SlideShare una empresa de Scribd logo
1 de 15
Descargar para leer sin conexión
Особенности взаимодействия
организаций
в рамках программы соответствия
PCI DSS
Вячеслав Максимов
ЗАО «Андэк»
Заместитель генерального директора
Напоминание №1: о применимости PCI DSS
PCI DSS применим ко всем организациям, вовлеченным в процессы обработки
данных платежных карт, включая:
- торгово-сервисные предприятия
- банки эквайеры
- процессинговые центры
- банки эмитенты
- поставщиков услуг
- и т.д.
Напоминание №2: о регулировании в PCI
PCI Security Standards Council:
– Разрабатывает и совершенствует PCI DSS и прочие стандарты безопасности
индустрии платежных карт
– Проводит обучение по стандартам безопасности
– Авторизует организации на проведение проверок по стандартам
– Контроль и надзор за деятельностью организаций, авторизованных советом на
проведение проверок по стандартам
МПС (VISA, MasterCard, Discover, American Express, JCB)
– Устанавливают программы соответствия требованиям стандартов безопасности
индустрии платежных карт для организаций, осуществляющих обработку данных
платежных карт их бренда
– Определяют штрафные санкции для организаций, не соответствующих требованиям
стандартов
– Определяют требования по реагированию на инциденты, связанные с
компрометацией данных платежных карт
Напоминание №2: о регулировании в PCI
Члены МПС, торгово-сервисные предприятия, сервис-провайдеры и их агенты должны
формально подтвердить соответствие требованиям по защите данных платежных карт.

http://www.visacemea.com/ac/ais/data_security.jsp
http://www.mastercard.com/sdp

http://www.americanexpress.com/datasecurity
http://www.discovernetwork.com/fraudsecurity/disc.html
http://partner.jcbcard.com/security/jcbprogram/index.html
Напоминание №3: о контроле за соответствием
торгово-сервисных предприятий
 Ответственность за соблюдение ТСП требований PCI DSS несет банк эквайер
 Разные МПС устанавливают разные уровни ТСП
 Для разных уровней ТСП - разные требования по отчетности о соответствии

> 6 млн транзакций или была допущена компрометация ДПК
• Ежегодно: QSA-аудит (AOC)
• Ежеквартально: ASV-сканирование

< 6 млн транзакций в год
• Ежегодно: Самооценка (SAQ)
• Ежеквартально: ASV-сканирование
Напоминание №4: PCI P2PE
Приложения и решения PCI P2PE:
 Обеспечивают надежное шифрование ДПК при их передаче от POI в процессинг
 Позволяют управлять криптографическими ключами
 Позволяют существенно сократить область аудита PCI DSS для торгово-сервисных
предприятий
Полный список сертифицированных решений и приложений публикуется на
официальном сайте PCI SSC:
 https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php
 https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php

По состоянию на 24.02.2014:
 Сертифицированных решений PCI P2PE – 2 (два)
 Сертифицированных приложений PCI P2PE – 3 (три)
Взаимодействие с сервис-провайдерами
PCI DSS 2.0 – Требование 12.8
Если привлекаемые сервис-провайдеры способны повлиять на безопасность ДПК,
компания должна обеспечить:
 Ведение списка таких сервис-провайдеров
 Письменное принятие сервис-провайдерами ответственности за безопасность ДПК
 Проверку сервис-провайдеров перед их привлечением
 Контроль статуса соответствия сервис-провайдеров требованиям PCI DSS
Самая распространенная реализация:
 Attestation of Compliance, подписанный QSA
 Шаблонные фразы в типовом договоре, например:
− «Услуги оказываются в соответствии с требованиями PCI DSS»
− «Поставщик Услуг обеспечивает конфиденциальность обрабатываемой
информации»
− «все операции выполняются только по письменным заявкам Клиента»
Пример №1
Colocation

АОС
Выбор QSA?

Типовой
договор

Но что, если:
 Нужна аренда виртуального сервера?
 Нужны услуги по администрированию ОС/ СУБД/ ППО?
 Нужны управляемые услуги (managed firewall, managed SIEM)?

