PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia English version


PCI DSS
Последние статьи в RSSПоследние статьи

PCI DSS – соответствие в пространстве

 26 июля 2010   0 комментариев
Физическое размещение серверов, хостинг, организация серверных комнат – от этих аспектов зависит выбор способа обеспечения безопасности карточных данных и выполнения целого ряда требований стандарта PCI DSS. Из статьи читатель узнает как сертифицируемым организациям выполнить эти требования, а также чем хостинг-провайдеры могут им в этом помочь

Безопасность платежных приложений и стандарт PA-DSS

 11 июня 2010   0 комментариев
В статье изложены проблемы безопасности приложений, в частности платежных приложений в рамках стандартов PCI DSS и PA-DSS, а также приведены основные предпосылки появления на свет стандарта PA-DSS, его особенности, назначение и преимущества соответствия

Подводные камни процесса достижения соответствия PCI DSS

 15 марта 2010   2 комментария
На что стоит обратить внимание при выборе QSA-компании для достижения Соответствия PCI DSS?

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

  
FAQ:
PCI DSS & PA-DSS

Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.		 Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.		 Проверка
соответствия

Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.		 Копилка
полезностей

Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Путь к Соответствию PCI DSS

Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт

1.1 Разработка стандартов конфигурации межсетевых экранов и маршрутизаторов (1)
1.1.1 Формальный процесс управления изенениями в конфигурации межсетевого экрана
1.1.2 Схема сети
1.1.3 Требования к межсетевому экранированию
1.1.4 Описание ролей, групп и ответственности за управление сетевыми компонентами
1.1.5. Документирование разрешенных сервисов, протоколов и портов
1.1.6. Требование пересмотра настроек межсетевых экранов и маршрутизаторов
1.2 Создание конфигурации межсетевых экранов и маршрутизаторов
1.2.1 Ограничение входящего и исходящего трафика
1.2.2 Обеспечение синхронизации конфигурационных файлов межсетевых экранов
1.2.3 Установка межсетевых экранов для беспроводной сети
1.3 Запрет прямого доступа из сети Интернет
1.3.1 Внедрение DMZ
1.3.2 Ограничение Интернет-соединений адресами DMZ
1.3.3 Запрет прямых маршрутов между сетью Интернет и средой данных о держателях карт
1.3.4 Запрет соединения с внутренними адресами от источника из Интернета к адресам DMZ
1.3.5 Ограничение исходящего трафика из среды данных о держателях карт в сеть Интернет
1.3.6 Динамическая пакетная фильтрация с запоминанием состояния
1.3.7 Размещение баз данных
1.3.8 Механизм трансляции IP-адресов
1.4 Установка персональных межсетевых экранов на компьютеры сотрудников

Не использовать пароли и другие системные параметры, заданные производителем по умолчанию

2.1 Аутентификационные данные, установленные производителями по умолчанию
2.1.1 Настройки беспроводных устройств
2.2 Стандарты конфигурации системных компонентов
2.2.1 Правило "один сервер - одна основная функция"
2.2.2 Отключение небезопасных и ненужных сервисов и протоколов
2.2.3 Настройка параметров безопасности системы
2.3 Применение криптографических механизмов для удаленного административного доступа
2.4 Обеспечение безопасности сред и данных поставщиками услуг

Обеспечить безопасное хранение данных о держателях карт

3.1 Политики и процедуры хранения и уничтожения данных о держателях карт
3.2 Запрет хранения критичных аутентификационных данных
3.2.1 Полная дорожка магнитной полосы, находящейся на обратной стороне карты
3.2.2 Код CVC/CVV
3.2.3 Персональный идентификационный номер (PIN) и зашифрованный PIN-блок
3.3 Политики и правила отображения PAN
3.4 Представление PAN в нечитаемом виде
3.4.1 Управление логическим доступом при шифровании на уровне всего диска
3.5 Защита ключей шифрования данных о держателях карт
3.5.1 Ограничение доступа сотрудников к ключам шифрования
3.5.2 Хранение ключей шифрования
3.6 Документирование процессов и процедур управления ключами шифрования
3.6.1 Генерация стойких ключей
3.6.2 Безопасное распространение ключей
3.6.3 Безопасное хранение ключей
3.6.4 Периодическая смена ключей
3.6.5 Уничтожение старых и скомпрометированных ключей
3.6.6 Раздельное владение частями ключей
3.6.7 Защита от неавторизованной смены ключа
3.6.8 Обязанности и ответственность сотрудников по хранению и использованию ключей

Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования

4.1 Защита данных о держателях карт в случае их передачи через общедоступные сети
4.1.1 Обеспечение стойкого шифрования при использовании беспроводных сетей
4.2 Запрет отправки незашифрованного PAN при помощи пользовательских технологий передачи сообщений

Использовать и регулярно обновлять антивирусное программное обеспечение

5.1 Использование антивирусной защиты
5.1.1 Защита от вредоносного ПО
5.2 Проверка актуальности антивирусных механизмов и политики их использования

