Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS

Секция 3
Область применимости требований PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-2 Определение области применимости стандарта PCI DSS

Требования стандарта PCI DSS применимы ко всем компонентам информационной
инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях
карт, а также смежным по отношению к ним информационным системам.

Смежная информационная система – это система, соединение с которой не защищено корректно
настроенным межсетевым экраном.


3-3 Данные о держателях карт

Вид Обозначение Определение
Номер, идентифицирующий платёжную карту,
Номер карты PAN
наносится на её лицевую сторону.
Имя и фамилия человека, которому банк предоставил
Имя держателя карты CHNAME право распоряжения платёжной картой, наносится на
её лицевую сторону.
Дата, при наступлении которой платёжная карта
Дата окончания
EXPDATE становится недействительна, наносится на её лицевую
срока действия карты
сторону.
Служебное значение, содержащееся на магнитной
Сервисный код SCODE
полосе (чипе) карты.
Содержимое магнитной Вся информация, содержащаяся на магнитной полосе
TRACK
полосы / чипа (чипе) карты.
Значение, используемое для авторизации платёжной
Проверочное значение CVV2 / CVC2 транзакции без считывания магнитной полосы (чипа)
карты, наносится на её оборотную сторону.
Значение, используемое для авторизации платёжной
ПИН-код
PIN и PINBLOCK транзакции на банкоматах и POS-терминалах, и его
и его шифрограмма
шифрограмма (ПИН-блок).


3-4 Категории данных о держателях карт

Категория Вид Правила хранения
При хранении следует применять один из методов
PAN
защиты согласно требованию 3.4 стандарта PCI DSS.

Данные о держателях CHNAME
карт (ДДК)
EXPDATE Разрешается хранить.

SCODE

TRACK
Критичные
CVV2 / CVC2 Запрещается хранить после авторизации транзакции,
аутентификационные
даже в зашифрованном виде.
данные (КАД)
PIN и PINBLOCK


3-5 Информационная инфраструктура организации
Информационная инфраструктура – это разделяемый развивающийся гетерогенный парк
информационно-технологических возможностей, построенный на открытых стандартизованных
интерфейсах.*

* – определение информационной инфраструктуры взято из публикации «Theorizing about the
Design of Information Infrastructures: Design Kernel Theories and Principles», O. Hanseth, K. Lyytinen.

3-6 Описание информационной инфраструктуры
Информационная инфраструктура может быть описана следующими тремя элементами*:

1. Перечень компонентов информационной инфраструктуры по уровням:
• приложения;
• хранилища данных (базы данных и плоские файлы);
• компьютеры;
• активное сетевое оборудование;

2. Схема сетевой инфраструктуры;

3. Схема потоков данных (прикладной инфраструктуры).

* – согласно официальной процедуре QSA-аудита, утвержденной Советом PCI SSC, каждый Отчет о
Соответствии (Report on Compliance, ROC) должен содержать в себе все три элемента описания
информационной инфраструктуры организации в рамках области аудита: перечень компонентов,
схему сети и схему потоков данных.


3-7 Инфраструктура банка (упрощенная) – схема сети


3-8 Инфраструктура банка (упрощенная) – компоненты

Приложения
На каком компьютере PA-
Название Какие хранилища использует
установлено DSS
• Сервер приложений
Карточный фронт-офис • БД карточного фронт-офиса +
карточного фронт-офиса
• БД карточного бэк-офиса
• Сервер приложений
Карточный бэк-офис • Сетевая папка на сервере +
карточного бэк-офиса
приложений карточного бэк-офиса
АБС • Сервер приложений АБС • БД АБС -
• Веб-сервер Интернет-
Интернет-банк • БД Интернет-банка -
банка
Приложение для • Компьютер для
• БД карточного бэк-офиса +
выпуска карт персонализации карт



Хранилища данных
На каком компьютере
Тип Название Какие ДДК хранит
установлено
Сервер БД
БД БД карточного фронт-офиса PAN
карточного фронт-офиса
БД Сервер БД
БД карточного бэк-офиса PAN
БД
БД АБС Сервер БД АБС -

БД
БД Интернет-банка Сервер БД Интернет-банка PAN

Сетевая папка на сервере
Сервер приложений
Файлы приложений карточного PAN
бэк-офиса