Compliance?

Security?

Все ли готовы предоставить Report on Compliance?
А удастся ли внести изменения в договор?
А ЕСЛИ ЭТО ВЫЯСНИЛОСЬ В ХОДЕ АУДИТА?
Пример №2

Processing

Но что, если:
 Процессинг расположен на территории Головной Организации, и не управляет
мерами физической безопасности?
 Процессинг расположен в сети Головной Организации, и не управляет сетевым
оборудованием?
Кто для кого сервис-провайдер?
Удастся ли Процессингу диктовать условия Головной Организации?
Как убедить Головную Организацию пройти аудит?
А ЕСЛИ ЭТО ВЫЯСНИЛОСЬ В ХОДЕ АУДИТА?
Взаимодействие с сервис-провайдерами
PCI DSS 3.0 – Новые требования
PCI DSS Requirements

Testing Procedures

12.8.5 Maintain information about which
PCI DSS requirements are managed by
each service provider, and which are
managed by the entity.

12.8.5 Verify the entity maintains information about which PCI
DSS requirements are managed by each service provider, and
which are managed by the entity.

12.9 Additional requirement for service
providers: Service providers
acknowledge in writing to customers that
they are responsible for the security of
cardholder data the service provider
possesses or otherwise stores, processes,
or transmits on behalf of the customer, or
to the extent that they could impact the
security of the customer’s cardholder data
environment.

12.9 Additional testing procedure for service providers:
Review service provider’s policies and procedures and
observe written agreement templates to confirm the service
provider acknowledges in writing to customers that the service
provider will maintain all applicable PCI DSS requirements to
the extent the service provider handles, has access to, or
otherwise stores, processes or transmits the customer’s
cardholder data or sensitive authentication data, or manages
the customer's cardholder data environment on behalf of a
customer.

+ изменена форма Attestation of Compliance
Что это означает?
Значительное снижение неопределенности в распределении ответственности
между сервис-провайдерами и их клиентами:

Для сервис-провайдеров
Для существующих клиентов сервис-провайдеров
Для потенциальных клиентов сервис-провайдеров
Для QSA-аудиторов
Для международных платежных систем
Снова пример №1

АОС

Четко идентифицирует:
 какие услуги были проверены в
ходе QSA-аудита
 какие требования PCI DSS были
подтверждены для каждого
проверенного сервиса

Типовой
договор

Уже включает
необходимый текст
(требование 12.9 PCI DSS 3.0)
Снова пример №2

Processing

Для Процессинга:
 Attestation of Compliance содержит информацию:
 о перечне проверенных сервисов
 о перечне неприменимых требований
 Дополнительные аргументы: Требование 12.9 PCI DSS 3.0 – объективный повод
для пересмотра договора
Повышение рисков для Головной Организации
Выход:
 передача всей ответственности Процессингу, ИЛИ
 запуск собственной программы соответствия PCI DSS
Заключение
Переход на PCI DSS 3.0 потребует:
 определить перечень требований, исполнение которых отдано на аутсорсинг
 пересмотреть договорные отношения со своими клиентами
 пересмотреть договорные отношения со своими поставщиками услуг
Время есть:
 PCI DSS 2.0 актуален до 31 декабря 2014 года
 Требование 12.9 PCI DSS 3.0 обязательно с 1 июля 2015 года

НО!
ДИАЛОГ НУЖНО НАЧИНАТЬ УЖЕ СЕЙЧАС!
ВОПРОСЫ?

Вячеслав Максимов
Заместитель генерального директора ЗАО «Андэк»
по направлению «Оптимизации процессов управления ИБ»
e-mail: v.maksimov@andek.ru
тел: +7 (495) 280-1550, доб. 1103
моб.: +7 (926) 253-4844

Más contenido relacionado

La actualidad más candente

Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыInfoWatch
 
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...Natasha Khramtsovsky
 
Iso25999
Iso25999Iso25999
Iso25999Nyukers
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
#Modern threats pwc
#Modern threats pwc#Modern threats pwc
#Modern threats pwcExpolink
 

La actualidad más candente (7)

Защита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктурыЗащита веб-приложений и веб-инфраструктуры
Защита веб-приложений и веб-инфраструктуры
 
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...
Лючиана Дюранти - Документы в «облаке»: Экономическая эффективность и защищён...
 
