Управление соответствием pci dss - Секция 1 - Обзор...

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

Секция 1Обзор стандарта PCI DSS

1-2 Индустрия платежных карт


Банк-эквайер – банк, предоставляющий услуги эквайринга.

Банк-эмитент – банк, выпустивший платежную карту.

Международная платежная система (МПС) – сообщество банков, установившее правила обращения платежных карт (Visa, MasterCard, American Express, Discovery, JCB).

Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций. Примерами поставщиков услуг являются банки-эмитенты, банки-эквайеры, платежные шлюзы, хостинг-провайдеры.

Торгово-сервисное предприятие (ТСП) – организация, принимающая платежные карты к оплате за товары и услуги.

Эквайринг – процесс приема платежных карт к оплате за товары и услуги. Различают банкоматный (Automated Teller Machine, ATM) эквайринг – выдачу наличных по платежной карте с использованием банкомата, торговый (Point of Sale, POS) эквайринг – прием платежных карт к оплате за товары и услуги торгово-сервисных предприятий с использованием POS-терминалов и Интернет-эквайринг – прием платежных карт к оплате за товары и услуги с использованием средств электронной коммерции.

Эмиссия – процесс выпуска (персонализации) платежных карт.

1-3 Эмиссия платежных карт МПС Visa и MasterCard


1-4 Две стадии эквайринга по картам МПС Visa и MasterCard


1-5 Авторизация – шаг 1


1-13 Клиринг и взаиморасчет – шаг 1


1-20 Банки-принципалы и аффилированные банки


1-21 Платежные шлюзы


1-22 Поставщики услуг и торгово-сервисные предприятия


1-23 Распределение ответственности за безопасность данных


1-24 Стандарты безопасности данных индустрии платежных карт


Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS.

Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.

Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки.

Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).

1-25 Стандарт PCI DSS


Объект применения: организация, в информационной инфраструктуре которой хранятся, обрабатываются или передаются данные о держателях карт.

Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover).

Критерий соответствия: выполнение 100% применимых к организации требований стандарта.

Способ подтверждения соответствия: определяется международной платежной системой и банком-эквайером отдельно для разных типов организаций.

Регулярность подтверждения соответствия: ежегодно.

1-26 Стандарт PCI PA-DSS


Объект применения: приложение, которое хранит, обрабатывает или передает данные о держателях карт (платежное приложение), а также процесс его разработки.

Критерий применимости: хранение, обработка или передача хотя бы одного номера карты (PAN) какой-либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в процессе авторизации транзакции или выполнения взаиморасчетов. Не применим к приложениям, разработанным самостоятельно для собственных нужд, а также к приложениям, разработанным на заказ для одного заказчика.

Критерий соответствия: выполнение 100% применимых к приложению требований стандарта.

Способ подтверждения соответствия: проверка безопасности приложения аудиторской организацией (PA-QSA), сертифицированной Советом PCI SSC.

Регулярность подтверждения соответствия: ежегодно, способ зависит от значимости обновлений приложения с точки зрения безопасности обработки карточных данных.

1-27 Структура стандарта PCI DSS


Стандарт PCI DSS актуальной на 2012 год версии 2.0 содержит в себе 288 проверочных процедур, распределенных по двенадцати разделам:

1. Защита вычислительной сети.

2. Конфигурация компонентов информационной инфраструктуры.

3. Защита хранимых данных о держателях карт.

4. Защита передаваемых данных о держателях карт.

5. Антивирусная защита информационной инфраструктуры.

6. Разработка и поддержка информационных систем.

7. Управление доступом к данным о держателях карт.

8. Механизмы аутентификации.

9. Физическая защита информационной инфраструктуры.

10. Протоколирование событий и действий.

11. Контроль защищенности информационной инфраструктуры.

12. Управление информационной безопасностью.

1-28 Способы подтверждения соответствия стандарту PCI DSS


Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ)

Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC.

Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA).

Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ).

