View
264
Download
2
Category
Preview:
DESCRIPTION
Оптимизация потоков данных о держателях карт. Сегментация вычислительной сети. Применение токенизации. Снижение зависимости от смежных систем.
Citation preview
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Секция 4Сужение области применимости стандарта PCI DSS
4-2 Сужение области применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Уменьшение количества компонентов информационной инфраструктуры организации, на которые распространяются требования стандарта PCI DSS, оказывает благотворное влияние:
•повышает уровень защищенности данных о держателях карт вследствие уменьшения количества потенциально уязвимых бизнес-процессов, приложений, хранилищ данных, компьютеров и сетевых устройств;
•снижает затраты на обеспечение безопасности данных о держателях карт и выполнение требований стандарта PCI DSS.
4-3 Методы сужения области применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Уменьшить размер области применимости требований PCI DSS можно следующими способами:
•избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет непосредственной необходимости с точки зрения бизнеса;
•шифровать хранимые и передаваемые данные о держателях карт, исходя из того, что отсутствие актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие доступа к самим данным;
•отделить смежные информационные системы, не участвующие в обработке, хранении и передаче данных о держателях карт, корректно настроенными межсетевыми экранами;
•применить токенизацию – заменить данные о держателях карт при обработке их уникальными идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив корреляцию между исходными данными и используемым токеном.
4-4 Область применимости PCI DSS в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
4-5 Потоки ДДК в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- потоки ДДК эквайринга - потоки ДДК эмиссии
4-6 Шаг 1 - избежать обработки, хранения и передачи ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Согласно бизнес-требованиям
рассматриваемого банка, приложение Интернет-
банка может оперировать маскированными значениями PAN
Можно организовать
терминальный доступ к ДДК
(тонкий клиент)
4-7 Шаг 1 - избежать обработки, хранения и передачи ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- потоки ДДК эквайринга - потоки ДДК эмиссии - не ДДК
4-8 Шаг 2 - шифровать передаваемые ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Можно зашифровать канал связи для тонкого
клиента (например, использовать VPN)
- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде
4-9 Шаг 2 - шифровать передаваемые ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде
4-10 Результат выполнения шагов 1 и 2
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
4-11 Шаг 3 - отделить смежные информационные системы
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Теперь ничто не мешает отделить сегмент 192.168.110.x
межсетевым экраном на Маршрутизаторе 2
Приложение и БД АБС можно выделить в отдельный
сегмент сети
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
4-12 Результат выполнения шага 3
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга - обработка ДДК эмиссии
4-13 Результат сужения области применимости PCI DSS в банке
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга - обработка ДДК эмиссии
4-14 Область применимости PCI DSS в розничном магазине
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
4-15 Потоки ДДК в розничном магазине
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
4-16 Применение токенизации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
Согласно бизнес-требованиям
рассматриваемого магазина, ERP-система
может оперировать уникальными
идентификаторами клиентов вместо PAN
4-17 Применение токенизации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
4-18 Применение токенизации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга - смежные системы
4-19 Применение сегментации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
ERP-систему и рабочую станцию можно
выделить в отдельный сегмент сети
- обработка ДДК эквайринга - смежные системы
4-20 Применение сегментации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга
4-21 Результат сужения области применимости PCI DSS в магазине
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com
- обработка ДДК эквайринга
Recommended