Управление соответствием PCI DSS - Секция 4 - Сужение области применимости

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

Секция 4Сужение области применимости стандарта PCI DSS

4-2 Сужение области применимости PCI DSS


Уменьшение количества компонентов информационной инфраструктуры организации, на которые распространяются требования стандарта PCI DSS, оказывает благотворное влияние:

•повышает уровень защищенности данных о держателях карт вследствие уменьшения количества потенциально уязвимых бизнес-процессов, приложений, хранилищ данных, компьютеров и сетевых устройств;

•снижает затраты на обеспечение безопасности данных о держателях карт и выполнение требований стандарта PCI DSS.

4-3 Методы сужения области применимости PCI DSS


Уменьшить размер области применимости требований PCI DSS можно следующими способами:

•избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет непосредственной необходимости с точки зрения бизнеса;

•шифровать хранимые и передаваемые данные о держателях карт, исходя из того, что отсутствие актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие доступа к самим данным;

•отделить смежные информационные системы, не участвующие в обработке, хранении и передаче данных о держателях карт, корректно настроенными межсетевыми экранами;

•применить токенизацию – заменить данные о держателях карт при обработке их уникальными идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив корреляцию между исходными данными и используемым токеном.

4-4 Область применимости PCI DSS в инфраструктуре банка


- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы

4-5 Потоки ДДК в инфраструктуре банка


- потоки ДДК эквайринга - потоки ДДК эмиссии

4-6 Шаг 1 - избежать обработки, хранения и передачи ДДК


Согласно бизнес-требованиям

рассматриваемого банка, приложение Интернет-

банка может оперировать маскированными значениями PAN

Можно организовать

терминальный доступ к ДДК

(тонкий клиент)

4-7 Шаг 1 - избежать обработки, хранения и передачи ДДК


- потоки ДДК эквайринга - потоки ДДК эмиссии - не ДДК

4-8 Шаг 2 - шифровать передаваемые ДДК


Можно зашифровать канал связи для тонкого

клиента (например, использовать VPN)

- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде

4-9 Шаг 2 - шифровать передаваемые ДДК


- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде

4-10 Результат выполнения шагов 1 и 2



4-11 Шаг 3 - отделить смежные информационные системы


Теперь ничто не мешает отделить сегмент 192.168.110.x

межсетевым экраном на Маршрутизаторе 2

Приложение и БД АБС можно выделить в отдельный

сегмент сети


4-12 Результат выполнения шага 3


- обработка ДДК эквайринга - обработка ДДК эмиссии

4-13 Результат сужения области применимости PCI DSS в банке


- обработка ДДК эквайринга - обработка ДДК эмиссии

4-14 Область применимости PCI DSS в розничном магазине


4-15 Потоки ДДК в розничном магазине


4-16 Применение токенизации


Согласно бизнес-требованиям

рассматриваемого магазина, ERP-система

может оперировать уникальными

идентификаторами клиентов вместо PAN





- обработка ДДК эквайринга - смежные системы

4-19 Применение сегментации


ERP-систему и рабочую станцию можно

выделить в отдельный сегмент сети

- обработка ДДК эквайринга - смежные системы

4-20 Применение сегментации


- обработка ДДК эквайринга

4-21 Результат сужения области применимости PCI DSS в магазине


- обработка ДДК эквайринга

Technology

Управление соответствием PCI DSS - Секция 4 - Сужение области применимости