������������ ���� ��������������� ��

PCI DSS One Day Training SISA INFORMATION SECURITY

�

����� ���� ������������������������ ���� ������������������������������� ���� ����������� ����!�"���������� ���� �������������������������#�$ �������� ���� �����������%&���'��(�)���

The small print

•  *"������+� ������"���+��+�������$� �����+��)��,+����� ���������#��"��� ��+�� ���"��

- �,+" $� ���� �.�� � �� �/��$.�� $��$ +�+�� *"��� +" �.�� � �� )�� � �+������ � � ���������

����"��#������+�� ��-� �#��.� ���"����������������

•  *"������+� ���"��� .+����� ���������#��"��- �,+" $����� �.��� ���/��$.��$��$ +�+�

����� �+�� �� 0������ �$��"��+����� .�.�+���"����/�+�+�����"�����,���$.������

•  "�.�� �"�� ��� �������� �+� "�#".�� ��#������ ���� 1��.�2��� � � � ������ �"�� �������#�� �"��

���������+�����"����"��+$ ,�+$��+ �� ���'���'�� �����3�'��

������������ ���� ��������������� ��

Introduction

���������� � ���� ����� �������� ������ ������� ����� ����� ���� ������ ���� � �! "�� ����� ��#�$�� %�����&'(� ��!)"�* +�#"��� "���+��+,��"����-��� "� +�. /����������� ��# �! "�%0.��#(��&��"�1�� "� +��"2 �������%&��(���

��� �� ���� �� ��������� ���� �+� �� �������.�� )�+��� �������� ��������� ++������� ' �$����� ��� "�+�$��+�����������������#�$ �������4���.��5�+������-�+�+����$�������6�����+������"���"�+�- �,���-��"�� ����"��������� �#���7�� �+��+���3����83�������9�����"�+��������� ����������$� ��++� ��.+� ��$�������+��������-��"���+�:�#+"�$�����2�� ��'���� �("��+"���-�+��"��$� $ +�������.����� ���"���'�(���;�+,�++�++�����<� �$��"������" �����"���'�(���;�+,�++�++�����#��������� ��������

������������������ ������������������������������������

�

�������������� ������������������ ��� �������� ��� �����������

Background � ������������������������������ �����������!������������"��#���$����������%�����&�� ��$�����������'����������(� �����������!����������)��&������%�&�������������������*���&����������+�

o �4����2�+�+�����'�(���o �'��$.������� �� �,+" $�='��>�����% ���.�;�+,�++�++����� �,+" $�='�;>�o �*�������� ����"����������� ���� ��+��������$� ��++� ��.+��� �����"��#. )��o ��� ����+� �������#�������������%����- �,�

������������ ���� ��������������� 6�

���!&��������������(�$�,)��()'����(�$�)-��(�$�(�$��(.(���/$())�

�)������ ����������"��������(����� �-����&���������&��������� ��)%01($2������ ��*��#�)���������

�%�������&������ ����������-)(%��0�3�&������� ������������

��!!�����������(���������&��������(�&�� 1(������������!!����"�(1�*�

�),�����&�����),�

�

�����&�*��#�)���������4��#���!�5�$*)6��(�$���$�!&���������7��#���!�5�($$6��������(� ����)!!&�����������&�!����7��#���!�5�($$'�6��/$())�$�!&���������7��#���!��

�

*��#�)���������

)�����0���������

������������ �%��&�

��������0���������

���!&������0���������

�

�������+� *������#� �� �����

SISA

�?@5;<�*'��5'�;*?�%;45 A;B�

������������ ���� ��������������� C�

Ground rules

�  '�..��" ��+�* �9�)�����

�  5����) ���������$���+�

��+��������.��

�  �"����? ���B� -.��#��=)���)��)����>�

�  !��A$���4������

�  +,�3��+� �+�

�  =���'"��$� ���� ��# ��1��+� �+>�

Objective •  �����+������"����������'����5� +�+����•  �'�(���' �$.�������� #����

•  �����+������'�(���9��+� ��6���;�1��������+�

•  ' �$���+ ��)��-����9��+� ����������6���

•  <�������� ���'�(���;�+,�++�++����+��58' ��������9�����.D'. ���;�1��������+� ���'�(���

������������ ���� ��������������� ��

INTRODUCTION TO PCI-DSS BACKGROUND – CONCEPTS – COMMONPLACE EVENTS – PCI COUNCIL

The Protagonist

���������� ����@��)����@�

549�'E��

EA�A<;4�

';(EA�(5;�@45�

5F�;?�(*5�

�?45@*�!;@(��A<A�

������������ ���� ��������������� G�

The other side

4�#���������$��

��#���������)�.�

�'99���

ELEMENTS REQUIRED FOR PAYMENT

�;4;?�''A�@*�@�4!5;��8��@�

549�'E��

';(EA�(5;�@45�

5F�;?�(*5�

4<@5*'��*;�5�

'99��

������������ ���� ��������������� H�

TRACK and CHIP •  *���,���(����

•  *���,���(����

•  *���,�6�(�����

A�.��*���,����+��+���� ��2������.�����+��� �+�

•  ��������������4��+���+��

•  " .��. �� ��)��,��#��������+��

Track 1 and Track 2

0 0 0 0 1 0 1 0 0 8 7 6 0 0 Q M R ^ 0 8 0 9

30

I C J R / J O H N 3 4 5 6 2 ^ P U B L

10

B 4 0 0 0 0 0 1 2

20 40 50 56

PAN

Separator

Title Separator

SuffixSurnameSeparator

First Name

Initial

Title

Title Separator

Expiration Date

Service Code

Reserved ForProprietary use ofCard issuer

CVV/CVC

FormatCode

������������ ���� ��������������� I�

The Who is Who

()80�2%�"*)2��

")29�

0�*�/)2%�

�*-$���(*�-$��*�

The Service Providers

�*-$���(*�-$��*�

'���$� ���������+�������� ����� �"���������

������������ ���� ��������������� J�

Service Provider Examples

•  �.�+����������) ++��#��

•  ;���K�����$� ��++��#�������"������ ���� �����+�

•  4���#���2��-�..�����(��+�������$� �����+��

•  � L-����(���. $�����' �$����+��!�+���++��� ��++�A��+ �����#�' �$����+��'�..�'�����+�������@����� ���'�(���3��9�.���� ��� �+�1������ �"���.��#�����" .�����������

� ���+�������$� �����+������ ��)�����.�����+��"��+���.�� �������� �+�� �$����+��"��� �.��$� ������ �������� �+�.��,+�-��" �������++�� ��"���$$.���� ��.����� ���"��� �������� ��.��,��

Transactions – Card Present

)�,:$*�*�;�

�*-$���(*�-$��*�

�:%�0�*�0�*�/)2%�

$:�*�;�

�*-$���(*�-$��*�

������������ ���� ��������������� ���

Transactions – Card Not Present

�:%�0�*�

0�*�/)2%�<)%�7)8�

)�,:$*�*�;�

�*-$���(*�-$��*�

$:�*�;�

�*-$���(*�-$��*�

The core processing actions

� �*E5@*'*A@ �8 �5+��).�+"��"��-" �

� �*EA;&*A@� �8 �9�.���� ��� ���)���"���++�����

� '�5;@<� � �8 �..��������+�.�����#�� �+�K.������

� �5**�545@* � �8 �..����+�$����)������� ���

������������ ���� ��������������� ���

�JI6� �;�8��) ++���� �����������������JII� �;�8��� ����� �����������������JIJ� �'����� ��$��+���������D��������$$.���� �+��JJ�� �@���������������++�����������JJ�� �4���"�����������JJC� ��������*"�L������ ��,������� ��������������� �' �������� �+��������$� �����H� � ���.�++D�'"�$�+��M�#����������� ���������D�%�,���������.+�����8�� ��������E��,��#D4�.-���D4�� �������$$��#�

Payment Card Fraud Evolution

PCI – SSC

� (� ���������$����� ������ ���������������&�

������$�����������+����+�������+�) ���$� �����#� ���+�#"�� ���"������. $�������������#������ ����������'�������+���������������������+� ����#. )�.�)�+�+�

������������ ���� ��������������� ���

ROUTE TO COMPLIANCE PCI-DSS REQUIREMENTS – COMPLIANCE – FINDING CARD NUMBERS

PCI-SSC Mandate �  �'8(���' �$.�������$$.��+�� ������������"����

•  ������� ����(����•  (����������� ����(����•  %���������� ����(����

�  �� ����(����� �+�+�+� ������" .�������������+��+��������"������ �����������

�  ����������.�����)���� ��.�������� N�•  4���"���+��•  �1�����+�•  ++���+��•  ���������� �����+�•  *��+����*"���������+�

������������ ���� ��������������� �6�

Driving the Compliance ()80�2%�"*)2��

")29�=�()80�2%�<)%�7)8�

���00�*���0�*�/)2%��*-$���(*�-$��*�=�%((�

@�-�!@����#�� ��������!������� ����������

����.�++����#��� �� �� ��++��#�'E(�

PCI-DSS Certification

++�++����� ;������� �� '���2��� ��

�� $��#��'�;�+,�++�++�����<�$���.�+�+�

4��#�� ��4�.�+� ���;����-+�

�����;A'DA'�'���2����� ��' �$.������

������������ ���� ��������������� �C�

The most important slide

PCI-DSS v3.0 "��&������0���������������2�4��#����� ����� ��

>+��+��..����������������2��-�..�� �2#���� ��� �$� ���������" .����������

.+�( �� ���+������ �8+�$$.���������.�+�� ��+�+����$�++- ��+����� �"���+��������$��������+��

��

(�����������&�������� ��

�+��� �����+� ��������" .����������

?+�5����$������+��++� �� ������" .������������ ++� $����$�).������- �,+��

��

0���������-�&����3�&� �0���������(������� ��

@+��� ������..�+�+���+��#���+����.-����������#�.��.���$��������8����+�+ L-���� ��$� #���+��

A+�(���. $��������������+������+�+���+������$$.���� �+� ���

������������ ���� ��������������� ���

PCI-DSS v3.0 � $�!&����������)�����������&�0�������� ��

� B+�;�+����������++�� �����" .���������)��)�+���++������� �,� -��

� C+���������������"������������++�� �+�+����� �$ ����+��

� D+�;�+������$"�+���.�����++�� �����" .����������

�  ��

� *���&��& �0����������%���2�4��#�� ��

� > +�*���,������ ��� ���..�����++�� ����- �,���+ ����+���������" .����������

� >>+�;�#�.��.����+��+��������+�+���+�����$� ��++�+��

�  ��

� 0����������$��������������� �(�&�� � ��

� >.+�4����������$ .�����"��������++�+���� ���� ��+��������� ���..�$��+ ���.��

PCI Risk Assessment Flow

*��#�%�������

*��#�)��& ���E�*��#�$����F������

*��#�)��& ���E�*��#�����������������&������

<�����&�������!�������$*)�

*��#�(��F&����

%�����

-�&����3�&�����

��!��

)����

*���&��������������

*��#�%�������(&���

������������ ���� ��������������� �G�

Recap

��  OOOOOOOOOO�$�������)������+������������1������ ���++������

��  �'�(����+�����#���)��OOOOOOOOOOOOOOOO���

6�  �'�(����+��$$.���).��� ����� �#���7�� ���"���OOOOOOOOOOOO��OOOOOOOOOOOOOO�A;�OOOOOOOOOOOOO�����" .������� ���� ���

C�  5�� �������� ���'�(����+�� ���)��OOOOOO�����OOOOOOOO����

Where do we find card data � ��-"�����

2�4��#�%����� ���3����� ��&��� *�!���� G����

������������ ���� ��������������� �H�

Mod 10 Formula – Luhn’s Algorithm

��  ( �).���"����.��� ���.����������#��+� ���"��$���������� �������)���)�#�����#�-��"��"��+�� �����#����� ���"����#"����% ��������+�.��#���.��PQ����+�)������J��

��  ����"����.��.�������.��+��+�-�..��+��"����.��+�+,�$$����������$���� #��"����

6�  *"��� ��.� )�������������$�����+��)������+�).��)������

4 4 0 8 9 8 5 5 0 0 0 0 0 5 8 5

x2 8

x2 0

x2 18 -9

x2 10 -9

x2 0

x2 0

x2 0

x2 16 -9

8 4 0 8 9 8 1 5 0 0 0 0 0 5 7 5

Exercise 1 : � '"��,�-"��"����"��� .. -��#��G���#������)��+�������.�����������)��+�N��

� �CJ���6C�GHIJ��6�� C�CI6C6H����JH�C���������.��������

*����(���� ��N����4�����+��

������������ ���� ��������������� �I�

Oh and yes ��

� %�..�����,����������+��+��������"������ ����������� ��)��+� �����L������" ��7�� ���

Scoping relevant systems •  �'�(���+����������1��������+��$$.��� ��..�

+�+����� �$ ����+��

•  ��+����� �$ �����8�������- �,�� �$ ������+������� ���$$.���� ���"����+����.�������� ��� ��������� ��"������" .�������������� ��������

•  ��+����� �$ ������.+ ����.��������������.�7�� ��� �$ ����+���

•  '���" .����(����5���� �������+��"���$���� ���"�����- �,��"���+� ��+��$� ��++�+�����D ������+���+�����" .��������� ��+��+��������"������ ��������

•  9�����.�7�� ��� �$ ����+����.����������.����"���+��������.�+-���"�+D� ����+��������.��$$.�����+��������.��$$.���� �+D��+,� $+�����"�$����+ �+���

������������ ���� ��������������� �J�

Scoping out - Network

Requirement 1: Install and maintain a firewall configuration to protect cardholder data >+>�5+��).�+"�������$.������2��-�..������ ������ �2#���� ��+�������+�

>+.�!��.��2��-�..������ ������ �2#���� �+��"�����+������� ����� �+�)��-���������+�������- �,+���������

+�+����� �$ ����+�����"������" .�������������� �������

>+���� "�)����������$�).�������++�)��-�����"������������������+�+����� �$ ���������"������" .���������

����� ��������

>+?��+��..�$��+ ��.�2��-�..�+ L-���� ������� )�.�����D ����$. ���8 -����������+��"���� ������� ��"��

��������-"��� ��+�����"�����- �,�=� ���/��$.���.�$� $+��+���)����$. ���+>������-"��"������.+ ��+���� �

����++��"�����- �,���

>+@�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ������#��#�2��-�..+������ ��������������+���

����,� -��� ��..��0������$����+��

������������ ���� ��������������� ���

Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters

.+>�.-��+��"��#������ �8+�$$.���������.�+�������� ��� ����+�).��������++���������.����� ���+�)�� �����+��..��#���

+�+���� ���"�����- �,��

*"�+��$$.��+�� ���������.��$�++- ��+�����.����#�)���� ��.�������� ��" +���+���)�� $�����#�+�+���+��+ L-�����"���

$� ����+�+��������+������+���$$.���� ������+�+������� ���+��$ ���8 �8+�.��=�A�>��������.+�����$.��@��- �,�4���#������

�� � � .�=�@4�>�� ��������+����#+������>��

.+.�(���. $�� �2#���� ��+�������+�� ���..�+�+����� �$ ����+��++�����"����"�+��+�������+������++��..�,� -��+��������

��.����)�.���+���������� �+�+�����-��"�����+���8����$����+�+����"�������#�+�������+��� ����+� ������+���8����$����

+�+����"�������#�+�������+�

.+��5����$���..�� �8� �+ .��������+�����������++��+��#�+�� �#����$� #��$"����+�����"� . #��+�+��"��+���E��9�@�� �����D

*���� ��-�)8)�+�������#���������� �"���� �8� �+ .��������+�����������++��

�

Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters

.+?�4����������������� ��� ��+�+����� �$ ����+��"����������+� $��� ���'�(����

.+@�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ������#��#����� �������.�+����� �"���+��������

$��������+������ ��������������+�������,� -��� ��..��0������$����+��

.+A��"�����" +��#�$� �����+���+��$� ��������"������R+�" +��������� ��������������" .����������*"�+��

$� �����+���+�������+$���2����1��������+��+������.��������� �+�3�� ��++���������4���5 6��" � �!��2"�

�)�" +����7��",�+ "�8�

������������ ���� ��������������� ���

Exercise 2 : Firewall Rule Review *�&��2�� ������ ���������� �������� )�����

�� @?� �)�������� E**���E**��� ���$��

�� @?� ������.�������� @?� ���$��

6� �J���GI����� %*��������� @?� ���$��

C� @?� %*��������� �A;*���� ���$��

�� @?� 4��.�������� �4*����A�6� ���$��

G� ������.�������� @?� @?� ���$��

H� (���)�+��������� @?� @?� ���$��

I� @?� (���)�+��������� @?� ���$��

J� ����6H�C��6I� @?� @?� ���$��

��� @?� @?� E**��E**��� ���$��

��� @?� @?� @?� ���$��

��������.��������*����(���� ��N����4�����+��

Identifying the data ��������..�+�+���+��"���+� ����$� ��++�� ������+��������" .���������

'�������������/� ��+�+���+����.����#�

•  ��+���������

•  '���" .���������+� ����=.�+��2�.�+>�

•  ;����� ��$��� ��

•  �� ���� �����"���+��

•  �� �����+� �����@+�$����'�(���6�C�="�+"��#�������$� ��� ��������� �>�

�� ��� �#���7�� �� ���� �� ������� ����" .���� ����� �������).��� ��� �+� �.. -�).�� � � ��.�7��

� �$��+�� �� � ��� .+� � � $� ������ �#���7�� �� "���� �������,��� � �� ��+,� ���.�+�+� � ���� "����

.�#����������"� . #���.�� ��� ���������)�+���++�� �+������+��

������������ ���� ��������������� ���

Card Holder Matrix

)!!&�������2���� -������� )!!&��������������!����

���3����������

%�3&��2����������&���������

*�������(������

(��������

!'� ����� )"�������(���!!&�������&������������H8I������+�$�!���������J��������/��

4��3��S�!'���"����

%�3&�������=�������&�

��&���������=��������

������+� @ ���

������2���� $(�)�������

��&��2����1�G�������4���������/��������

��������� "��������������� *�������(������

(��������

�� ��O(!O+������ �J���GI������

0 ,G��"� '�������)���

����������3��#� ������+� @ ���

Requirement 3: Protect stored cardholder data

�+>��

B��$�����" .���������+� ��#��� �����������)����$.������#������������ ��������+$ +�.�$ .����+��

$� ������+�����$� ��++�+��"������.�������.��+���"��� .. -��#�� ���..�����" .���������='E(>�+� ��#�N�

• ������#������+� ��#���� �������������� ������� ��"���-"��"��+���1������� ��.�#�.����#�.�� ����������

)�+���++���1��������+�

• �� ��++�+�� ��+��������.�� �� �������-"���� �. �#����������

• �$���2�������� ����1��������+�� ������" .���������

• �1������.��$� ��++�� �����������#�����+�����.����.���#�+� ��������" .����������"����/����+�

��2�������������� ����

������������ ���� ��������������� �6�

Requirement 3: Protect stored cardholder data

�+.��

( �� ��+� ���+��+��������"������ ��������L������" ��7�� ��=�������������$���>����+��+��������"������ ��

������+�������������������..����������� ����).���$ ��� �$.�� �� ���"�����" ��7�� ��$� ��++��

�!����� "�����/� �2"����� "����+������� ��!)�!�����"!�������7�� ",�� ��!��!" �� ���, ���!) �����+�!���2 �

•  *"�����+���)�+���++�T�+�2��� ��

•  *"��������+�+� ����+�����.���

�+��4�+,��@�-"�����+$.�����=�"��2�+��+�/�����.�+��� �����#��+������"����/��������)��� ����#��+�� �)����+$.����>��+��"��"��� �.��$��+ ���.�-��"���.�#�������)�+���++����������+����"����..��@��

�

�

Requirement 3: Protect stored cardholder data

�+?�;�������@��������).�����-"��������+�+� ����=���.����#� ��$ ���).����#���.��������)��,�$���������������. #+>�)���+��#����� ���"��� .. -��#��$$� ��"�+N�

U��A��8-���"�+"�+�)�+��� ��+�� �#����$� #��$"���="�+"���+��)�� ���"���������@>�

U��*������ ��="�+"��#����� ��)���+���� ���$.�����"������������+�#����� ���@>�

U�����/�� ,��+�����$��+�=$��+���+��)��+�����.��+� ���>�

U����� �#����$� #��$"��-��"��++ �������,��8����#������$� ��++�+�����$� ������+��

��

�������!������" ��, �9�!"�,���� :"!�2"��������������+�,�+����!�" ���!"��!�"�7�������-�+�!���2�!) 9�)�, ���� ���!�/!)�!) �!"����! +���+�)��) +�, "����2�����-8�.) " �)��) +���+�!"����! +�, "�����2�!) ���� ���-��" ��" � �!������� �!9;�� �,�"�� �!���++�������!"����)��+�/ �������� �!� ���" �!)�!�!) �)��) +���+�!"����! +�, "���������!�/ ��"" ��! +�!�" ���!"��!�!) �"�7�������-8�

������������ ���� ��������������� �C�

Requirement 3: Protect stored cardholder data

� �+@�( �������������$.������$� ������+�� �$� �����,��+��+���� �+������+� ��������" .����������#���+����+�. +����������+�+��

� �+A�%�..��� �������������$.�������..�,��8����#������$� ��++�+�����$� ������+�� �����$� #��$"���,��+��+���� �������$� �� ������" .����������

������-�� "�����+��!"9��!��+�"+��2"�< 9�����7 � �!��" ��,����/� �2"��,�"����" ��"� �������+��7�-��#��=)��)�����/ �2��+��!�)>� ??��"�8���!87,8�

Requirement 4: Encrypt transmission of cardholder data across open, public networks

?+>��+��+�� �#����$� #��$"������+��������$� � � .+�=� ���/��$.������D*������5'����E������>�� �+���#�����+��+���������" .��������������#�����+��++� �� ���� $����$�).������- �,+�����.����#��"��� .. -��#N��• A�.�����+����,��+���������2����+���������$������•  *"��$� � � .�����+�� �.��+�$$ ��+�+���������+� �+� ��� �2#���� �+���•  *"�������$� ��+����#�"��+��$$� $������� ���"�������$� �����" � . #������+������5/��$.�+� �� $����$�).������- �,+����.����)�������� ��.�������� N��•  *"�����������•  ���.�++����"� . #��+�����.����#�I����������!.��� �"��•  '�..�.������"� . #��+��� ���/��$.���<. )�.���+����� ��4 )�.��� �������� �+�=<�4>��' �������+� ����.�$.������++�='(4>��

• <�����.����,���;��� ���������=<�;�>���•  ����..����� �������� �+����

������������ ���� ��������������� ���

Requirement 4: Encrypt transmission of cardholder data across open, public networks

?+.�@�����+������$� ��������@+�)�����8�+�����++�#��#����"� . #��+�=� ���/��$.����8���.����+�����

��++�#��#���"��������>���

?+��5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� �������$��#�����+��++� �+� ������" .���������

����� ��������������+�������,� -��� ��..��0������$����+��

Requirement 5: Protect all systems against malware and regularly update anti-virus software or programs

����(�$. �����8����+�+ L-���� ���..�+�+���+�� �� �.���0������)����.��� �+�+ L-����=$�����.��.��$��+ ��.�

� �$����+�����+�����+>���

������5�+�����"������8����+�$� #���+�������$�).�� ���������#����� ���#������$� �����#��#���+���..�,� -��

��$�+� ����.��� �+�+ L-������

������% ��+�+���+�� �+�������� �)��� ��� �� �.���0������)����.��� �+�+ L-�����$��� ���$��� ����

���.��� �+�� ����������������.������� .���#���.-�����"����+���� ������ �� �2���-"��"���+��"�+�+���+�

� ������� �� ����1��������8����+�+ L-������

����5�+�����"����..����8����+����"���+�+�����������������+�� .. -+N��

•  ���,�$������������

•  ���� ���$��� ����+���+��

• <��������������. #+�-"��"��������������$����'�(���;�1������������H����

������������ ���� ��������������� �G�

Requirement 5: Protect all systems against malware and regularly update anti-virus software or programs

� ��6�5�+�����"������8����+����"���+�+����������.��������#��������� ��)����+�).��� ���.������)���+��+����.�++�

+$���2��..�����" ��7���)������#������ ������+�8)�8��+��)�+�+�� ����.�����������$��� ����

� @ ��N���8����+�+ .�� �+�����)�����$ ����.����+�).��� �.������"�����+�.�#����������"����.��������+����" ��7���

)������#������ ������+�8)�8��+��)�+�+�������8����+�$� ���� ������+�� �)����+�).���� ����+$���2��$��$ +������

��+��)��� ���..�����" ��7�������� ��.�+�����������+���+������.+ ������� �)����$.��������� ���"��$��� ��

�����������#�-"��"����8����+�$� ���� ���+�� �����������

� ��C�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ��$� �����#�+�+���+��#���+����.-��������

� ��������������+�������,� -��� ��..��0������$����+���

Requirement 6: Develop and maintain secure systems and applications

G���5+��).�+"���$� ��++�� ���������+����������.����)�.���+���+��#���$���).�� ��+����+ ����+�� ��+����������.����)�.����

��� ���� ��������++�#������+,����,��#�=� ���/��$.����+�V"�#"�W�V�������W� ��V. -W>�� ���-.����+� ������+��������

��.����)�.���+���

@ ��N�;�+,����,��#+�+" �.��)��)�+��� ������+����)�+��$������+��+�-�..��+�� �+������ �� ��$ �����.���$�����% ���/��$.���

���������� �����,��#���.����)�.���+��������.����� �+������ �� ���"��'9���)�+��+� �������D ���"���.�++�2��� ��)���"��

���� ������D ����$�� ��+�+���+��0��������

4��" �+�� �����.����#���.����)�.���+������++�#���#���+,�����#+�-�..������)�+��� ����� �#���7�� �R+������ ������������+,8

�++�++�����+�����#���;�+,����,��#+�+" �.��������������������������..���.����)�.���+�� �+�������� �)����V"�#"���+,W�� ��"��

����� �������������� ��� ��"����+,����,��#����.����)�.���+�����)��� �+�������V������.W�����"���$ +���������������"������ �

�"������� ���������$����������.�+�+���+�����D ��- �.����+�.�������$ �����.�� �$� ��+������ �������++����5/��$.�+� ��

������.�+�+���+��������.����+��������+�+���+��$�).��8�����#�������+�����+�+���+������)�+�+������ �"���+�+���+��"���+� ����

$� ��++�� ������+��������" .�����������

������������ ���� ��������������� �H�

Requirement 6: Develop and maintain secure systems and applications

G���5�+�����"����..�+�+����� �$ ����+�����+ L-��������$� ��������� ��,� -����.����)�.���+�)����+��..��#��$$.���).��

���� �8+�$$.����+��������$���"�+���+��..�������.�+��������$���"�+�-��"��� ���� ��"� ����.��+����

@ ��N�'�����.�+��������$���"�+�+" �.��)�������2������ ����#�� ��"����+,����,��#�$� ��++���2�������;�1���������G����

A+��(���. $��������.������/�����.�+ L-�����$$.���� �+�=���.����#�-�)8)�+���������+�����������++�� ��$$.���� �+>�

+�����.����+�� .. -+N��

•  ����� �������-��"��'�(���=� ���/��$.���+���������"������ ������. ##��#>��

•  !�+��� ������+����+�������+����D ��)�+��$������+���

•  �� �$ ����#���� ���� ��+���������"� �#" ����"��+ L-���8����. $�����.�������.���

���� �#)�������� ��!������1=�" �+ , �� +���! "����9����= ������/ ��< �"����!���1=�" �+ , �� +�/9���!)�"+���"!98�

A+?�% .. -��"��#��� ��� .�$� ��++�+�����$� ������+�� ���..��"��#�+�� �+�+����� �$ ����+��*"��$� ��++�+���+�����.����

�"��� .. -��#N��

A+?+>���$����������. $����D��+������� �����+��� ��$� ���� ������� �����+��������� �����"��+�$���� ��-��"�����++�

� ��� .+���

A+?+.���$���� �� ������+�)��-��������. $����D��+������$� ���� ������� �����+��

A+?+���� ���� �������=.�����@+>������ ���+���� ����+��#� ������. $������

A+?+?�;�� ��.� ����+�������������� ���+�)�� ���$� ���� ��+�+���+�)�� ����������

A+?+@�'"��#��� ��� .�$� ������+�� ���"����$.������� �� ��+��������$���"�+�����+ L-����� ��2��� �+���+�����.�����"��

� .. -��#N��

A+?+@+>�( �������� �� ����$������

A+?+@+.�( ����������"��#���$$� ��.�)�����" ��7���$����+���

A+?+@+��%���� ��.������+��#�� ���������"����"���"��#��� �+�� �������+�.����$�����"��+�������� ���"��+�+������

A+?+@+?�!��,8 ���$� ������+���

Requirement 6: Develop and maintain secure systems and applications

������������ ���� ��������������� �I�

Requirement 6: Develop and maintain secure systems and applications

A+@��

����++�� �� ��� ���#���.����)�.���+����+ L-���8����. $�����$� ��++�+��+�� .. -+N��

*���������. $��+����+������� ���#����"��1��+�����.����#�" -�� ��� ���� �� ��� ���#���.����)�.���+������

�����+������#�" -�+��+�����������+�"���.��������� �����

(���. $��$$.���� �+�)�+��� ��+������� ���#�#����.���+���

��

������#) �,��� "�/��� �����! +��!�@8A8��!)"�7)�@8A8���= " ���"" �!�=�!)���+��!"9�/ �!��"��� ��=) ��!)���, "����2�����

4���=�����/���) +8��= , "�������+��!"9�/ �!��"��� ��2"�,��� "�/���!9�����7 � �!��" ���+�! +�%2"� 3���� ��!) �

�.����0��+ ����-���.��#���A����5#�� ��" ��+��7�� !�8(��!) ���"" �!�/ �!��"��� �����!�/ ��� +�2"�!) � �

" 6��" � �!�8���

Requirement 6: Develop and maintain secure systems and applications

� A+@+>��T��� ��:�-+��$�����.��.���3����T��� ���.+ �� �+�����A��' �������T��� ����(������F���"���T��� ��:�-+��+�-�..��+� �"�����T��� ��:�-+���

� A+@+.�!�0��� ���: -+��

� A+@+���+���������$� #��$"���+� ��#���

� A+@+?��+������� �������� �+��

� A+@+@��$� $������ ��"���.��#��

� A+@+A�..�V"�#"���+,W���.����)�.���+������2�������"����.����)�.���������2��� ��$� ��++�=�+���2��������'�(���;�1���������G��>���

� A+@+B�'� ++8+����+���$��#�=F��>��

� A+@+C��$� $�������++�� ��� .�=+��"��+���+������������� )T�������������+�����.����� ���+�������;������++�������� ���������+�.���������.����� ���+�������+�������++�� ������ �+>���

������������ ���� ��������������� �J�

Requirement 6: Develop and maintain secure systems and applications

A+@+D�'� ++8+������1��+��� �#����='�;%>��

A+@+> �!� ,������"������ ������+�++� ������#�������

������5 6��" � �!�@8A8��������/ �!��"��� �����B�� �C������A���1 "�=)��)��!�/ �� ����" 6��" � �!8��

A+A�% ��$�).��8�����#�-�)��$$.���� �+�������++���-��"����+�������.����)�.���+� ����� �# ��#�)�+�+�������+�����"�+��

�$$.���� �+�����$� ��������#���+��,� -���K��,+�)�����"��� ���"��� .. -��#����" �+N��

•  ;����-��#�$�).��8�����#�-�)��$$.���� �+����������.� ����� �������$$.���� ����.����)�.����+���������++�++������ .+�

�����" �+�����.��+�������..�������L��������"��#�+���������������#)������ ��� �!�����!�!) ���� ����!) �,��� "�/���!9�

������� "2"� +�2"�5 6��" � �!���8�8��

•  �+��..��#������� ���������"����.�+ .�� ���"���������+�����$������+�-�)8)�+����K��,+�=� ���/��$.�����-�)8

�$$.���� ��2��-�..>������ ��� ��$�).��8�����#�-�)��$$.���� �+��� �� �����..���"��,��..����M����

A+B��

5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ������. $��#���������������#�+������+�+���+������$$.���� �+�

����� ��������������+�������,� -��� ��..��0������$����+���

Recap ��  "��������"����0�������$$� ��"�+�� ���,���@��������).�X�

��  �'�����������������"�+"����@�)��+� ����� #��"��X�

6�  "����+��"���/$����� �� ���'�(����� ���������' ���#��������+X�

������������ ���� ��������������� 6��

Requirement 7: Restrict access to cardholder data by business need to know

B+>�����������++�� �+�+����� �$ ����+���������" .���������� � �.���" +�����������.+�-" +��T )���1����+�+��"�����++���

�B+>+>�(�2�������++�����+�� �����"�� .������.����#N��

•  ��+����� �$ ����+������������+ ����+��"������"�� .������+�� �����++�� ���"����T )������ ���

•  ����.� ��$����.�#����1������=� ���/��$.����+����������+���� �������>�� ������++��#���+ ����+���

B+>+.�;�+����������++�� �$����.�#����+���(+�� �.��+��$����.�#�+�����++����� �$��� ���T )���+$ �+�)�.���+���

B+>+��++�#������++�)�+��� �����������.�$��+ ���.R+�T )��.�++�2��� ����������� ����

B+>+?�;�1������ ����������$$� ��.�)�����" ��7���$����+�+$�������#���1������$����.�#�+���

Requirement 7: Restrict access to cardholder data by business need to know

B+.�5+��).�+"��������++�� ��� .�+�+����� ��+�+���+�� �$ ����+��"�����+�����+�����++�)�+��� �����+��R+������� �,� -�������+�

+���� �V������..W���.�++�+$���2��..���.. -�����

*"�+�����++�� ��� .�+�+������+�����.�����"��� .. -��#N��

B+.+>�' ����#�� ���..�+�+����� �$ ����+��

B+.+.�++�#������ ��$����.�#�+�� ����������.+�)�+��� ��T )��.�++�2��� ����������� ����

B+.+��(����.��V����8�..W�+�Y�#���

B+��5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ����+������#�����++�� �����" .�������������� �������������

�+�������,� -��� ��..��0������$����+���

������������ ���� ��������������� 6��

Requirement 8: Identify and authenticate access to system components

C+>�(�2���������$.������$ .����+�����$� ������+�� ���+����$� $����+��������2��� ������#������� ��� �8� �+������+��+�����������+���� �+� ���..�+�+����� �$ ����+�

C+.�������� ��� ��++�#���#������1���(����+����$� $����+��8���"������ ������#������� ��� �8� �+������+��+�����������+���� �+� ���..�+�+����� �$ ����+�)����$. ���#����.��+�� ���

���"��� .. -��#����" �+�� ����"���������..��+��+N��

•  � ���"��#�� ��,� -��+��"��+���$�++- ��� ��$�++$"��+���

•  � ���"��#�� ��"�����+��"��+���� ,���������� ��+�����������

•  � ���"��#�� �������+��"��+���)� �������

C+���� �$ ������- 8���� �����"������ ��� ����� ������- �,�����++� ��#�����#��� �� ��+�����"�����- �,�)��

$��+ ���.�=���.����#��+��+�����������+���� �+>������..��"����$����+��=���.����#����� ������++�� ��+�$$ ��� ��

�����������>���

C+?�( ������������ �������������"������ ��$� ������+�����$ .����+�� ��..��+��+����.����#N��

• <�������� ��+�.����#�+�� �#����"������ ����������.+��

• <��������� ��" -��+��+�+" �.��$� ������"�������"������ ����������.+��

• �+����� �+�� ��� ����+��$���� �+.���+���$�++- ��+��

• �+����� �+�� ��"��#��$�++- ��+�����"�����+�����+�+$��� ���"��$�++- ���� �.��)��� �$� ��+�����

�

C+@�( �� ���+��#� �$��+"������ ��#�������(+��$�++- ��+�� �� �"������"������ �����" �+��+�� .. -+N��

• <��������+���(+�������+�).��� ����� ������

• �"������+���(+�� �� ���/�+��� ��+�+����������+���� ������ �"���������.������ �+���

• �"���������#��������+���(+������ ���+���� �������+��������+�+����� �$ ����+���

�

�

Requirement 8: Identify and authenticate access to system components

������������ ���� ��������������� 6��

Requirement 8: Identify and authenticate access to system components

� C+A� "���� �"������"������ �����"���+�+������+���=� ���/��$.���$"�+���.� ��. #���.�+��������� ,��+��+���������+������2����+������>���+�� ���"�+�����"���+�+���+��)���++�#�����+�� .. -+N��

•  ��"������ �����"���+�+���+��)���++�#����� �������������.���� ��������� ��+"������� �#���.�$.����� ���+���

•  �"�+���.����D ��. #���.�� ��� .+���+��)�����$.����� ���+���� �.���"�������������� ���������+���"������"���+��� �#��������++���

�

Requirement 8: Identify and authenticate access to system components

C+B�..�����++�� ���������)�+��� �������#�����" .���������=���.����#�����++�)���$$.���� �+��������+���� �+�������..� �"���

�+��+>��+���+���������+�� .. -+N��

•  ..��+�������++�� ���+���1�����+� ��������+������ �+� ������)�+�+������"� �#"�$� #�����������" �+���

•  A�.������)�+��������+���� �+�"�����"���)�.����� �������.������++� ��1���������)�+�+���

•  $$.���� ��(+�� ������)�+���$$.���� �+����� �.��)���+���)���"���$$.���� �+�=����� ��)�����������.��+��+� �� �"���� �8

�$$.���� ��$� ��++�+>���

�

C+C�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� �������2��� ���������"������ ������� ��������������+���

����,� -��� ��..��0������$����+���

�

������������ ���� ��������������� 66�

Requirement 9: Restrict physical access to cardholder data

D+>��+���$$� $����������.����������� ��� .+�� �.���������� ��� ��$"�+���.�����++�� �+�+���+�����"������" .���������

����� ��������

D+.�(���. $�$� ������+�� ���+�.����+��#��+"�)��-���� �+����$��+ ���.�������+�� �+��� ����.���N��

•  ��������#���-� �+����$��+ ���.� ����+�� �+�=� ���/��$.����++�#���#�)��#�+>��

•  '"��#�+�� �����++���1��������+��

•  ;�� ,��#� �����������#� �+����$��+ ���.������/$�������+�� �������2��� ��=+��"��+�(�)��#�+>���

D+��' ��� .�$"�+���.�����++�� �� �+����$��+ ���.�� ��"��+��+���������+��+�� .. -+N��

•  ���++���+��)�����" ��7�������)�+��� �����������.�T )������ ����

•  ���++��+���� ,������������.���$ ���������� ��������..�$"�+���.�����++����"���+�+��+��"��+�,��+������++�����+��������

������������� ����+�).�����

J�C��$.������$� ������+�� ����������������" ��7����+�� �+�

J����"�+���..��+�������..���������

J�G�4��������+������� ��� .� �����"���������.� ���/�����.���+���)�� �� ������,���� ��������

J�H�4��������+������� ��� .� �����"��+� ��#����������++�)�.���� ����������

J�I�(�+�� ��������-"�������+�� �. �#����������� ��)�+���++� ��.�#�.����+ �+�

J�J��� �����������+��"�����$�����$����������������������������$"�+���.��������� ��-��"��"��������� �����$����#�����+�)+���� ����

J����5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ����+������#�$"�+���.�����++�� �����" .�������������� ��������������+�������,� -��

� ��..��0������$����+���

�

�

�

Requirement 9: Restrict physical access to cardholder data

������������ ���� ��������������� 6C�

Requirement 10: Track and monitor all access to network resources and cardholder data

> +>��$.����������������.+�� �.��,��..�����++�� �+�+����� �$ ����+�� ����"����������.��+�����

�

> +.��$.��������� ����������������.+�� ���..�+�+����� �$ ����+�� ���� �+�������"��� .. -��#������+N��

> +.+>�..����������.��+�������++�+�� �����" .����������

> +.+.�..���� �+���,���)���������������.�-��"�� �� ��������+�������$����.�#�+��

> +.+�����++�� ��..�����������.+��

> +.+?����.���. #���.�����++��K��$�+��

> +.�@��+�� �������"��#�+�� ������2��� ���������"������ �����"���+�+Z���.����#�)���� ��.�������� ������ �� ����-�

��� ���+������.���� �� ��$����.�#�+Z�����..��"��#�+������� �+�� ����.�� �+�� ���� ���+�-��"�� �� ��������+�������

$����.�#�+��

> +.+A�����.�7�� ���+� $$��#�� ��$��+��#� ���"��������. #+��

> +.+B�'���� ��������.�� �� ��+�+���8.���.� )T���+��

�

Requirement 10: Track and monitor all access to network resources and cardholder data

> +��;�� ������.��+���"��� .. -��#�����������.�������+�� ���..�+�+����� �$ ����+�� �����"������N��

> +�+>��+��������2��� ���

> +�+.�*�$�� ���������

> +�+��(�������������

> +�+?������++� �����.����������� ���

> +�+@�A��#���� �� ���������

> +�+A�������� ������� ���0������������+�+����� �$ ������ ����+ �������

> +?��+��#����8+���"� ��7�� �����"� . #���+���"� ��7���..�������.�+�+�����. �,+��������+�������+�����"����"��

� .. -��#��+���$.��������� ����1�����#����+���)���#������+� ���#�������

�������� � 3���� �2�� ��9��)"��*���! �)��79����- !="<�#�� ��"!���%-#�(8��

������������ ���� ��������������� 6��

Requirement 10: Track and monitor all access to network resources and cardholder data

> +@������������������.+�+ ��"������� ��)���.��������

> +@+>����������-��#� ������������.+�� ��" +��-��"���T )8��.������������

> +@+.��� ���������������.�2.�+��� �������" ��7���� ��2��� �+���

> +@+���� �$�.��)��,��$�����������.�2.�+�� ���������.�7���. #�+������ ���������"����+���M��.��� ��.������

> +@+?� �����. #+�� ���/�����.8�����#����"� . #��+� �� ���+�������������.�7�����������.�. #�+������ �����������������

> +@+@��+��2.�8����#������ ��� ���#� ���"��#�8������ ��+ L-���� ��. #+�� ���+�����"����/�+��#�. #���������� ��)���"��#���-��" ���#�������#��.���+�=�.�" �#"���-������)���#�������+" �.��� �����+������.���>���

�

Requirement 10: Track and monitor all access to network resources and cardholder data

> +A�;����-�. #+�����+�������������+�� ���..�+�+����� �$ ����+�� ����������� ��.��+� ��+�+$��� �+�����������

������D7�)�", ��7����"���7����+��� "�7�!�����9�/ ��� +�!�� !�!)���5 6��" � �!8�> +A+>�;����-��"��� .. -��#����

.��+�����.�N��

•  ..�+�������������+��

•  � #+� ���..�+�+����� �$ ����+��"���+� ����$� ��++�� ������+����'E(����D ���(�� ���"���� �.����$�����"��+�������� ��

'E(����D ���(��

•  � #+� ���..�������.�+�+����� �$ ����+��

•  � #+� ���..�+�����+�����+�+����� �$ ����+��"���$��� ���+������������� �+�=� ���/��$.���2��-�..+�������+� �8������ ��

+�+���+D�����+� �8$������ ��+�+���+�=(�D��>�����"������ ��+�����+���8� ��������������� ��+�����+������>���

> +A+.�;����-�. #+� ���..� �"���+�+����� �$ ����+�$��� ����..��)�+��� ���"�� �#���7�� �R+�$ .����+�������+,�

����#������+�����#����+������������)���"�� �#���7�� �R+������.���+,��++�++�������

> +A+��% .. -��$��/��$� �+������� ��.��+������2��������#��"�������-�$� ��++����

������������ ���� ��������������� 6G�

Requirement 10: Track and monitor all access to network resources and cardholder data

�

> +B�;����������������.�"�+� ���� �����.��+�� ���������-��"����������� ���"����� ��"+����������.������.�).��� ��

���.�+�+�=� ���/��$.��� �.��������"������ ����+� ��).���� ��)��,�$>���

�

> +C�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ��� ��� ���#��..�����++�� ����- �,���+ ����+�

��������" .�������������� ��������������+�������,� -��� ��..��0������$����+���

Golden Logging Architecture

������������ ���� ��������������� 6H�

Requirement 11: Regularly test security systems and processes.

>>+>��$.������$� ��++�+�� ���+��� ���"��$��+����� ��-���.�++�����++�$ ���+�=I�����>��������������������������..�

���" ��7������������" ��7���-���.�++�����++�$ ���+� ����1������.��)�+�+���

>>+.�;����������.������/�����.����- �,���.����)�.����+���+����.��+��1������.�������L�������+�#��2������"��#������"��

���- �,�=+��"��+���-�+�+����� �$ �������+��..�� �+���"��#�+�������- �,�� $ . #���2��-�..���.��� ��2��� �+��

$� ������$#����+>���>>+���$.�����������" � . #��� ��$������� ����+��#��"������.���+��"��� .. -��#N��•  +�)�+��� ������+���8����$����$������� ����+��#��$$� ��"�+�=� ���/��$.���@�*���I��8���>��•  ��.���+�� ����#��� ���"��������'(5�$�������������������.�+�+���+��•  ��.���+���+��#��� ��) �"���+�������� ��+�����"�����- �,��•  ��.���+���+��#�� ���.����������+�#������ ������+� $�8������ ��� ��� .+��•  (�2��+��$$.���� �8.�����$������� ����+�+�� ����.��������������������"����.����)�.���+�.�+�������;�1���������G����•  (�2��+����- �,8.�����$������� ����+�+�� ����.����� �$ ����+��"���+�$$ ������- �,������ �+��+�-�..��+� $�����#�+�+���+��

•  ��.���+������-������ �+������ �� ���"����+�������.����)�.���+��/$�������������"��.�+������ ��"+��•  �$���2�+������� �� ��$������� ����+��#���+�.�+������������� ���������+���+�.�+����

Requirement 11: Regularly test security systems and processes.

>>+���$.�����������" � . #��� ��$������� ����+��#��"������.���+��"��� .. -��#N��

•  +�)�+��� ������+���8����$����$������� ����+��#��$$� ��"�+�=� ���/��$.���@�*���I��8���>��

•  ��.���+�� ����#��� ���"��������'(5�$�������������������.�+�+���+��

•  ��.���+���+��#��� ��) �"���+�������� ��+�����"�����- �,��

•  ��.���+���+��#�� ���.����������+�#������ ������+� $�8������ ��� ��� .+��

•  (�2��+��$$.���� �8.�����$������� ����+�+�� ����.��������������������"����.����)�.���+�.�+�������;�1���������G����

•  (�2��+����- �,8.�����$������� ����+�+�� ����.����� �$ ����+��"���+�$$ ������- �,������ �+��+�-�..��+� $�����#�+�+���+��

•  ��.���+������-������ �+������ �� ���"����+�������.����)�.���+��/$�������������"��.�+������ ��"+��

•  �$���2�+������� �� ��$������� ����+��#���+�.�+������������� ���������+���+�.�+���

������������ ���� ��������������� 6I�

Requirement 11: Regularly test security systems and processes.

�>>+?��+�������+� �8������ �����D �������+� �8$������ �����"��1��+�� �����������D ��$������������+� �+���� ��"��

���- �,��4 ��� ���..����M������"��$��������� ���"������" .�������������� �������+�-�..��+����������.�$ ���+�����"��

����" .�������������� ������������.����$��+ ���.�� �+�+$������� �$� ��+�+���

B��$��..������+� �8������ ������$������ ����#���+��)�+�.���+������+�#������+��$�� ��������

>>+@�(�$. �����"��#�8������ �����"���+��=� ���/��$.���2.�8����#������ ��� ���#�� .+>�� ��.����$��+ ���.�� �

�����" ��7���� ��2��� �� ��������.�+�+����2.�+��� �2#���� ��2.�+�� ��� ������2.�+[������ �2#�����"��+ L-����� �

$��� ���������.�2.��� �$���+ �+����.��+��-��,.����

�>>+A�5�+�����"���+��������$ .����+����� $���� ��.�$� ������+�� ��+��������� ��� ���#�������+��#������ ��������������+���

����,� -��� ��..��0������$����+���

�

Recap ��  %���-�..��+���1������� �)�������-���������OOOOOOOOOO���

��  OOOOOOOOOOOO��+��.. -���� �)��+� ��������'�� ��.�#�������)�+���++���1�����������

6�  ������+�+ L-�����+���1������� �)����$.�����������OOOOOOOOOOOOOOO���

C�  �����*���.��+���1������� �)��+� ����� ����$��� �� ��OOOOOOOOO�

��  5/�����.�����+�������1������� �)��� ���OOOOOOOOOOOO��

G�  ;�.������$���"�+�������1������� ���+��..���OOOOOOOOOOO����

�

������������ ���� ��������������� 6J�

Requirement 12: Maintain a policy that addresses information security for all personnel.

>.+>�5+��).�+"��$�).�+"������������������++����������+��������$ .������

>.+>+>�;����-��"��+��������$ .�������.��+�������..�������$������"��$ .����-"����"������� �������"��#�+���

>.+.��$.����������+,8�++�++�����$� ��++��"��N��

•  +�$��� ��������.��+�������..�������$ ��+�#��2������"��#�+�� ��"������� ������=� ���/��$.�����1��+�� ������#����

��. ��� �������>���

•  ����2�+�������.��++��+���"����+��������.����)�.���+�������

•  ;�+�.�+������� ���.���+,��++�++�������

��3���� ��2�"��<���� ��� �!�� !)+�7� �������+ �/�!��" ��!�����! +�!���#�$�����������A���+�-��#����E���C�8��

��

>.+��(���. $��+�#��$ .����+�� ��������.����"� . #��+�������2���$� $����+�� ���"�+�����"� . #��+���

�������3���� ��2��"�����! �)��7� �������+ ��/�!��" ��!�����! +�!��" �! ���� �����+�=�" � ���! �)��7� ������!����

!�/� !���" �,�/� � � �!"����� +���� ���������7 ���+���! "� !����7 8��

5�+�����"�+���+�#��$ .����+���1������"��� .. -��#N��

>.+�+>�5/$.������$$� ��.�)�����" ��7���$����+��

>.+�+.���"������ ��� ���+�� ���"�����"� . #���

>.+�+���.�+�� ���..�+��"�������+�����$��+ ���.�-��"�����++��

>.+�+?�����" ��� ���������.�����������.������������ -������ ��������� ���� �������$��$ +��=� ���/��$.���.�)�.��#��� ���#�����D �������� ����#� ��������+>��

>.+�+@����$��).���+�+� ���"�����"� . #���

Requirement 12: Maintain a policy that addresses information security for all personnel.

������������ ���� ��������������� C��

Requirement 12: Maintain a policy that addresses information security for all personnel.

>.+�+A����$��).�����- �,�. ��� �+�� ���"�����"� . #��+��

>.+�+B���+�� ��� �$���8�$$� ����$� ����+��

>.+�+C��� �������+� ������ ��+�++� �+�� ����� ��8����++����"� . #��+��L�����+$���2��$��� �� �������������

>.+�+D������ �� ����� ��8����++����"� . #��+�� ������ �+�����)�+���++�$������+� �.��-"����������)������ �+�����

)�+���++�$������+��-��"������������������� ���L����+���

>.+�+> �% ��$��+ ���.�����++��#�����" .���������������� ��8����++����"� . #��+��$� "�)����"��� $���#��� ���#������

+� ��#�� ������" .��������� �� �. ��.�"���������+�������� ��).���.���� �������������.�++��/$.����.�����" ��7���� ����

��2����)�+���++��������

"�����"�����+�������" ��7���)�+���++��������"���+�#��$ .����+���+����1������"�������)��$� ������������� �������-��"��..�

�$$.���).���'�(���;�1��������+���

>.+?�5�+�����"����"��+��������$ .��������$� ������+��.���.����2������ ���� ��+����������+$ �+�)�.���+�� ���..�$��+ ���.���

>.+@�++�#��� �������������.� ��������"��� .. -��#���� ���� ��+������������#��������+$ �+�)�.���+N��

>.+@+>�5+��).�+"��� ��������������+���)����+��������$ .����+�����$� ������+���

>.+@+.�4 ��� ���������.�7��+���������.���+�������� ���� ���������+���)����� ��$$� $������$��+ ���.���

>.+@+��5+��).�+"��� ��������������+���)����+�������������������+$ �+�������+��.�� ��$� ������+�� ���+�������.������

�0������"���.��#� ���..�+����� �+���

>.+@+?������+�����+������ ���+�����.����#������ �+����.�� �+������� ��2��� �+���

>.+@+@�4 ��� ������� ��� .��..�����++�� ��������

>.+A��$.��������� ���.�+���������-�����++�$� #����� ���,���..�$��+ ���.��-���� ���"����$ ������� ������" .���������

+����������

Requirement 12: Maintain a policy that addresses information security for all personnel.

������������ ���� ��������������� C��

Requirement 12: Maintain a policy that addresses information security for all personnel.

>.+A+>�5�������$��+ ���.��$ ��"�����������.��+�������..����

������& !)+������,�"9�+ � �+��7���!) �"� �2�!) �� "��� ����+�!) �"�� , ��2���� ���!�!) ���"+)�+ "�+�!�8��

���G���;�1�����$��+ ���.�� ���,� -.��#�����.��+�������..���"����"���"������������������+� ���"��+��������$ .��������$� ������+��

>.+B��������$ �����.�$��+ ���.�$�� ��� �"����� �������7���"����+,� ���K��,+��� ���������.�+ ����+��=5/��$.�+� ��)��,#� �����"��,+����.����$���� �+���$. ������"�+� �����������.���� �����������"�+� �������������������"��,+�>��

�������"�!)� ��! ����� "��� ��!�/ �)�" +�2"�� "!�������������)�����!" ����)� "��=)���9�)�, ���� ���!�� ���"+����/ "��!���� �=) ��2�����!��7���!"��������!)���" 6��" � �!������" ��� �+�����98��

>.+C�4��������������$.������$ .����+�����$� ������+�� �����#��+�������$� �����+�-��"�-" ������" .����������+�+"������

���"���� �.���0�����"��+�������� ������" .�����������+�� .. -+N��

>.+C+>�4����������.�+�� ��+�������$� �����+���

�

>.+C+.�4����������-��K����#���������"������.���+������,� -.��#�������"����"��+�������$� �����+�������+$ �+�).��� ���"��

+�������� ������" .����������"��+�������$� �����+�$ ++�++� �� �"��-�+��+� ����$� ��++� ������+���� ��)�"�.�� ���"��

��+� ����� ��� ��"���/������"����"���� �.����$�����"��+�������� ���"����+� ���R+�����" .�������������� ��������

������#) � 3��!�="+��7�2������<�=� +7 � �!�=����+ � �+���!) ��7" � �!�/ != ��!) �!=���" ���!) �+ !�����2�!) �

� ",�� �/ ��7��",�+ +����+�!) �" �����/��� ������7� +�!� ��)���"!98�#) ���<�=� +7 � �!�+ ���!�)�, �!������+ �!) �

3��!�="+��7��",�+ +����!)���" 6��" � �!8��

>.+C+��5�+�����"�����+�����+��).�+"���$� ��++�� ����#�#��#�+�������$� �����+����.����#�$� $���������.�#�����$�� ��� �

��#�#��������

>.+C+?�4����������$� #����� �� ��� ��+�������$� �����+R��'�(���� �$.������+����+����.��+�������..����

�

Requirement 12: Maintain a policy that addresses information security for all personnel.

������������ ���� ��������������� C��

Requirement 12: Maintain a policy that addresses information security for all personnel.

>.+C+@�4����������� ���� ���) ���-"��"��'�(�����1��������+���������#���)�����"�+�������$� �����������-"��"�����

����#���)���"����������

>.+D����� ������������ ����������������������E���������$� �����+���,� -.��#�����-����#�� ���+� ���+��"����"���������+$ �+�).��� ���"��+�������� ������" .����������"��+�������$� ������$ ++�++�+� �� �"��-�+��+� ��+��$� ��++�+�� ������+���+� ��)�"�.�� ���"����+� ����� ��� ��"���/������"����"���� �.����$�����"��+�������� ���"����+� ���R+�����" .�������������� ��������

������#)���" 6��" � �!������/ �!��"��� �����B�� �C������A���1 "�=)��)��!�/ �� ����" 6��" � �!8��

������#) � 3��!�="+��7�2������<�=� +7 � �!�=����+ � �+���!) ��7" � �!�/ != ��!) �!=���" ���!) �+ !�����2�!) �� ",�� �/ ��7��",�+ +����+�!) �" �����/��� ������7� +�!� ��)���"!98�#) ���<�=� +7 � �!�+ ���!�)�, �!������+ �!) � 3��!�="+��7��",�+ +����!)���" 6��" � �!8�

>.+> ��$.��������������������+$ �+��$.����!��$��$������ ���+$ ������������.��� ���+�+����)����"���

�>.+> +>�'�������"�������������+$ �+��$.���� �)����$.������������"�������� ��+�+����)����"��5�+�����"��$.��������++�+��"��� .. -��#��������������N��

•  ; .�+����+$ �+�)�.���+������� �������� ������� ������+�����#��+�����"�������� ����� �$� ��+�����.����#�� �2��� �� ���"��$�������)����+����������������

•  �$���2�������������+$ �+��$� ������+��

•  !�+���++���� ���������� ��������$� ������+��

•  (����)��,�$�$� ��++�+��

•  ��.�+�+� ��.�#�.���1��������+�� ����$ ���#�� �$� ��+�+��

•  ' ����#��������+$ �+�+� ���..�������.�+�+����� �$ ����+��

•  ;��������� �����.�+� �� �������������+$ �+��$� ������+��� ���"��$�������)����+���

Requirement 12: Maintain a policy that addresses information security for all personnel.

������������ ���� ��������������� C6�

>.+> +.�*�+���"��$.������.��+�������..����

>.+> +��(�+�#�����+$���2��$��+ ���.�� �)������.�).�� �����CDH�)�+�+�� ���+$ ���� ��.���+���

>.+> +?��� ������$$� $�������������#�� �+��0�-��"�+��������)����"���+$ �+����+$ �+�)�.���+���

>.+> +@���.�����.���+��� ��+��������� ��� ���#�+�+���+�����.����#�)���� ��.�������� ������+� �8������ ��������+� �8

$������ ���2��-�..+������2.�8����#������ ��� ���#�+�+���+���

>.+> +A�(���. $���$� ��++�� �� ����������� .����"�������������+$ �+��$.������ ����#�� �.�++ �+�.������������ �

��� �$ ���������+��������. $����+���

�

Requirement 12: Maintain a policy that addresses information security for all personnel.

PCI Success Plan* ��  <���"�#"�+��.���.� ��+$ �+ �+"�$�� ���"��$� #����

��  <����"����#"������D$� $.��)�"�����"��$� #����

6�  ������$� $���$� T����$.�������)��#���+�M����������� �#��������#"��

C�  ' ������6���$�+� ���������#N�

��  �'�(����������#�� ����$.�������+�

)�  �'�(����������#�� ������+� ����,��+�

��  �'�(����������#�� ������. $��+�

��  '���� �� ������ ++������ ��.��'��������#�' ���K����

G�  �����������" .�������������"������� ������

\�5/������ ���"������'������++��.����

������������ ���� ��������������� CC�

PCI Success Plan* H�  ' �������'�(���;�+,�++�++�����

I�  ' ������+�.���++�++����� ���8(���� ��������.��$$.���� �+�����"�����.��+��

J�  <�$+�(�+��++� ������#��������)��-����3�������������.�+��,�" .���+�

���  ;������� ���+�$����"��$.���������� ���,���+��,�" .���+� ��������.���

���  ���� ����+������#�� ���K��������#+�� ���,������+� �+�

���  4�.�+� ��������-���..+�� ���+��++����"����.��"�..��#�+������#��������-��"�3��

\�5/������ ���"������'������++��.����

THANK YOU *;@@<]��@%A�5'�'A4�

������ �!�� ����������

�������������� ������������������ ��� �������� ��� ����������