Upload
informzaschita
View
651
Download
0
Embed Size (px)
Citation preview
Влияние стандартов
серии PCI на
бизнес-процессы в
различных
отраслях
Эмм Максим, MBA, QSA, CISA, CISSP
Директор Департамента Аудита
PCI DSS: Что надо было сделать?
• Что надо сделать было всем:– Определить PCI Scope
– Выполнить все требования PCI DSS
– Подтверждать соответствие PCI DSS в соответствии с правилами платежных систем ежегодно
• Дополнительно:– Банкам отчитываться в платежные системы по
соответствию PCI своих мерчантов
– Мерчантам использовать только сертифицированные по PA DSS решения
“Письма счастья” от VISA
• November 2008– IML 28/08: Visa International PCI DSS Compliance Validation
Framework
• April 2009– IML 05/09: Visa Inc. PCI DSS framework for VisaNet (Direct Connect)
Processors
• May 2009– IML 13/09: Risk based approach to PCI DSS Validation– IML 11/09: Global PCI DSS Service Provider List and Compliance
• June 2009– IML 17/09: Reminder of Upcoming PCI DSS Validation Compliance
Framework Deadlines– Payment Application Security Mandates
Банки: Сроки от VISA
• Ноябрь 2008– Классифицировать своих мерчантов по уровням
• 30 сентября 2009 – Убедиться что мерчанты 1 и 2 уровня не сохраняют критичных данных
после авторизации и послать Merchant Compliance Validation Report
• 1 июля 2010– Вновь подключаемые мерчанты должны использовать PA DSS
сертифицированное программное обеспечение или соответствовать PCI DSS
• 30 сентября 2010– Обеспечить полное соответствие PCI DSS провести сертификационный
аудит
• 1 июля 2012– Все подключенные мерчанты должны использовать PA DSS
сертифицированное программное обеспечение
За что обещают штрафовать Банки?
• Ежемесячно:
– За мерчантов 1 и 2 уровня не подтвердивших соответствие PCI DSS
– За несоответствие PCI DSS
• По факту:
– Нарушение требований программы AIS
– Нарушение требований по отчетности
Банки – влияние на бизнес
• Дополнительные расходы на:– Новое программное обеспечение– Персонал– Средства защиты– Услуги аудиторов и консультантов– Сетевое и серверное оборудование
• Изменение бизнес-процессов:– Выпуска и обслуживания карт– Мониторинга банкоматов
• Изменение ИТ и ИБ сервисов:– Управление изменениями– Управление доступом– …
VISA: МерчантыУровен
ьКритерий Требования
1 Любое торгово-сервисное предприятие, обрабатывающее более 6 млн. транзакций по Visa в год или интернациональные ТСП, которым был присвоен 1 уровень Visa в другом регионе или стране
- Ежегодный аудит на соответствие требованиям PCI DSS- Ежеквартальное сканирование сети- Наличие аттестата соответствия
2 ТСП, обрабатывающие от 1 млн. до 6 млн. транзакций по Visa в год (по всем платежным каналам)
- Ежегодное самостоятельное заполнение опросного листа (SAQ)- Ежеквартальное сканирование сети- Наличие аттестата соответствия
3 ТСП, обрабатывающие от 20 000 до 1 млн. транзакций электронной торговли по Visa в год
– Ежегодное заполнение SAQ– Ежеквартальное сканирование сети– Наличие аттестата соответствия
4 ТСП, обрабатывающие менее 20 000 транзакций электронной торговли по Visa в год, или все другие ТСП, обрабатывающие до 1 млн. транзакций в год
– Рекомендуется ежегодное заполнение SAQ– Ежеквартальное сканирование сети, если применимо– Проверка соответствия требованиям, выполняемая эквайером
Мерчанты: Сроки от VISA
• 30 сентября 2009 – Мерчантам 1 и 2 уровня перестать сохранять критичные
данные после авторизации
• 1 июля 2010– Для новых подключений необходимо использовать PA DSS
сертифицированное программное обеспечение или соответствовать PCI DSS
• 30 сентября 2010– Мерчантам 1 уровня обеспечить полное соответствие PCI
DSS и провести сертификационный аудит
• 1 июля 2012– Заменить кассовые решения на PA DSS сертифицированные
Мерчанты – влияние на бизнес
• Дополнительные расходы на:– Новое программное обеспечение
– Персонал
– Средства защиты
– Услуги аудиторов и консультантов
– Сетевое и серверное оборудование
• Изменение ИТ и ИБ сервисов:– Управление изменениями
– Управление доступом
– …
VISA: Сервис провайдеры
Уровень Критерий Требования
1 Все процессоры, подключенные к VisaNet, или любой поставщик услуг, обрабатывающий более 300 000 транзакций в год
– Ежегодный аудит на соответствие требованиям PCI DSS– Ежеквартальное сканирование сети– Наличие аттестата соответствия
2 Любой поставщик услуг, обрабатывающий менее 300 000 транзакций по Visa в год
– Ежегодное самостоятельное заполнение опросного листа– Ежеквартальное сканирование сети– Наличие аттестата соответствия
Сервис провайдеры: Сроки от VISA
• 30 сентября 2009
– перестать сохранять критичные данные после авторизации
• 30 сентября 2010
– обеспечить полное соответствие PCI DSS и провести сертификационный аудит
(495) 980 23 45
ВОПРОСЫ ?
“PCI Compliance: Информационная безопасность в индустрии платежных карт”
Семинар компании «Информзащита»г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky
Эмм Максим, MBA, QSA, CISA, CISSP
Директор Департамента Аудита