Управление соответствием pci dss - Секция 2 - Внедрение...

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

Секция 2Внедрение стандарта PCI DSS

2-2 Внедрение стандарта PCI DSS


Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP).

В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем.

Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов.

Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение.

На момент 2012 года все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS.

2-3 Уровень проникновения PCI DSS в США*


Категория Количество Доля транзакций Visa Доля подтвердивших соответствие PCI DSS

Мерчанты 1 уровня 404 50% 98%

Мерчанты 2 уровня 1 066 13% 91%

Мерчанты 3 уровня 3 149 5% 58%

Мерчанты 4 уровня ~ 5 000 000 32% средний**

Процессинги VNP 60 100% 98%

Иные поставщики услуг 1 367 не применимо 93%

* - по данным Visa USA от 31 декабря 2011 года.

** - доля подтвердивших соответствие PCI DSS среди ТСП 4 уровня, использующих только выделенные эквайером POS-терминалы, – средний, а среди ТСП 4 уровня, использующих платежные приложения – низкий.

2-4 Уровень проникновения PCI DSS в России и СНГ*


Категория Подтвердили соответствие PCI DSS на 24 марта 2013 года

Динамика с 7 марта 2012 года

Мерчанты 1 уровня н/д** н/д**




Банки (принципалы + аффилированные) 44 + 57%

Иные поставщики услуг 31 + 41%

* - по данным из пресс-релизов о завершенных проектах, опубликованных в открытых источниках на 24 марта 2013 года.

** - мерчанты заполняют SAQ в рамках взаимодействия с эквайером и не публикуют пресс-релиз.

2-5 Мотивация внедрения PCI DSS в мировой практике


Отношения «Кнут» «Пряник»

МПС – Эквайер

•требование об увеличении размера страхового депозита;

•штраф от 25 до 200 тыс. долларов;

•материальная ответственность за инциденты у подключенных ТСП и поставщиков услуг.

•предоставление возможностей для расширения бизнеса, например лицензии на Internet-эквайринг или разрешения на подключение банка-аффилиата.

Эквайер – Мерчант

•расторжение или не заключение договора эквайринга.

•снижение размера комиссии за проведение транзакции.

Эквайер – Поставщик услуг

•расторжение или не заключение договора на приобретение услуг.

•совместные проекты по обслуживанию мерчантов.

Мерчант – Поставщик услуг

иПоставщик услуг – Поставщик услуг


2-6 Мотивация внедрения PCI DSS в российской практике


Отношения «Кнут» «Пряник»

МПС – Эквайер

•требование об увеличении размера страхового депозита;

•штраф от 25 до 200 тыс. долларов;

•материальная ответственность за инциденты у подключенных ТСП и поставщиков услуг.

•предоставление возможностей для расширения бизнеса, например лицензии на Internet-эквайринг или разрешения на подключение банка-аффилиата.

Эквайер – Мерчант

•расторжение или не заключение договора эквайринга.

•снижение размера комиссии за проведение транзакции.

Эквайер – Поставщик услуг


•совместные проекты по обслуживанию мерчантов.

Мерчант – Поставщик услуг

иПоставщик услуг – Поставщик услуг


2-7 Роль и место процесса внедрения PCI DSS в организации


В компании без выделенных ИТ и ИБ подразделений(малый магазин) В компании с выделенным ИТ-подразделением

(средний магазин, платежный шлюз)

В компании с выделенными ИТ- и ИБ-подразделениями(крупный магазин, крупный поставщик услуг, банк)

В процесс внедрения стандарта PCI DSS в

компании вовлекаются различные

функциональные отделы. Основная работа

ложится на плечи ИТ и ИБ-подразделений.

2-8 Процесс внедрения PCI DSS в общем виде


2-9 Внедрение PCI DSS собственными силами


* - в случае применимости теста на проникновение необходимо иметь собственное независимое выделенное подразделение или сотрудника, обладающего компетенцией и опытом.

** - невозможно самостоятельно подтвердить соответствие в случае, когда требуется QSA-аудит.

*** - внутренний ISA аудитор должен быть обучен и сертифицирован Советом PCI SSC.

2-10 Внедрение PCI DSS с минимальным уровнем аутсорсинга


* - тест на проникновение может быть выполнен квалифицированным персоналом консультанта.

** - лист самооценки SAQ может быть заполнен консультантом, что сокращает затраты времени и снижает вероятность ошибки при заполнении.

*** - QSA-аудит может выполняться только консультантом, сертифицированным Советом PCI SSC.

2-11 Внедрение PCI DSS со средним уровнем аутсорсинга


* - предварительный аудит выполняется QSA-аудитором консультанта, что сокращает затраты времени и снижает вероятность ошибочного толкования того или иного требования стандарта.

** - консультант выдает рекомендации, ИТ- и ИБ-подразделения организации их внедряют.

*** - консультант может взять на себя часть регулярных процедур, например ASV-сканирование.

2-12 Внедрение PCI DSS с максимальным уровнем аутсорсинга


* - консультант-интегратор разрабатывает и внедряет необходимые технические и организационные решения.

