13
Влияние стандартов серии PCI на бизнес-процессы в различных отраслях Эмм Максим, MBA, QSA, CISA, CISSP Директор Департамента Аудита

1 vliyanie pci dss na business-processy

Embed Size (px)

Citation preview

Page 1: 1 vliyanie pci dss na business-processy

Влияние стандартов

серии PCI на

бизнес-процессы в

различных

отраслях

Эмм Максим, MBA, QSA, CISA, CISSP

Директор Департамента Аудита

Page 2: 1 vliyanie pci dss na business-processy
Page 3: 1 vliyanie pci dss na business-processy

PCI DSS: Что надо было сделать?

• Что надо сделать было всем:– Определить PCI Scope

– Выполнить все требования PCI DSS

– Подтверждать соответствие PCI DSS в соответствии с правилами платежных систем ежегодно

• Дополнительно:– Банкам отчитываться в платежные системы по

соответствию PCI своих мерчантов

– Мерчантам использовать только сертифицированные по PA DSS решения

Page 4: 1 vliyanie pci dss na business-processy

“Письма счастья” от VISA

• November 2008– IML 28/08: Visa International PCI DSS Compliance Validation

Framework

• April 2009– IML 05/09: Visa Inc. PCI DSS framework for VisaNet (Direct Connect)

Processors

• May 2009– IML 13/09: Risk based approach to PCI DSS Validation– IML 11/09: Global PCI DSS Service Provider List and Compliance

• June 2009– IML 17/09: Reminder of Upcoming PCI DSS Validation Compliance

Framework Deadlines– Payment Application Security Mandates

Page 5: 1 vliyanie pci dss na business-processy

Банки: Сроки от VISA

• Ноябрь 2008– Классифицировать своих мерчантов по уровням

• 30 сентября 2009 – Убедиться что мерчанты 1 и 2 уровня не сохраняют критичных данных

после авторизации и послать Merchant Compliance Validation Report

• 1 июля 2010– Вновь подключаемые мерчанты должны использовать PA DSS

сертифицированное программное обеспечение или соответствовать PCI DSS

• 30 сентября 2010– Обеспечить полное соответствие PCI DSS провести сертификационный

аудит

• 1 июля 2012– Все подключенные мерчанты должны использовать PA DSS

сертифицированное программное обеспечение

Page 6: 1 vliyanie pci dss na business-processy

За что обещают штрафовать Банки?

• Ежемесячно:

– За мерчантов 1 и 2 уровня не подтвердивших соответствие PCI DSS

– За несоответствие PCI DSS

• По факту:

– Нарушение требований программы AIS

– Нарушение требований по отчетности

Page 7: 1 vliyanie pci dss na business-processy

Банки – влияние на бизнес

• Дополнительные расходы на:– Новое программное обеспечение– Персонал– Средства защиты– Услуги аудиторов и консультантов– Сетевое и серверное оборудование

• Изменение бизнес-процессов:– Выпуска и обслуживания карт– Мониторинга банкоматов

• Изменение ИТ и ИБ сервисов:– Управление изменениями– Управление доступом– …

Page 8: 1 vliyanie pci dss na business-processy

VISA: МерчантыУровен

ьКритерий Требования

1 Любое торгово-сервисное предприятие, обрабатывающее более 6 млн. транзакций по Visa в год или интернациональные ТСП, которым был присвоен 1 уровень Visa в другом регионе или стране

- Ежегодный аудит на соответствие требованиям PCI DSS- Ежеквартальное сканирование сети- Наличие аттестата соответствия

2 ТСП, обрабатывающие от 1 млн. до 6 млн. транзакций по Visa в год (по всем платежным каналам)

- Ежегодное самостоятельное заполнение опросного листа (SAQ)- Ежеквартальное сканирование сети- Наличие аттестата соответствия

3 ТСП, обрабатывающие от 20 000 до 1 млн. транзакций электронной торговли по Visa в год

– Ежегодное заполнение SAQ– Ежеквартальное сканирование сети– Наличие аттестата соответствия

4 ТСП, обрабатывающие менее 20 000 транзакций электронной торговли по Visa в год, или все другие ТСП, обрабатывающие до 1 млн. транзакций в год

– Рекомендуется ежегодное заполнение SAQ– Ежеквартальное сканирование сети, если применимо– Проверка соответствия требованиям, выполняемая эквайером

http://www.infosec.ru/services/audit/audit/
http://www.infosec.ru/services/audit/audit/
http://www.infosec.ru/services/audit/audit/scanning_procedures/
http://www.infosec.ru/services/audit/audit/scanning_procedures/
http://www.infosec.ru/services/audit/audit/scanning_procedures/
Page 9: 1 vliyanie pci dss na business-processy

