Содержание
- 2. О чем пойдет речь? DSS для PCI Основные требования стандарта Внутренняя кухня DSS Путь к соответствию
- 3. История возникновения 1970 1980 1990 2000 Старт программ CISP/AIS/SDP 2010 Стандарт PCI DSS 1.2 2.0 1.0
- 4. Область применения стандарта PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных
- 5. Безопасность данных платежных карт
- 6. Требования стандарта (1 из 2)
- 7. Требования стандарта (2 из 2)
- 8. Область проверки стандарта Авторизация, клиринг/сеттлмент Мониторинг мошеннических транзакций, разрешение диспутов Поддержка клиентов (call-центр) Аналитика и статистика
- 9. Основные изменения 1.2 → 2.0 Новых глобальных требований не добавилось Уточнен ряд требований, детализация и упрощение
- 10. Разработка и контроль применения
- 11. Ответственность PCI SSC Разработка и публикация стандартов PCI Определение требований к QSA, PA-QSA и ASV Аккредитация
- 12. Ответственность QSA Проведение аудитов в соответствии с утвержденными процедурами Обеспечение поддержки и консультации по выполнению требований
- 13. Ответственность МПС Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC Определение способов
- 14. Путь к соответствию
- 15. Реестр хранения данных карт (матрица данных) Ресурсы, участвующие в передаче, обработке, хранении данных карт Логическое и
- 16. Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем Выявляются несоответствия стандарту По результатам
- 17. Иерархия документов: от политики до процедур и инструкций Не разработка «в стол», а разработка и документирование
- 18. Использование встроенных защитных механизмов Настройка существующих внешних средств защиты Внедрение программно-технических средств: «Необходимо» или «полезно» Перекрывание
- 19. Контролируемость выбранного решения Простота исполнения процедур Наличие «обратной связи» процесса Совершенствование и доработка процедур/регламентов, корректировка мер
- 20. Проводится после внедрения основных мер Внешнее сканирование проводит PCI ASV Тестирование защищенности выявляет основные недоработки в
- 21. Процедуры аудита определены PCI SSC Область аудита может быть меньше чем PCI DSS Scope Аудит проводится
- 22. PCI Compliance не «вечный двигатель», безопасность это процесс Контрольные процедуры: Заложенные стандартом (определены периодичность и методы
- 23. Сопутствующие стандарты
- 24. Payment Application DSS Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента Необходима
- 25. PIN Entry Devices Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты
- 27. Скачать презентацию