Управление соответствием pci dss - Секция 2 - Внедрение...
DESCRIPTION
Международный и российский опыт внедрения PCI DSS. Типовой проект по внедрению PCI DSS. Варианты аутсорсинга и взаимодействие с консультантом. Выбор метода подтверждения соответствия.TRANSCRIPT
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Секция 2Внедрение стандарта PCI DSS
2-2 Внедрение стандарта PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP).
В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем.
Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов.
Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение.
На момент 2012 года все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS.
2-3 Уровень проникновения PCI DSS в США*
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Категория Количество Доля транзакций Visa Доля подтвердивших соответствие PCI DSS
Мерчанты 1 уровня 404 50% 98%
Мерчанты 2 уровня 1 066 13% 91%
Мерчанты 3 уровня 3 149 5% 58%
Мерчанты 4 уровня ~ 5 000 000 32% средний**
Процессинги VNP 60 100% 98%
Иные поставщики услуг 1 367 не применимо 93%
* - по данным Visa USA от 31 декабря 2011 года.
** - доля подтвердивших соответствие PCI DSS среди ТСП 4 уровня, использующих только выделенные эквайером POS-терминалы, – средний, а среди ТСП 4 уровня, использующих платежные приложения – низкий.
2-4 Уровень проникновения PCI DSS в России и СНГ*
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Категория Подтвердили соответствие PCI DSS на 24 марта 2013 года
Динамика с 7 марта 2012 года
Мерчанты 1 уровня н/д** н/д**
Мерчанты 2 уровня н/д** н/д**
Мерчанты 3 уровня н/д** н/д**
Мерчанты 4 уровня н/д** н/д**
Банки (принципалы + аффилированные) 44 + 57%
Иные поставщики услуг 31 + 41%
* - по данным из пресс-релизов о завершенных проектах, опубликованных в открытых источниках на 24 марта 2013 года.
** - мерчанты заполняют SAQ в рамках взаимодействия с эквайером и не публикуют пресс-релиз.
2-5 Мотивация внедрения PCI DSS в мировой практике
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Отношения «Кнут» «Пряник»
МПС – Эквайер
•требование об увеличении размера страхового депозита;
•штраф от 25 до 200 тыс. долларов;
•материальная ответственность за инциденты у подключенных ТСП и поставщиков услуг.
•предоставление возможностей для расширения бизнеса, например лицензии на Internet-эквайринг или разрешения на подключение банка-аффилиата.
Эквайер – Мерчант
•расторжение или не заключение договора эквайринга.
•снижение размера комиссии за проведение транзакции.
Эквайер – Поставщик услуг
•расторжение или не заключение договора на приобретение услуг.
•совместные проекты по обслуживанию мерчантов.
Мерчант – Поставщик услуг
иПоставщик услуг – Поставщик услуг
•расторжение или не заключение договора на приобретение услуг.
2-6 Мотивация внедрения PCI DSS в российской практике
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Отношения «Кнут» «Пряник»
МПС – Эквайер
•требование об увеличении размера страхового депозита;
•штраф от 25 до 200 тыс. долларов;
•материальная ответственность за инциденты у подключенных ТСП и поставщиков услуг.
•предоставление возможностей для расширения бизнеса, например лицензии на Internet-эквайринг или разрешения на подключение банка-аффилиата.
Эквайер – Мерчант
•расторжение или не заключение договора эквайринга.
•снижение размера комиссии за проведение транзакции.
Эквайер – Поставщик услуг
•расторжение или не заключение договора на приобретение услуг.
•совместные проекты по обслуживанию мерчантов.
Мерчант – Поставщик услуг
иПоставщик услуг – Поставщик услуг
•расторжение или не заключение договора на приобретение услуг.
2-7 Роль и место процесса внедрения PCI DSS в организации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
В компании без выделенных ИТ и ИБ подразделений(малый магазин) В компании с выделенным ИТ-подразделением
(средний магазин, платежный шлюз)
В компании с выделенными ИТ- и ИБ-подразделениями(крупный магазин, крупный поставщик услуг, банк)
В процесс внедрения стандарта PCI DSS в
компании вовлекаются различные
функциональные отделы. Основная работа
ложится на плечи ИТ и ИБ-подразделений.
2-8 Процесс внедрения PCI DSS в общем виде
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
2-9 Внедрение PCI DSS собственными силами
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
* - в случае применимости теста на проникновение необходимо иметь собственное независимое выделенное подразделение или сотрудника, обладающего компетенцией и опытом.
** - невозможно самостоятельно подтвердить соответствие в случае, когда требуется QSA-аудит.
*** - внутренний ISA аудитор должен быть обучен и сертифицирован Советом PCI SSC.
2-10 Внедрение PCI DSS с минимальным уровнем аутсорсинга
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
* - тест на проникновение может быть выполнен квалифицированным персоналом консультанта.
** - лист самооценки SAQ может быть заполнен консультантом, что сокращает затраты времени и снижает вероятность ошибки при заполнении.
*** - QSA-аудит может выполняться только консультантом, сертифицированным Советом PCI SSC.
2-11 Внедрение PCI DSS со средним уровнем аутсорсинга
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
* - предварительный аудит выполняется QSA-аудитором консультанта, что сокращает затраты времени и снижает вероятность ошибочного толкования того или иного требования стандарта.
** - консультант выдает рекомендации, ИТ- и ИБ-подразделения организации их внедряют.
*** - консультант может взять на себя часть регулярных процедур, например ASV-сканирование.
2-12 Внедрение PCI DSS с максимальным уровнем аутсорсинга
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
* - консультант-интегратор разрабатывает и внедряет необходимые технические и организационные решения.