Мерчанты: Сроки от VISA

• 30 сентября 2009 – Мерчантам 1 и 2 уровня перестать сохранять критичные

данные после авторизации

• 1 июля 2010– Для новых подключений необходимо использовать PA DSS

сертифицированное программное обеспечение или соответствовать PCI DSS

• 30 сентября 2010– Мерчантам 1 уровня обеспечить полное соответствие PCI

DSS и провести сертификационный аудит

• 1 июля 2012– Заменить кассовые решения на PA DSS сертифицированные

Page 10: 1 vliyanie pci dss na business-processy

Мерчанты – влияние на бизнес

• Дополнительные расходы на:– Новое программное обеспечение

– Персонал

– Средства защиты

– Услуги аудиторов и консультантов

– Сетевое и серверное оборудование

• Изменение ИТ и ИБ сервисов:– Управление изменениями

– Управление доступом

– …

Page 11: 1 vliyanie pci dss na business-processy

VISA: Сервис провайдеры

Уровень Критерий Требования

1 Все процессоры, подключенные к VisaNet, или любой поставщик услуг, обрабатывающий более 300 000 транзакций в год

– Ежегодный аудит на соответствие требованиям PCI DSS– Ежеквартальное сканирование сети– Наличие аттестата соответствия

2 Любой поставщик услуг, обрабатывающий менее 300 000 транзакций по Visa в год

– Ежегодное самостоятельное заполнение опросного листа– Ежеквартальное сканирование сети– Наличие аттестата соответствия

http://www.infosec.ru/services/audit/audit/
http://www.infosec.ru/services/audit/audit/
http://www.infosec.ru/services/audit/audit/scanning_procedures/
http://www.infosec.ru/services/audit/audit/scanning_procedures/
Page 12: 1 vliyanie pci dss na business-processy

Сервис провайдеры: Сроки от VISA

• 30 сентября 2009

– перестать сохранять критичные данные после авторизации

• 30 сентября 2010

– обеспечить полное соответствие PCI DSS и провести сертификационный аудит

Page 13: 1 vliyanie pci dss na business-processy

(495) 980 23 45

[email protected]

ВОПРОСЫ ?

“PCI Compliance: Информационная безопасность в индустрии платежных карт”

Семинар компании «Информзащита»г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky

Эмм Максим, MBA, QSA, CISA, CISSP

Директор Департамента Аудита


Vliyanie solnechnoj aktivnosti_na_proces

Vliyanie solnechnoj aktivnosti_na_proces

Education
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS

Documents
Vliyanie Cheloveka

Vliyanie Cheloveka

Documents
Refrat DSS

Refrat DSS

Documents
SISTEMAS DSS

SISTEMAS DSS

Documents
DSS arqfoto

DSS arqfoto

Art & Photos
Irodov_t4 Volnovye processy Osnovnye zakony_1999

Irodov_t4 Volnovye processy Osnovnye zakony_1999

Documents
Dss Manajerial

Dss Manajerial

Documents
Fonem processy

Fonem processy

Education
Examen Dss

Examen Dss

Documents
DSS Lengkap

DSS Lengkap

Documents
Contoh dss

Contoh dss

Documents
Material DSS

Material DSS

Documents
DSS Teorija

DSS Teorija

Documents
Immunopatologicheskie processy allergiya

Immunopatologicheskie processy allergiya

Health & Medicine
00206BBA777B180209095015 - DSS

00206BBA777B180209095015 - DSS

Documents
DSS Prezentacija

DSS Prezentacija

Documents
DSS CaseStudy

DSS CaseStudy

Documents
Referat Dss

Referat Dss

Documents
DSS Magazin

DSS Magazin

Documents
PCIPCI-DSS DSS –– Era de cambiosEra de cambios · 2016. 7. 19. · PCIPCI-DSS DSS PCI-DSS –Era de cambios Junio de 2005: Card Systems tenía una red vulnerable y guardaba datos

PCIPCI-DSS DSS –– Era de cambiosEra de cambios · 2016. 7. 19. · PCIPCI-DSS DSS PCI-DSS –Era de cambios Junio de 2005: Card Systems tenía una red vulnerable y guardaba datos

Documents
Computerized DSS

Computerized DSS

Documents
Dss Corregido

Dss Corregido

Documents
Lapsus Dss

Lapsus Dss

Documents
PRESENTACION DSS

PRESENTACION DSS

Education
Presus Dss

Presus Dss

Documents
Laporan dss

Laporan dss

Documents
DSS KITA.ppt

DSS KITA.ppt

Documents
(DSS) DALAM

(DSS) DALAM

Documents
Aplikasi Dss

Aplikasi Dss

Documents