Iso25999
Iso25999Iso25999
Iso25999
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Как продать SLA?
Как продать SLA?Как продать SLA?
Как продать SLA?
 
#Modern threats pwc
#Modern threats pwc#Modern threats pwc
#Modern threats pwc
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 

Destacado

Come creare un alveare in tre mosse
Come creare un alveare in tre mosseCome creare un alveare in tre mosse
Come creare un alveare in tre mosseMarta Murari
 
Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentationcmaionaise
 
Job skills gyu
Job skills      gyuJob skills      gyu
Job skills gyucarragan
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexyMissyou Angel
 
Presentazione luigi pugliese
Presentazione luigi pugliesePresentazione luigi pugliese
Presentazione luigi puglieseLuigi Pugliese
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014Jason Coombs
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchMarcus Drost
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013slcdigitalnetwork
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхRISSPA_SPb
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding MottJOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding MottJason Coombs
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)hannahsole6
 

Destacado (20)

Come creare un alveare in tre mosse
Come creare un alveare in tre mosseCome creare un alveare in tre mosse
Come creare un alveare in tre mosse
 
RISSPA SPb
RISSPA SPbRISSPA SPb
RISSPA SPb
 
Fairmont presentation
Fairmont presentationFairmont presentation
Fairmont presentation
 
11
1111
11
 
8
88
8
 
Mobile First
Mobile FirstMobile First
Mobile First
 
Job skills gyu
Job skills      gyuJob skills      gyu
Job skills gyu
 
MRC Power Point.2012
MRC Power Point.2012MRC Power Point.2012
MRC Power Point.2012
 
Missyoufr lingerie sexy
Missyoufr lingerie sexyMissyoufr lingerie sexy
Missyoufr lingerie sexy
 
Presentazione luigi pugliese
Presentazione luigi pugliesePresentazione luigi pugliese
Presentazione luigi pugliese
 
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated June 6, 2014
 
Koper ii
Koper iiKoper ii
Koper ii
 
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank DutchWorkshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
 
Slc opening round football 2013
Slc opening round football 2013Slc opening round football 2013
Slc opening round football 2013
 
7
77
7
 
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данныхГибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding MottJOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
 
C programming
C programmingC programming
C programming
 
For sidney bechet (2)
For sidney bechet (2)For sidney bechet (2)
For sidney bechet (2)
 
Xaviers Powerpoint
Xaviers PowerpointXaviers Powerpoint
Xaviers Powerpoint
 

Similar a Особенности взаимодействия организаций в рамках программы соответствия PCI DSS

Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.DialogueScience
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14DialogueScience
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитDeiteriy Co. Ltd.
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного  взаимодействия с сервис-провайдерами  для повышения ...Построение эффективного  взаимодействия с сервис-провайдерами  для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Denis Bezkorovayny
 
SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)Daria Kovalenko
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPADenis Bezkorovayny
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSDeiteriy Co. Ltd.
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Denis Bezkorovayny
 
презентация карачинский а. - Ibs group
презентация карачинский а.  - Ibs groupпрезентация карачинский а.  - Ibs group
презентация карачинский а. - Ibs groupfinnopolis
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта  Pa dssпорядок сертификации программного обеспечения по требованиям стандарта  Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 

Similar a Особенности взаимодействия организаций в рамках программы соответствия PCI DSS (20)

Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного  взаимодействия с сервис-провайдерами  для повышения ...Построение эффективного  взаимодействия с сервис-провайдерами  для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
 
SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)SAS (SafeNet Authentication Service)
SAS (SafeNet Authentication Service)
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPA
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...
 
