SlideShare a Scribd company logo

Trustwave: Введение в практику PCI DSS

A
arogozhin

Документ представляет собой введение в практику PCI DSS, освещая историю его развития и ключевые требования к безопасности данных держателей карт. Он описывает экосистему сертификации, территориальные стандарты, цели и задачи PCI Security Standards Council, а также необходимые меры для обеспечения соответствия. В документе также затрагиваются программы соответствия различных платежных систем и основные требования PCI DSS.

Technology
1 of 35
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Введение в практику PCI DSSFrom: Андрей Рогожин, PCI-QSADate: 02 апреля 2011 г.
ОбзорИстория развития PCI DSSЭкосистема сертификации PCI DSSТребования платежных систем по подтверждению соответствияТребования PCI DSSСтатистика несоответствий и инцидентовОткрытое обсуждение
История развития PCI DSSСередина 90-х: разрозненные стандарты защиты конфиденциальной платежной информации в разных регионах и платежных системахИюнь 2001: Visa Cardholder Information Security Program (CISP), CISP Security Audit Procedures версии 1.0Март 2004: Совместное сотрудничество Visa и MasterCard,CISP Security Audit Procedures версии 2.3Декабрь 2004: PCI DSS версии 1.0Сентябрь 2006: Основание Payment Card Industry Security Standards Council (PCI SSC), PCI DSS версии 1.1Октябрь 2008: PCI DSS версии 1.2Август 2009: Обновление PCI DSS 1.2.1Октябрь 2010: PCI DSS версии 2.0
Что такое PCI SSC?Независимая отраслевая организация, ответственная за развитие и управление стандартами безопасности индустрии платежных картОснователи: American Express, Discover Financial, JCB, MasterCard Worldwide, Visa Inc.Цели PCI Security Standards Council:Обновление и управление жизненным циклом стандартовПовышение уровня защищенности платежной информацииПродвижение стандартов и повышение осведомленностиОбеспечение участия заинтересованных сторонАккредитация и проверка ASV/QSA/PA-QSA и PED LabsВыступать в качестве единого представителя индустрии
Ресурсы, предоставляемые PCI SSCPCI DSS, PCI PTS, PCI PA-DSS иподдерживающие документыPCI SSC FAQsОбучение и поддержкаЧленство для организаций-участников, проведение собраний, обратная связьСписки QSA, ASV, PA-QSA, сертифицированных платежных приложений и устройств PEDhttps://www.pcisecuritystandards.org
Стандарты индустрии платежных картЗащита платежной информации держателей картТорговые организациии провайдерыPCI DSSСтандартбезопасностиданныхРазработчики ПОPCI PA-DSSПлатежныеприложенияПроизводителиPCI PTSУстройства для ввода PIN-кодаБезопасностьиндустрии платежныхкарт & соответствиеЭкосистема платежных устройств, приложений, инфраструктуры и пользователей
Стандарты индустрии платежных картPCIPTSрегламентирует защиту от физического вмешательства, криптографические процессы, и другие средства защиты PIN-кодаЗашифрованный PIN-код передается в платежные приложения или терминалыPCI PA-DSS регламентирует безопасность платежных приложений для совметимости с требованиями PCI DSSПлатежное приложение получает карточные данные из устройств PED или других источников и инициирует тразакциюPCI DSSрегламентирует безопасноть систем и сетей хранящих, обрабатывающих или передающих карточные данныеСистемы и сети получают карточные данные из платежных приложений или других источников
PCI DSSPCIDSSраспростаняется на любую организацию, которая хранит, обрабатывает или передает карточные данныеРеграментирует безопасноть любых системных компонентов, входящих в среду или подключенных к среде обработки карточных данных торговой организации или сервис-провайдераВзаимосвязь PTSи PCI DSSPCI DSS запрещает хранение зашифрованных PIN-блоковТребования не пересекаютсяВзаимосвязь PA-DSSи PCI DSSПлатежные приложения должны быть совместимы с требованиями PCI DSS, а не нарушать ихТребования PCI DSS повторяются во многих требованиях к платежным приложениям PA-DSS
Программы соответствия платежных системКаждая из платежных систем разрабатывает и поддерживает свою программу соответствия PCI DSS в соотвествии со своей политикой управления рискамиAmerican Express: Data Security Operating Policy (DSOP)Discover: Discover Information Security Compliance (DISC)JCB: Data Security ProgramMasterCard: Site Data Protection (SDP)Visa США: Cardholder Information Security Program (CISP)Другие регионы Visa: программа Account Information Security (AIS)
