SlideShare uma empresa Scribd logo

2.pci dss eto nujno znat

Informzaschita
Informzaschita
TecnologiaNegócios
1 de 17
Baixar para ler offline
“PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky PCI DSS: Это нужно знать Гольдштейн Анна, CISA, CISSP, PCI & PA QSA Заместитель директора департамента аудита
Основные вопросы • Часть 1. Все о стандарте – Зоны ответственности МПС, PCI SSC, PCI QSA – Жизненный цикл – Источники требований и суждение аудитора • Часть 2. Сервис-провайдеры • Часть 3. PCI vs PA DSS • Часть 4. PCI DSS Scope
Часть 1. Зоны ответственности • Консул (PCI SSC) – разработка и поддержание серии стандартов (PCI DSS, PCI PTS, PA-DSS) – обучение и сертификация QSA и ASV • МПС: локальные программы безопасности – необходимость и сроки соответствия PCI DSS – правила подтверждения соответствия – штрафы за нарушение определенных правил • Аудитор – определение области PCI DSS – интерпретация требований и оценка выполнения
Часть 1. Жизненный цикл PCI DSS 1. Market 2 года Implementation: 9 мес (1/10/08-30/06/09) 5. Discuss new 2. Feedback period: 4 version: 1 мес мес (1/07/09- (30/09/10) 31/10/09) 4. New version, 3. Feedback review revision and final and decision: 6 мес review: 4 мес (1/11/09-30/04/10) (1/05/10-31/08/10)
Часть 1. Источники требований • Спецификация • Сопутствующие документы – Словарь – Ориентирование в PCI DSS (Navigation PCI DSS) – Дополнения к стандарту (Information supplements) • PCI DSS FAQ
Часть 1. Интерпретация требований аудитором Опыт подтвержденных компрометаций Новые Информация о руководства по новых угрозах безопасности PCI SSC Изменение интерпретации требований
Часть 1. Компенсационные меры • Применяются в случае наличия технических или бизнес-ограничений • Допустимы практически для всех требований • Должны быть «сверх» прочих требований PCI DSS для данной ситуации • Роль аудитора: – Оценка достаточности – Проверка текущей реализации – Проверка процесса поддержки
Часть 2. Виды сервиса • 1 группа: обработка данных платежных карт – хранение, процессинг, передача данных • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Управление ресурсами (ОС, СУБД, МЭ, сетевое оборудование) – Организация физической безопасности помещений и ресурсов
Часть 2. Примеры сервис-провайдера • Банк использует платежный шлюз для e-commerce мерчантов • ИТ-интегратор управляет граничным сетевым оборудованием банка • Банк использует процессинг, в котором в свою очередь реализует управление сетевым оборудованием и физ. защиту
Часть 2. Сервис-провайдеры и PCI Compliance • 1 группа: обработка данных платежных карт – Наличие результатов PCI-аудита сервис- провайдера, подтверждающего PCI compliance – Включение проверок предоставляемых сервисов в собственный аудит • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Мониторинг соответствия предоставляемых сервисов требованиям PCI DSS
Часть 3. PA-DSS: причины появления • Невозможность или сложность выполнения требований PCI DSS – Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением – Невозможность удалитыь/вычистить TRACK,CVC2/CVV2 из архивов – Хранение номеров карт (PAN) в открытом виде – Отказ поддержки вендором приложения патчей на СУБД
Часть 3. “Серебряная пуля” PCI DSS • Реализация переложена на разработчиков: – Все применимые к прикладному уровню требования PCI DSS – Возможность работы приложения в PCI DSS- compliant среде – Контроль уровня безопасности приложения – Решение проблемы совместимости с обновлениями безопасности платформ
Часть 3. PA-DSS vs PCI DSS • Область применения PCI значительно шире чем PA-DSS • Наличие сертификата PA-DSS на используемое приложение – не гарантирует выполнения требований PCI DSS – не исключает приложение из области оценки PCI DSS аудита
Часть 4. PCI DSS Scope • Область применения PCI DSS - все компоненты сетевой инфраструктуры, которые – Непосредственно владеют данными платежных карт (обрабатывают, передают, хранят) – Имеют доступ к компонентам, владеющим данными • Способы сужения – Уменьшение числа компонентов, обрабатывающих полные номера карт – Сетевая сегментация + фильтрация – Терминальные технологии и другие способы ограничения доступа
Часть 4. PCI DSS Scope. Примеры
Часть 4. Assessment (Audit) Scope • Может быть меньше PCI Scope • Область высокого риска безопасности • Определяет МПС • Документируется в отчете об аудите • Сегодня: – Авторизация – Расчеты (clearing/ settlement) – Fraud-monitoring
“PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Гольдштейн Анна Заместитель директора департамента аудита • (495) 980 23 45 • goldanna@infosec.ru

Recomendados

Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делатьKonstantin Feoktistov
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14DialogueScience
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияAlex Babenko
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 

Recomendados

Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делать
"Верхи не могут, низы не хотят", или Сказ о том, как правильно Secaas делатьKonstantin Feoktistov
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14DialogueScience
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfDenis Bezkorovayny
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияAlex Babenko
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.DialogueScience
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processyInformzaschita
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA EnglishArma Systems
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
лекция 11 (2 4часа)
лекция 11 (2 4часа)лекция 11 (2 4часа)
лекция 11 (2 4часа)Anastasia Snegina
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sightInformzaschita
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 

Mais conteúdo relacionado

Semelhante a 2.pci dss eto nujno znat

3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.DialogueScience
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”GlobalLogic Ukraine
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processyInformzaschita
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss complianceInformzaschita
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
лекция 11 (2 4часа)
лекция 11 (2 4часа)лекция 11 (2 4часа)
лекция 11 (2 4часа)Anastasia Snegina
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 

