Управление соответствием PCI DSS - Секция 4 - Сужение области применимости

Секция 4
Сужение области применимости стандарта PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

4-2 Сужение области применимости PCI DSS

Уменьшение количества компонентов информационной инфраструктуры организации, на
которые распространяются требования стандарта PCI DSS, оказывает благотворное влияние:

• повышает уровень защищенности данных о держателях карт вследствие уменьшения
количества потенциально уязвимых бизнес-процессов, приложений, хранилищ
данных, компьютеров и сетевых устройств;

• снижает затраты на обеспечение безопасности данных о держателях карт и выполнение
требований стандарта PCI DSS.


4-3 Методы сужения области применимости PCI DSS

Уменьшить размер области применимости требований PCI DSS можно следующими способами:

• избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет
непосредственной необходимости с точки зрения бизнеса;

• шифровать хранимые и передаваемые данные о держателях карт, исходя из того, что отсутствие
актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие
доступа к самим данным;

• отделить смежные информационные системы, не участвующие в обработке, хранении и
передаче данных о держателях карт, корректно настроенными межсетевыми экранами;

• применить токенизацию – заменить данные о держателях карт при обработке их уникальными
идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив
корреляцию между исходными данными и используемым токеном.


4-4 Область применимости PCI DSS в инфраструктуре банка

- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы


4-5 Потоки ДДК в инфраструктуре банка

- потоки ДДК эквайринга - потоки ДДК эмиссии


4-6 Шаг 1 - избежать обработки, хранения и передачи ДДК

Согласно бизнес-
требованиям
рассматриваемого банка,
приложение Интернет-
банка может оперировать
маскированными
значениями PAN

Можно
организовать
терминальный
доступ к ДДК
(тонкий клиент)


4-7 Шаг 1 - избежать обработки, хранения и передачи ДДК

- потоки ДДК эквайринга - потоки ДДК эмиссии - не ДДК


4-8 Шаг 2 - шифровать передаваемые ДДК

Можно
зашифровать канал
связи для тонкого
клиента (например,
использовать VPN)

- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде


4-9 Шаг 2 - шифровать передаваемые ДДК

- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде


4-10 Результат выполнения шагов 1 и 2



4-11 Шаг 3 - отделить смежные информационные системы

Приложение и БД
АБС можно
выделить в
отдельный
сегмент сети

Теперь ничто не мешает
отделить сегмент 192.168.110.x
межсетевым экраном на
Маршрутизаторе 2



4-12 Результат выполнения шага 3

- обработка ДДК эквайринга - обработка ДДК эмиссии


4-13 Результат сужения области применимости PCI DSS в банке

- обработка ДДК эквайринга - обработка ДДК эмиссии


4-14 Область применимости PCI DSS в розничном магазине


4-15 Потоки ДДК в розничном магазине


4-16 Применение токенизации

Согласно бизнес-
требованиям
рассматриваемого
магазина, ERP-система
может оперировать
уникальными
идентификаторами
клиентов вместо PAN



- обработка ДДК эквайринга - смежные системы


4-19 Применение сегментации

ERP-систему и рабочую
станцию можно
выделить в отдельный
сегмент сети

- обработка ДДК эквайринга - смежные системы


4-20 Применение сегментации

- обработка ДДК эквайринга


4-21 Результат сужения области применимости PCI DSS в магазине

- обработка ДДК эквайринга


Управление соответствием PCI DSS - Секция 4 - Сужение области применимости

More Related Content

Viewers also liked (7)

Similar to Управление соответствием PCI DSS - Секция 4 - Сужение области применимости (6)

Управление соответствием PCI DSS - Секция 4 - Сужение области применимости