Программы соответствия платежных системПрограммы соответствия платежных систем включают:Отслеживание и принудительное применениеШтрафы, комисии, сроки подтверждения соответствияПроцедуры подтверждения соответствия и критерии тех организаций, для которых обязательно подтверждение соотвествияУтверждение и публикацию списка организаций, подтвердивших соответствиеКритерии деления организаций на уровниПлатежные системы также ответственны за проведение расследований и принятие ответных мер в случае утечек карточных данных
Критерии Visa AIS (CEMEA) для торговых организаций
Требования Visa AIS (CEMEA) для торговых организаций
PCI DSS: 6 целей, 12 требованийЦели и требования PCI DSSВнедрить и поддерживать безопасную сетевую средуInstall and maintain a firewall configuration to protect cardholder dataDo not use vendor-supplied defaults for system passwords and other security parametersProtect stored cardholder dataEncrypt transmission of cardholder data across open, public networksЗащитить карточные данныеПоддерживать программу управления уязвимостямиUse and regularly update anti-virus software or programsDevelop and maintain secure systems and applicationsВнедрить усиленные средства контроля доступаRestrict access to cardholder data by business need-to-knowAssign a unique ID to each person with computer accessRestrict physical access to cardholder dataПериодический мониторинг и тестирование сетевой средыTrack and monitor all access to network resources and cardholder dataRegularly test security systems and processesПоддерживать Политику ИБMaintain a policy that addresses information security for employees and contractors
PCI DSS Requirement 1Install and maintain a firewall configuration to protect cardholder dataУстановить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт
PCI DSS Requirement 2Do not use vendor-supplied defaults for system passwords and other security parametersНе использовать пароли и другие системные параметры, заданные производителем по умолчанию
PCI DSS Requirement 3Protect stored cardholder dataОбеспечить безопасное хранение данных о держателях карт
PCI DSS Requirement 4Encrypt transmission of cardholder data across open, public networksОбеспечить шифрование данных о держателях карт при их передаче через сети общего пользования
PCI DSS Requirement 5Use and regularly update anti-virus software or programsИспользовать и регулярно обновлять антивирусное программное обеспечение
PCI DSS Requirement 6Develop and maintain secure systems and applicationsРазрабатывать и поддерживать безопасные системы и приложения
PCI DSS Requirement 7Restrict access to cardholder data by business need to knowОграничить доступ к данным о держателях карт в соответствии со служебной необходимостью
PCI DSS Requirement 8Assign a unique ID to each person with computer accessНазначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре
PCI DSS Requirement 9Restrict physical access to cardholder dataОграничить физический доступ к данным о держателях карт
PCI DSS Requirement 10Track and monitor all access to network resources and cardholder dataОтслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт
PCI DSS Requirement 11Regularly test security systems and processesРегулярно выполнять тестирование систем и процессов обеспечения безопасности
PCI DSS Requirement 12Maintain a policy that addresses information security for all personnelПоддерживать политику информационной безопасности, охватывающую всех сотрудников
О компании TrustwaveПровайдер услуг управляемой ИБ (более1400 клиентских устройствпод управлением)
Обрабатывает более 18 миллионов событий ИБ каждый день
Один из 10 крупнейших Центров Сертификации (Certificate Authority), выпустивший более 40 тысяч SSL-сертификатов
Выполнено более 4 тысяч тестов на проникновение сетевого и прикладного уровня
Проведено более 740 официальных расследований инцидентов ИБ
Образцовая работа по приведению в соответстие стандартам HIPAA, GLBA, SOX, ISO серии 27000
Лидер PCI DSS–Trustwave сертифицировано 42% сервис-провайдеров и 40% платежных приложений
Обладает всеми необходимыми для работе в области PCI статусами: QSA (2002); ASV (2003); PA-QSA (2005); QIRA (2005)Trustwave Global Security Report 2011
Основные несоответствия PCI DSSДанные по расследованным индицентам Trustwave Global Security Report 2011
Метод получения доступаДанные по расследованным индицентам Trustwave Global Security Report 2011

