SlideShare a Scribd company logo

Часто задаваемые вопросы на пути к PCI соответствию

D
Digital Security
Technology
1 of 13
Download to read offline
Часто задаваемые вопросы на пути к соответствию PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
Часто задаваемые вопросы на пути к соответствию PCI DSS Стандарт PCI DSS 1. Разработан и продвигается Советом PCI SSC, организованным международными платежными системами Visa, MasterCard, American Express, Discovery, JCB 2. Соответствие обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Для организаций, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, проводимый компанией, обладающей статусом QSA 4. В России на март 2010 года свое соответствие PCI DSS путем проведения on-site аудита подтвердили только 6 поставщиков услуг (в том числе банков) © 2002—2010, Digital Security 2
Часто задаваемые вопросы на пути к соответствию PCI DSS Путь к соответствию PCI DSS © 2002—2010, Digital Security 3
Часто задаваемые вопросы на пути к соответствию PCI DSS Этапы пути к соответствию PCI DSS 1. Предварительный QSA-аудит • Отчет о соответствии (ROC) • План мероприятий (Action Plan) = формальная таблица со сроками (!) 2. Разработка рекомендаций по приведению в соответствие • Экспертное заключение QSA-консультанта с подробными рекомендациями 3. Разработка технического проекта по приведению в соответствие • Согласованный технический проект, описывающий все планируемые решения 4. Внедрение разработанных решений • Акт выполненных работ 5. Выполнение регламентированных проверок • Отчет о тесте на проникновение • Отчет об ASV-сканировании 6. Сертификационный QSA-аудит • Отчет о соответствии (ROC) • Сертификат соответствия © 2002—2010, Digital Security 4
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №1: Область аудита 1. Требования стандарта распространяются на все системы, хранящие, обрабатывающие и передающие данные о держателях карт 2. Требования стандарта распространяются на все связанные системы – то есть не отделенные корректно настроенным межсетевым экраном 3. Для in-house процессинга банка есть разница между областью аудита и областью применимости требований стандарта: • Требования стандарта распространяются на все карточные бизнес-процессы - как эквайринг, так и эмиссию • QSA-аудиту подлежит процесс эквайринга • Принятие решения о необходимости проводить QSA-аудит процесса эмиссии относится к компетенции МПС (http://selfservice.talisma.com/article.aspx?article=5391&p=81) © 2002—2010, Digital Security 5
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №2: Стандарты конфигурации 1. Необходимы в соответствии с требованием 2.2 стандарта PCI DSS 2. Best Practice: разделить стандарты на две логические части: • Стандарт, описывающий базовую конфигурацию семейства устройств или ПО • Паспорт, в котором отражены текущие настройки каждого компонента информационной инфраструктуры 3. Рекомендуется связать эти документы с процедурами управления изменениями для повышения прозрачности управления информационной инфраструктурой © 2002—2010, Digital Security 6
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №3: Применение шифрования 1. Криптографическая защита данных о держателях карт – это не только использование механизмов шифрования, но и применение безопасных процедур управления ключами 2. Процедуры управления ключами должны быть разработаны для каждого случая использования механизмов шифрования 3. Самые распространенные ошибки: • PAN в БД зашифрован, однако ключ шифрования лежит в открытом виде на диске • Забывание о физической безопасности ключевых носителей при хранении и передаче © 2002—2010, Digital Security 7
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №4: Удаленный доступ 1. Корректная реализация удаленного доступа не включает удаленный компьютер в область применения требований PCI DSS 2. Корректно настроенный удаленный доступ это: • Наличие DMZ, обособленной при помощи межсетевых экранов • Корректная настройка списков контроля доступа межсетевых экранов • Применение двухфакторной аутентификации удаленных пользователей • Криптографическая защита канала связи с удаленным узлом • Запрет на использование буфера обмена и сохранения данных на удаленный носитель © 2002—2010, Digital Security 8
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №5: Протоколирование событий 1. Корректная реализация требований по протоколированию событий включает в себя в том числе процедуры регулярного анализа журналов 2. Наиболее распространенной ошибкой является включение механизмов протоколирования всех систем «по-максимуму», как следствие: • Невозможность осмысленного анализа записей журналов • Проблемы с дисковым пространством для хранения файлов журналов © 2002—2010, Digital Security 9
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №6: Нормативная документация СМИБ 1. Процессом обеспечения безопасности необходимо управлять - эффективность системы менеджмента информационной безопасностью ничуть не менее важна, чем эффективность средств защиты 2. Аудитор хочет увидеть работающий на практике процесс, а не кипу бумаг, в которых «что-то было по этому вопросу» 3. Best Practice: воспользоваться методиками, описанными в ISO 27001 и СТО БР ИББС-1.0-2008 © 2002—2010, Digital Security 10
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №7: Компенсирующие меры 1. Условием возможности применения компенсирующей меры является невозможность выполнения требования стандарта PCI DSS в силу наличия обоснованных ограничений 2. Компенсирующая мера не должна являться выполнением другого требования стандарта 3. Компенсирующая мера должна снижать риск, против которого направлено требование стандарта, не менее эффективно, чем выполнение требования 4. Невыполнение требования о запрете хранения критичных аутентификационных данных (CVV2/CVC2, track, PIN/PIN-block) нельзя заменить никакой компенсирующей мерой 5. Компенсирующую меру следует рассматривать как временную меру, «заплатку», так как самый простой способ снизить риск описан в требовании стандарта, все остальные – заведомо сложнее © 2002—2010, Digital Security 11
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №8: Процесс сертификационного аудита 1. Аудитор оценивает выполнение требования исходя из: • Интервьюирования сотрудников • Анализа документации • Изучения конфигураций компонентов информационной инфраструктуры • Наблюдения за процессом 2. Аудитор собирает свидетельства о выполнении требований (записи, снимки экранов, копии документов) 3. Собранные свидетельства хранятся в QSA-компании в течение 3-х лет с момента аудита и могут быть запрошены и изучены Советом PCI SSC в рамках программы контроля качества аудита наряду с отчетными документами © 2002—2010, Digital Security 12
Часто задаваемые вопросы на пути к соответствию PCI DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 13