В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет.

В ходе проверки ISA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет.

Сбор свидетельств выполнения требований стандарта не требуется.

По результатам QSA подготавливает Отчет о Соответствии (Report on Compliance, ROC).

По результатам ISA подготавливает Отчет о Соответствии (Report on Compliance, ROC).

Отчетным документом является самостоятельно заполненный лист самооценки SAQ.

1-29 Обязательные независимые проверки защищенности


Проверка Описание

Требование 11.2 PCI DSSВнешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV)

Выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC.

Сканированию подлежат все внешние IP-интерфейсы информационной инфраструктуры в рамках области применимости требований стандарта PCI DSS.

Требование 11.3 PCI DSSВнешнее и внутреннее тестирование на проникновение (pentest)

Выполняется ежегодно независимым поставщиком услуг тестирования на проникновение. Тестирование должно выполняться на уровне сети и на уровне приложений, как извне, так и изнутри области применимости требований стандарта PCI DSS.

Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом.

1-30 Контроль защищенности внешних веб-приложений


Проверка Описание

Требование 6.6 PCI DSSКонтроль защищенности внешних (публичных) веб-приложений

Существует три варианта выполнения требования:

• сканирование уязвимостей приложения при помощи специализированного сканера безопасности веб-приложений;

• аудит защищенности веб-приложений вручную экспертами, специализирующимися на безопасности веб-приложений. Может выполняться собственным независимым выделенным подразделением или сотрудником, обладающим необходимой компетенцией и опытом;

• установка перед веб-приложением межсетевого экрана прикладного уровня (Web Application Firewall, WAF).

1-31 Уровни и требования международных платежных систем


Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год.

Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг.

В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт.

Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы.

1-32 Классификация Visa, торгово-сервисные предприятия


Уровень Критерии Подтверждение соответствия PCI DSS

1

•обработка более 6 млн. транзакций в год, или

•решение Visa о назначении уровня 1

•QSA или ISA ежегодно

•ASV ежеквартально

2

•обработка от 1 до 6 млн. транзакций в год •SAQ ежегодно


3

•обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции

•SAQ ежегодно


4

•обработка до 20 тыс. транзакций в год с применением электронной коммерции, или до 1 млн. транзакций в год иным способом

•SAQ ежегодно (рекомендовано)

•ASV ежеквартально (если применимо)

1-33 Классификация MasterCard, торгово-сервисные предприятия



1

•обработка более 6 млн. транзакций в год, или

•решение MasterCard о назначении уровня 1, или

•уровень 1 согласно критериям Visa, или

•компрометация карточных данных



2

•обработка от 1 до 6 млн. транзакций в год, или

•уровень 2 согласно критериям Visa



3

•обработка от 20 тыс. до 1 млн. транзакций в год с применением электронной коммерции, или

•уровень 3 согласно критериям Visa

•SAQ ежегодно


4•все остальные •SAQ ежегодно


1-34 Классификация Visa, поставщики услуг



1

•обработка более 300 тыс. транзакций в год*, или

•процессинг, напрямую подключенный к VisaNet (через VisaNet Extended Access Server, VEAS), (VNP),независимо от количества транзакций

•QSA ежегодно


2

•обработка менее 300 тыс. транзакций в год •SAQ ежегодно


* - суммарное количество транзакций по картам Visa или суммарное количество карт Visa, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.

1-35 Классификация MasterCard, поставщики услуг



1

•обработка более 300 тыс. транзакций в год*, или

•внешний процессинг (Third Party Processor, TPP), независимо от количества транзакций

•QSA ежегодно


2

•обработка менее 300 тыс. транзакций в год •SAQ ежегодно


* - суммарное количество транзакций по картам MasterCard или суммарное количество карт MasterCard, номера которых обрабатываются поставщиком услуг, в зависимости от вида услуг.

Управление соответствием pci dss - Секция 1 - Обзор...

Technology