More Related Content

PPTX
иб Cti 2014
Tim Parson
 
PDF
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
PDF
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
 
PDF
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
 
PPTX
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
 
PDF
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
PDF
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
PPTX
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 
иб Cti 2014
Tim Parson
 
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
КРОК
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
 
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
CloudsNN 2014. Владимир Юнев. Безопасность облака Microsoft снаружи и изнутри...
Clouds NN
 

What's hot (20)

PDF
Сертификация системы управления информационной безопасностью
КРОК
 
PDF
Краткий обзор Cisco TrustSec
Cisco Russia
 
PPT
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
PDF
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Alex Babenko
 
PDF
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
PPTX
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Konstantin Feoktistov
 
PPTX
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
 
PDF
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
 
PPTX
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
PPTX
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
Expolink
 
PDF
Гибридные облака как средство защиты персональных данных
RISSPA_SPb
 
PDF
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
PPTX
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Michael Kozloff
 
PDF
Решения КРОК для противодействия направленным атакам
КРОК
 
PPT
Решения КРОК в области информационной безопасности
infoforum
 
PDF
Как построить систему управления информационными рисками
RISSPA_SPb
 
PDF
Информационная безопасность
КРОК
 
PDF
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
PPT
Ukrainian information security group сидорова мария
Glib Pakharenko
 
PDF
Решение проблемы контроля привилегированных пользователей
Expolink
 
Сертификация системы управления информационной безопасностью
КРОК
 
Краткий обзор Cisco TrustSec
Cisco Russia
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
vGate R2
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Alex Babenko
 
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Konstantin Feoktistov
 
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
 
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
 
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
Expolink
 
Гибридные облака как средство защиты персональных данных
RISSPA_SPb
 
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Michael Kozloff
 
Решения КРОК для противодействия направленным атакам
КРОК
 
Решения КРОК в области информационной безопасности
infoforum
 
Как построить систему управления информационными рисками
RISSPA_SPb
 
Информационная безопасность
КРОК
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
Ukrainian information security group сидорова мария
Glib Pakharenko
 
Решение проблемы контроля привилегированных пользователей
Expolink
 
Ad

Viewers also liked (20)

