PCI DSS
Способы подтверждения соответствия требованиям стандарта
Типы организаций
PCI DSS-хостинг
Заключение
Список источников
376.92K
Categories: financefinance lawlaw
Similar presentations:
Стандарты безопасности
Стандарты безопасности
Обеспечение безопасности при расчетах банковскими платежными картами
Обеспечение безопасности при расчетах банковскими платежными картами
Системы менеджмента безопасности пищевых продуктов в соответствии с международными стандартами
Системы менеджмента безопасности пищевых продуктов в соответствии с международными стандартами
Теоретические основы компьютерной безопасности. Лекция №9. Международный стандарт COBIT
Теоретические основы компьютерной безопасности. Лекция №9. Международный стандарт COBIT
Проблема обеспечения безопасности персональных данных граждан
Проблема обеспечения безопасности персональных данных граждан
Стандарты информационной безопасности. Лекция-4
Стандарты информационной безопасности. Лекция-4
Национальная платежная система. Защита информации в НПС
Национальная платежная система. Защита информации в НПС
Стандарты управления информационной безопасностью
Стандарты управления информационной безопасностью
Стандарты в области информационной безопасности в РФ
Стандарты в области информационной безопасности в РФ
Обеспечение безопасности персональных данных
Обеспечение безопасности персональных данных

PCI DSS. Стандарт безопасности данных индустрии платежных карт

1. PCI DSS

Выполнила: студентка группы ИБ3-3
Петрова Юлия

2.

PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) —
стандарт безопасности данных индустрии платежных карт.
Стандарт разработан международными платежными
системами Visa и MasterCard. Любая организация,
планирующая принимать и обрабатывать данные
банковских карт на своем сайте, должна соответствовать
требованиям PCI DSS.
2

3.

В первую очередь стандарт определяет требования к организациям, в
информационной инфраструктуре которых хранятся, обрабатываются или
передаются данные платёжных карт, а также к организациям, которые могут
влиять на безопасность этих данных.
Начиная с середины 2012 года все организации, вовлечённые в процесс
хранения, обработки и передачи ДПК должны соответствовать требованиям,
определяемым PCI DSS, и компании на территории Российской Федерации
не являются исключением.
3

4.

ДПК - данные платежных карт
4

5.

Для соответствия стандарту необходимо выполнение
определенных требований, вот некоторые из них:
• защита вычислительной сети,
• управление доступом к данным о держателях карт,
• конфигурация компонентов информационной инфраструктуры,
• механизмы аутентификации,
• физическая защита информационной инфраструктуры,
• защита передаваемых данных о держателях карт и так далее.
В общем, стандарт требует прохождения порядка 440
проверочных процедур.
5

6. Способы подтверждения соответствия требованиям стандарта

• Существуют различные способы подтверждения соответствия
требованиям стандарта PCI DSS, которые заключаются в проведении
внешнего аудита (QSA), внутреннего аудита (ISA) или проведении
организацией самооценки (SAQ).
• Внешний аудит QSA выполняется внешней аудиторской
организацией, сертифицированной Советом PCI SSС. В ходе проверки
аудиторы собирают свидетельства выполнения требований стандарта
и сохраняют их на период длительностью в три года.
• Внутренний аудит ISA выполняется внутренним, прошедшим
обучение и сертифицированным по программе Совета PCI SSC,
аудитором. Что касается самооценки SAQ, то она выполняется
самостоятельно путём заполнения листа самооценки. В этом случае
сбор свидетельств выполнения требований стандарта не требуется.
6

7. Типы организаций

Чтобы ответить на вопрос, в какой ситуации необходимо проводить внешний
аудит, а в какой – внутренний, и стоит ли это вообще делать, нужно взглянуть на
тип организации и оценить количество обрабатываемых транзакций в год.
Существует классификация, согласно которой выделяют два типа организаций:
торгово-сервисные предприятия и поставщики услуг.
Торгово-сервисное предприятие является
организацией, принимающей для оплаты товаров и
услуг платежные карты (магазины, рестораны,
интернет-магазины и другие).
Поставщик услуг же, в свою очередь, является
организацией, оказывающей услуги в индустрии
платежных карт, связанные с обработкой транзакций
(это дата-центры, хостинг-провайдеры,
международные платежные системы и другие).
7

8.

8

9.

9

10.

В зависимости от количества обрабатываемых в год транзакций,
торгово-сервисные предприятия и поставщики услуг могут быть
отнесены к различным уровням. Например, торгово-сервисное
предприятие обрабатывает до 1 млн транзакций в год с
применением электронной коммерции.
По классификации Visa и MasterCard организация будет относиться
к уровню 3. Следовательно, для подтверждения соответствия PCI
DSS нужно проведение ежеквартального внешнего сканирования
уязвимостей компонентов информационной инфраструктуры ASV
(Approved Scanning Vendor) и ежегодной самооценки SAQ.
10

11. PCI DSS-хостинг

Что касается поставщиков услуг, то количество сервисов, предлагаемых облачными
провайдерами, растет ежегодно. Потому для организаций, использующих
облачную инфраструктуру, становится актуальным вопрос PCI DSS-хостинга.
PCI DSS-хостинг – это услуга, обеспечивающая безопасное обращение платежных
карт для организаций, разместивших свою инфраструктуру на стороне
сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся,
обрабатываются или передаются данные платежных карт.
Выбрав такую услугу, организация автоматически закрывает значительную часть
требований стандарта PCI DSS – это означает, что провайдер берет на себя
выполнение части требований, например, физическую защиту размещаемых
северов и администрирование операционных систем.
11

12. Заключение

Как известно, аутсорсинг решает
множество задач, облегчая и упрощая
жизнь организациям. Если раньше многие
компании разворачивали
информационную инфраструктуру в
собственном серверном помещении и
выполняли все требования соответствия
стандартам самостоятельно, то сейчас
многие отдают эти задачи на откуп
сертифицированным поставщикам услуг,
тем самым повышая уровень
защищенности среды обработки
карточных данных и снижая риски
финансовых потерь от возможных
инцидентов информационной
безопасности.
Любая организация, использующая
собственный карточный процессинг, рано
или поздно сталкивается с
необходимостью сертификации по
стандарту PCI DSS. Обращение к
сертифицированным поставщикам услуг
помогает существенно упростить процесс
сертификации для торгово-сервисных
предприятий и обеспечить защиту данных
платежных карт на должном уровне
12

13. Список источников

1. Сертификация PCI DSS (ИТ-Град)
https://habr.com/company/it-grad/blog/279227/
2. PCI DSS – как и зачем получать сертификат соответствия (Pay
Online)
https://geektimes.com/company/payonline/blog/130652/
13

14.

Спасибо за
внимание!
14
English     Русский Rules