Бабенко Алексей Бабенко Алексей старший аудитор

Август 29, 2022

Главная
Технология
Бабенко Алексей Бабенко Алексей старший аудитор

Содержание

2. О чем пойдет речь? DSS для PCI Основные требования стандарта Внутренняя кухня DSS Путь к соответствию
3. История возникновения 1970 1980 1990 2000 Старт программ CISP/AIS/SDP 2010 Стандарт PCI DSS 1.2 2.0 1.0
4. Область применения стандарта PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных
5. Безопасность данных платежных карт
6. Требования стандарта (1 из 2)
7. Требования стандарта (2 из 2)
8. Область проверки стандарта Авторизация, клиринг/сеттлмент Мониторинг мошеннических транзакций, разрешение диспутов Поддержка клиентов (call-центр) Аналитика и статистика
9. Основные изменения 1.2 → 2.0 Новых глобальных требований не добавилось Уточнен ряд требований, детализация и упрощение
10. Разработка и контроль применения
11. Ответственность PCI SSC Разработка и публикация стандартов PCI Определение требований к QSA, PA-QSA и ASV Аккредитация
12. Ответственность QSA Проведение аудитов в соответствии с утвержденными процедурами Обеспечение поддержки и консультации по выполнению требований
13. Ответственность МПС Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC Определение способов
14. Путь к соответствию
15. Реестр хранения данных карт (матрица данных) Ресурсы, участвующие в передаче, обработке, хранении данных карт Логическое и
16. Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем Выявляются несоответствия стандарту По результатам
17. Иерархия документов: от политики до процедур и инструкций Не разработка «в стол», а разработка и документирование
18. Использование встроенных защитных механизмов Настройка существующих внешних средств защиты Внедрение программно-технических средств: «Необходимо» или «полезно» Перекрывание
19. Контролируемость выбранного решения Простота исполнения процедур Наличие «обратной связи» процесса Совершенствование и доработка процедур/регламентов, корректировка мер
20. Проводится после внедрения основных мер Внешнее сканирование проводит PCI ASV Тестирование защищенности выявляет основные недоработки в
21. Процедуры аудита определены PCI SSC Область аудита может быть меньше чем PCI DSS Scope Аудит проводится
22. PCI Compliance не «вечный двигатель», безопасность это процесс Контрольные процедуры: Заложенные стандартом (определены периодичность и методы
23. Сопутствующие стандарты
24. Payment Application DSS Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента Необходима
25. PIN Entry Devices Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты
27. Скачать презентацию

Слайд 2

О чем пойдет речь?
DSS для PCI
Основные требования стандарта
Внутренняя кухня DSS
Путь к

соответствию за 10 шагов
Сопутствующие стандарты

Слайд 3

История возникновения
1970
1980
1990
2000
Старт программ
CISP/AIS/SDP
2010
Стандарт PCI DSS
1.2
2.0
1.0
1.1
new
08
06
04
01
13
66
Первая сеть VISA ATM
83
$ 300 млн.

мошеннических транзакций

$ 36 млн. мошеннических транзакций

$ 5 550 млн. мошеннических транзакций

1 млд. карт
Visa и MasterCard

Слайд 4

Область применения стандарта
PCI DSS применим к любой организации, которая хранит, передает

или обрабатывает данные платежных карт

Слайд 5

Безопасность данных платежных карт

Слайд 6

Требования стандарта (1 из 2)

Слайд 7

Требования стандарта (2 из 2)

Слайд 8

Область проверки стандарта
Авторизация, клиринг/сеттлмент
Мониторинг мошеннических транзакций, разрешение диспутов
Поддержка клиентов (call-центр)
Аналитика и

статистика по транзакциям

Слайд 9

Основные изменения 1.2 → 2.0
Новых глобальных требований не добавилось
Уточнен ряд требований,

детализация и упрощение восприятия процедур
Изменились требования к процедуре определения области оценки (scoping)
Усложнение требований 6.2, 6.5.6, 11.2
Вступают в силу с 1 января 2011 года, возможно проведение аудита по версии 1.2 конца 2011 года

Слайд 10

Разработка и контроль применения

Слайд 11

Ответственность PCI SSC
Разработка и публикация стандартов PCI
Определение требований к QSA, PA-QSA

и ASV
Аккредитация компаний и публикация списков QSA, PA-QSA и ASV
Обучение и сертификация сотрудников QSA, PA-QSA
Контроль качества работ проводимых QSA, PA-QSA и ASV

Слайд 12

Ответственность QSA
Проведение аудитов в соответствии с утвержденными процедурами
Обеспечение поддержки и консультации

по выполнению требований до полного соответствия
Интерпретация требований стандарта и адекватности компенсационных мер
Предоставление отчетности в платежные системы и PCI SSC

