1. “PCI Compliance: Информационная безопасность
в индустрии платежных карт”
Семинар компании «Информзащита»
г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky
PCI DSS: Это нужно знать
Гольдштейн Анна, CISA, CISSP, PCI & PA QSA
Заместитель директора департамента аудита
2. Основные вопросы
• Часть 1. Все о стандарте
– Зоны ответственности МПС, PCI SSC, PCI QSA
– Жизненный цикл
– Источники требований и суждение аудитора
• Часть 2. Сервис-провайдеры
• Часть 3. PCI vs PA DSS
• Часть 4. PCI DSS Scope
3. Часть 1. Зоны ответственности
• Консул (PCI SSC)
– разработка и поддержание серии стандартов (PCI
DSS, PCI PTS, PA-DSS)
– обучение и сертификация QSA и ASV
• МПС: локальные программы безопасности
– необходимость и сроки соответствия PCI DSS
– правила подтверждения соответствия
– штрафы за нарушение определенных правил
• Аудитор
– определение области PCI DSS
– интерпретация требований и оценка выполнения
4. Часть 1. Жизненный цикл PCI DSS
1. Market
2 года Implementation: 9 мес
(1/10/08-30/06/09)
5. Discuss new 2. Feedback period: 4
version: 1 мес мес (1/07/09-
(30/09/10) 31/10/09)
4. New version,
3. Feedback review
revision and final
and decision: 6 мес
review: 4 мес
(1/11/09-30/04/10)
(1/05/10-31/08/10)
5. Часть 1. Источники требований
• Спецификация
• Сопутствующие документы
– Словарь
– Ориентирование в PCI DSS (Navigation PCI DSS)
– Дополнения к стандарту (Information supplements)
• PCI DSS FAQ
6. Часть 1. Интерпретация
требований аудитором
Опыт
подтвержденных
компрометаций
Новые
Информация о руководства по
новых угрозах безопасности
PCI SSC
Изменение
интерпретации
требований
7. Часть 1. Компенсационные меры
• Применяются в случае наличия технических
или бизнес-ограничений
• Допустимы практически для всех требований
• Должны быть «сверх» прочих требований PCI
DSS для данной ситуации
• Роль аудитора:
– Оценка достаточности
– Проверка текущей реализации
– Проверка процесса поддержки
8. Часть 2. Виды сервиса
• 1 группа: обработка данных платежных карт
– хранение, процессинг, передача данных
• 2 группа: имеют доступ к данным или
реализуют сервисы, влияющие на безопасность
данных
– Управление ресурсами (ОС, СУБД, МЭ, сетевое
оборудование)
– Организация физической безопасности помещений
и ресурсов
9. Часть 2. Примеры сервис-провайдера
• Банк использует платежный шлюз для
e-commerce мерчантов
• ИТ-интегратор управляет граничным сетевым
оборудованием банка
• Банк использует процессинг, в котором в свою
очередь реализует управление сетевым
оборудованием и физ. защиту
10. Часть 2. Сервис-провайдеры и PCI
Compliance
• 1 группа: обработка данных платежных карт
– Наличие результатов PCI-аудита сервис-
провайдера, подтверждающего PCI compliance
– Включение проверок предоставляемых сервисов в
собственный аудит
• 2 группа: имеют доступ к данным или
реализуют сервисы, влияющие на безопасность
данных
– Мониторинг соответствия предоставляемых
сервисов требованиям PCI DSS
11. Часть 3. PA-DSS: причины появления
• Невозможность или сложность выполнения
требований PCI DSS
– Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением
– Невозможность удалитыь/вычистить TRACK,CVC2/CVV2 из
архивов
– Хранение номеров карт (PAN) в открытом виде
– Отказ поддержки вендором приложения патчей на СУБД
12. Часть 3. “Серебряная пуля” PCI DSS
• Реализация переложена на разработчиков:
– Все применимые к прикладному уровню требования
PCI DSS
– Возможность работы приложения в PCI DSS-
compliant среде
– Контроль уровня безопасности приложения
– Решение проблемы совместимости с обновлениями
безопасности платформ
13. Часть 3. PA-DSS vs PCI DSS
• Область применения PCI значительно шире
чем PA-DSS
• Наличие сертификата PA-DSS на используемое
приложение
– не гарантирует выполнения требований PCI DSS
– не исключает приложение из области оценки PCI
DSS аудита
14. Часть 4. PCI DSS Scope
• Область применения PCI DSS - все компоненты
сетевой инфраструктуры, которые
– Непосредственно владеют данными платежных карт
(обрабатывают, передают, хранят)
– Имеют доступ к компонентам, владеющим данными
• Способы сужения
– Уменьшение числа компонентов, обрабатывающих
полные номера карт
– Сетевая сегментация + фильтрация
– Терминальные технологии и другие способы
ограничения доступа
16. Часть 4. Assessment (Audit) Scope
• Может быть меньше PCI Scope
• Область высокого риска безопасности
• Определяет МПС
• Документируется в отчете об аудите
• Сегодня:
– Авторизация
– Расчеты (clearing/
settlement)
– Fraud-monitoring
17. “PCI Compliance: Информационная
безопасность в индустрии платежных карт”
Семинар компании «Информзащита»
г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky
ВОПРОСЫ ?
Гольдштейн Анна
Заместитель директора департамента аудита
• (495) 980 23 45
• goldanna@infosec.ru