Управление соответствием pci dss - Секция 1 - Обзор...
DESCRIPTION
Обзор индустрии платежных карт. Ключевые участники платежного процесса. Потоки данных между участниками. Совет PCI SSC. Стандарты PCI DSS и PCI PA-DSS. Уровни и правила подтверждения соответствия.TRANSCRIPT
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Секция 1Обзор стандарта PCI DSS
1-2 Индустрия платежных карт
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Банк-эквайер – банк, предоставляющий услуги эквайринга.
Банк-эмитент – банк, выпустивший платежную карту.
Международная платежная система (МПС) – сообщество банков, установившее правила обращения платежных карт (Visa, MasterCard, American Express, Discovery, JCB).
Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций. Примерами поставщиков услуг являются банки-эмитенты, банки-эквайеры, платежные шлюзы, хостинг-провайдеры.
Торгово-сервисное предприятие (ТСП) – организация, принимающая платежные карты к оплате за товары и услуги.
Эквайринг – процесс приема платежных карт к оплате за товары и услуги. Различают банкоматный (Automated Teller Machine, ATM) эквайринг – выдачу наличных по платежной карте с использованием банкомата, торговый (Point of Sale, POS) эквайринг – прием платежных карт к оплате за товары и услуги торгово-сервисных предприятий с использованием POS-терминалов и Интернет-эквайринг – прием платежных карт к оплате за товары и услуги с использованием средств электронной коммерции.
Эмиссия – процесс выпуска (персонализации) платежных карт.
1-3 Эмиссия платежных карт МПС Visa и MasterCard
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-4 Две стадии эквайринга по картам МПС Visa и MasterCard
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-5 Авторизация – шаг 1
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-6 Авторизация – шаг 2
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-7 Авторизация – шаг 3
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-8 Авторизация – шаг 4
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-9 Авторизация – шаг 5
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-10 Авторизация – шаг 6
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-11 Авторизация – шаг 7
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-12 Авторизация – шаг 8
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-13 Клиринг и взаиморасчет – шаг 1
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-14 Клиринг и взаиморасчет – шаг 2
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-15 Клиринг и взаиморасчет – шаг 3
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-16 Клиринг и взаиморасчет – шаг 4
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-17 Клиринг и взаиморасчет – шаг 5
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-18 Клиринг и взаиморасчет – шаг 6
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-19 Клиринг и взаиморасчет – шаг 7
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-20 Банки-принципалы и аффилированные банки
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-21 Платежные шлюзы
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-22 Поставщики услуг и торгово-сервисные предприятия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-23 Распределение ответственности за безопасность данных
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1-24 Стандарты безопасности данных индустрии платежных карт
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.
Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки.
Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).
1-25 Стандарт PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Объект применения: организация, в информационной инфраструктуре которой хранятся, обрабатываются или передаются данные о держателях карт.
Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover).
Критерий соответствия: выполнение 100% применимых к организации требований стандарта.
Способ подтверждения соответствия: определяется международной платежной системой и банком-эквайером отдельно для разных типов организаций.
Регулярность подтверждения соответствия: ежегодно.
1-26 Стандарт PCI PA-DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Объект применения: приложение, которое хранит, обрабатывает или передает данные о держателях карт (платежное приложение), а также процесс его разработки.
Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в процессе авторизации транзакции или выполнения взаиморасчетов. Не применим к приложениям, разработанным самостоятельно для собственных нужд, а также к приложениям, разработанным на заказ для одного заказчика.
Критерий соответствия: выполнение 100% применимых к приложению требований стандарта.
Способ подтверждения соответствия: проверка безопасности приложения аудиторской организацией (PA-QSA), сертифицированной Советом PCI SSC.
Регулярность подтверждения соответствия: ежегодно, способ зависит от значимости обновлений приложения с точки зрения безопасности обработки карточных данных.
1-27 Структура стандарта PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Стандарт PCI DSS актуальной на 2012 год версии 2.0 содержит в себе 288 проверочных процедур, распределенных по двенадцати разделам:
1. Защита вычислительной сети.
2. Конфигурация компонентов информационной инфраструктуры.
3. Защита хранимых данных о держателях карт.
4. Защита передаваемых данных о держателях карт.
5. Антивирусная защита информационной инфраструктуры.
6. Разработка и поддержка информационных систем.
7. Управление доступом к данным о держателях карт.
8. Механизмы аутентификации.