Recommended

Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 

Recommended

Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSУправление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSSDeiteriy Co. Ltd.
 
Обеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакОбеспечение защиты корпоративных ресурсов от DDoS-атак
Обеспечение защиты корпоративных ресурсов от DDoS-атакКРОК
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКРОК
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьКРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014Tim Parson
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...vGate R2
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средЭЛВИС-ПЛЮС
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга ЭЛВИС-ПЛЮС
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...Clouds NN
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколенияЭЛВИС-ПЛЮС
 
Perimetr
PerimetrPerimetr
PerimetrЭЛВИС-ПЛЮС
 
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Michael Kozloff
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 

More Related Content

What's hot

Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Cisco Russia
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...vGate R2
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0RISSPA_SPb
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средЭЛВИС-ПЛЮС
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга ЭЛВИС-ПЛЮС
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...Clouds NN
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиRISSPA_SPb
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколенияЭЛВИС-ПЛЮС
 
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Michael Kozloff
 

What's hot (20)

Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
 
PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0PCI DSS как перейти с версии 2.0 на 3.0
PCI DSS как перейти с версии 2.0 на 3.0
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
 
Perimetr
PerimetrPerimetr
Perimetr
 
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
Снижение риска потери данных в облачных средах при помощи межсетевого экрана ...
 

Similar to Часто задаваемые вопросы на пути к PCI соответствию

Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)RISSPA_SPb
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииRISSPA_SPb
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSDeiteriy Co. Ltd.
 
Iso25999
Iso25999Iso25999
Iso25999Nyukers
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.DialogueScience
 
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасностиCTI2014
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 

Similar to Часто задаваемые вопросы на пути к PCI соответствию (20)

Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
2.pci dss eto nujno znat
2.pci dss eto nujno znat2.pci dss eto nujno znat
2.pci dss eto nujno znat
 
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версииCтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
 
Iso25999
Iso25999Iso25999
Iso25999
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
 
Услуги информационной безопасности
Услуги информационной безопасностиУслуги информационной безопасности
Услуги информационной безопасности
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 

More from Digital Security

Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideDigital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS CertificationDigital Security
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБОDigital Security
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSDigital Security
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложенийDigital Security
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийDigital Security
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 

More from Digital Security (12)

Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSS
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
 
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБООсновные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
 

