платежной системой и банком-эквайером отдельно для разных типов организаций. Регулярность подтверждения соответствия: ежегодно.
1-26 Стандарт PCI PA-DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Объект применения: приложение, которое хранит, обрабатывает или передает данные о держателях карт (платежное приложение), а также процесс его разработки. Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в процессе авторизации транзакции или выполнения взаиморасчетов. Не применим к приложениям, разработанным самостоятельно для собственных нужд, а также к приложениям, разработанным на заказ для одного заказчика. Критерий соответствия: выполнение 100% применимых к приложению требований стандарта. Способ подтверждения соответствия: проверка безопасности приложения аудиторской организацией (PA-QSA), сертифицированной Советом PCI SSC. Регулярность подтверждения соответствия: ежегодно, способ зависит от значимости обновлений приложения с точки зрения безопасности обработки карточных данных.
1-27 Структура стандарта PCI DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стандарт PCI DSS актуальной на 2012 год версии 2.0 содержит в себе 288 проверочных процедур, распределенных по двенадцати разделам: 1. Защита вычислительной сети. 2. Конфигурация компонентов информационной инфраструктуры. 3. Защита хранимых данных о держателях карт. 4. Защита передаваемых данных о держателях карт. 5. Антивирусная защита информационной инфраструктуры. 6. Разработка и поддержка информационных систем. 7. Управление доступом к данным о держателях карт. 8. Механизмы аутентификации. 9. Физическая защита информационной инфраструктуры. 10. Протоколирование событий и действий. 11. Контроль защищенности информационной инфраструктуры. 12. Управление информационной безопасностью.
1-28 Способы подтверждения соответствия стандарту PCI DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ) Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. В ходе проверки ISA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. Сбор свидетельств выполнения требований стандарта не требуется. По результатам QSA подготавливает Отчет о Соответствии (Report on Compliance, ROC). По результатам ISA подготавливает Отчет о Соответствии (Report on Compliance, ROC). Отчетным документом является самостоятельно заполненный лист самооценки SAQ.
1-29 Обязательные независимые проверки защищенности © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Проверка Описание Требование 11.2 PCI DSS Внешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV) Выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC. Сканированию подлежат все внешние IP-интерфейсы информационной инфраструктуры в рамках области применимости требований стандарта PCI DSS. Требование 11.3 PCI DSS Внешнее и внутреннее тестирование на проникновение (pentest) Выполняется ежегодно независимым поставщиком услуг тестирования на проникновение. Тестирование должно выполняться на уровне сети и на уровне приложений, как извне, так и изнутри области применимости требований стандарта PCI DSS. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом.
1-30 Контроль защищенности внешних веб-приложений © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Проверка Описание Требование 6.6 PCI DSS Контроль защищенности внешних (публичных) веб- приложений Существует три варианта выполнения требования: • сканирование уязвимостей приложения при помощи специализированного сканера безопасности веб- приложений; • аудит защищенности веб-приложений вручную экспертами, специализирующимися на безопасности веб- приложений. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом; • установка перед веб-приложением межсетевого экрана прикладного уровня (Web Application Firewall, WAF).
1-31 Уровни и требования международных платежных систем © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год. Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг. В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт. Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы.
1-32 Классификация Visa, торгово-сервисные предприятия © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 6 млн. транзакций в год, или • решение Visa о назначении уровня 1 • QSA или ISA ежегодно • ASV ежеквартально 2 • обработка от 1 до 6 млн. транзакций в год • SAQ ежегодно • ASV ежеквартально 3 • обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции • SAQ ежегодно • ASV ежеквартально 4 • обработка до 20 тыс. транзакций в год с применением электронной коммерции, или до 1 млн. транзакций в год иным способом • SAQ ежегодно (рекомендовано) • ASV ежеквартально (если применимо)
1-33 Классификация MasterCard, торгово-сервисные предприятия © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 6 млн. транзакций в год, или • решение MasterCard о назначении уровня 1, или • уровень 1 согласно критериям Visa, или • компрометация карточных данных • QSA или ISA ежегодно • ASV ежеквартально 2 • обработка от 1 до 6 млн. транзакций в год, или • уровень 2 согласно критериям Visa • QSA или ISA ежегодно • ASV ежеквартально 3 • обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции, или • уровень 3 согласно критериям Visa • SAQ ежегодно • ASV ежеквартально 4 • все остальные • SAQ ежегодно • ASV ежеквартально
1-34 Классификация Visa, поставщики услуг © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 300 тыс. транзакций в год*, или • процессинг, напрямую подключенный к VisaNet (через VisaNet Extended Access Server, VEAS), (VNP),независимо от количества транзакций • QSA ежегодно • ASV ежеквартально 2 • обработка менее 300 тыс. транзакций в год • SAQ ежегодно • ASV ежеквартально * - суммарное количество транзакций по картам Visa или суммарное количество карт Visa, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.
1-35 Классификация MasterCard, поставщики услуг © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 300 тыс. транзакций в год*, или • внешний процессинг (Third Party Processor, TPP), независимо от количества транзакций • QSA ежегодно • ASV ежеквартально 2 • обработка менее 300 тыс. транзакций в год • SAQ ежегодно • ASV ежеквартально * - суммарное количество транзакций по картам MasterCard или суммарное количество карт MasterCard, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.