Semelhante a 2.pci dss eto nujno znat (20)

3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
 
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 
1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy1 vliyanie pci dss na business-processy
1 vliyanie pci dss na business-processy
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
5. jizn posle pci dss compliance
5. jizn posle pci dss compliance5. jizn posle pci dss compliance
5. jizn posle pci dss compliance
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
лекция 11 (2 4часа)
лекция 11 (2 4часа)лекция 11 (2 4часа)
лекция 11 (2 4часа)
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 

2.pci dss eto nujno znat

  • 1. “PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 8 июня 2010 г., Holiday Inn Suschevsky PCI DSS: Это нужно знать Гольдштейн Анна, CISA, CISSP, PCI & PA QSA Заместитель директора департамента аудита
  • 2. Основные вопросы • Часть 1. Все о стандарте – Зоны ответственности МПС, PCI SSC, PCI QSA – Жизненный цикл – Источники требований и суждение аудитора • Часть 2. Сервис-провайдеры • Часть 3. PCI vs PA DSS • Часть 4. PCI DSS Scope
  • 3. Часть 1. Зоны ответственности • Консул (PCI SSC) – разработка и поддержание серии стандартов (PCI DSS, PCI PTS, PA-DSS) – обучение и сертификация QSA и ASV • МПС: локальные программы безопасности – необходимость и сроки соответствия PCI DSS – правила подтверждения соответствия – штрафы за нарушение определенных правил • Аудитор – определение области PCI DSS – интерпретация требований и оценка выполнения
  • 4. Часть 1. Жизненный цикл PCI DSS 1. Market 2 года Implementation: 9 мес (1/10/08-30/06/09) 5. Discuss new 2. Feedback period: 4 version: 1 мес мес (1/07/09- (30/09/10) 31/10/09) 4. New version, 3. Feedback review revision and final and decision: 6 мес review: 4 мес (1/11/09-30/04/10) (1/05/10-31/08/10)
  • 5. Часть 1. Источники требований • Спецификация • Сопутствующие документы – Словарь – Ориентирование в PCI DSS (Navigation PCI DSS) – Дополнения к стандарту (Information supplements) • PCI DSS FAQ
  • 6. Часть 1. Интерпретация требований аудитором Опыт подтвержденных компрометаций Новые Информация о руководства по новых угрозах безопасности PCI SSC Изменение интерпретации требований
  • 7. Часть 1. Компенсационные меры • Применяются в случае наличия технических или бизнес-ограничений • Допустимы практически для всех требований • Должны быть «сверх» прочих требований PCI DSS для данной ситуации • Роль аудитора: – Оценка достаточности – Проверка текущей реализации – Проверка процесса поддержки
  • 8. Часть 2. Виды сервиса • 1 группа: обработка данных платежных карт – хранение, процессинг, передача данных • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Управление ресурсами (ОС, СУБД, МЭ, сетевое оборудование) – Организация физической безопасности помещений и ресурсов
  • 9. Часть 2. Примеры сервис-провайдера • Банк использует платежный шлюз для e-commerce мерчантов • ИТ-интегратор управляет граничным сетевым оборудованием банка • Банк использует процессинг, в котором в свою очередь реализует управление сетевым оборудованием и физ. защиту
  • 10. Часть 2. Сервис-провайдеры и PCI Compliance • 1 группа: обработка данных платежных карт – Наличие результатов PCI-аудита сервис- провайдера, подтверждающего PCI compliance – Включение проверок предоставляемых сервисов в собственный аудит • 2 группа: имеют доступ к данным или реализуют сервисы, влияющие на безопасность данных – Мониторинг соответствия предоставляемых сервисов требованиям PCI DSS
  • 11. Часть 3. PA-DSS: причины появления • Невозможность или сложность выполнения требований PCI DSS – Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением – Невозможность удалитыь/вычистить TRACK,CVC2/CVV2 из архивов – Хранение номеров карт (PAN) в открытом виде – Отказ поддержки вендором приложения патчей на СУБД
  • 12. Часть 3. “Серебряная пуля” PCI DSS • Реализация переложена на разработчиков: – Все применимые к прикладному уровню требования PCI DSS – Возможность работы приложения в PCI DSS- compliant среде – Контроль уровня безопасности приложения – Решение проблемы совместимости с обновлениями безопасности платформ
  • 13. Часть 3. PA-DSS vs PCI DSS • Область применения PCI значительно шире чем PA-DSS • Наличие сертификата PA-DSS на используемое приложение – не гарантирует выполнения требований PCI DSS – не исключает приложение из области оценки PCI DSS аудита
  • 14. Часть 4. PCI DSS Scope • Область применения PCI DSS - все компоненты сетевой инфраструктуры, которые – Непосредственно владеют данными платежных карт (обрабатывают, передают, хранят) – Имеют доступ к компонентам, владеющим данными • Способы сужения – Уменьшение числа компонентов, обрабатывающих полные номера карт – Сетевая сегментация + фильтрация – Терминальные технологии и другие способы ограничения доступа
  • 15. Часть 4. PCI DSS Scope. Примеры
  • 16. Часть 4. Assessment (Audit) Scope • Может быть меньше PCI Scope • Область высокого риска безопасности • Определяет МПС • Документируется в отчете об аудите • Сегодня: – Авторизация – Расчеты (clearing/ settlement) – Fraud-monitoring
  • 17. “PCI Compliance: Информационная безопасность в индустрии платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Гольдштейн Анна Заместитель директора департамента аудита • (495) 980 23 45 • goldanna@infosec.ru