презентация карачинский а. - Ibs group
презентация карачинский а.  - Ibs groupпрезентация карачинский а.  - Ibs group
презентация карачинский а. - Ibs group
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта  Pa dssпорядок сертификации программного обеспечения по требованиям стандарта  Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 

Más de RISSPA_SPb

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA_SPb
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleRISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямRISSPA_SPb
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рискамиRISSPA_SPb
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаRISSPA_SPb
 

Más de RISSPA_SPb (10)

RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтраRISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of saleВсесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
 
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиямКак одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
 
Как построить систему управления информационными рисками
Как построить систему управления информационными рискамиКак построить систему управления информационными рисками
Как построить систему управления информационными рисками
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кодаЗаблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
 

Особенности взаимодействия организаций в рамках программы соответствия PCI DSS

  • 1. Особенности взаимодействия организаций в рамках программы соответствия PCI DSS Вячеслав Максимов ЗАО «Андэк» Заместитель генерального директора
  • 2. Напоминание №1: о применимости PCI DSS PCI DSS применим ко всем организациям, вовлеченным в процессы обработки данных платежных карт, включая: - торгово-сервисные предприятия - банки эквайеры - процессинговые центры - банки эмитенты - поставщиков услуг - и т.д.
  • 3. Напоминание №2: о регулировании в PCI PCI Security Standards Council: – Разрабатывает и совершенствует PCI DSS и прочие стандарты безопасности индустрии платежных карт – Проводит обучение по стандартам безопасности – Авторизует организации на проведение проверок по стандартам – Контроль и надзор за деятельностью организаций, авторизованных советом на проведение проверок по стандартам МПС (VISA, MasterCard, Discover, American Express, JCB) – Устанавливают программы соответствия требованиям стандартов безопасности индустрии платежных карт для организаций, осуществляющих обработку данных платежных карт их бренда – Определяют штрафные санкции для организаций, не соответствующих требованиям стандартов – Определяют требования по реагированию на инциденты, связанные с компрометацией данных платежных карт
  • 4. Напоминание №2: о регулировании в PCI Члены МПС, торгово-сервисные предприятия, сервис-провайдеры и их агенты должны формально подтвердить соответствие требованиям по защите данных платежных карт. http://www.visacemea.com/ac/ais/data_security.jsp http://www.mastercard.com/sdp http://www.americanexpress.com/datasecurity http://www.discovernetwork.com/fraudsecurity/disc.html http://partner.jcbcard.com/security/jcbprogram/index.html
  • 5. Напоминание №3: о контроле за соответствием торгово-сервисных предприятий  Ответственность за соблюдение ТСП требований PCI DSS несет банк эквайер  Разные МПС устанавливают разные уровни ТСП  Для разных уровней ТСП - разные требования по отчетности о соответствии > 6 млн транзакций или была допущена компрометация ДПК • Ежегодно: QSA-аудит (AOC) • Ежеквартально: ASV-сканирование < 6 млн транзакций в год • Ежегодно: Самооценка (SAQ) • Ежеквартально: ASV-сканирование
  • 6. Напоминание №4: PCI P2PE Приложения и решения PCI P2PE:  Обеспечивают надежное шифрование ДПК при их передаче от POI в процессинг  Позволяют управлять криптографическими ключами  Позволяют существенно сократить область аудита PCI DSS для торгово-сервисных предприятий Полный список сертифицированных решений и приложений публикуется на официальном сайте PCI SSC:  https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php  https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php По состоянию на 24.02.2014:  Сертифицированных решений PCI P2PE – 2 (два)  Сертифицированных приложений PCI P2PE – 3 (три)