More Related Content

PPTX
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Deiteriy Co. Ltd.
 
PPTX
Cloud Credit Card Processing Kaznachey
Andrey Golovchenko
 
PDF
приватбанкинг 2011
Sergey Nagornyuk
 
PDF
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
Банковское обозрение
 
PDF
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
PPTX
Соблюдение интересов банка при внедрении стандарта PCI DSS
Deiteriy Co. Ltd.
 
PPTX
PCI Compliance (for developers)
Maksim Djackov
 
PDF
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Deiteriy Co. Ltd.
 
Cloud Credit Card Processing Kaznachey
Andrey Golovchenko
 
приватбанкинг 2011
Sergey Nagornyuk
 
Лелюк Максим, Заместитель генерального директора «Д2 Страхование»: «ЦФТ -Стра...
Банковское обозрение
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
Соблюдение интересов банка при внедрении стандарта PCI DSS
Deiteriy Co. Ltd.
 
PCI Compliance (for developers)
Maksim Djackov
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Denis Bezkorovayny
 

Viewers also liked (7)

PDF
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
 
PPTX
Trustwave: Введение в практику PCI DSS
arogozhin
 
PPTX
Мобильный доступ к АБС с точки зрения СТО БР ИББС
Cisco Russia
 
PPTX
Myths and realities of data security and compliance - Isaca Alanta - ulf matt...
Ulf Mattsson
 
PPTX
PCI Compliance in the Cloud
Kimberly Simon MBA
 
PDF
How the latest trends in data security can help your data protection strategy...
Ulf Mattsson
 
PPTX
PCI DSS 3.2 - Business as Usual
Kimberly Simon MBA
 
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
 
Trustwave: Введение в практику PCI DSS
arogozhin
 
Мобильный доступ к АБС с точки зрения СТО БР ИББС
Cisco Russia
 
Myths and realities of data security and compliance - Isaca Alanta - ulf matt...
Ulf Mattsson
 
PCI Compliance in the Cloud
Kimberly Simon MBA
 
How the latest trends in data security can help your data protection strategy...
Ulf Mattsson
 
PCI DSS 3.2 - Business as Usual
Kimberly Simon MBA
 
Ad

Similar to Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS (20)

PDF
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
PPTX
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
 
PDF
1 vliyanie pci dss na business-processy
Informzaschita
 
PPTX
PCI DSS: введение, состав и достижение
Alex Babenko
 
PDF
Программа курса "Защита информации в НПС"
Aleksey Lukatskiy
 
PDF
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
PDF
2can получил сертификат безопасности PCI DSS
2can
 
PDF
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
PPT
Iso25999
Nyukers
 
PPTX
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
PPT
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
 
PPTX
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
 
PPT
введение в проблематику Pa dss
Informzaschita
 
PPTX
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
GlobalLogic Ukraine
 
PDF
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
PDF
Вебинар PCI DSS 14.10.14
DialogueScience
 
PDF
2.pci dss eto nujno znat
Informzaschita
 
PDF
Протокол 3-D Secure
Виктор Носов
 
PDF
Постановление правительства №313 от 16.04.2012
Alexey Komarov
 
PDF
Законодательство РФ в области Национальной платежной системы
КРОК
 
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
 
1 vliyanie pci dss na business-processy
Informzaschita
 
PCI DSS: введение, состав и достижение
Alex Babenko
 
Программа курса "Защита информации в НПС"
Aleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
2can получил сертификат безопасности PCI DSS
2can
 
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Iso25999
Nyukers
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
 
введение в проблематику Pa dss
Informzaschita
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
GlobalLogic Ukraine
 