9. Физическая защита информационной инфраструктуры.
10. Протоколирование событий и действий.
11. Контроль защищенности информационной инфраструктуры.
12. Управление информационной безопасностью.
1-28 Способы подтверждения соответствия стандарту PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ)
Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC.
Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA).
Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ).
В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет.
В ходе проверки ISA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет.
Сбор свидетельств выполнения требований стандарта не требуется.
По результатам QSA подготавливает Отчет о Соответствии (Report on Compliance, ROC).
По результатам ISA подготавливает Отчет о Соответствии (Report on Compliance, ROC).
Отчетным документом является самостоятельно заполненный лист самооценки SAQ.
1-29 Обязательные независимые проверки защищенности
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Проверка Описание
Требование 11.2 PCI DSSВнешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV)
Выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC.
Сканированию подлежат все внешние IP-интерфейсы информационной инфраструктуры в рамках области применимости требований стандарта PCI DSS.
Требование 11.3 PCI DSSВнешнее и внутреннее тестирование на проникновение (pentest)
Выполняется ежегодно независимым поставщиком услуг тестирования на проникновение. Тестирование должно выполняться на уровне сети и на уровне приложений, как извне, так и изнутри области применимости требований стандарта PCI DSS.
Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом.
1-30 Контроль защищенности внешних веб-приложений
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Проверка Описание
Требование 6.6 PCI DSSКонтроль защищенности внешних (публичных) веб-приложений
Существует три варианта выполнения требования:
• сканирование уязвимостей приложения при помощи специализированного сканера безопасности веб-приложений;
• аудит защищенности веб-приложений вручную экспертами, специализирующимися на безопасности веб-приложений. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом;
• установка перед веб-приложением межсетевого экрана прикладного уровня (Web Application Firewall, WAF).
1-31 Уровни и требования международных платежных систем
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год.
Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг.
В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт.
Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы.
1-32 Классификация Visa, торгово-сервисные предприятия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Уровень Критерии Подтверждение соответствия PCI DSS
1
•обработка более 6 млн. транзакций в год, или
•решение Visa о назначении уровня 1
•QSA или ISA ежегодно
•ASV ежеквартально
2
•обработка от 1 до 6 млн. транзакций в год •SAQ ежегодно
•ASV ежеквартально
3
•обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции
•SAQ ежегодно
•ASV ежеквартально
4
•обработка до 20 тыс. транзакций в год с применением электронной коммерции, или до 1 млн. транзакций в год иным способом
•SAQ ежегодно (рекомендовано)
•ASV ежеквартально (если применимо)
1-33 Классификация MasterCard, торгово-сервисные предприятия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Уровень Критерии Подтверждение соответствия PCI DSS
1
•обработка более 6 млн. транзакций в год, или
•решение MasterCard о назначении уровня 1, или
•уровень 1 согласно критериям Visa, или
•компрометация карточных данных
•QSA или ISA ежегодно
•ASV ежеквартально
2
•обработка от 1 до 6 млн. транзакций в год, или
•уровень 2 согласно критериям Visa
•QSA или ISA ежегодно
•ASV ежеквартально
3
•обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции, или
•уровень 3 согласно критериям Visa
•SAQ ежегодно
•ASV ежеквартально
4•все остальные •SAQ ежегодно
•ASV ежеквартально
1-34 Классификация Visa, поставщики услуг
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Уровень Критерии Подтверждение соответствия PCI DSS
1
•обработка более 300 тыс. транзакций в год*, или
•процессинг, напрямую подключенный к VisaNet (через VisaNet Extended Access Server, VEAS), (VNP),независимо от количества транзакций
•QSA ежегодно
•ASV ежеквартально
2
•обработка менее 300 тыс. транзакций в год •SAQ ежегодно
•ASV ежеквартально
* - суммарное количество транзакций по картам Visa или суммарное количество карт Visa, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.
1-35 Классификация MasterCard, поставщики услуг
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Уровень Критерии Подтверждение соответствия PCI DSS
1
•обработка более 300 тыс. транзакций в год*, или
•внешний процессинг (Third Party Processor, TPP), независимо от количества транзакций
•QSA ежегодно
•ASV ежеквартально
2
•обработка менее 300 тыс. транзакций в год •SAQ ежегодно
•ASV ежеквартально
* - суммарное количество транзакций по картам MasterCard или суммарное количество карт MasterCard, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.