PPTX
Netherlands movement
Lexi34
 
PPTX
Evalpresentation
eval2011
 
PPTX
Contents page analysis
yumm
 
PDF
Après l'Accord de Paris: l'Union Européenne de l'Energie
The Shift Project
 
PPT
Mitologie universala.2.Grecia Antica
Adela Negura
 
KEY
AIA Corp Webinar Nov 2012 #Final Draft
Leigh Somers
 
PPTX
Presentation1
akwheaton
 
ODS
7 анги
enhmonh
 
PPSX
Gadgets(autosaved)
Tushar Upadhyay
 
PPTX
Outlining protocols 01
jdaconceicao
 
ODP
Superlative
munkhtuyagg
 
PPT
Productos notables
hugooxx
 
KEY
Hurricane
jrcBOY123
 
PDF
Catherine Reisen - Portfolio Samples
reisencreative
 
PDF
Oportunidades de negocio en el sector agua
iAgua .es
 
PPTX
기업교육론 발표2
ourwonnie
 
PPS
Power reunio 010 011
Alba Torrent
 
PPTX
Question 1
Kamamor
 
PPTX
Front cover analysis
yumm
 
PPT
Mayan government kckd dont delete.
SLCCLEH
 
Netherlands movement
Lexi34
 
Evalpresentation
eval2011
 
Contents page analysis
yumm
 
Après l'Accord de Paris: l'Union Européenne de l'Energie
The Shift Project
 
Mitologie universala.2.Grecia Antica
Adela Negura
 
AIA Corp Webinar Nov 2012 #Final Draft
Leigh Somers
 
Presentation1
akwheaton
 
7 анги
enhmonh
 
Gadgets(autosaved)
Tushar Upadhyay
 
Outlining protocols 01
jdaconceicao
 
Superlative
munkhtuyagg
 
Productos notables
hugooxx
 
Hurricane
jrcBOY123
 
Catherine Reisen - Portfolio Samples
reisencreative
 
Oportunidades de negocio en el sector agua
iAgua .es
 
기업교육론 발표2
ourwonnie
 
Power reunio 010 011
Alba Torrent
 
Question 1
Kamamor
 
Front cover analysis
yumm
 
Mayan government kckd dont delete.
SLCCLEH
 
Ad

Similar to Trustwave: Введение в практику PCI DSS (20)

PDF
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
PPTX
PCI DSS: введение, состав и достижение
Alex Babenko
 
PPT
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
 
PDF
2.pci dss eto nujno znat
Informzaschita
 
PPTX
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
 
PDF
Вебинар PCI DSS 14.10.14
DialogueScience
 
PPTX
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
GlobalLogic Ukraine
 
PDF
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
 
PPT
введение в проблематику Pa dss
Informzaschita
 
PDF
1 vliyanie pci dss na business-processy
Informzaschita
 
PDF
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
 
PDF
8.pci arch sight
Informzaschita
 
PDF
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
PPTX
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Deiteriy Co. Ltd.
 
PPTX
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
PPT
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
Informzaschita
 
PPTX
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
DjLucefer
 
PDF
Сертификация приложения по стандарту PA-DSS
Digital Security
 
PDF
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
PPTX
Мониторинг доступа к данным по стандарту PCI DSS
MFISoft
 
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
 
PCI DSS: введение, состав и достижение
Alex Babenko
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
 
2.pci dss eto nujno znat
Informzaschita
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
 
Вебинар PCI DSS 14.10.14
DialogueScience
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
GlobalLogic Ukraine
 
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
 
введение в проблематику Pa dss
Informzaschita
 
1 vliyanie pci dss na business-processy
Informzaschita
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
 
8.pci arch sight
Informzaschita
 
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Управление соответствием PCI DSS - Секция 1 - Обзор стандарта PCI DSS
Deiteriy Co. Ltd.
 
Алексей Лукацкий (Cisco) "Изменения законодательства по ИБ в банковской сфере"
Expolink
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
Informzaschita
 
