Enviar pesquisa
Carregar
PCI DSS как перейти с версии 2.0 на 3.0
•
0 gostou
•
814 visualizações
R
RISSPA_SPb
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 19
Baixar agora
Baixar para ler offline
Recomendados
Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасности
Softline
Информационная безопасность
Информационная безопасность
КРОК
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктурой
КРОК
Импортозамещение КРОК
Импортозамещение КРОК
КРОК
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
Recomendados
Карта услуг и решений по информационной безопасности
Карта услуг и решений по информационной безопасности
Softline
Информационная безопасность
Информационная безопасность
КРОК
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
infoforum
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Управление соответствием PCI DSS - Секция 5 - Выполнение требований PCI DSS
Deiteriy Co. Ltd.
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
Решение КРОК для мониторинга и управления ИТ инфраструктурой
Решение КРОК для мониторинга и управления ИТ инфраструктурой
КРОК
Импортозамещение КРОК
Импортозамещение КРОК
КРОК
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
Acronis Защита данных нового поколения
Acronis Защита данных нового поколения
ЭЛВИС-ПЛЮС
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
КРОК
Внедрение бизнес приложений
Внедрение бизнес приложений
КРОК
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессами
КРОК
Сервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудования
КРОК
Инфраструктурные программные решения
Инфраструктурные программные решения
КРОК
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
КРОК
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
КРОК
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
КРОК
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Expolink
Портальные решения
Портальные решения
КРОК
Уральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Cisco Russia
11
11
Baska789
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Marcus Drost
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
Jason Coombs
Mais conteúdo relacionado
Mais procurados
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
Acronis Защита данных нового поколения
Acronis Защита данных нового поколения
ЭЛВИС-ПЛЮС
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
КРОК
Внедрение бизнес приложений
Внедрение бизнес приложений
КРОК
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессами
КРОК
Сервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудования
КРОК
Инфраструктурные программные решения
Инфраструктурные программные решения
КРОК
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Andrew Gaiko
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
КРОК
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
RISSPA_SPb
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
КРОК
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
КРОК
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Deiteriy Co. Ltd.
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Expolink
Портальные решения
Портальные решения
КРОК
Уральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Cisco Russia
Mais procurados
(19)
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
Acronis Защита данных нового поколения
Acronis Защита данных нового поколения
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
Услуги КРОК для интеграции приложений
Услуги КРОК для интеграции приложений
Внедрение бизнес приложений
Внедрение бизнес приложений
Решения КРОК для управления бизнес-процессами
Решения КРОК для управления бизнес-процессами
Сервисная поддержка телекоммуникационного оборудования
Сервисная поддержка телекоммуникационного оборудования
Инфраструктурные программные решения
Инфраструктурные программные решения
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
Услуги КРОК по управлению ИТ сервисами
Услуги КРОК по управлению ИТ сервисами
Cтандарт PCI DSS изменения в новой версии
Cтандарт PCI DSS изменения в новой версии
Решения КРОК по мониторингу бизнес операций
Решения КРОК по мониторингу бизнес операций
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Портальные решения
Портальные решения
Уральский форум за 15 минут
Уральский форум за 15 минут
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
Destaque
11
11
Baska789
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Marcus Drost
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
Jason Coombs
Aw16 ge
Aw16 ge
Kim Young Tae
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
Serena Sbanchi
12
12
Baska789
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
Jason Coombs
For sidney bechet (2)
For sidney bechet (2)
hannahsole6
Road map to your success MKG Insurance Marketing Organization
Road map to your success MKG Insurance Marketing Organization
MKG Enterprises Corp
Carthographic Map Explanation
Carthographic Map Explanation
Andrea González
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
Jason Coombs
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
Jason Coombs
Come creare un alveare in tre mosse
Come creare un alveare in tre mosse
Marta Murari
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
andy taiwan
9
9
Baska789
Visibility
Visibility
cmaionaise
Fairmont presentation
Fairmont presentation
cmaionaise
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
Jason Coombs
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
Jason Coombs
Destaque
(20)
11
11
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
Workshop BI/DWH AGILE TESTING SNS Bank Dutch
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
JOBS Act Rulemaking Comments on SEC File Number S7-06-13
Aw16 ge
Aw16 ge
Affrontare il colloquio di lavoro
Affrontare il colloquio di lavoro
12
12
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
JOBS Act Rule 506(c) Federal Subpoena to Jason Coombs from Securities and Exc...
For sidney bechet (2)
For sidney bechet (2)
Road map to your success MKG Insurance Marketing Organization
Road map to your success MKG Insurance Marketing Organization
Carthographic Map Explanation
Carthographic Map Explanation
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
June 18 2012 letter to We Cluster and Public Startup Company co-founders, fri...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Dated September 13, ...