Часто задаваемые вопросы на пути к PCI соответствию

  • 1. Часто задаваемые вопросы на пути к соответствию PCI DSS Сергей Шустиков Digital Security Руководитель направления менеджмента ИБ, CISA, PCI QSA
  • 2. Часто задаваемые вопросы на пути к соответствию PCI DSS Стандарт PCI DSS 1. Разработан и продвигается Советом PCI SSC, организованным международными платежными системами Visa, MasterCard, American Express, Discovery, JCB 2. Соответствие обязательно для всех компаний, работающих с платежными картами: банков, процессинговых центров, торгово-сервисных предприятий, поставщиков услуг 3. Для организаций, обрабатывающих данные о более чем 300 000 платежных карт в год, обязателен ежегодный аудит, проводимый компанией, обладающей статусом QSA 4. В России на март 2010 года свое соответствие PCI DSS путем проведения on-site аудита подтвердили только 6 поставщиков услуг (в том числе банков) © 2002—2010, Digital Security 2
  • 3. Часто задаваемые вопросы на пути к соответствию PCI DSS Путь к соответствию PCI DSS © 2002—2010, Digital Security 3
  • 4. Часто задаваемые вопросы на пути к соответствию PCI DSS Этапы пути к соответствию PCI DSS 1. Предварительный QSA-аудит • Отчет о соответствии (ROC) • План мероприятий (Action Plan) = формальная таблица со сроками (!) 2. Разработка рекомендаций по приведению в соответствие • Экспертное заключение QSA-консультанта с подробными рекомендациями 3. Разработка технического проекта по приведению в соответствие • Согласованный технический проект, описывающий все планируемые решения 4. Внедрение разработанных решений • Акт выполненных работ 5. Выполнение регламентированных проверок • Отчет о тесте на проникновение • Отчет об ASV-сканировании 6. Сертификационный QSA-аудит • Отчет о соответствии (ROC) • Сертификат соответствия © 2002—2010, Digital Security 4
  • 5. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №1: Область аудита 1. Требования стандарта распространяются на все системы, хранящие, обрабатывающие и передающие данные о держателях карт 2. Требования стандарта распространяются на все связанные системы – то есть не отделенные корректно настроенным межсетевым экраном 3. Для in-house процессинга банка есть разница между областью аудита и областью применимости требований стандарта: • Требования стандарта распространяются на все карточные бизнес-процессы - как эквайринг, так и эмиссию • QSA-аудиту подлежит процесс эквайринга • Принятие решения о необходимости проводить QSA-аудит процесса эмиссии относится к компетенции МПС (http://selfservice.talisma.com/article.aspx?article=5391&p=81) © 2002—2010, Digital Security 5
  • 6. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №2: Стандарты конфигурации 1. Необходимы в соответствии с требованием 2.2 стандарта PCI DSS 2. Best Practice: разделить стандарты на две логические части: • Стандарт, описывающий базовую конфигурацию семейства устройств или ПО • Паспорт, в котором отражены текущие настройки каждого компонента информационной инфраструктуры 3. Рекомендуется связать эти документы с процедурами управления изменениями для повышения прозрачности управления информационной инфраструктурой © 2002—2010, Digital Security 6
  • 7. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №3: Применение шифрования 1. Криптографическая защита данных о держателях карт – это не только использование механизмов шифрования, но и применение безопасных процедур управления ключами 2. Процедуры управления ключами должны быть разработаны для каждого случая использования механизмов шифрования 3. Самые распространенные ошибки: • PAN в БД зашифрован, однако ключ шифрования лежит в открытом виде на диске • Забывание о физической безопасности ключевых носителей при хранении и передаче © 2002—2010, Digital Security 7
  • 8. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №4: Удаленный доступ 1. Корректная реализация удаленного доступа не включает удаленный компьютер в область применения требований PCI DSS 2. Корректно настроенный удаленный доступ это: • Наличие DMZ, обособленной при помощи межсетевых экранов • Корректная настройка списков контроля доступа межсетевых экранов • Применение двухфакторной аутентификации удаленных пользователей • Криптографическая защита канала связи с удаленным узлом • Запрет на использование буфера обмена и сохранения данных на удаленный носитель © 2002—2010, Digital Security 8
  • 9. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №5: Протоколирование событий 1. Корректная реализация требований по протоколированию событий включает в себя в том числе процедуры регулярного анализа журналов 2. Наиболее распространенной ошибкой является включение механизмов протоколирования всех систем «по-максимуму», как следствие: • Невозможность осмысленного анализа записей журналов • Проблемы с дисковым пространством для хранения файлов журналов © 2002—2010, Digital Security 9
  • 10. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №6: Нормативная документация СМИБ 1. Процессом обеспечения безопасности необходимо управлять - эффективность системы менеджмента информационной безопасностью ничуть не менее важна, чем эффективность средств защиты 2. Аудитор хочет увидеть работающий на практике процесс, а не кипу бумаг, в которых «что-то было по этому вопросу» 3. Best Practice: воспользоваться методиками, описанными в ISO 27001 и СТО БР ИББС-1.0-2008 © 2002—2010, Digital Security 10
  • 11. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №7: Компенсирующие меры 1. Условием возможности применения компенсирующей меры является невозможность выполнения требования стандарта PCI DSS в силу наличия обоснованных ограничений 2. Компенсирующая мера не должна являться выполнением другого требования стандарта 3. Компенсирующая мера должна снижать риск, против которого направлено требование стандарта, не менее эффективно, чем выполнение требования 4. Невыполнение требования о запрете хранения критичных аутентификационных данных (CVV2/CVC2, track, PIN/PIN-block) нельзя заменить никакой компенсирующей мерой 5. Компенсирующую меру следует рассматривать как временную меру, «заплатку», так как самый простой способ снизить риск описан в требовании стандарта, все остальные – заведомо сложнее © 2002—2010, Digital Security 11
  • 12. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопрос №8: Процесс сертификационного аудита 1. Аудитор оценивает выполнение требования исходя из: • Интервьюирования сотрудников • Анализа документации • Изучения конфигураций компонентов информационной инфраструктуры • Наблюдения за процессом 2. Аудитор собирает свидетельства о выполнении требований (записи, снимки экранов, копии документов) 3. Собранные свидетельства хранятся в QSA-компании в течение 3-х лет с момента аудита и могут быть запрошены и изучены Советом PCI SSC в рамках программы контроля качества аудита наряду с отчетными документами © 2002—2010, Digital Security 12
  • 13. Часто задаваемые вопросы на пути к соответствию PCI DSS Вопросы? Ответы на PCIDSS.RU! © 2002—2010, Digital Security 13