** - консультант-интегратор выполняет регулярные процедуры и ведет необходимые записи.

2-13 Рекомендации по выбору схемы внедрения PCI DSS


Структура организации Типичные представители

Аутсорсинг

нет мин сред макс

Без выделенных ИТ- и ИБ-подразделений

•Мерчант 4 уровня

С выделенным ИТ-подразделением

•Мерчант 3 уровня•Мерчант 2 уровня•Поставщик услуг 2 уровня

С выделенными ИТ- и ИБ-подразделениями

•Мерчант 1 уровня•Поставщик услуг 1 уровня•Банк-принципал•Банк-аффилиат

- рекомендуется; - возможно, при определенных условиях; - не рекомендуется.

2-14 Типовой проект по внедрению PCI DSS (средний аутсорсинг)


2-15 Этапы проекта по внедрению PCI DSS


Оценка соответствия PCI DSS – экспертная оценка информационной инфраструктуры с целью выявления несоответствий требованиям PCI DSS. Оценка выполняется путем выполнения аудита, включающего в себя интервью с сотрудниками организации-заказчика, изучение информационных систем и анализ внутренней нормативной документации. Неотъемлемой частью аудита является определение области применимости требований стандарта PCI DSS в информационной инфраструктуре организации-заказчика.

Разработка рекомендаций по выполнению требований PCI DSS – на основе изученной документации, проведенных интервью и осмотренной информационной инфраструктуры, а также с учетом бизнес-требований организации-заказчика разрабатываются рекомендации по выполнению требований стандарта PCI DSS. Рекомендации также включают в себя информацию о возможных способах уменьшения области применимости требований стандарта PCI DSS.

Внедрение рекомендаций в информационную инфраструктуру – внесение необходимых изменений технического и организационного характера в соответствии с разработанными рекомендациями. Включает в себя настройку оборудования и информационных систем, доработку программного обеспечения, установку обновлений, внедрение систем защиты информации, а также модернизацию бизнес-процессов и процессов управления информационной безопасностью организации.

2-16 Этапы проекта по внедрению PCI DSS (продолжение)


Разработка документации – подготовка пакета внутренних нормативных документов (процедур, инструкций, регламентов, политик), наличие которых в организации необходимо для выполнения требований стандарта PCI DSS. Документы разрабатываются с учетом особенностей структуры, размеров и бизнес-процессов организации-заказчика.

Консультационная поддержка внедрения – экспертная консультационная поддержка сотрудников организации-заказчика в процессе выполнения ими действий по приведению информационной инфраструктуры в соответствие PCI DSS.

ASV-сканирование – автоматизированное сканирование внешнего периметра сети на наличие уязвимостей, которое выполняется при помощи сканера, предоставляемого сертифицированным поставщиком услуг сканирования (Approved Scanning Vendor, ASV).

Тест на проникновение – мероприятие по активному обследованию защищенности информационной инфраструктуры организации-заказчика, представляющее собой моделирование действий потенциального злоумышленника. Выполнение тестирования на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тестирование выполняется вручную на сетевом уровне и на прикладном уровне, при этом используются две модели нарушителя – внешний (из сети Интернет) и внутренний (из сети организации-заказчика).

2-17 Этапы проекта по внедрению PCI DSS (продолжение)


Сертификационный QSA-аудит – выполнение сертификационного QSA-аудита сертифицированными QSA-аудиторами организации-консультанта. Выполняется согласно официальной процедуре аудита, регламентированной Советом PCI SSC. При аудите осуществляется сбор свидетельств аудита и документирование наблюдений. По результатам аудиторы подготавливают Отчет о соответствии (Report on Compliance).

Заполнение листа самооценки SAQ – выполнение мероприятий по самооценке соответствия информационной инфраструктуры организации требованиям стандарта PCI DSS. В ходе этой процедуры заполняется лист самооценки (Self Assessment Questionnaire, SAQ), разработанный Советом PCI SSC. Форма листа SAQ бывает нескольких типов (A, B, C, C-VT, D), выбор типа листа зависит от специфики обработки карточных данных в организации.

Поддержка соответствия PCI DSS – выполнение регулярных процедур, обеспечивающих защиту карточных данных в соответствии с требованиями стандарта PCI DSS. Процедуры включают в себя ASV-сканирование периметра сети, внутреннее сканирование безопасности, учет и контроль изменений в информационной инфраструктуре, контроль доступа к данным и другие регулярные действия, связанные с работой системы менеджмента информационной безопасности.

2-18 Применимость вариантов подтверждения соответствия PCI DSS


Вариант Применимость Проверочных процедур

SAQ AМерчанты, выполняющие card-not-present транзакции, отдавшие все функции по электронной обработке, хранению и передаче карточных данных поставщику услуг, подтвердившему соответствие PCI DSS.

13

SAQ BМерчанты, использующие POS-терминалы, использующие телефонную линию, не передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных.

29

SAQ CМерчанты, использующие POS-терминалы или платежные приложения, передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных.

40

SAQ C-VTМерчанты, использующие через Интернет виртуальные веб-терминалы от поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных.

51

SAQ DВсе мерчанты и все поставщики услуг, кроме тех, кому согласно требованиям МПС или эквайера необходим ISA- или QSA-аудит. 288

ISA-аудитВсе мерчанты, кроме тех, кому согласно требованиям МПС или эквайера необходим QSA-аудит. 288

QSA-аудит Все мерчанты и все поставщики услуг. 288

Управление соответствием pci dss - Секция 2 - Внедрение...

Technology