Реализация требований по защите информации в соответствии с положением Банка ...
DialogueScience
 
Вебинар PCI DSS 14.10.14
DialogueScience
 
2.pci dss eto nujno znat
Informzaschita
 
Протокол 3-D Secure
Виктор Носов
 
Постановление правительства №313 от 16.04.2012
Alexey Komarov
 
Законодательство РФ в области Национальной платежной системы
КРОК
 
Ad

Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS

  • 1. © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Секция 1 Обзор стандарта PCI DSS
  • 2. 1-2 Индустрия платежных карт © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Банк-эквайер – банк, предоставляющий услуги эквайринга. Банк-эмитент – банк, выпустивший платежную карту. Международная платежная система (МПС) – сообщество банков, установившее правила обращения платежных карт (Visa, MasterCard, American Express, Discovery, JCB). Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций. Примерами поставщиков услуг являются банки-эмитенты, банки-эквайеры, платежные шлюзы, хостинг-провайдеры. Торгово-сервисное предприятие (ТСП) – организация, принимающая платежные карты к оплате за товары и услуги. Эквайринг – процесс приема платежных карт к оплате за товары и услуги. Различают банкоматный (Automated Teller Machine, ATM) эквайринг – выдачу наличных по платежной карте с использованием банкомата, торговый (Point of Sale, POS) эквайринг – прием платежных карт к оплате за товары и услуги торгово-сервисных предприятий с использованием POS-терминалов и Интернет-эквайринг – прием платежных карт к оплате за товары и услуги с использованием средств электронной коммерции. Эмиссия – процесс выпуска (персонализации) платежных карт.
  • 3. 1-3 Эмиссия платежных карт МПС Visa и MasterCard © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 4. 1-4 Две стадии эквайринга по картам МПС Visa и MasterCard © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 5. 1-5 Авторизация – шаг 1 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 6. 1-6 Авторизация – шаг 2 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 7. 1-7 Авторизация – шаг 3 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 8. 1-8 Авторизация – шаг 4 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 9. 1-9 Авторизация – шаг 5 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 10. 1-10 Авторизация – шаг 6 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 11. 1-11 Авторизация – шаг 7 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 12. 1-12 Авторизация – шаг 8 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 13. 1-13 Клиринг и взаиморасчет – шаг 1 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 14. 1-14 Клиринг и взаиморасчет – шаг 2 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 15. 1-15 Клиринг и взаиморасчет – шаг 3 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 16. 1-16 Клиринг и взаиморасчет – шаг 4 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 17. 1-17 Клиринг и взаиморасчет – шаг 5 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 18. 1-18 Клиринг и взаиморасчет – шаг 6 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 19. 1-19 Клиринг и взаиморасчет – шаг 7 © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 20. 1-20 Банки-принципалы и аффилированные банки © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 21. 1-21 Платежные шлюзы © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 22. 1-22 Поставщики услуг и торгово-сервисные предприятия © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 23. 1-23 Распределение ответственности за безопасность данных © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
  • 24. 1-24 Стандарты безопасности данных индустрии платежных карт © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS. Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт. Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки. Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).
  • 25. 1-25 Стандарт PCI DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Объект применения: организация, в информационной инфраструктуре которой хранятся, обрабатываются или передаются данные о держателях карт. Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover). Критерий соответствия: выполнение 100% применимых к организации требований стандарта. Способ подтверждения соответствия: определяется международной платежной системой и банком-эквайером отдельно для разных типов организаций. Регулярность подтверждения соответствия: ежегодно.
  • 26. 1-26 Стандарт PCI PA-DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Объект применения: приложение, которое хранит, обрабатывает или передает данные о держателях карт (платежное приложение), а также процесс его разработки. Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в процессе авторизации транзакции или выполнения взаиморасчетов. Не применим к приложениям, разработанным самостоятельно для собственных нужд, а также к приложениям, разработанным на заказ для одного заказчика. Критерий соответствия: выполнение 100% применимых к приложению требований стандарта. Способ подтверждения соответствия: проверка безопасности приложения аудиторской организацией (PA-QSA), сертифицированной Советом PCI SSC. Регулярность подтверждения соответствия: ежегодно, способ зависит от значимости обновлений приложения с точки зрения безопасности обработки карточных данных.