** - консультант-интегратор выполняет регулярные процедуры и ведет необходимые записи.
2-13 Рекомендации по выбору схемы внедрения PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Структура организации Типичные представители
Аутсорсинг
нет мин сред макс
Без выделенных ИТ- и ИБ-подразделений
•Мерчант 4 уровня
С выделенным ИТ-подразделением
•Мерчант 3 уровня•Мерчант 2 уровня•Поставщик услуг 2 уровня
С выделенными ИТ- и ИБ-подразделениями
•Мерчант 1 уровня•Поставщик услуг 1 уровня•Банк-принципал•Банк-аффилиат
- рекомендуется; - возможно, при определенных условиях; - не рекомендуется.
2-14 Типовой проект по внедрению PCI DSS (средний аутсорсинг)
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
2-15 Этапы проекта по внедрению PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Оценка соответствия PCI DSS – экспертная оценка информационной инфраструктуры с целью выявления несоответствий требованиям PCI DSS. Оценка выполняется путем выполнения аудита, включающего в себя интервью с сотрудниками организации-заказчика, изучение информационных систем и анализ внутренней нормативной документации. Неотъемлемой частью аудита является определение области применимости требований стандарта PCI DSS в информационной инфраструктуре организации-заказчика.
Разработка рекомендаций по выполнению требований PCI DSS – на основе изученной документации, проведенных интервью и осмотренной информационной инфраструктуры, а также с учетом бизнес-требований организации-заказчика разрабатываются рекомендации по выполнению требований стандарта PCI DSS. Рекомендации также включают в себя информацию о возможных способах уменьшения области применимости требований стандарта PCI DSS.
Внедрение рекомендаций в информационную инфраструктуру – внесение необходимых изменений технического и организационного характера в соответствии с разработанными рекомендациями. Включает в себя настройку оборудования и информационных систем, доработку программного обеспечения, установку обновлений, внедрение систем защиты информации, а также модернизацию бизнес-процессов и процессов управления информационной безопасностью организации.
2-16 Этапы проекта по внедрению PCI DSS (продолжение)
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Разработка документации – подготовка пакета внутренних нормативных документов (процедур, инструкций, регламентов, политик), наличие которых в организации необходимо для выполнения требований стандарта PCI DSS. Документы разрабатываются с учетом особенностей структуры, размеров и бизнес-процессов организации-заказчика.
Консультационная поддержка внедрения – экспертная консультационная поддержка сотрудников организации-заказчика в процессе выполнения ими действий по приведению информационной инфраструктуры в соответствие PCI DSS.
ASV-сканирование – автоматизированное сканирование внешнего периметра сети на наличие уязвимостей, которое выполняется при помощи сканера, предоставляемого сертифицированным поставщиком услуг сканирования (Approved Scanning Vendor, ASV).
Тест на проникновение – мероприятие по активному обследованию защищенности информационной инфраструктуры организации-заказчика, представляющее собой моделирование действий потенциального злоумышленника. Выполнение тестирования на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тестирование выполняется вручную на сетевом уровне и на прикладном уровне, при этом используются две модели нарушителя – внешний (из сети Интернет) и внутренний (из сети организации-заказчика).
2-17 Этапы проекта по внедрению PCI DSS (продолжение)
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Сертификационный QSA-аудит – выполнение сертификационного QSA-аудита сертифицированными QSA-аудиторами организации-консультанта. Выполняется согласно официальной процедуре аудита, регламентированной Советом PCI SSC. При аудите осуществляется сбор свидетельств аудита и документирование наблюдений. По результатам аудиторы подготавливают Отчет о соответствии (Report on Compliance).
Заполнение листа самооценки SAQ – выполнение мероприятий по самооценке соответствия информационной инфраструктуры организации требованиям стандарта PCI DSS. В ходе этой процедуры заполняется лист самооценки (Self Assessment Questionnaire, SAQ), разработанный Советом PCI SSC. Форма листа SAQ бывает нескольких типов (A, B, C, C-VT, D), выбор типа листа зависит от специфики обработки карточных данных в организации.
Поддержка соответствия PCI DSS – выполнение регулярных процедур, обеспечивающих защиту карточных данных в соответствии с требованиями стандарта PCI DSS. Процедуры включают в себя ASV-сканирование периметра сети, внутреннее сканирование безопасности, учет и контроль изменений в информационной инфраструктуре, контроль доступа к данным и другие регулярные действия, связанные с работой системы менеджмента информационной безопасности.
2-18 Применимость вариантов подтверждения соответствия PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Вариант Применимость Проверочных процедур
SAQ AМерчанты, выполняющие card-not-present транзакции, отдавшие все функции по электронной обработке, хранению и передаче карточных данных поставщику услуг, подтвердившему соответствие PCI DSS.
13
SAQ BМерчанты, использующие POS-терминалы, использующие телефонную линию, не передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных.
29
SAQ CМерчанты, использующие POS-терминалы или платежные приложения, передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных.
40
SAQ C-VTМерчанты, использующие через Интернет виртуальные веб-терминалы от поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных.
51
SAQ DВсе мерчанты и все поставщики услуг, кроме тех, кому согласно требованиям МПС или эквайера необходим ISA- или QSA-аудит. 288
ISA-аудитВсе мерчанты, кроме тех, кому согласно требованиям МПС или эквайера необходим QSA-аудит. 288
QSA-аудит Все мерчанты и все поставщики услуг. 288