Come creare un alveare in tre mosse
Come creare un alveare in tre mosse
Tugas SISTEM OPERASI II
Tugas SISTEM OPERASI II
9
9
Visibility
Visibility
Fairmont presentation
Fairmont presentation
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-09-13 Dated February 3, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
JOBS Act Rulemaking Comments on SEC File Number S7-11-13 Dated July 26, 2014
Semelhante a PCI DSS как перейти с версии 2.0 на 3.0
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
Cisco Russia
Security trends for Russian CISO
Security trends for Russian CISO
Aleksey Lukatskiy
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Anna Chernecova
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
На пути к PCI соответствию
На пути к PCI соответствию
Digital Security
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
Iba group ifrs_website
Iba group ifrs_website
IBA Group
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
Cisco Russia
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
Arma PCA English
Arma PCA English
Arma Systems
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
S-Terra CSP
2 голов код безопасности
2 голов код безопасности
journalrubezh
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Expolink
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Deiteriy Co. Ltd.
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
Valery Boronin
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
Eugene Bartov
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Cisco Russia
Semelhante a PCI DSS как перейти с версии 2.0 на 3.0
(20)
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Платформа Cisco Tetration Analytics. Краткий обзор.
Платформа Cisco Tetration Analytics. Краткий обзор.
Security trends for Russian CISO
Security trends for Russian CISO
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Проведение ИТ-аудита. Коммерческое предложение от компании IT-Lite.
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
На пути к PCI соответствию
На пути к PCI соответствию
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
Iba group ifrs_website
Iba group ifrs_website
Совместные практики по решению кейсов (CTI-Cisco)
Совместные практики по решению кейсов (CTI-Cisco)
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Arma PCA English
Arma PCA English
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
2 голов код безопасности
2 голов код безопасности
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
Управление соответствием PCI DSS - Секция 4 - Сужение области применимости
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
Mais de RISSPA_SPb
RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
RISSPA_SPb
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
RISSPA_SPb
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
RISSPA_SPb
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
RISSPA_SPb
История одного стартапа
История одного стартапа
RISSPA_SPb
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
RISSPA_SPb
Как построить систему управления информационными рисками
Как построить систему управления информационными рисками
RISSPA_SPb
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
RISSPA_SPb
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
RISSPA_SPb
RISSPA SPb
RISSPA SPb
RISSPA_SPb
Mais de RISSPA_SPb
(11)
RISSPA SPb вчера, сегодня, завтра
RISSPA SPb вчера, сегодня, завтра
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Всесторонние аспекты защиты Mobile point of sale
Всесторонние аспекты защиты Mobile point of sale
История одного стартапа
История одного стартапа
Как одновременно соответствовать различным регуляторным требованиям
Как одновременно соответствовать различным регуляторным требованиям
Как построить систему управления информационными рисками
Как построить систему управления информационными рисками
Гибридные облака как средство защиты персональных данных
Гибридные облака как средство защиты персональных данных
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
Заблуждения и стереотипы относительно анализа кода
Заблуждения и стереотипы относительно анализа кода
RISSPA SPb
RISSPA SPb
PCI DSS как перейти с версии 2.0 на 3.0
1.
Стандарт PCI DSS:
как перейти с версии 2.0 на 3.0 Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 27 февраля 2014 года, семинар RISSPA © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
2.
2 Цикл развития стандарта
PCI DSS Совет PCI SSC – международный регулятор в сфере безопасности индустрии платежных карт – применяет трехлетний цикл развития стандартов PCI: Первый год: Внедрение в индустрию Третий год: Согласование новой версии (действуют обе версии: 2.0 и 3.0) (действует одна версия: 3.0) 3.0 2015 Второй год: Сбор обратной связи (действует одна версия: 3.0) © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
3.
3 Что делать в
2014 году? «Я впервые начинаю готовиться к подтверждению соответствия PCI DSS, какую версию мне выбрать?» - PCI DSS 3.0. «Я долго готовился к подтверждению соответствия PCI DSS, а тут новая версия стандарта вышла, что мне делать?» - подтвердить соответствие PCI DSS 2.0 и постепенно переходить на 3.0. «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
4.
4 Обзор существенных изменений Категория Было
в версии 2.0 - Уточнение Стало в версии 3.0 Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся Изменение Компоненты, хранящие, передающие и обрабатывающие карточные Корректность ограничения области данные, должны быть отделены применимости требований стандарта корректно настроенным межсетевым проверяется тестом на проникновение экраном (L3, L2) Изменение Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций - Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM Уточнение © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
5.
5 Обзор существенных изменений
(продолжение) Категория Было в версии 2.0 - Уточнение Стало в версии 3.0 Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных Уточнение Присутствовало неявно Изменение Увеличена гибкость путем Отдельные требования о длине и объединения в одно требование о сложности пароля длине и/или сложности пароля - Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 | Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту - Изменение (активно с 1 июля 2015 года) Добавлено требование о необходимости борьбы с подменой POS-терминалов 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
6.
