Embed Size (px)
Citation preview
Гольдштейн Анна, PA QSA
Заместитель директора департамента аудита
Порядок сертификации по требованиям стандарта PA-DSS
“Стандарт PA-DSS: безопасность платежных приложений”Семинар компании «Информзащита»г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
Этапы сертификации
Предварительная оценка соответствия
• Предварительная оценка выполнения требований• Выбор решений по устранению недостатков • Анализ трудоемкости и взаимосвязи необходимых
работ
План достижения соответствия PA-DSS
Предварительная оценка. Особенности
• Основные методы сбора информации– Интервью– Проверка документации
• Цель – сбор. Нет задачи опровергнуть или доказать собранную информацию
Реализация плана. Роль QSA
• Консультации по PCI DSS и PA-DSS• Проверка дорабатываемой/разрабатываемой
документации• Контроль хода работ плана
Сертификационные проверки
• Подтверждение выполнения требований ИБ в рамках процессов разработки и поддержки приложений
• Лабораторные проверки требований PCI DSS– выполнение запрета хранения критичных данных– правила хранения номеров карт– порядок аутентификации и управления учетными записями– протоколирование событий и др.
• Анализ совместимости с остальными требованиями стандарта PCI DSS
– отсутствие конфликтов со средствами защиты– возможность размещения в инфраструктуре с межсетевыми экранами и т. п.
• Лабораторное тестирование безопасности приложений – уязвимости протоколов/интерфейсов– web-уязвимости и др.
Сертификационные проверки. Особенности• Проверки начинаются «с чистого листа»• Аудитор следует инструкциям руководства по
выполнению PCI DSS (Implementation Guide)• Лабораторная среда контролируется аудитором• Проверки повторяются для каждой сертифицируемой
платформы приложения (ОС, СУБД)
Утверждение результатов PCI SSC
QSA: Отчет
Вендор: Release
agreement
PCI SSC: Acceptance
Letter
PCI SSC:Invoice Letter
QSA:Сертификат
PCI SSC: Публикация на
сайте
Вендор: Оплата
публикации
PCI SSC: Контроль качества
Поддержка сертификации
Есть план по выпуску релизов ?• «ДА»:
– Анализ планируемых изменений– Оценка бюджета на поддержку
• «НЕТ»:– Договор годовой поддержки включает “minor”-изменения– “major”-изменения выполняются по доп. соглашению
• (495) 980 23 45• [email protected]
Гольдштейн АннаЗаместитель директора департамента аудита
ВОПРОСЫ ?
“Стандарт PA-DSS: безопасность платежных приложений”Семинар компании «Информзащита»г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
