pci dss one day training - information assurance | isaca · pci dss one day training sisa...
TRANSCRIPT
������������ ���� ��������������� ��
PCI DSS One Day Training SISA INFORMATION SECURITY
�
����� ���� ������������������������ ���� ������������������������������� ���� ����������� ����!�"���������� ���� �������������������������#�$ �������� ���� �����������%&���'��(�)���
The small print
• *"������+� ������"���+��+�������$� �����+��)��,+����� ���������#��"��� ��+�� ���"��
- �,+" $� ���� �.�� � �� �/��$.�� $��$ +�+�� *"��� +" �.�� � �� )�� � �+������ � � ���������
����"��#������+�� ��-� �#��.� ���"����������������
• *"������+� ���"��� .+����� ���������#��"��- �,+" $����� �.��� ���/��$.��$��$ +�+�
����� �+�� �� 0������ �$��"��+����� .�.�+���"����/�+�+�����"�����,���$.������
• "�.�� �"�� ��� �������� �+� "�#".�� ��#������ ���� 1��.�2��� � � � ������ �"�� �������#�� �"��
���������+�����"����"��+$ ,�+$��+ �� ���'���'�� �����3�'��
������������ ���� ��������������� ��
Introduction
���������� � ���� ����� �������� ������ ������� ����� ����� ���� ������ ���� � �! "�� ����� ��#�$�� %�����&'(� ��!)"�* +�#"��� "���+��+,��"����-��� "� +�. /����������� ��# �! "�%0.��#(��&��"�1�� "� +��"2 �������%&��(���
��� �� ���� �� ��������� ���� �+� �� �������.�� )�+��� �������� ��������� ++������� ' �$����� ��� "�+�$��+�����������������#�$ �������4���.��5�+������-�+�+����$�������6�����+������"���"�+�- �,���-��"�� ����"��������� �#���7�� �+��+���3����83�������9�����"�+��������� ����������$� ��++� ��.+� ��$�������+��������-��"���+�:�#+"�$�����2�� ��'���� �("��+"���-�+��"��$� $ +�������.����� ���"���'�(���;�+,�++�++�����<� �$��"������" �����"���'�(���;�+,�++�++�����#��������� ��������
������������������ ������������������������������������
�
�������������� ������������������ ��� �������� ��� �����������
Background � ������������������������������ �����������!������������"��#���$����������%�����&�� ��$�����������'����������(� �����������!����������)��&������%�&�������������������*���&����������+�
o �4����2�+�+�����'�(���o �'��$.������� �� �,+" $�='��>�����% ���.�;�+,�++�++����� �,+" $�='�;>�o �*�������� ����"����������� ���� ��+��������$� ��++� ��.+��� �����"��#. )��o ��� ����+� �������#�������������%����- �,�
������������ ���� ��������������� 6�
���!&��������������(�$�,)��()'����(�$�)-��(�$�(�$��(.(���/$())�
�)������ ����������"��������(����� �-����&���������&��������� ��)%01($2������ ��*��#�)���������
�%�������&������ ����������-)(%��0�3�&������� ������������
��!!�����������(���������&��������(�&�� 1(������������!!����"�(1�*�
�),�����&�����),�
�
�����&�*��#�)���������4��#���!�5�$*)6��(�$���$�!&���������7��#���!�5�($$6��������(� ����)!!&�����������&�!����7��#���!�5�($$'�6��/$())�$�!&���������7��#���!��
�
*��#�)���������
)�����0���������
������������ �%��&�
��������0���������
���!&������0���������
�
�������+� *������#� �� �����
SISA
�?@5;<�*'��5'�;*?�%;45 A;B�
������������ ���� ��������������� C�
Ground rules
� '�..��" ��+�* �9�)�����
� 5����) ���������$���+�
��+��������.��
� �"����? ���B� -.��#��=)���)��)����>�
� !��A$���4������
� +,�3��+� �+�
� =���'"��$� ���� ��# ��1��+� �+>�
Objective • �����+������"����������'����5� +�+����• �'�(���' �$.�������� #����
• �����+������'�(���9��+� ��6���;�1��������+�
• ' �$���+ ��)��-����9��+� ����������6���
• <�������� ���'�(���;�+,�++�++����+��58' ��������9�����.D'. ���;�1��������+� ���'�(���
������������ ���� ��������������� ��
INTRODUCTION TO PCI-DSS BACKGROUND – CONCEPTS – COMMONPLACE EVENTS – PCI COUNCIL
The Protagonist
���������� ����@��)����@�
549�'E��
EA�A<;4�
';(EA�(5;�@45�
5F�;?�(*5�
�?45@*�!;@(��A<A�
������������ ���� ��������������� G�
The other side
4�#���������$��
��#���������)�.�
�'99���
ELEMENTS REQUIRED FOR PAYMENT
�;4;?�''A�@*�@�4!5;��8��@�
549�'E��
';(EA�(5;�@45�
5F�;?�(*5�
4<@5*'��*;�5�
'99��
������������ ���� ��������������� H�
TRACK and CHIP • *���,���(����
• *���,���(����
• *���,�6�(�����
A�.��*���,����+��+���� ��2������.�����+��� �+�
• ��������������4��+���+��
• " .��. �� ��)��,��#��������+��
Track 1 and Track 2
0 0 0 0 1 0 1 0 0 8 7 6 0 0 Q M R ^ 0 8 0 9
30
I C J R / J O H N 3 4 5 6 2 ^ P U B L
10
B 4 0 0 0 0 0 1 2
20 40 50 56
PAN
Separator
Title Separator
SuffixSurnameSeparator
First Name
Initial
Title
Title Separator
Expiration Date
Service Code
Reserved ForProprietary use ofCard issuer
CVV/CVC
FormatCode
������������ ���� ��������������� I�
The Who is Who
()80�2%�"*)2��
")29�
0�*�/)2%�
�*-$���(*�-$��*�
The Service Providers
�*-$���(*�-$��*�
'���$� ���������+�������� ����� �"���������
������������ ���� ��������������� J�
Service Provider Examples
• �.�+����������) ++��#��
• ;���K�����$� ��++��#�������"������ ���� �����+�
• 4���#���2��-�..�����(��+�������$� �����+��
• � L-����(���. $�����' �$����+��!�+���++��� ��++�A��+ �����#�' �$����+��'�..�'�����+�������@����� ���'�(���3��9�.���� ��� �+�1������ �"���.��#�����" .�����������
� ���+�������$� �����+������ ��)�����.�����+��"��+���.�� �������� �+�� �$����+��"��� �.��$� ������ �������� �+�.��,+�-��" �������++�� ��"���$$.���� ��.����� ���"��� �������� ��.��,��
Transactions – Card Present
)�,:$*�*�;�
�*-$���(*�-$��*�
�:%�0�*�0�*�/)2%�
$:�*�;�
�*-$���(*�-$��*�
������������ ���� ��������������� ���
Transactions – Card Not Present
�:%�0�*�
0�*�/)2%�<)%�7)8�
)�,:$*�*�;�
�*-$���(*�-$��*�
$:�*�;�
�*-$���(*�-$��*�
The core processing actions
� �*E5@*'*A@ �8 �5+��).�+"��"��-" �
� �*EA;&*A@� �8 �9�.���� ��� ���)���"���++�����
� '�5;@<� � �8 �..��������+�.�����#�� �+�K.������
� �5**�545@* � �8 �..����+�$����)������� ���
������������ ���� ��������������� ���
�JI6� �;�8��) ++���� �����������������JII� �;�8��� ����� �����������������JIJ� �'����� ��$��+���������D��������$$.���� �+��JJ�� �@���������������++�����������JJ�� �4���"�����������JJC� ��������*"�L������ ��,������� ��������������� �' �������� �+��������$� �����H� � ���.�++D�'"�$�+��M�#����������� ���������D�%�,���������.+�����8�� ��������E��,��#D4�.-���D4�� �������$$��#�
Payment Card Fraud Evolution
PCI – SSC
� (� ���������$����� ������ ���������������&�
������$�����������+����+�������+�) ���$� �����#� ���+�#"�� ���"������. $�������������#������ ����������'�������+���������������������+� ����#. )�.�)�+�+�
������������ ���� ��������������� ���
ROUTE TO COMPLIANCE PCI-DSS REQUIREMENTS – COMPLIANCE – FINDING CARD NUMBERS
PCI-SSC Mandate � �'8(���' �$.�������$$.��+�� ������������"����
• ������� ����(����• (����������� ����(����• %���������� ����(����
� �� ����(����� �+�+�+� ������" .�������������+��+��������"������ �����������
� ����������.�����)���� ��.�������� N�• 4���"���+��• �1�����+�• ++���+��• ���������� �����+�• *��+����*"���������+�
������������ ���� ��������������� �6�
Driving the Compliance ()80�2%�"*)2��
")29�=�()80�2%�<)%�7)8�
���00�*���0�*�/)2%��*-$���(*�-$��*�=�%((�
@�-�!@����#�� ��������!������� ����������
����.�++����#��� �� �� ��++��#�'E(�
PCI-DSS Certification
++�++����� ;������� �� '���2��� ��
�� $��#��'�;�+,�++�++�����<�$���.�+�+�
4��#�� ��4�.�+� ���;����-+�
�����;A'DA'�'���2����� ��' �$.������
������������ ���� ��������������� �C�
The most important slide
PCI-DSS v3.0 "��&������0���������������2�4��#����� ����� ��
>+��+��..����������������2��-�..�� �2#���� ��� �$� ���������" .����������
.+�( �� ���+������ �8+�$$.���������.�+�� ��+�+����$�++- ��+����� �"���+��������$��������+��
��
(�����������&�������� ��
�+��� �����+� ��������" .����������
?+�5����$������+��++� �� ������" .������������ ++� $����$�).������- �,+��
��
0���������-�&����3�&� �0���������(������� ��
@+��� ������..�+�+���+��#���+����.-����������#�.��.���$��������8����+�+ L-���� ��$� #���+��
A+�(���. $��������������+������+�+���+������$$.���� �+� ���
������������ ���� ��������������� ���
PCI-DSS v3.0 � $�!&����������)�����������&�0�������� ��
� B+�;�+����������++�� �����" .���������)��)�+���++������� �,� -��
� C+���������������"������������++�� �+�+����� �$ ����+��
� D+�;�+������$"�+���.�����++�� �����" .����������
� ��
� *���&��& �0����������%���2�4��#�� ��
� > +�*���,������ ��� ���..�����++�� ����- �,���+ ����+���������" .����������
� >>+�;�#�.��.����+��+��������+�+���+�����$� ��++�+��
� ��
� 0����������$��������������� �(�&�� � ��
� >.+�4����������$ .�����"��������++�+���� ���� ��+��������� ���..�$��+ ���.��
PCI Risk Assessment Flow
*��#�%�������
*��#�)��& ���E�*��#�$����F������
*��#�)��& ���E�*��#�����������������&������
<�����&�������!�������$*)�
*��#�(��F&����
%�����
-�&����3�&�����
��!��
)����
*���&��������������
*��#�%�������(&���
������������ ���� ��������������� �G�
Recap
�� OOOOOOOOOO�$�������)������+������������1������ ���++������
�� �'�(����+�����#���)��OOOOOOOOOOOOOOOO���
6� �'�(����+��$$.���).��� ����� �#���7�� ���"���OOOOOOOOOOOO��OOOOOOOOOOOOOO�A;�OOOOOOOOOOOOO�����" .������� ���� ���
C� 5�� �������� ���'�(����+�� ���)��OOOOOO�����OOOOOOOO����
Where do we find card data � ��-"�����
2�4��#�%����� ���3����� ��&��� *�!���� G����
������������ ���� ��������������� �H�
Mod 10 Formula – Luhn’s Algorithm
�� ( �).���"����.��� ���.����������#��+� ���"��$���������� �������)���)�#�����#�-��"��"��+�� �����#����� ���"����#"����% ��������+�.��#���.��PQ����+�)������J��
�� ����"����.��.�������.��+��+�-�..��+��"����.��+�+,�$$����������$���� #��"����
6� *"��� ��.� )�������������$�����+��)������+�).��)������
4 4 0 8 9 8 5 5 0 0 0 0 0 5 8 5
x2 8
x2 0
x2 18 -9
x2 10 -9
x2 0
x2 0
x2 0
x2 16 -9
8 4 0 8 9 8 1 5 0 0 0 0 0 5 7 5
Exercise 1 : � '"��,�-"��"����"��� .. -��#��G���#������)��+�������.�����������)��+�N��
� �CJ���6C�GHIJ��6�� C�CI6C6H����JH�C���������.��������
*����(���� ��N����4�����+��
������������ ���� ��������������� �I�
Oh and yes ��
� %�..�����,����������+��+��������"������ ����������� ��)��+� �����L������" ��7�� ���
Scoping relevant systems • �'�(���+����������1��������+��$$.��� ��..�
+�+����� �$ ����+��
• ��+����� �$ �����8�������- �,�� �$ ������+������� ���$$.���� ���"����+����.�������� ��� ��������� ��"������" .�������������� ��������
• ��+����� �$ ������.+ ����.��������������.�7�� ��� �$ ����+���
• '���" .����(����5���� �������+��"���$���� ���"�����- �,��"���+� ��+��$� ��++�+�����D ������+���+�����" .��������� ��+��+��������"������ ��������
• 9�����.�7�� ��� �$ ����+����.����������.����"���+��������.�+-���"�+D� ����+��������.��$$.�����+��������.��$$.���� �+D��+,� $+�����"�$����+ �+���
������������ ���� ��������������� �J�
Scoping out - Network
Requirement 1: Install and maintain a firewall configuration to protect cardholder data >+>�5+��).�+"�������$.������2��-�..������ ������ �2#���� ��+�������+�
>+.�!��.��2��-�..������ ������ �2#���� �+��"�����+������� ����� �+�)��-���������+�������- �,+���������
+�+����� �$ ����+�����"������" .�������������� �������
>+���� "�)����������$�).�������++�)��-�����"������������������+�+����� �$ ���������"������" .���������
����� ��������
>+?��+��..�$��+ ��.�2��-�..�+ L-���� ������� )�.�����D ����$. ���8 -����������+��"���� ������� ��"��
��������-"��� ��+�����"�����- �,�=� ���/��$.���.�$� $+��+���)����$. ���+>������-"��"������.+ ��+���� �
����++��"�����- �,���
>+@�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ������#��#�2��-�..+������ ��������������+���
����,� -��� ��..��0������$����+��
������������ ���� ��������������� ���
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
.+>�.-��+��"��#������ �8+�$$.���������.�+�������� ��� ����+�).��������++���������.����� ���+�)�� �����+��..��#���
+�+���� ���"�����- �,��
*"�+��$$.��+�� ���������.��$�++- ��+�����.����#�)���� ��.�������� ��" +���+���)�� $�����#�+�+���+��+ L-�����"���
$� ����+�+��������+������+���$$.���� ������+�+������� ���+��$ ���8 �8+�.��=�A�>��������.+�����$.��@��- �,�4���#������
�� � � .�=�@4�>�� ��������+����#+������>��
.+.�(���. $�� �2#���� ��+�������+�� ���..�+�+����� �$ ����+��++�����"����"�+��+�������+������++��..�,� -��+��������
��.����)�.���+���������� �+�+�����-��"�����+���8����$����+�+����"�������#�+�������+��� ����+� ������+���8����$����
+�+����"�������#�+�������+�
.+��5����$���..�� �8� �+ .��������+�����������++��+��#�+�� �#����$� #��$"����+�����"� . #��+�+��"��+���E��9�@�� �����D
*���� ��-�)8)�+�������#���������� �"���� �8� �+ .��������+�����������++��
�
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
.+?�4����������������� ��� ��+�+����� �$ ����+��"����������+� $��� ���'�(����
.+@�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ������#��#����� �������.�+����� �"���+��������
$��������+������ ��������������+�������,� -��� ��..��0������$����+��
.+A��"�����" +��#�$� �����+���+��$� ��������"������R+�" +��������� ��������������" .����������*"�+��
$� �����+���+�������+$���2����1��������+��+������.��������� �+�3�� ��++���������4���5 6��" � �!��2"�
�)�" +����7��",�+ "�8�
������������ ���� ��������������� ���
Exercise 2 : Firewall Rule Review *�&��2�� ������ ���������� �������� )�����
�� @?� �)�������� E**���E**��� ���$��
�� @?� ������.�������� @?� ���$��
6� �J���GI����� %*��������� @?� ���$��
C� @?� %*��������� �A;*���� ���$��
�� @?� 4��.�������� �4*����A�6� ���$��
G� ������.�������� @?� @?� ���$��
H� (���)�+��������� @?� @?� ���$��
I� @?� (���)�+��������� @?� ���$��
J� ����6H�C��6I� @?� @?� ���$��
��� @?� @?� E**��E**��� ���$��
��� @?� @?� @?� ���$��
��������.��������*����(���� ��N����4�����+��
Identifying the data ��������..�+�+���+��"���+� ����$� ��++�� ������+��������" .���������
'�������������/� ��+�+���+����.����#�
• ��+���������
• '���" .���������+� ����=.�+��2�.�+>�
• ;����� ��$��� ��
• �� ���� �����"���+��
• �� �����+� �����@+�$����'�(���6�C�="�+"��#�������$� ��� ��������� �>�
�� ��� �#���7�� �� ���� �� ������� ����" .���� ����� �������).��� ��� �+� �.. -�).�� � � ��.�7��
� �$��+�� �� � ��� .+� � � $� ������ �#���7�� �� "���� �������,��� � �� ��+,� ���.�+�+� � ���� "����
.�#����������"� . #���.�� ��� ���������)�+���++�� �+������+��
������������ ���� ��������������� ���
Card Holder Matrix
)!!&�������2���� -������� )!!&��������������!����
���3����������
%�3&��2����������&���������
*�������(������
(��������
!'� ����� )"�������(���!!&�������&������������H8I������+�$�!���������J��������/��
4��3��S�!'���"����
%�3&�������=�������&�
��&���������=��������
������+� @ ���
������2���� $(�)�������
��&��2����1�G�������4���������/��������
��������� "��������������� *�������(������
(��������
�� ��O(!O+������ �J���GI������
0 ,G��"� '�������)���
����������3��#� ������+� @ ���
Requirement 3: Protect stored cardholder data
�+>��
B��$�����" .���������+� ��#��� �����������)����$.������#������������ ��������+$ +�.�$ .����+��
$� ������+�����$� ��++�+��"������.�������.��+���"��� .. -��#�� ���..�����" .���������='E(>�+� ��#�N�
• ������#������+� ��#���� �������������� ������� ��"���-"��"��+���1������� ��.�#�.����#�.�� ����������
)�+���++���1��������+�
• �� ��++�+�� ��+��������.�� �� �������-"���� �. �#����������
• �$���2�������� ����1��������+�� ������" .���������
• �1������.��$� ��++�� �����������#�����+�����.����.���#�+� ��������" .����������"����/����+�
��2�������������� ����
������������ ���� ��������������� �6�
Requirement 3: Protect stored cardholder data
�+.��
( �� ��+� ���+��+��������"������ ��������L������" ��7�� ��=�������������$���>����+��+��������"������ ��
������+�������������������..����������� ����).���$ ��� �$.�� �� ���"�����" ��7�� ��$� ��++��
�!����� "�����/� �2"����� "����+������� ��!)�!�����"!�������7�� ",�� ��!��!" �� ���, ���!) �����+�!���2 �
• *"�����+���)�+���++�T�+�2��� ��
• *"��������+�+� ����+�����.���
�+��4�+,��@�-"�����+$.�����=�"��2�+��+�/�����.�+��� �����#��+������"����/��������)��� ����#��+�� �)����+$.����>��+��"��"��� �.��$��+ ���.�-��"���.�#�������)�+���++����������+����"����..��@��
�
�
Requirement 3: Protect stored cardholder data
�+?�;�������@��������).�����-"��������+�+� ����=���.����#� ��$ ���).����#���.��������)��,�$���������������. #+>�)���+��#����� ���"��� .. -��#��$$� ��"�+N�
U��A��8-���"�+"�+�)�+��� ��+�� �#����$� #��$"���="�+"���+��)�� ���"���������@>�
U��*������ ��="�+"��#����� ��)���+���� ���$.�����"������������+�#����� ���@>�
U�����/�� ,��+�����$��+�=$��+���+��)��+�����.��+� ���>�
U����� �#����$� #��$"��-��"��++ �������,��8����#������$� ��++�+�����$� ������+��
��
�������!������" ��, �9�!"�,���� :"!�2"��������������+�,�+����!�" ���!"��!�"�7�������-�+�!���2�!) 9�)�, ���� ���!�/!)�!) �!"����! +���+�)��) +�, "����2�����-8�.) " �)��) +���+�!"����! +�, "�����2�!) ���� ���-��" ��" � �!������� �!9;�� �,�"�� �!���++�������!"����)��+�/ �������� �!� ���" �!)�!�!) �)��) +���+�!"����! +�, "���������!�/ ��"" ��! +�!�" ���!"��!�!) �"�7�������-8�
������������ ���� ��������������� �C�
Requirement 3: Protect stored cardholder data
� �+@�( �������������$.������$� ������+�� �$� �����,��+��+���� �+������+� ��������" .����������#���+����+�. +����������+�+��
� �+A�%�..��� �������������$.�������..�,��8����#������$� ��++�+�����$� ������+�� �����$� #��$"���,��+��+���� �������$� �� ������" .����������
������-�� "�����+��!"9��!��+�"+��2"�< 9�����7 � �!��" ��,����/� �2"��,�"����" ��"� �������+��7�-��#��=)��)�����/ �2��+��!�)>� ??��"�8���!87,8�
Requirement 4: Encrypt transmission of cardholder data across open, public networks
?+>��+��+�� �#����$� #��$"������+��������$� � � .+�=� ���/��$.������D*������5'����E������>�� �+���#�����+��+���������" .��������������#�����+��++� �� ���� $����$�).������- �,+�����.����#��"��� .. -��#N��• A�.�����+����,��+���������2����+���������$������• *"��$� � � .�����+�� �.��+�$$ ��+�+���������+� �+� ��� �2#���� �+���• *"�������$� ��+����#�"��+��$$� $������� ���"�������$� �����" � . #������+������5/��$.�+� �� $����$�).������- �,+����.����)�������� ��.�������� N��• *"�����������• ���.�++����"� . #��+�����.����#�I����������!.��� �"��• '�..�.������"� . #��+��� ���/��$.���<. )�.���+����� ��4 )�.��� �������� �+�=<�4>��' �������+� ����.�$.������++�='(4>��
• <�����.����,���;��� ���������=<�;�>���• ����..����� �������� �+����
������������ ���� ��������������� ���
Requirement 4: Encrypt transmission of cardholder data across open, public networks
?+.�@�����+������$� ��������@+�)�����8�+�����++�#��#����"� . #��+�=� ���/��$.����8���.����+�����
��++�#��#���"��������>���
?+��5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� �������$��#�����+��++� �+� ������" .���������
����� ��������������+�������,� -��� ��..��0������$����+��
Requirement 5: Protect all systems against malware and regularly update anti-virus software or programs
����(�$. �����8����+�+ L-���� ���..�+�+���+�� �� �.���0������)����.��� �+�+ L-����=$�����.��.��$��+ ��.�
� �$����+�����+�����+>���
������5�+�����"������8����+�$� #���+�������$�).�� ���������#����� ���#������$� �����#��#���+���..�,� -��
��$�+� ����.��� �+�+ L-������
������% ��+�+���+�� �+�������� �)��� ��� �� �.���0������)����.��� �+�+ L-�����$��� ���$��� ����
���.��� �+�� ����������������.������� .���#���.-�����"����+���� ������ �� �2���-"��"���+��"�+�+���+�
� ������� �� ����1��������8����+�+ L-������
����5�+�����"����..����8����+����"���+�+�����������������+�� .. -+N��
• ���,�$������������
• ���� ���$��� ����+���+��
• <��������������. #+�-"��"��������������$����'�(���;�1������������H����
������������ ���� ��������������� �G�
Requirement 5: Protect all systems against malware and regularly update anti-virus software or programs
� ��6�5�+�����"������8����+����"���+�+����������.��������#��������� ��)����+�).��� ���.������)���+��+����.�++�
+$���2��..�����" ��7���)������#������ ������+�8)�8��+��)�+�+�� ����.�����������$��� ����
� @ ��N���8����+�+ .�� �+�����)�����$ ����.����+�).��� �.������"�����+�.�#����������"����.��������+����" ��7���
)������#������ ������+�8)�8��+��)�+�+�������8����+�$� ���� ������+�� �)����+�).���� ����+$���2��$��$ +������
��+��)��� ���..�����" ��7�������� ��.�+�����������+���+������.+ ������� �)����$.��������� ���"��$��� ��
�����������#�-"��"����8����+�$� ���� ���+�� �����������
� ��C�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ��$� �����#�+�+���+��#���+����.-��������
� ��������������+�������,� -��� ��..��0������$����+���
Requirement 6: Develop and maintain secure systems and applications
G���5+��).�+"���$� ��++�� ���������+����������.����)�.���+���+��#���$���).�� ��+����+ ����+�� ��+����������.����)�.����
��� ���� ��������++�#������+,����,��#�=� ���/��$.����+�V"�#"�W�V�������W� ��V. -W>�� ���-.����+� ������+��������
��.����)�.���+���
@ ��N�;�+,����,��#+�+" �.��)��)�+��� ������+����)�+��$������+��+�-�..��+�� �+������ �� ��$ �����.���$�����% ���/��$.���
���������� �����,��#���.����)�.���+��������.����� �+������ �� ���"��'9���)�+��+� �������D ���"���.�++�2��� ��)���"��
���� ������D ����$�� ��+�+���+��0��������
4��" �+�� �����.����#���.����)�.���+������++�#���#���+,�����#+�-�..������)�+��� ����� �#���7�� �R+������ ������������+,8
�++�++�����+�����#���;�+,����,��#+�+" �.��������������������������..���.����)�.���+�� �+�������� �)����V"�#"���+,W�� ��"��
����� �������������� ��� ��"����+,����,��#����.����)�.���+�����)��� �+�������V������.W�����"���$ +���������������"������ �
�"������� ���������$����������.�+�+���+�����D ��- �.����+�.�������$ �����.�� �$� ��+������ �������++����5/��$.�+� ��
������.�+�+���+��������.����+��������+�+���+��$�).��8�����#�������+�����+�+���+������)�+�+������ �"���+�+���+��"���+� ����
$� ��++�� ������+��������" .�����������
������������ ���� ��������������� �H�
Requirement 6: Develop and maintain secure systems and applications
G���5�+�����"����..�+�+����� �$ ����+�����+ L-��������$� ��������� ��,� -����.����)�.���+�)����+��..��#��$$.���).��
���� �8+�$$.����+��������$���"�+���+��..�������.�+��������$���"�+�-��"��� ���� ��"� ����.��+����
@ ��N�'�����.�+��������$���"�+�+" �.��)�������2������ ����#�� ��"����+,����,��#�$� ��++���2�������;�1���������G����
A+��(���. $��������.������/�����.�+ L-�����$$.���� �+�=���.����#�-�)8)�+���������+�����������++�� ��$$.���� �+>�
+�����.����+�� .. -+N��
• ����� �������-��"��'�(���=� ���/��$.���+���������"������ ������. ##��#>��
• !�+��� ������+����+�������+����D ��)�+��$������+���
• �� �$ ����#���� ���� ��+���������"� �#" ����"��+ L-���8����. $�����.�������.���
���� �#)�������� ��!������1=�" �+ , �� +���! "����9����= ������/ ��< �"����!���1=�" �+ , �� +�/9���!)�"+���"!98�
A+?�% .. -��"��#��� ��� .�$� ��++�+�����$� ������+�� ���..��"��#�+�� �+�+����� �$ ����+��*"��$� ��++�+���+�����.����
�"��� .. -��#N��
A+?+>���$����������. $����D��+������� �����+��� ��$� ���� ������� �����+��������� �����"��+�$���� ��-��"�����++�
� ��� .+���
A+?+.���$���� �� ������+�)��-��������. $����D��+������$� ���� ������� �����+��
A+?+���� ���� �������=.�����@+>������ ���+���� ����+��#� ������. $������
A+?+?�;�� ��.� ����+�������������� ���+�)�� ���$� ���� ��+�+���+�)�� ����������
A+?+@�'"��#��� ��� .�$� ������+�� ���"����$.������� �� ��+��������$���"�+�����+ L-����� ��2��� �+���+�����.�����"��
� .. -��#N��
A+?+@+>�( �������� �� ����$������
A+?+@+.�( ����������"��#���$$� ��.�)�����" ��7���$����+���
A+?+@+��%���� ��.������+��#�� ���������"����"���"��#��� �+�� �������+�.����$�����"��+�������� ���"��+�+������
A+?+@+?�!��,8 ���$� ������+���
Requirement 6: Develop and maintain secure systems and applications
������������ ���� ��������������� �I�
Requirement 6: Develop and maintain secure systems and applications
A+@��
����++�� �� ��� ���#���.����)�.���+����+ L-���8����. $�����$� ��++�+��+�� .. -+N��
*���������. $��+����+������� ���#����"��1��+�����.����#�" -�� ��� ���� �� ��� ���#���.����)�.���+������
�����+������#�" -�+��+�����������+�"���.��������� �����
(���. $��$$.���� �+�)�+��� ��+������� ���#�#����.���+���
��
������#) �,��� "�/��� �����! +��!�@8A8��!)"�7)�@8A8���= " ���"" �!�=�!)���+��!"9�/ �!��"��� ��=) ��!)���, "����2�����
4���=�����/���) +8��= , "�������+��!"9�/ �!��"��� ��2"�,��� "�/���!9�����7 � �!��" ���+�! +�%2"� 3���� ��!) �
�.����0��+ ����-���.��#���A����5#�� ��" ��+��7�� !�8(��!) ���"" �!�/ �!��"��� �����!�/ ��� +�2"�!) � �
" 6��" � �!�8���
Requirement 6: Develop and maintain secure systems and applications
� A+@+>��T��� ��:�-+��$�����.��.���3����T��� ���.+ �� �+�����A��' �������T��� ����(������F���"���T��� ��:�-+��+�-�..��+� �"�����T��� ��:�-+���
� A+@+.�!�0��� ���: -+��
� A+@+���+���������$� #��$"���+� ��#���
� A+@+?��+������� �������� �+��
� A+@+@��$� $������ ��"���.��#��
� A+@+A�..�V"�#"���+,W���.����)�.���+������2�������"����.����)�.���������2��� ��$� ��++�=�+���2��������'�(���;�1���������G��>���
� A+@+B�'� ++8+����+���$��#�=F��>��
� A+@+C��$� $�������++�� ��� .�=+��"��+���+������������� )T�������������+�����.����� ���+�������;������++�������� ���������+�.���������.����� ���+�������+�������++�� ������ �+>���
������������ ���� ��������������� �J�
Requirement 6: Develop and maintain secure systems and applications
A+@+D�'� ++8+������1��+��� �#����='�;%>��
A+@+> �!� ,������"������ ������+�++� ������#�������
������5 6��" � �!�@8A8��������/ �!��"��� �����B�� �C������A���1 "�=)��)��!�/ �� ����" 6��" � �!8��
A+A�% ��$�).��8�����#�-�)��$$.���� �+�������++���-��"����+�������.����)�.���+� ����� �# ��#�)�+�+�������+�����"�+��
�$$.���� �+�����$� ��������#���+��,� -���K��,+�)�����"��� ���"��� .. -��#����" �+N��
• ;����-��#�$�).��8�����#�-�)��$$.���� �+����������.� ����� �������$$.���� ����.����)�.����+���������++�++������ .+�
�����" �+�����.��+�������..�������L��������"��#�+���������������#)������ ��� �!�����!�!) ���� ����!) �,��� "�/���!9�
������� "2"� +�2"�5 6��" � �!���8�8��
• �+��..��#������� ���������"����.�+ .�� ���"���������+�����$������+�-�)8)�+����K��,+�=� ���/��$.�����-�)8
�$$.���� ��2��-�..>������ ��� ��$�).��8�����#�-�)��$$.���� �+��� �� �����..���"��,��..����M����
A+B��
5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ������. $��#���������������#�+������+�+���+������$$.���� �+�
����� ��������������+�������,� -��� ��..��0������$����+���
Recap �� "��������"����0�������$$� ��"�+�� ���,���@��������).�X�
�� �'�����������������"�+"����@�)��+� ����� #��"��X�
6� "����+��"���/$����� �� ���'�(����� ���������' ���#��������+X�
������������ ���� ��������������� 6��
Requirement 7: Restrict access to cardholder data by business need to know
B+>�����������++�� �+�+����� �$ ����+���������" .���������� � �.���" +�����������.+�-" +��T )���1����+�+��"�����++���
�B+>+>�(�2�������++�����+�� �����"�� .������.����#N��
• ��+����� �$ ����+������������+ ����+��"������"�� .������+�� �����++�� ���"����T )������ ���
• ����.� ��$����.�#����1������=� ���/��$.����+����������+���� �������>�� ������++��#���+ ����+���
B+>+.�;�+����������++�� �$����.�#����+���(+�� �.��+��$����.�#�+�����++����� �$��� ���T )���+$ �+�)�.���+���
B+>+��++�#������++�)�+��� �����������.�$��+ ���.R+�T )��.�++�2��� ����������� ����
B+>+?�;�1������ ����������$$� ��.�)�����" ��7���$����+�+$�������#���1������$����.�#�+���
Requirement 7: Restrict access to cardholder data by business need to know
B+.�5+��).�+"��������++�� ��� .�+�+����� ��+�+���+�� �$ ����+��"�����+�����+�����++�)�+��� �����+��R+������� �,� -�������+�
+���� �V������..W���.�++�+$���2��..���.. -�����
*"�+�����++�� ��� .�+�+������+�����.�����"��� .. -��#N��
B+.+>�' ����#�� ���..�+�+����� �$ ����+��
B+.+.�++�#������ ��$����.�#�+�� ����������.+�)�+��� ��T )��.�++�2��� ����������� ����
B+.+��(����.��V����8�..W�+�Y�#���
B+��5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ����+������#�����++�� �����" .�������������� �������������
�+�������,� -��� ��..��0������$����+���
������������ ���� ��������������� 6��
Requirement 8: Identify and authenticate access to system components
C+>�(�2���������$.������$ .����+�����$� ������+�� ���+����$� $����+��������2��� ������#������� ��� �8� �+������+��+�����������+���� �+� ���..�+�+����� �$ ����+�
C+.�������� ��� ��++�#���#������1���(����+����$� $����+��8���"������ ������#������� ��� �8� �+������+��+�����������+���� �+� ���..�+�+����� �$ ����+�)����$. ���#����.��+�� ���
���"��� .. -��#����" �+�� ����"���������..��+��+N��
• � ���"��#�� ��,� -��+��"��+���$�++- ��� ��$�++$"��+���
• � ���"��#�� ��"�����+��"��+���� ,���������� ��+�����������
• � ���"��#�� �������+��"��+���)� �������
C+���� �$ ������- 8���� �����"������ ��� ����� ������- �,�����++� ��#�����#��� �� ��+�����"�����- �,�)��
$��+ ���.�=���.����#��+��+�����������+���� �+>������..��"����$����+��=���.����#����� ������++�� ��+�$$ ��� ��
�����������>���
C+?�( ������������ �������������"������ ��$� ������+�����$ .����+�� ��..��+��+����.����#N��
• <�������� ��+�.����#�+�� �#����"������ ����������.+��
• <��������� ��" -��+��+�+" �.��$� ������"�������"������ ����������.+��
• �+����� �+�� ��� ����+��$���� �+.���+���$�++- ��+��
• �+����� �+�� ��"��#��$�++- ��+�����"�����+�����+�+$��� ���"��$�++- ���� �.��)��� �$� ��+�����
�
C+@�( �� ���+��#� �$��+"������ ��#�������(+��$�++- ��+�� �� �"������"������ �����" �+��+�� .. -+N��
• <��������+���(+�������+�).��� ����� ������
• �"������+���(+�� �� ���/�+��� ��+�+����������+���� ������ �"���������.������ �+���
• �"���������#��������+���(+������ ���+���� �������+��������+�+����� �$ ����+���
�
�
Requirement 8: Identify and authenticate access to system components
������������ ���� ��������������� 6��
Requirement 8: Identify and authenticate access to system components
� C+A� "���� �"������"������ �����"���+�+������+���=� ���/��$.���$"�+���.� ��. #���.�+��������� ,��+��+���������+������2����+������>���+�� ���"�+�����"���+�+���+��)���++�#�����+�� .. -+N��
• ��"������ �����"���+�+���+��)���++�#����� �������������.���� ��������� ��+"������� �#���.�$.����� ���+���
• �"�+���.����D ��. #���.�� ��� .+���+��)�����$.����� ���+���� �.���"�������������� ���������+���"������"���+��� �#��������++���
�
Requirement 8: Identify and authenticate access to system components
C+B�..�����++�� ���������)�+��� �������#�����" .���������=���.����#�����++�)���$$.���� �+��������+���� �+�������..� �"���
�+��+>��+���+���������+�� .. -+N��
• ..��+�������++�� ���+���1�����+� ��������+������ �+� ������)�+�+������"� �#"�$� #�����������" �+���
• A�.������)�+��������+���� �+�"�����"���)�.����� �������.������++� ��1���������)�+�+���
• $$.���� ��(+�� ������)�+���$$.���� �+����� �.��)���+���)���"���$$.���� �+�=����� ��)�����������.��+��+� �� �"���� �8
�$$.���� ��$� ��++�+>���
�
C+C�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� �������2��� ���������"������ ������� ��������������+���
����,� -��� ��..��0������$����+���
�
������������ ���� ��������������� 66�
Requirement 9: Restrict physical access to cardholder data
D+>��+���$$� $����������.����������� ��� .+�� �.���������� ��� ��$"�+���.�����++�� �+�+���+�����"������" .���������
����� ��������
D+.�(���. $�$� ������+�� ���+�.����+��#��+"�)��-���� �+����$��+ ���.�������+�� �+��� ����.���N��
• ��������#���-� �+����$��+ ���.� ����+�� �+�=� ���/��$.����++�#���#�)��#�+>��
• '"��#�+�� �����++���1��������+��
• ;�� ,��#� �����������#� �+����$��+ ���.������/$�������+�� �������2��� ��=+��"��+�(�)��#�+>���
D+��' ��� .�$"�+���.�����++�� �� �+����$��+ ���.�� ��"��+��+���������+��+�� .. -+N��
• ���++���+��)�����" ��7�������)�+��� �����������.�T )������ ����
• ���++��+���� ,������������.���$ ���������� ��������..�$"�+���.�����++����"���+�+��+��"��+�,��+������++�����+��������
������������� ����+�).�����
J�C��$.������$� ������+�� ����������������" ��7����+�� �+�
J����"�+���..��+�������..���������
J�G�4��������+������� ��� .� �����"���������.� ���/�����.���+���)�� �� ������,���� ��������
J�H�4��������+������� ��� .� �����"��+� ��#����������++�)�.���� ����������
J�I�(�+�� ��������-"�������+�� �. �#����������� ��)�+���++� ��.�#�.����+ �+�
J�J��� �����������+��"�����$�����$����������������������������$"�+���.��������� ��-��"��"��������� �����$����#�����+�)+���� ����
J����5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ����+������#�$"�+���.�����++�� �����" .�������������� ��������������+�������,� -��
� ��..��0������$����+���
�
�
�
Requirement 9: Restrict physical access to cardholder data
������������ ���� ��������������� 6C�
Requirement 10: Track and monitor all access to network resources and cardholder data
> +>��$.����������������.+�� �.��,��..�����++�� �+�+����� �$ ����+�� ����"����������.��+�����
�
> +.��$.��������� ����������������.+�� ���..�+�+����� �$ ����+�� ���� �+�������"��� .. -��#������+N��
> +.+>�..����������.��+�������++�+�� �����" .����������
> +.+.�..���� �+���,���)���������������.�-��"�� �� ��������+�������$����.�#�+��
> +.+�����++�� ��..�����������.+��
> +.+?����.���. #���.�����++��K��$�+��
> +.�@��+�� �������"��#�+�� ������2��� ���������"������ �����"���+�+Z���.����#�)���� ��.�������� ������ �� ����-�
��� ���+������.���� �� ��$����.�#�+Z�����..��"��#�+������� �+�� ����.�� �+�� ���� ���+�-��"�� �� ��������+�������
$����.�#�+��
> +.+A�����.�7�� ���+� $$��#�� ��$��+��#� ���"��������. #+��
> +.+B�'���� ��������.�� �� ��+�+���8.���.� )T���+��
�
Requirement 10: Track and monitor all access to network resources and cardholder data
> +��;�� ������.��+���"��� .. -��#�����������.�������+�� ���..�+�+����� �$ ����+�� �����"������N��
> +�+>��+��������2��� ���
> +�+.�*�$�� ���������
> +�+��(�������������
> +�+?������++� �����.����������� ���
> +�+@�A��#���� �� ���������
> +�+A�������� ������� ���0������������+�+����� �$ ������ ����+ �������
> +?��+��#����8+���"� ��7�� �����"� . #���+���"� ��7���..�������.�+�+�����. �,+��������+�������+�����"����"��
� .. -��#��+���$.��������� ����1�����#����+���)���#������+� ���#�������
�������� � 3���� �2�� ��9��)"��*���! �)��79����- !="<�#�� ��"!���%-#�(8��
������������ ���� ��������������� 6��
Requirement 10: Track and monitor all access to network resources and cardholder data
> +@������������������.+�+ ��"������� ��)���.��������
> +@+>����������-��#� ������������.+�� ��" +��-��"���T )8��.������������
> +@+.��� ���������������.�2.�+��� �������" ��7���� ��2��� �+���
> +@+���� �$�.��)��,��$�����������.�2.�+�� ���������.�7���. #�+������ ���������"����+���M��.��� ��.������
> +@+?� �����. #+�� ���/�����.8�����#����"� . #��+� �� ���+�������������.�7�����������.�. #�+������ �����������������
> +@+@��+��2.�8����#������ ��� ���#� ���"��#�8������ ��+ L-���� ��. #+�� ���+�����"����/�+��#�. #���������� ��)���"��#���-��" ���#�������#��.���+�=�.�" �#"���-������)���#�������+" �.��� �����+������.���>���
�
Requirement 10: Track and monitor all access to network resources and cardholder data
> +A�;����-�. #+�����+�������������+�� ���..�+�+����� �$ ����+�� ����������� ��.��+� ��+�+$��� �+�����������
������D7�)�", ��7����"���7����+��� "�7�!�����9�/ ��� +�!�� !�!)���5 6��" � �!8�> +A+>�;����-��"��� .. -��#����
.��+�����.�N��
• ..�+�������������+��
• � #+� ���..�+�+����� �$ ����+��"���+� ����$� ��++�� ������+����'E(����D ���(�� ���"���� �.����$�����"��+�������� ��
'E(����D ���(��
• � #+� ���..�������.�+�+����� �$ ����+��
• � #+� ���..�+�����+�����+�+����� �$ ����+��"���$��� ���+������������� �+�=� ���/��$.���2��-�..+�������+� �8������ ��
+�+���+D�����+� �8$������ ��+�+���+�=(�D��>�����"������ ��+�����+���8� ��������������� ��+�����+������>���
> +A+.�;����-�. #+� ���..� �"���+�+����� �$ ����+�$��� ����..��)�+��� ���"�� �#���7�� �R+�$ .����+�������+,�
����#������+�����#����+������������)���"�� �#���7�� �R+������.���+,��++�++�������
> +A+��% .. -��$��/��$� �+������� ��.��+������2��������#��"�������-�$� ��++����
������������ ���� ��������������� 6G�
Requirement 10: Track and monitor all access to network resources and cardholder data
�
> +B�;����������������.�"�+� ���� �����.��+�� ���������-��"����������� ���"����� ��"+����������.������.�).��� ��
���.�+�+�=� ���/��$.��� �.��������"������ ����+� ��).���� ��)��,�$>���
�
> +C�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ��� ��� ���#��..�����++�� ����- �,���+ ����+�
��������" .�������������� ��������������+�������,� -��� ��..��0������$����+���
Golden Logging Architecture
������������ ���� ��������������� 6H�
Requirement 11: Regularly test security systems and processes.
>>+>��$.������$� ��++�+�� ���+��� ���"��$��+����� ��-���.�++�����++�$ ���+�=I�����>��������������������������..�
���" ��7������������" ��7���-���.�++�����++�$ ���+� ����1������.��)�+�+���
>>+.�;����������.������/�����.����- �,���.����)�.����+���+����.��+��1������.�������L�������+�#��2������"��#������"��
���- �,�=+��"��+���-�+�+����� �$ �������+��..�� �+���"��#�+�������- �,�� $ . #���2��-�..���.��� ��2��� �+��
$� ������$#����+>���>>+���$.�����������" � . #��� ��$������� ����+��#��"������.���+��"��� .. -��#N��• +�)�+��� ������+���8����$����$������� ����+��#��$$� ��"�+�=� ���/��$.���@�*���I��8���>��• ��.���+�� ����#��� ���"��������'(5�$�������������������.�+�+���+��• ��.���+���+��#��� ��) �"���+�������� ��+�����"�����- �,��• ��.���+���+��#�� ���.����������+�#������ ������+� $�8������ ��� ��� .+��• (�2��+��$$.���� �8.�����$������� ����+�+�� ����.��������������������"����.����)�.���+�.�+�������;�1���������G����• (�2��+����- �,8.�����$������� ����+�+�� ����.����� �$ ����+��"���+�$$ ������- �,������ �+��+�-�..��+� $�����#�+�+���+��
• ��.���+������-������ �+������ �� ���"����+�������.����)�.���+��/$�������������"��.�+������ ��"+��• �$���2�+������� �� ��$������� ����+��#���+�.�+������������� ���������+���+�.�+����
Requirement 11: Regularly test security systems and processes.
>>+���$.�����������" � . #��� ��$������� ����+��#��"������.���+��"��� .. -��#N��
• +�)�+��� ������+���8����$����$������� ����+��#��$$� ��"�+�=� ���/��$.���@�*���I��8���>��
• ��.���+�� ����#��� ���"��������'(5�$�������������������.�+�+���+��
• ��.���+���+��#��� ��) �"���+�������� ��+�����"�����- �,��
• ��.���+���+��#�� ���.����������+�#������ ������+� $�8������ ��� ��� .+��
• (�2��+��$$.���� �8.�����$������� ����+�+�� ����.��������������������"����.����)�.���+�.�+�������;�1���������G����
• (�2��+����- �,8.�����$������� ����+�+�� ����.����� �$ ����+��"���+�$$ ������- �,������ �+��+�-�..��+� $�����#�+�+���+��
• ��.���+������-������ �+������ �� ���"����+�������.����)�.���+��/$�������������"��.�+������ ��"+��
• �$���2�+������� �� ��$������� ����+��#���+�.�+������������� ���������+���+�.�+���
������������ ���� ��������������� 6I�
Requirement 11: Regularly test security systems and processes.
�>>+?��+�������+� �8������ �����D �������+� �8$������ �����"��1��+�� �����������D ��$������������+� �+���� ��"��
���- �,��4 ��� ���..����M������"��$��������� ���"������" .�������������� �������+�-�..��+����������.�$ ���+�����"��
����" .�������������� ������������.����$��+ ���.�� �+�+$������� �$� ��+�+���
B��$��..������+� �8������ ������$������ ����#���+��)�+�.���+������+�#������+��$�� ��������
>>+@�(�$. �����"��#�8������ �����"���+��=� ���/��$.���2.�8����#������ ��� ���#�� .+>�� ��.����$��+ ���.�� �
�����" ��7���� ��2��� �� ��������.�+�+����2.�+��� �2#���� ��2.�+�� ��� ������2.�+[������ �2#�����"��+ L-����� �
$��� ���������.�2.��� �$���+ �+����.��+��-��,.����
�>>+A�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ��+��������� ��� ���#�������+��#������ ��������������+���
����,� -��� ��..��0������$����+���
�
Recap �� %���-�..��+���1������� �)�������-���������OOOOOOOOOO���
�� OOOOOOOOOOOO��+��.. -���� �)��+� ��������'�� ��.�#�������)�+���++���1�����������
6� ������+�+ L-�����+���1������� �)����$.�����������OOOOOOOOOOOOOOO���
C� �����*���.��+���1������� �)��+� ����� ����$��� �� ��OOOOOOOOO�
�� 5/�����.�����+�������1������� �)��� ���OOOOOOOOOOOO��
G� ;�.������$���"�+�������1������� ���+��..���OOOOOOOOOOO����
�
������������ ���� ��������������� 6J�
Requirement 12: Maintain a policy that addresses information security for all personnel.
>.+>�5+��).�+"��$�).�+"������������������++����������+��������$ .������
>.+>+>�;����-��"��+��������$ .�������.��+�������..�������$������"��$ .����-"����"������� �������"��#�+���
>.+.��$.����������+,8�++�++�����$� ��++��"��N��
• +�$��� ��������.��+�������..�������$ ��+�#��2������"��#�+�� ��"������� ������=� ���/��$.�����1��+�� ������#����
��. ��� �������>���
• ����2�+�������.��++��+���"����+��������.����)�.���+�������
• ;�+�.�+������� ���.���+,��++�++�������
��3���� ��2�"��<���� ��� �!�� !)+�7� �������+ �/�!��" ��!�����! +�!���#�$�����������A���+�-��#����E���C�8��
��
>.+��(���. $��+�#��$ .����+�� ��������.����"� . #��+�������2���$� $����+�� ���"�+�����"� . #��+���
�������3���� ��2��"�����! �)��7� �������+ ��/�!��" ��!�����! +�!��" �! ���� �����+�=�" � ���! �)��7� ������!����
!�/� !���" �,�/� � � �!"����� +���� ���������7 ���+���! "� !����7 8��
5�+�����"�+���+�#��$ .����+���1������"��� .. -��#N��
>.+�+>�5/$.������$$� ��.�)�����" ��7���$����+��
>.+�+.���"������ ��� ���+�� ���"�����"� . #���
>.+�+���.�+�� ���..�+��"�������+�����$��+ ���.�-��"�����++��
>.+�+?�����" ��� ���������.�����������.������������ -������ ��������� ���� �������$��$ +��=� ���/��$.���.�)�.��#��� ���#�����D �������� ����#� ��������+>��
>.+�+@����$��).���+�+� ���"�����"� . #���
Requirement 12: Maintain a policy that addresses information security for all personnel.
������������ ���� ��������������� C��
Requirement 12: Maintain a policy that addresses information security for all personnel.
>.+�+A����$��).�����- �,�. ��� �+�� ���"�����"� . #��+��
>.+�+B���+�� ��� �$���8�$$� ����$� ����+��
>.+�+C��� �������+� ������ ��+�++� �+�� ����� ��8����++����"� . #��+��L�����+$���2��$��� �� �������������
>.+�+D������ �� ����� ��8����++����"� . #��+�� ������ �+�����)�+���++�$������+� �.��-"����������)������ �+�����
)�+���++�$������+��-��"������������������� ���L����+���
>.+�+> �% ��$��+ ���.�����++��#�����" .���������������� ��8����++����"� . #��+��$� "�)����"��� $���#��� ���#������
+� ��#�� ������" .��������� �� �. ��.�"���������+�������� ��).���.���� �������������.�++��/$.����.�����" ��7���� ����
��2����)�+���++��������
"�����"�����+�������" ��7���)�+���++��������"���+�#��$ .����+���+����1������"�������)��$� ������������� �������-��"��..�
�$$.���).���'�(���;�1��������+���
>.+?�5�+�����"����"��+��������$ .��������$� ������+��.���.����2������ ���� ��+����������+$ �+�)�.���+�� ���..�$��+ ���.���
>.+@�++�#��� �������������.� ��������"��� .. -��#���� ���� ��+������������#��������+$ �+�)�.���+N��
>.+@+>�5+��).�+"��� ��������������+���)����+��������$ .����+�����$� ������+���
>.+@+.�4 ��� ���������.�7��+���������.���+�������� ���� ���������+���)����� ��$$� $������$��+ ���.���
>.+@+��5+��).�+"��� ��������������+���)����+�������������������+$ �+�������+��.�� ��$� ������+�� ���+�������.������
�0������"���.��#� ���..�+����� �+���
>.+@+?������+�����+������ ���+�����.����#������ �+����.�� �+������� ��2��� �+���
>.+@+@�4 ��� ������� ��� .��..�����++�� ��������
>.+A��$.��������� ���.�+���������-�����++�$� #����� ���,���..�$��+ ���.��-���� ���"����$ ������� ������" .���������
+����������
Requirement 12: Maintain a policy that addresses information security for all personnel.
������������ ���� ��������������� C��
Requirement 12: Maintain a policy that addresses information security for all personnel.
>.+A+>�5�������$��+ ���.��$ ��"�����������.��+�������..����
������& !)+������,�"9�+ � �+��7���!) �"� �2�!) �� "��� ����+�!) �"�� , ��2���� ���!�!) ���"+)�+ "�+�!�8��
���G���;�1�����$��+ ���.�� ���,� -.��#�����.��+�������..���"����"���"������������������+� ���"��+��������$ .��������$� ������+��
>.+B��������$ �����.�$��+ ���.�$�� ��� �"����� �������7���"����+,� ���K��,+��� ���������.�+ ����+��=5/��$.�+� ��)��,#� �����"��,+����.����$���� �+���$. ������"�+� �����������.���� �����������"�+� �������������������"��,+�>��
�������"�!)� ��! ����� "��� ��!�/ �)�" +�2"�� "!�������������)�����!" ����)� "��=)���9�)�, ���� ���!�� ���"+����/ "��!���� �=) ��2�����!��7���!"��������!)���" 6��" � �!������" ��� �+�����98��
>.+C�4��������������$.������$ .����+�����$� ������+�� �����#��+�������$� �����+�-��"�-" ������" .����������+�+"������
���"���� �.���0�����"��+�������� ������" .�����������+�� .. -+N��
>.+C+>�4����������.�+�� ��+�������$� �����+���
�
>.+C+.�4����������-��K����#���������"������.���+������,� -.��#�������"����"��+�������$� �����+�������+$ �+�).��� ���"��
+�������� ������" .����������"��+�������$� �����+�$ ++�++� �� �"��-�+��+� ����$� ��++� ������+���� ��)�"�.�� ���"��
��+� ����� ��� ��"���/������"����"���� �.����$�����"��+�������� ���"����+� ���R+�����" .�������������� ��������
������#) � 3��!�="+��7�2������<�=� +7 � �!�=����+ � �+���!) ��7" � �!�/ != ��!) �!=���" ���!) �+ !�����2�!) �
� ",�� �/ ��7��",�+ +����+�!) �" �����/��� ������7� +�!� ��)���"!98�#) ���<�=� +7 � �!�+ ���!�)�, �!������+ �!) �
3��!�="+��7��",�+ +����!)���" 6��" � �!8��
>.+C+��5�+�����"�����+�����+��).�+"���$� ��++�� ����#�#��#�+�������$� �����+����.����#�$� $���������.�#�����$�� ��� �
��#�#��������
>.+C+?�4����������$� #����� �� ��� ��+�������$� �����+R��'�(���� �$.������+����+����.��+�������..����
�
Requirement 12: Maintain a policy that addresses information security for all personnel.
������������ ���� ��������������� C��
Requirement 12: Maintain a policy that addresses information security for all personnel.
>.+C+@�4����������� ���� ���) ���-"��"��'�(�����1��������+���������#���)�����"�+�������$� �����������-"��"�����
����#���)���"����������
>.+D����� ������������ ����������������������E���������$� �����+���,� -.��#�����-����#�� ���+� ���+��"����"���������+$ �+�).��� ���"��+�������� ������" .����������"��+�������$� ������$ ++�++�+� �� �"��-�+��+� ��+��$� ��++�+�� ������+���+� ��)�"�.�� ���"����+� ����� ��� ��"���/������"����"���� �.����$�����"��+�������� ���"����+� ���R+�����" .�������������� ��������
������#)���" 6��" � �!������/ �!��"��� �����B�� �C������A���1 "�=)��)��!�/ �� ����" 6��" � �!8��
������#) � 3��!�="+��7�2������<�=� +7 � �!�=����+ � �+���!) ��7" � �!�/ != ��!) �!=���" ���!) �+ !�����2�!) �� ",�� �/ ��7��",�+ +����+�!) �" �����/��� ������7� +�!� ��)���"!98�#) ���<�=� +7 � �!�+ ���!�)�, �!������+ �!) � 3��!�="+��7��",�+ +����!)���" 6��" � �!8�
>.+> ��$.��������������������+$ �+��$.����!��$��$������ ���+$ ������������.��� ���+�+����)����"���
�>.+> +>�'�������"�������������+$ �+��$.���� �)����$.������������"�������� ��+�+����)����"��5�+�����"��$.��������++�+��"��� .. -��#��������������N��
• ; .�+����+$ �+�)�.���+������� �������� ������� ������+�����#��+�����"�������� ����� �$� ��+�����.����#�� �2��� �� ���"��$�������)����+����������������
• �$���2�������������+$ �+��$� ������+��
• !�+���++���� ���������� ��������$� ������+��
• (����)��,�$�$� ��++�+��
• ��.�+�+� ��.�#�.���1��������+�� ����$ ���#�� �$� ��+�+��
• ' ����#��������+$ �+�+� ���..�������.�+�+����� �$ ����+��
• ;��������� �����.�+� �� �������������+$ �+��$� ������+��� ���"��$�������)����+���
Requirement 12: Maintain a policy that addresses information security for all personnel.
������������ ���� ��������������� C6�
>.+> +.�*�+���"��$.������.��+�������..����
>.+> +��(�+�#�����+$���2��$��+ ���.�� �)������.�).�� �����CDH�)�+�+�� ���+$ ���� ��.���+���
>.+> +?��� ������$$� $�������������#�� �+��0�-��"�+��������)����"���+$ �+����+$ �+�)�.���+���
>.+> +@���.�����.���+��� ��+��������� ��� ���#�+�+���+�����.����#�)���� ��.�������� ������+� �8������ ��������+� �8
$������ ���2��-�..+������2.�8����#������ ��� ���#�+�+���+���
>.+> +A�(���. $���$� ��++�� �� ����������� .����"�������������+$ �+��$.������ ����#�� �.�++ �+�.������������ �
��� �$ ���������+��������. $����+���
�
Requirement 12: Maintain a policy that addresses information security for all personnel.
PCI Success Plan* �� <���"�#"�+��.���.� ��+$ �+ �+"�$�� ���"��$� #����
�� <����"����#"������D$� $.��)�"�����"��$� #����
6� ������$� $���$� T����$.�������)��#���+�M����������� �#��������#"��
C� ' ������6���$�+� ���������#N�
�� �'�(����������#�� ����$.�������+�
)� �'�(����������#�� ������+� ����,��+�
�� �'�(����������#�� ������. $��+�
�� '���� �� ������ ++������ ��.��'��������#�' ���K����
G� �����������" .�������������"������� ������
\�5/������ ���"������'������++��.����
������������ ���� ��������������� CC�
PCI Success Plan* H� ' �������'�(���;�+,�++�++�����
I� ' ������+�.���++�++����� ���8(���� ��������.��$$.���� �+�����"�����.��+��
J� <�$+�(�+��++� ������#��������)��-����3�������������.�+��,�" .���+�
��� ;������� ���+�$����"��$.���������� ���,���+��,�" .���+� ��������.���
��� ���� ����+������#�� ���K��������#+�� ���,������+� �+�
��� 4�.�+� ��������-���..+�� ���+��++����"����.��"�..��#�+������#��������-��"�3��
\�5/������ ���"������'������++��.����
THANK YOU *;@@<]��@%A�5'�'A4�
������ �!�� ����������
�������������� ������������������ ��� �������� ��� ����������