Слайд 13

Ответственность МПС
Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе

PCI SSC
Определение способов подтверждения соответствия PCI DSS
Определения границ области проверки соответствия
Штрафы за невыполнение требований

Слайд 14

Путь к соответствию

Слайд 15

Реестр хранения данных карт (матрица данных)
Ресурсы, участвующие в передаче, обработке, хранении

данных карт
Логическое и физическое размещение ресурсов
Dataflow
Наличие и механизмы сегментации и экранирования
Использование беспроводных технологий

Слайд 16

Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем
Выявляются

несоответствия стандарту
По результатам — Action plan
Согласованы решения и компенсационные меры
Выбраны технические средства
Одна работа – один ответственный
Приоритет работ с учетом рисков ИБ

Слайд 17

Иерархия документов: от политики до процедур и инструкций
Не разработка «в стол»,

а разработка и документирование процессов
Определение порядка изменения документов

Слайд 18

Использование встроенных защитных механизмов
Настройка существующих внешних средств защиты
Внедрение программно-технических средств:
«Необходимо» или

«полезно»
Перекрывание защитных механизмов
Простота эксплуатации
Возможность масштабирования

Слайд 19

Контролируемость выбранного решения
Простота исполнения процедур
Наличие «обратной связи» процесса
Совершенствование и доработка процедур/регламентов,

корректировка мер

Слайд 20

Проводится после внедрения основных мер
Внешнее сканирование проводит PCI ASV
Тестирование защищенности выявляет

основные недоработки в реализации мер или зоне их охвата
Повторение при отрицательном результате

Слайд 21

Процедуры аудита определены PCI SSC
Область аудита может быть меньше чем PCI

DSS Scope
Аудит проводится с применением «выборки» ресурсов, помещений, людей
Является «снимком» состояния на момент проведения аудита

Слайд 22

PCI Compliance не «вечный двигатель», безопасность это процесс
Контрольные процедуры:
Заложенные стандартом (определены

периодичность и методы контроля)
Внутренние
Изменение инфраструктуры и угроз ИБ

Слайд 23

Сопутствующие стандарты

Слайд 24

Payment Application DSS
Область применения - любое тиражируемое платежное приложение, используемое для

авторизации или клиринга/сеттлмента
Необходима сертификация:
POS терминалы, банкоматы,
киоски для оплаты,
системы процессинга и пр.
Сертификация не нужна
Приложения собственной разработки для или приложения на заказ
Отдельно стоящие POS терминалы
СУБД
Операционные системы
Web серверы

Слайд 25

PIN Entry Devices
Цель PCI PED — защита чувствительной информации (резидентных ключей,

PIN кодов пластиковой карты и др.) устройствами принимающими PIN
Программа тестирования и утверждения устройств отражает:
требования безопасности к устройствам;
методология тестирования;
процесс сертификации и утверждения.

Бабенко Алексей Бабенко Алексей старший аудитор

Содержание

О чем пойдет речь?DSS для PCIОсновные требования стандартаВнутренняя кухня DSSПуть к

История возникновения1970198019902000Старт программ CISP/AIS/SDP2010Стандарт PCI DSS1.22.01.01.1new080604011366Первая сеть VISA ATM83$ 300 млн.

Область применения стандартаPCI DSS применим к любой организации, которая хранит, передает

Безопасность данных платежных карт

Требования стандарта (1 из 2)

Требования стандарта (2 из 2)

Область проверки стандартаАвторизация, клиринг/сеттлментМониторинг мошеннических транзакций, разрешение диспутовПоддержка клиентов (call-центр)Аналитика и

Основные изменения 1.2 → 2.0Новых глобальных требований не добавилосьУточнен ряд требований,

Разработка и контроль применения

Ответственность PCI SSCРазработка и публикация стандартов PCIОпределение требований к QSA, PA-QSA

Ответственность QSAПроведение аудитов в соответствии с утвержденными процедурамиОбеспечение поддержки и консультации

Ответственность МПСУтверждение требований к Компаниям QSA, PA-QSA и ASV в составе

Путь к соответствию

Реестр хранения данных карт (матрица данных)Ресурсы, участвующие в передаче, обработке, хранении

Анализируются процессы управления ИТ и безопасностью, а не текущие настройки системВыявляются

Иерархия документов: от политики до процедур и инструкцийНе разработка «в стол»,

Использование встроенных защитных механизмовНастройка существующих внешних средств защитыВнедрение программно-технических средств:«Необходимо» или

Контролируемость выбранного решенияПростота исполнения процедурНаличие «обратной связи» процессаСовершенствование и доработка процедур/регламентов,

Проводится после внедрения основных мерВнешнее сканирование проводит PCI ASVТестирование защищенности выявляет

Процедуры аудита определены PCI SSCОбласть аудита может быть меньше чем PCI

PCI Compliance не «вечный двигатель», безопасность это процессКонтрольные процедуры:Заложенные стандартом (определены