  • 27. 1-27 Структура стандарта PCI DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Стандарт PCI DSS актуальной на 2012 год версии 2.0 содержит в себе 288 проверочных процедур, распределенных по двенадцати разделам: 1. Защита вычислительной сети. 2. Конфигурация компонентов информационной инфраструктуры. 3. Защита хранимых данных о держателях карт. 4. Защита передаваемых данных о держателях карт. 5. Антивирусная защита информационной инфраструктуры. 6. Разработка и поддержка информационных систем. 7. Управление доступом к данным о держателях карт. 8. Механизмы аутентификации. 9. Физическая защита информационной инфраструктуры. 10. Протоколирование событий и действий. 11. Контроль защищенности информационной инфраструктуры. 12. Управление информационной безопасностью.
  • 28. 1-28 Способы подтверждения соответствия стандарту PCI DSS © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ) Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. В ходе проверки ISA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет. Сбор свидетельств выполнения требований стандарта не требуется. По результатам QSA подготавливает Отчет о Соответствии (Report on Compliance, ROC). По результатам ISA подготавливает Отчет о Соответствии (Report on Compliance, ROC). Отчетным документом является самостоятельно заполненный лист самооценки SAQ.
  • 29. 1-29 Обязательные независимые проверки защищенности © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Проверка Описание Требование 11.2 PCI DSS Внешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV) Выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC. Сканированию подлежат все внешние IP-интерфейсы информационной инфраструктуры в рамках области применимости требований стандарта PCI DSS. Требование 11.3 PCI DSS Внешнее и внутреннее тестирование на проникновение (pentest) Выполняется ежегодно независимым поставщиком услуг тестирования на проникновение. Тестирование должно выполняться на уровне сети и на уровне приложений, как извне, так и изнутри области применимости требований стандарта PCI DSS. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом.
  • 30. 1-30 Контроль защищенности внешних веб-приложений © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Проверка Описание Требование 6.6 PCI DSS Контроль защищенности внешних (публичных) веб- приложений Существует три варианта выполнения требования: • сканирование уязвимостей приложения при помощи специализированного сканера безопасности веб- приложений; • аудит защищенности веб-приложений вручную экспертами, специализирующимися на безопасности веб- приложений. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом; • установка перед веб-приложением межсетевого экрана прикладного уровня (Web Application Firewall, WAF).
  • 31. 1-31 Уровни и требования международных платежных систем © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год. Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг. В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт. Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы.
  • 32. 1-32 Классификация Visa, торгово-сервисные предприятия © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 6 млн. транзакций в год, или • решение Visa о назначении уровня 1 • QSA или ISA ежегодно • ASV ежеквартально 2 • обработка от 1 до 6 млн. транзакций в год • SAQ ежегодно • ASV ежеквартально 3 • обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции • SAQ ежегодно • ASV ежеквартально 4 • обработка до 20 тыс. транзакций в год с применением электронной коммерции, или до 1 млн. транзакций в год иным способом • SAQ ежегодно (рекомендовано) • ASV ежеквартально (если применимо)
  • 33. 1-33 Классификация MasterCard, торгово-сервисные предприятия © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 6 млн. транзакций в год, или • решение MasterCard о назначении уровня 1, или • уровень 1 согласно критериям Visa, или • компрометация карточных данных • QSA или ISA ежегодно • ASV ежеквартально 2 • обработка от 1 до 6 млн. транзакций в год, или • уровень 2 согласно критериям Visa • QSA или ISA ежегодно • ASV ежеквартально 3 • обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции, или • уровень 3 согласно критериям Visa • SAQ ежегодно • ASV ежеквартально 4 • все остальные • SAQ ежегодно • ASV ежеквартально
  • 34. 1-34 Классификация Visa, поставщики услуг © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 300 тыс. транзакций в год*, или • процессинг, напрямую подключенный к VisaNet (через VisaNet Extended Access Server, VEAS), (VNP),независимо от количества транзакций • QSA ежегодно • ASV ежеквартально 2 • обработка менее 300 тыс. транзакций в год • SAQ ежегодно • ASV ежеквартально * - суммарное количество транзакций по картам Visa или суммарное количество карт Visa, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.
  • 35. 1-35 Классификация MasterCard, поставщики услуг © ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com Уровень Критерии Подтверждение соответствия PCI DSS 1 • обработка более 300 тыс. транзакций в год*, или • внешний процессинг (Third Party Processor, TPP), независимо от количества транзакций • QSA ежегодно • ASV ежеквартально 2 • обработка менее 300 тыс. транзакций в год • SAQ ежегодно • ASV ежеквартально * - суммарное количество транзакций по картам MasterCard или суммарное количество карт MasterCard, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.