  • 7. Взаимодействие с сервис-провайдерами PCI DSS 2.0 – Требование 12.8 Если привлекаемые сервис-провайдеры способны повлиять на безопасность ДПК, компания должна обеспечить:  Ведение списка таких сервис-провайдеров  Письменное принятие сервис-провайдерами ответственности за безопасность ДПК  Проверку сервис-провайдеров перед их привлечением  Контроль статуса соответствия сервис-провайдеров требованиям PCI DSS Самая распространенная реализация:  Attestation of Compliance, подписанный QSA  Шаблонные фразы в типовом договоре, например: − «Услуги оказываются в соответствии с требованиями PCI DSS» − «Поставщик Услуг обеспечивает конфиденциальность обрабатываемой информации» − «все операции выполняются только по письменным заявкам Клиента»
  • 8. Пример №1 Colocation АОС Выбор QSA? Типовой договор Но что, если:  Нужна аренда виртуального сервера?  Нужны услуги по администрированию ОС/ СУБД/ ППО?  Нужны управляемые услуги (managed firewall, managed SIEM)? Compliance? Security? Все ли готовы предоставить Report on Compliance? А удастся ли внести изменения в договор? А ЕСЛИ ЭТО ВЫЯСНИЛОСЬ В ХОДЕ АУДИТА?
  • 9. Пример №2 Processing Но что, если:  Процессинг расположен на территории Головной Организации, и не управляет мерами физической безопасности?  Процессинг расположен в сети Головной Организации, и не управляет сетевым оборудованием? Кто для кого сервис-провайдер? Удастся ли Процессингу диктовать условия Головной Организации? Как убедить Головную Организацию пройти аудит? А ЕСЛИ ЭТО ВЫЯСНИЛОСЬ В ХОДЕ АУДИТА?
  • 10. Взаимодействие с сервис-провайдерами PCI DSS 3.0 – Новые требования PCI DSS Requirements Testing Procedures 12.8.5 Maintain information about which PCI DSS requirements are managed by each service provider, and which are managed by the entity. 12.8.5 Verify the entity maintains information about which PCI DSS requirements are managed by each service provider, and which are managed by the entity. 12.9 Additional requirement for service providers: Service providers acknowledge in writing to customers that they are responsible for the security of cardholder data the service provider possesses or otherwise stores, processes, or transmits on behalf of the customer, or to the extent that they could impact the security of the customer’s cardholder data environment. 12.9 Additional testing procedure for service providers: Review service provider’s policies and procedures and observe written agreement templates to confirm the service provider acknowledges in writing to customers that the service provider will maintain all applicable PCI DSS requirements to the extent the service provider handles, has access to, or otherwise stores, processes or transmits the customer’s cardholder data or sensitive authentication data, or manages the customer's cardholder data environment on behalf of a customer. + изменена форма Attestation of Compliance
  • 11. Что это означает? Значительное снижение неопределенности в распределении ответственности между сервис-провайдерами и их клиентами: Для сервис-провайдеров Для существующих клиентов сервис-провайдеров Для потенциальных клиентов сервис-провайдеров Для QSA-аудиторов Для международных платежных систем
  • 12. Снова пример №1 АОС Четко идентифицирует:  какие услуги были проверены в ходе QSA-аудита  какие требования PCI DSS были подтверждены для каждого проверенного сервиса Типовой договор Уже включает необходимый текст (требование 12.9 PCI DSS 3.0)
  • 13. Снова пример №2 Processing Для Процессинга:  Attestation of Compliance содержит информацию:  о перечне проверенных сервисов  о перечне неприменимых требований  Дополнительные аргументы: Требование 12.9 PCI DSS 3.0 – объективный повод для пересмотра договора Повышение рисков для Головной Организации Выход:  передача всей ответственности Процессингу, ИЛИ  запуск собственной программы соответствия PCI DSS
  • 14. Заключение Переход на PCI DSS 3.0 потребует:  определить перечень требований, исполнение которых отдано на аутсорсинг  пересмотреть договорные отношения со своими клиентами  пересмотреть договорные отношения со своими поставщиками услуг Время есть:  PCI DSS 2.0 актуален до 31 декабря 2014 года  Требование 12.9 PCI DSS 3.0 обязательно с 1 июля 2015 года НО! ДИАЛОГ НУЖНО НАЧИНАТЬ УЖЕ СЕЙЧАС!
  • 15. ВОПРОСЫ? Вячеслав Максимов Заместитель генерального директора ЗАО «Андэк» по направлению «Оптимизации процессов управления ИБ» e-mail: v.maksimov@andek.ru тел: +7 (495) 280-1550, доб. 1103 моб.: +7 (926) 253-4844