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
DjLucefer
 
Сертификация приложения по стандарту PA-DSS
Digital Security
 
Ключевые изменения законодательства по защите информации в НПС
Aleksey Lukatskiy
 
Мониторинг доступа к данным по стандарту PCI DSS
MFISoft
 

Trustwave: Введение в практику PCI DSS

  • 1. Введение в практику PCI DSSFrom: Андрей Рогожин, PCI-QSADate: 02 апреля 2011 г.
  • 2. ОбзорИстория развития PCI DSSЭкосистема сертификации PCI DSSТребования платежных систем по подтверждению соответствияТребования PCI DSSСтатистика несоответствий и инцидентовОткрытое обсуждение
  • 3. История развития PCI DSSСередина 90-х: разрозненные стандарты защиты конфиденциальной платежной информации в разных регионах и платежных системахИюнь 2001: Visa Cardholder Information Security Program (CISP), CISP Security Audit Procedures версии 1.0Март 2004: Совместное сотрудничество Visa и MasterCard,CISP Security Audit Procedures версии 2.3Декабрь 2004: PCI DSS версии 1.0Сентябрь 2006: Основание Payment Card Industry Security Standards Council (PCI SSC), PCI DSS версии 1.1Октябрь 2008: PCI DSS версии 1.2Август 2009: Обновление PCI DSS 1.2.1Октябрь 2010: PCI DSS версии 2.0
  • 4. Что такое PCI SSC?Независимая отраслевая организация, ответственная за развитие и управление стандартами безопасности индустрии платежных картОснователи: American Express, Discover Financial, JCB, MasterCard Worldwide, Visa Inc.Цели PCI Security Standards Council:Обновление и управление жизненным циклом стандартовПовышение уровня защищенности платежной информацииПродвижение стандартов и повышение осведомленностиОбеспечение участия заинтересованных сторонАккредитация и проверка ASV/QSA/PA-QSA и PED LabsВыступать в качестве единого представителя индустрии
  • 5. Ресурсы, предоставляемые PCI SSCPCI DSS, PCI PTS, PCI PA-DSS иподдерживающие документыPCI SSC FAQsОбучение и поддержкаЧленство для организаций-участников, проведение собраний, обратная связьСписки QSA, ASV, PA-QSA, сертифицированных платежных приложений и устройств PEDhttps://www.pcisecuritystandards.org
  • 6. Стандарты индустрии платежных картЗащита платежной информации держателей картТорговые организациии провайдерыPCI DSSСтандартбезопасностиданныхРазработчики ПОPCI PA-DSSПлатежныеприложенияПроизводителиPCI PTSУстройства для ввода PIN-кодаБезопасностьиндустрии платежныхкарт & соответствиеЭкосистема платежных устройств, приложений, инфраструктуры и пользователей
  • 7. Стандарты индустрии платежных картPCIPTSрегламентирует защиту от физического вмешательства, криптографические процессы, и другие средства защиты PIN-кодаЗашифрованный PIN-код передается в платежные приложения или терминалыPCI PA-DSS регламентирует безопасность платежных приложений для совметимости с требованиями PCI DSSПлатежное приложение получает карточные данные из устройств PED или других источников и инициирует тразакциюPCI DSSрегламентирует безопасноть систем и сетей хранящих, обрабатывающих или передающих карточные данныеСистемы и сети получают карточные данные из платежных приложений или других источников
  • 8. PCI DSSPCIDSSраспростаняется на любую организацию, которая хранит, обрабатывает или передает карточные данныеРеграментирует безопасноть любых системных компонентов, входящих в среду или подключенных к среде обработки карточных данных торговой организации или сервис-провайдераВзаимосвязь PTSи PCI DSSPCI DSS запрещает хранение зашифрованных PIN-блоковТребования не пересекаютсяВзаимосвязь PA-DSSи PCI DSSПлатежные приложения должны быть совместимы с требованиями PCI DSS, а не нарушать ихТребования PCI DSS повторяются во многих требованиях к платежным приложениям PA-DSS
  • 9. Программы соответствия платежных системКаждая из платежных систем разрабатывает и поддерживает свою программу соответствия PCI DSS в соотвествии со своей политикой управления рискамиAmerican Express: Data Security Operating Policy (DSOP)Discover: Discover Information Security Compliance (DISC)JCB: Data Security ProgramMasterCard: Site Data Protection (SDP)Visa США: Cardholder Information Security Program (CISP)Другие регионы Visa: программа Account Information Security (AIS)
  • 10. Программы соответствия платежных системПрограммы соответствия платежных систем включают:Отслеживание и принудительное применениеШтрафы, комисии, сроки подтверждения соответствияПроцедуры подтверждения соответствия и критерии тех организаций, для которых обязательно подтверждение соотвествияУтверждение и публикацию списка организаций, подтвердивших соответствиеКритерии деления организаций на уровниПлатежные системы также ответственны за проведение расследований и принятие ответных мер в случае утечек карточных данных
  • 11. Критерии Visa AIS (CEMEA) для торговых организаций
  • 12. Требования Visa AIS (CEMEA) для торговых организаций