Компьютеры
Название IP-интерфейсы ОС
Сервер приложений карточного фронт-офиса 10.10.8.2 Windows Server 2008
Сервер приложений карточного бэк-офиса 10.10.8.4 Windows Server 2008
Сервер приложений АБС 10.10.8.6 Red Hat Enterprise Linux 6
Веб-сервер Интернет-банка 192.168.110.8 Red Hat Enterprise Linux 6
Сервер БД карточного фронт-офиса 10.10.8.3 Windows Server 2008
Сервер БД карточного бэк-офиса 10.10.8.5 Windows Server 2008
Сервер БД АБС 10.10.8.7 Red Hat Enterprise Linux 6
Сервер БД Интернет-банка 192.168.110.9 Red Hat Enterprise Linux 6
Рабочая станция 1 192.168.110.101 Windows 7 Professional
Рабочая станция 2 192.168.110.102 Windows 7 Professional
Компьютер для персонализации карт 10.10.8.15 Windows 7 Professional
HSM 1 10.10.8.11 -
HSM 2 10.10.8.12 -



Активное сетевое оборудование
Название IP-интерфейсы Модель
LAN
10.10.8.251
Маршрутизатор 1 Cisco 2800 Series
WAN white IP
x.x.x.x
LAN
10.10.8.252
LAN
Маршрутизатор 2 Cisco ASA 5500 Series
192.168.110.252
WAN white IP
y.y.y.y


3-12 Инфраструктура банка (упрощенная) – потоки ДДК


3-13 Область применимости PCI DSS в инфраструктуре банка

Голубым цветом отмечены компоненты,
обрабатывающие, хранящие и передающие ДДК


3-14 Область аудита PCI DSS
Согласно требованиям международных платежных систем требования стандарта PCI DSS
распространяются на все компоненты информационной инфраструктуры, обрабатывающие,
хранящие или передающие данные о держателях карт.

Область аудита – это совокупность компонентов информационной инфраструктуры, включенных в
процесс оценки соответствия PCI DSS в рамках выполнения ISA- или QSA-аудита или заполнения
листа самооценки SAQ.

В большинстве случаев область аудита совпадает с областью применимости PCI DSS.

Исключением из этого правила являются банки, обладающие собственной как эквайринговой, так
и эмиссионной инфраструктурой. На момент 2012 года для них существует неофициальное
правило МПС Visa и MasterCard, гласящее, что приводить в соответствие требованиям PCI DSS
следует как эквайринговую, так и эмиссионную инфраструктуру, однако при этом в область
сертификационного аудита входит только эквайринговая часть. Эмиссионная инфраструктура
может быть включена в область аудита по желанию эмитента (это приветствуется) или по
отдельному требованию международной платежной системы*.

* – эта информация получена в октябре 2010 года в ходе ежегодного мероприятия PCI SSC
European Community Meeting 2010 от главы службы безопасности МПС Visa Europe – Шейна Болфе
(Shane Balfe) и вице-президента по безопасности МПС MasterCard Майкла Грина (Michael Green).


3-15 Инфраструктура банка (упрощенная) – потоки ДДК - эмиссия


3-16 Область аудита PCI DSS в инфраструктуре банка

Желтым цветом отмечены компоненты, обрабатывающие,
хранящие и передающие только эмиссионные (свои) ДДК


3-17 Смежные информационные системы в инфраструктуре банка

Красным цветом отмечены компоненты, относящиеся к
смежным информационным системам


3-18 Потоки ДДК между участниками процесса эквайринга


3-19 Платежный шлюз – схема сети (упрощенная)


3-20 Платежный шлюз – потоки ДДК


3-21 Платежный шлюз – область применимости PCI DSS



3-22 Интернет-магазин – схема сети

Этот Интернет-магазин принимает ДДК на своем сайте


3-23 Интернет-магазин – потоки ДДК



3-24 Интернет-магазин – область применимости PCI DSS




3-25 Розничный магазин – схема сети


3-26 Розничный магазин – потоки ДДК


3-27 Розничный магазин – область применимости PCI DSS



Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS

More Related Content

Similar to Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS (20)

Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS