PCI DSS: введение, состав и достижение

Бабенко Алексейстарший аудитор

описаниеприменение соответствие

«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель Intercontinental

PCI DSS

О чем пойдет речь?

• DSS для PCI• Основные требования стандарта• Внутренняя кухня DSS• Путь к соответствию за 10 шагов• Сопутствующие стандарты

История возникновения

1970 1980 1990 2000

Старт программ CISP/AIS/SDP

2010

Стандарт PCI DSS

1.2 2.01.0 1.1 new

08060401 1366

Первая сеть VISA ATM

83

$ 300 млн. мошеннических

транзакций

$ 36 млн. мошеннических


$ 5 550 млн. мошеннических


1 млд. карт Visa и MasterCard

Область применения стандарта

• PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт

Поставщики услуг Levels 1-2

Соответствие контролируется платежными системами

Члены платежных

систем

Сервис-провайдеры

Торговое сервисные организации Levels 1-4

Соответствие контролируется банками-эквайерами

Магазины и торговые сети

Интернет-магазины

Безопасность данных платежных карт

Элемент данных Хранениеразрешено

Требуется защита PCI DSS 3.4

Данные платежных карт(сardholder data)

Номер карты (PAN) Да Да Да

Имя держателя карты(Cardholder Name) Да Да Нет

Сервисный код (Service Code) Да Да Нет

Дата истечения срока действия (Expiration Date) Да Да Нет

Критичные данные авторизации(sensitiveauthentication data)

Полное содержание магнитной полосы(Full Magnetic Stripe)

Нет - -

CVC2/CVV2/CID Нет - -

PIN / PIN Block Нет - -

Требования стандарта (1 из 2)

• Обеспечение разработки и управления конфигурацией межсетевых экранов

• Изменение параметров безопасности и системных паролей, установленных по умолчанию

Построение и поддержание защищенной сети

• Обеспечение защиты данных платежных карт при хранении• Обеспечение шифрования данных платежных карт при передаче по

общедоступным сетям

Защита данных платежных карт

• Использование и регулярное обновление антивирусного ПО• Обеспечение безопасности при разработки и поддержке систем и

приложений

Реализация программы управления уязвимостями

Требования стандарта (2 из 2)

• Ограничение доступа к данным платежных карт в соответствии со служебной необходимостью

• Назначение уникальных идентификаторов лицам, имеющим доступ к вычислительным ресурсам, парольная политика

• Ограничение физического доступа к данным платежных карт

Реализация мер по строгому контролю доступа

• Отслеживание и контроль любого доступа к сетевым ресурсам и данным платежных карт

• Выполнение регулярного тестирования систем и процессов обеспечения безопасности

Регулярный мониторинг и тестирование сетей

• Поддержка и актуализация политик информационной безопасности, регламентирующих деятельность сотрудников и контрагентов

Поддержание политики информационной безопасности

Область проверки стандарта

Авторизация, клиринг/сеттлмент

Мониторинг мошеннических

транзакций, разрешение диспутов

Поддержка клиентов (call-центр)

Аналитика и статистика по транзакциям

Основные изменения 1.2 → 2.0

• Новых глобальных требований не добавилось• Уточнен ряд требований, детализация и

упрощение восприятия процедур• Изменились требования к процедуре

определения области оценки (scoping)• Усложнение требований 6.2, 6.5.6, 11.2• Вступают в силу с 1 января 2011 года,

возможно проведение аудита по версии 1.2 конца 2011 года

Разработка и контроль применения

QSA ASV

PCI SSC МПС

Ответственность PCI SSC QSA ASV

PCI SSC МПС

• Разработка и публикация стандартов PCI• Определение требований к QSA, PA-QSA и

ASV• Аккредитация компаний и публикация

списков QSA, PA-QSA и ASV• Обучение и сертификация сотрудников QSA,

PA-QSA• Контроль качества работ проводимых QSA,

PA-QSA и ASV

Ответственность QSA QSA ASV

PCI SSC МПС

• Проведение аудитов в соответствии с утвержденными процедурами

• Обеспечение поддержки и консультации по выполнению требований до полного соответствия

• Интерпретация требований стандарта и адекватности компенсационных мер

• Предоставление отчетности в платежные системы и PCI SSC

Ответственность МПС QSA ASV

PCI SSC МПС

• Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC

• Определение способов подтверждения соответствия PCI DSS

• Определения границ области проверки соответствия

• Штрафы за невыполнение требований

Путь к соответствию

Область применения GAP-анализ Построение плана Доработка

документов

Технические мерыОрганизационные меры

Внешнее сканированиеПен-тест

Аудит Поддержка соответствия

Область применения

GAP-анализ Построение плана

Доработка документов

Технические меры

Организационные меры

Внешнее сканировани

еПен-тест Аудит Поддержка

соответствия

• Реестр хранения данных карт (матрица данных)

• Ресурсы, участвующие в передаче, обработке, хранении данных карт

• Логическое и физическое размещение ресурсов

• Dataflow• Наличие и механизмы сегментации и

экранирования• Использование беспроводных технологий

Область применения

GAP-анализ

Построение плана







• Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем

• Выявляются несоответствия стандарту• По результатам — Action plan– Согласованы решения и компенсационные

меры– Выбраны технические средства– Одна работа – один ответственный– Приоритет работ с учетом рисков ИБ

Область применения GAP-анализ Построение плана




Внешнее сканирование Пен-тест Аудит Поддержка


• Иерархия документов: от политики до процедур и инструкций

• Не разработка «в стол», а разработка и документирование процессов

• Определение порядка изменения документов







• Использование встроенных защитных механизмов

• Настройка существующих внешних средств защиты

• Внедрение программно-технических средств:– «Необходимо» или «полезно»– Перекрывание защитных механизмов– Простота эксплуатации– Возможность масштабирования








• Контролируемость выбранного решения

• Простота исполнения процедур• Наличие «обратной связи» процесса• Совершенствование и доработка

процедур/регламентов, корректировка мер

Область применения GAP-анализ Построение

планаДоработка

документовТехнически

е меры


Внешнее сканирование Пен-тест Аудит

Поддержка соответстви

я

• Проводится после внедрения основных мер

• Внешнее сканирование проводит PCI ASV

• Тестирование защищенности выявляет основные недоработки в реализации мер или зоне их охвата

• Повторение при отрицательном результате







• Процедуры аудита определены PCI SSC

• Область аудита может быть меньше чем PCI DSS Scope

• Аудит проводится с применением «выборки» ресурсов, помещений, людей

• Является «снимком» состояния на момент проведения аудита





Внешнее сканирование Пен-тест Аудит

Поддержка соответствия

• PCI Compliance не «вечный двигатель», безопасность это процесс

• Контрольные процедуры:– Заложенные стандартом (определены

периодичность и методы контроля)– Внутренние

• Изменение инфраструктуры и угроз ИБ

Сопутствующие стандарты

PCI PEDПроизводители оборудования

PCI PA-DSS

Разработчики ПО

PCI DSSМерчанты и процессоры

Payment Application DSS

• Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента

• Необходима сертификация:– POS терминалы, банкоматы, – киоски для оплаты,– системы процессинга и пр.

• Сертификация не нужна– Приложения собственной разработки для или приложения

на заказ– Отдельно стоящие POS терминалы– СУБД– Операционные системы– Web серверы

PIN Entry Devices

• Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PIN

• Программа тестирования и утверждения устройств отражает:– требования безопасности к устройствам;– методология тестирования;– процесс сертификации и утверждения.

Бабенко Алексей старший аудитор

[email protected]+7 (495) 980-23-45 доп.458 www.infosec.ru

Вопросы

Technology

PCI DSS: введение, состав и достижение