  • 13. PCI DSS: 6 целей, 12 требованийЦели и требования PCI DSSВнедрить и поддерживать безопасную сетевую средуInstall and maintain a firewall configuration to protect cardholder dataDo not use vendor-supplied defaults for system passwords and other security parametersProtect stored cardholder dataEncrypt transmission of cardholder data across open, public networksЗащитить карточные данныеПоддерживать программу управления уязвимостямиUse and regularly update anti-virus software or programsDevelop and maintain secure systems and applicationsВнедрить усиленные средства контроля доступаRestrict access to cardholder data by business need-to-knowAssign a unique ID to each person with computer accessRestrict physical access to cardholder dataПериодический мониторинг и тестирование сетевой средыTrack and monitor all access to network resources and cardholder dataRegularly test security systems and processesПоддерживать Политику ИБMaintain a policy that addresses information security for employees and contractors
  • 14. PCI DSS Requirement 1Install and maintain a firewall configuration to protect cardholder dataУстановить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт
  • 15. PCI DSS Requirement 2Do not use vendor-supplied defaults for system passwords and other security parametersНе использовать пароли и другие системные параметры, заданные производителем по умолчанию
  • 16. PCI DSS Requirement 3Protect stored cardholder dataОбеспечить безопасное хранение данных о держателях карт
  • 17. PCI DSS Requirement 4Encrypt transmission of cardholder data across open, public networksОбеспечить шифрование данных о держателях карт при их передаче через сети общего пользования
  • 18. PCI DSS Requirement 5Use and regularly update anti-virus software or programsИспользовать и регулярно обновлять антивирусное программное обеспечение
  • 19. PCI DSS Requirement 6Develop and maintain secure systems and applicationsРазрабатывать и поддерживать безопасные системы и приложения
  • 20. PCI DSS Requirement 7Restrict access to cardholder data by business need to knowОграничить доступ к данным о держателях карт в соответствии со служебной необходимостью
  • 21. PCI DSS Requirement 8Assign a unique ID to each person with computer accessНазначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре
  • 22. PCI DSS Requirement 9Restrict physical access to cardholder dataОграничить физический доступ к данным о держателях карт
  • 23. PCI DSS Requirement 10Track and monitor all access to network resources and cardholder dataОтслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт
  • 24. PCI DSS Requirement 11Regularly test security systems and processesРегулярно выполнять тестирование систем и процессов обеспечения безопасности
  • 25. PCI DSS Requirement 12Maintain a policy that addresses information security for all personnelПоддерживать политику информационной безопасности, охватывающую всех сотрудников
  • 26. О компании TrustwaveПровайдер услуг управляемой ИБ (более1400 клиентских устройствпод управлением)
  • 27. Обрабатывает более 18 миллионов событий ИБ каждый день
  • 28. Один из 10 крупнейших Центров Сертификации (Certificate Authority), выпустивший более 40 тысяч SSL-сертификатов
  • 29. Выполнено более 4 тысяч тестов на проникновение сетевого и прикладного уровня
  • 30. Проведено более 740 официальных расследований инцидентов ИБ
  • 31. Образцовая работа по приведению в соответстие стандартам HIPAA, GLBA, SOX, ISO серии 27000
  • 32. Лидер PCI DSS–Trustwave сертифицировано 42% сервис-провайдеров и 40% платежных приложений
  • 33. Обладает всеми необходимыми для работе в области PCI статусами: QSA (2002); ASV (2003); PA-QSA (2005); QIRA (2005)Trustwave Global Security Report 2011
  • 34. Основные несоответствия PCI DSSДанные по расследованным индицентам Trustwave Global Security Report 2011
  • 35. Метод получения доступаДанные по расследованным индицентам Trustwave Global Security Report 2011
  • 36. Метод сбора карточных данныхДанные по расследованным индицентам Trustwave Global Security Report 2011
  • 37. Метод выгрузки карточных данныхДанные по расследованным индицентам Trustwave Global Security Report 2011
  • 38. Источник атакиДанные по расследованным индицентам Trustwave Global Security Report 2011
  • 40. Спасибо за внимание!ВопросыАндрей РогожинPCI-QSA, CISA, CISM, CISSP,ISO 27001 & BS 25999 Lead AuditorВедущий консультант Trustwave+7 916 356 2343arogozhin@gmail.comwww.linkedin.com/in/andreyrogozhin
  • 41. Информационные ресурсыPCI Security Standards Councilhttps://www.pcisecuritystandards.orgVisa CEMEA – программа AIShttp://www.visacemea.com/ac/ais/data_security.jspMasterCard – программа SDPhttp://www.mastercard.com/sdpTrustwave Global Security Reporthttps://www.trustwave.com/GSRTrustwave https://www.trustwave.com