6 Обзор существенных изменений
(продолжение) Категория Уточнение Было в версии 2.0 Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и Следует ежедневно читать и критичных системных журналов. анализировать все журналы Добавлена гибкость путем протоколирования событий предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков Изменение (активно с 1 июля 2015 года) © ООО «Дейтерий», 2010 – 2013 Стало в версии 3.0 Определены требования к методике теста на проникновение и необходимость её документирования - | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
7.
7 Переход на версию
PCI DSS 3.0 Переход на новую версию стандарта – это как миграция на новую версию операционной системы – вроде бы, изменения некритичны, но пока учтешь все нюансы в рамках целой компании, получается весьма солидный проект. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
8.
8 Задачи перехода на
версию PCI DSS 3.0 Задача №1: Взять перечень логов из требования 10.6.1 и проверить, что все они пишутся и анализируются ежедневно: • все события безопасности; • журналы всех системных компонентов, осуществляющих хранение, обработку или передачу данных держателей карт или критичных аутентификационных данных, или влияющих на их безопасность; • журналы всех критичных системных компонентов; • журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, межсетевых экранов, систем обнаружения и предотвращения вторжений, серверов аутентификации). © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
9.
9 Задачи перехода на
версию PCI DSS 3.0 Задача №2: Доработать процедуру ежегодного анализа рисков, включив в нее принятие решения о том, как часто должны анализироваться остальные логи, не вошедшие в перечень требования 10.6.1. Составить перечень таких логов и проверить, что они ведутся и анализируются. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
10.
10 Задачи перехода на
версию PCI DSS 3.0 Задача №3: Проверить, что критичные аутентификационные данные не хранятся нигде в информационной инфраструктуре, даже в отсутствии полных номеров карт. Типовые места: • логи SMS-шлюзов мобильной коммерции; • схемы псевдо-рекуррентных транзакций; • логи PIN-клавиатур в debug-режиме. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
11.
11 Задачи перехода на
версию PCI DSS 3.0 Задача №4: Включить в договоры с разработчиками, пишущими программное обеспечение на заказ, описание обязательных этапов безопасной разработки. Описание можно взять из внутренних регламентов безопасности процессов разработки приложений. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
12.
12 Задачи перехода на
версию PCI DSS 3.0 Задача №5: Проверить, что собственные разработчики программного обеспечения проходят обучение по вопросам, как не допускать общеизвестные уязвимости в коде и как безопасно обрабатывать данные в оперативной памяти. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
13.
13 Задачи перехода на
версию PCI DSS 3.0 Задача №6: Создать и постоянно поддерживать в актуальном состоянии перечень POS-терминалов с указанием производителя, модели, месторасположения и серийного номера. Задача №7: Организовать периодическую инвентаризацию всех POS-терминалов и проверку, что они не подменены и их конфигурация не претерпела несанкционированных изменений. Задача №8: Организовать регулярное обучение для работников о том, что нельзя подпускать посторонних к POS-терминалам, можно использовать только проверенные терминалы, а также о том, как опознать попытки мошенничества с POS-терминалами и куда о них сообщать. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
14.
14 Задачи перехода на
версию PCI DSS 3.0 Задача №9: Разработать и внедрить документированную процедуру регулярных внутренних аудитов. Цель аудитов – убедиться в выполнении требований стандарта PCI DSS. Задача №10: Разработать и внедрить документированную процедуру регулярных проверок используемых в информационной инфраструктуре технологий и продуктов. Цель проверок – убедиться, что технологии и продукты поддерживаются производителем и обеспечивают требуемый уровень безопасности. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
15.
15 Задачи перехода на
версию PCI DSS 3.0 Задача №11: После завершения проекта по переходу организации на PCI DSS 3.0 проверить, что все произведенные изменения в конфигурациях, технологиях и бизнес-процессах учтены во внутренних нормативных документах. Задача №12: Проверить, что все регулярные процедуры, предусмотренные стандартом PCI DSS, корректно отражены во внутренних нормативных документах. Задача №13: Составить и постоянно поддерживать в актуальном состоянии перечень компонентов информационной инфраструктуры. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
16.
16 Задачи перехода на
версию PCI DSS 3.0 Задача №14: Довести новые и обновленные внутренние нормативные документы, а также новые знания до сведения сотрудников, создать атмосферу осведомленности о рисках. © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
17.
17 Что делать в
2014 году? «Я подтвердил соответствие PCI DSS 2.0 в 2013 году, какую версию мне выбрать в 2014?» - зависит от... ...сроков выполнения перечисленных задач в вашей организации. Если эта цель достижима до даты очередного подтверждения соответствия – выбирайте версию PCI DSS 3.0, в ином случае – PCI DSS 2.0. Помните: в 2015 году альтернативы не будет! © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
18.
18 © ООО «Дейтерий»,
2010 – 2013 Стандартизованный шаблон Отчета о соответствии (ROC 3.0) | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
19.
19 Спасибо! Спасибо за внимание! Вопросы? sergey.shustikov@deiteriy.com www.pcidsstraining.ru ©
ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Baixar agora