Разрабатывать и поддерживать безопасные системы и приложения

6.1 Использование актуальных обновлений безопасности для всех системных компонентов и ПО
6.2 Процессы выявления и учета новых уязвимостей
6.3 Учет требований стандарта PCI DSS в процессе разработки программного обеспечения
6.3.1 Тестирование изменений перед их внедрением
6.3.1.1 Проверка входных данных
6.3.1.2 Проверка корректной обработки ошибок
6.3.1.3 Проверка использования защищенного криптографического хранилища для критичной информации
6.3.1.4 Проверка безопасности передачи данных
6.3.1.5 Проверка корректности разграничения доступа, основанного на ролях
6.3.2 Разграничение сред разработки, тестирования и производственного функционирования программного обеспечения
6.3.3 Разделение обязанностей по разработке, тестированию и производственному функционированию ПО
6.3.4 Запрет использования производственных данных для тестирования и разработки
6.3.5 Удаление тестовых данных и платежных счетов из системы перед переводом ее в производственный режим
6.3.6 Удаление индивидуальных аутентификационных данных перед передачей программного обеспечения заказчикам или переводом его в производственный режим
6.3.7 Анализ программного кода приложений на наличие потенциальных уязвимостей
6.4 Процедуры управления изменениями
6.4.1 Документирование влияния изменения на систему
6.4.2 Согласование изменения с руководством
6.4.3 Тестирование производственной функциональности
6.4.4 Процедура отмены изменения
6.5 Анализ программного кода на наличие потенциальных уязвимостей
6.5.1 Атаки типа XSS
6.5.2 Инъекции
6.5.3 Исполнение вредоносных файлов
6.5.4 Небезопасные прямые ссылки
6.5.5 Подделка межсайтовых запросов (CSRF)
6.5.6 Утечка данных и некорректная обработка ошибок
6.5.7 Обход системы аутентификации и управления сессиями
6.5.8 Небезопасное криптографическое хранилище
6.5.9 Небезопасная передача данных
6.5.10 Ошибки в контроле доступа по URL
6.6 Методы защиты веб-ориентированных приложений от известных атак

Ограничить доступ к данным платежных карт в соответствии со служебной необходимостью

7.1 Политика контроля доступа
7.1.1 Доступ пользователей
7.1.2 Назначение привилегий пользователям
7.1.3 Авторизации доступа
7.1.4 Внедрение автоматизированной системы контроля доступа
7.2 Система контроля доступа
7.2.1 Покрытие системных компонентов
7.2.2 Назначение привилегий пользователям
7.2.3 Запрет доступа по-умолчанию

Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре

8.1 Назначение пользователям уникальных идентификаторов
8.2 Механизмы аутентификации пользователей
8.3 Механизм двухфакторной аутентификации
8.4 Передача и хранение паролей в зашифрованном виде
8.5 Процедуры аутентификации пользователей и управления паролями учетных записей
8.5.1 Контроль над добавлением, удалением и изменением объектов идентификации
8.5.2 Проверка подлинности пользователя перед сменой пароля
8.5.3 Установка уникального первоначальный пароль и его смена при первом входе в систему
8.5.4 Отзыв доступа при увольнении пользователя
8.5.5 Удаление/блокировка неактивных учетных записей
8.5.6 Контроль над учетными записями поставщиков
8.5.7 Информирование пользователей о положениях парольных политик и процедур
8.5.8 Запрет использования групповых, разделяемых и стандартных учетных записей и паролей
8.5.9 Периодичность изменения пароля пользователя
8.5.10 Длина пароля
8.5.11 Использование в пароле цифровых и буквенных символов
8.5.12 Запрет выбора использованного ранее пароля
8.5.13 Блокировка учетной записи после неудачных попыток ввода пароля
8.5.14 Период блокировки учетной записи
8.5.15 Блокировка рабочей сессии
8.5.16 Аутентификация доступа к базе данных, содержащей данные о держателях карт

Ограничить физический доступ к данным платежных карт

9.1 Использование средств контроля физического доступа
9.1.1 Мониторинг доступа в критичные помещения
9.1.2 Ограничение доступа к сетевым разъемам
9.1.3 Ограничение доступа к беспроводным точкам доступа, шлюзам и портативным устройствам
9.2 Процессы и процедуры выдачи пропусков сотрудникам и посетителям
9.3 Процедура контроля доступа
9.3.1 Авторизация посетителя перед входом в помещения
9.3.2 Выдача посетителям материальных идентификаторов
9.3.3 Возвращение посетителями материальных идентификаторов
9.4 Ведение журнала регистрации посетителей
9.5 Безопасность мест хранения резервных копий
9.6 Обеспечение физической безопасности бумажных и электронных носителей
9.7 Политика о порядке перемещения носителей информации
9.7.1 Классификация и маркировка носителей информации
9.7.2 Контроль выноса носителей информации за пределы объекта компании
9.8 Процедура разрешения руководством выноса носителя информации за пределы охраняемой территории
9.9 Регулярная инвентаризация носителей информации
9.9.1 Периодичность инвентаризации носителей информации
9.10 Политика уничтожения носителей информации
9.10.1 Измельчение, сжигание или растворение бумажного носителя
9.10.2 Уничтожение данных о держателях карт на электронном носителе

Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт

10.1 Процесс мониторинга доступа к компонентам системы
10.2 Механизм протоколирования событий
10.2.1 Регистрация фактов доступа пользователя к данным о держателях карт
10.2.2 Регистрация действий, совершенных с использованием административных полномочий
10.2.3 Регистрация фактов доступа к записям о событиях в системе регистрируются
10.2.4 Регистрация неуспешных попыток логического доступа
10.2.5 Регистрация фактов использования механизмов идентификации и аутентификации
10.2.6 Регистрация фактов инициализации журналов протоколирования событий
10.2.7 Регистрация фактов создания и удаления объектов системного уровня
10.3 Протоколирование событий
10.3.1 Идентификатор пользователя
10.3.2 Тип события
10.3.3 Дата и время
10.3.4 Успешность события
10.3.5 Источник события
10.3.6 Идентификатор или название данных, системного компонента или ресурса, на которые повлияло событие
10.4 Синхронизация системных часов
10.5 Защита журналов протоколирования событий от изменений
10.5.1 Доступ к журналам протоколирования событий
10.5.2 Защита журналов протоколирования событий от неавторизованного изменения
10.5.3 Сохранение резервных копий журналов протоколирования событий
10.5.4 Сохранение журналов протоколирования событий доступных извне систем
10.5.5 Использование систем контроля целостности файлов
10.6 Регулярный анализ журналов протоколирования событий
10.7 Период хранения журналов регистрации событий

Регулярно выполнять тестирование систем и процессов обеспечения безопасности

11.1 Периодическая проверка беспроводных точек доступа
11.2 Внешнее и внутреннее сканирование сети
11.3 Проведение внешнего и внутреннего тестов на проникновение
11.3.1 Тест на проникновение на сетевом уровне
11.3.2 Тест на проникновение на уровне приложений
11.4 Использование систем обнаружения и предотвращения вторжений
11.5 Системы контроля целостности файлов в среде данных о держателях карт

Разработать и поддерживать политику информационной безопасности

12.1 Политика информационной безопасности
12.1.1 Учет требований PCI DSS
12.1.2 Анализ информационных рисков
12.1.3 Пересмотр и обновление политики информационной безопасности
12.2 Ежедневные процедуры безопасности
12.3 Разработка правил эксплуатации критичных технологий
12.3.1 Процедура явного одобрения руководством
12.3.2 Аутентификацию перед использованием устройства
12.3.3 Перечень используемых устройств и сотрудников, имеющих доступ к устройствам
12.3.4 Маркировка устройств
12.3.5 Допустимые варианты использования устройств
12.3.6 Допустимые точки размещения устройств в сети
12.3.7 Перечень одобренных устройств
12.3.8 Автоматическое отключение сессий удаленного доступа
12.3.9 Правила эксплуатации механизмов для доступа службы поддержки (производителя)
12.3.10 Запрет копирования, перемещения и хранения данных о держателях карт на съемных носителях при удаленном доступе к данным
12.4 Обязанности сотрудников и партнеров, относящиеся к информационной безопасности
12.5 Ответственность за обеспечение информационной безопасности
12.5.1 Разработка, документирование и распространение политики и процедур безопасности
12.5.2 Мониторинг, анализ и доведение до сведения персонала информации о событиях, имеющих отношение к безопасности данных
12.5.3 Разработка, документирование и распространение процедур реагирования на инциденты и процедур эскалации
12.5.4 Администрирование учетных записей пользователей
12.5.5 Мониторинг и контроль доступа к данным.
12.6 Внедрение программы повышения осведомленности сотрудников
12.6.1 Обучение сотрудников
12.6.2 Подтверждение сотрудниками их знания и понимания политики информационной безопасности компании
12.7 Кадровые проверки при приеме на работу
12.8 Политики и процедуры взаимодействия с поставщиками услуг
12.8.1 Перечень поставщиков услуг
12.8.2 Письменное соглашение с поставщиком услуг
12.8.3 Проверка поставщика услуг перед началом взаимодействия с ним
12.8.4 Программа проверки статуса соответствия поставщиков услуг требованиям PCI DSS
12.9 Внедрение плана реагирования на инциденты
12.9.1 Содержание плана реагирования на инциденты
12.9.2 Тестирование плана реагирования на инциденты
12.9.3 Персонал, реагирующий на сигналы тревоги в режиме 24/7
12.9.4 Обучение персонала, ответственного за реагирование на нарушения безопасности
12.9.5 Процедуры реагирования на сигналы тревоги систем безопасности
12.9.6 Процесс изменения и развития плана реагирования на инциденты
 





Партнеры







© 2009 - 2010, PCIDSS.RU
При использовании материалов сайта ссылка на источник обязательна 		+7 (812) 703-1547, +7 (812) 430-9130 e-mail: info@pcidss.ru