Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

Секция 3Область применимости требований PCI DSS

3-2 Определение области применимости стандарта PCI DSS


Требования стандарта PCI DSS применимы ко всем компонентам информационной инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях карт, а также смежным по отношению к ним информационным системам.

Смежная информационная система – это система, соединение с которой не защищено корректно настроенным межсетевым экраном.

3-3 Данные о держателях карт


Вид Обозначение Определение

Номер карты PANНомер, идентифицирующий платёжную карту, наносится на её лицевую сторону.

Имя держателя карты CHNAMEИмя и фамилия человека, которому банк предоставил право распоряжения платёжной картой, наносится на её лицевую сторону.

Дата окончаниясрока действия карты EXPDATE

Дата, при наступлении которой платёжная карта становится недействительна, наносится на её лицевую сторону.

Сервисный код SCODEСлужебное значение, содержащееся на магнитной полосе (чипе) карты.

Содержимое магнитной полосы / чипа TRACK

Вся информация, содержащаяся на магнитной полосе (чипе) карты.

Проверочное значение CVV2 / CVC2Значение, используемое для авторизации платёжной транзакции без считывания магнитной полосы (чипа) карты, наносится на её оборотную сторону.

ПИН-коди его шифрограмма PIN и PINBLOCK

Значение, используемое для авторизации платёжной транзакции на банкоматах и POS-терминалах, и его шифрограмма (ПИН-блок).

3-4 Категории данных о держателях карт


Категория Вид Правила хранения

Данные о держателях карт (ДДК)

PAN При хранении следует применять один из методов защиты согласно требованию 3.4 стандарта PCI DSS.

CHNAME

Разрешается хранить.EXPDATE

SCODE

Критичные аутентификационные

данные (КАД)

TRACK

Запрещается хранить после авторизации транзакции, даже в зашифрованном виде.

CVV2 / CVC2

PIN и PINBLOCK

3-5 Информационная инфраструктура организации


Информационная инфраструктура – это разделяемый развивающийся гетерогенный парк информационно-технологических возможностей, построенный на открытых стандартизованных интерфейсах.*

* – определение информационной инфраструктуры взято из публикации «Theorizing about the Design of Information Infrastructures: Design Kernel Theories and Principles», O. Hanseth, K. Lyytinen.

3-6 Описание информационной инфраструктуры


Информационная инфраструктура может быть описана следующими тремя элементами*:

1. Перечень компонентов информационной инфраструктуры по уровням:•приложения;•хранилища данных (базы данных и плоские файлы);•компьютеры;•активное сетевое оборудование;

2. Схема сетевой инфраструктуры;

3. Схема потоков данных (прикладной инфраструктуры).

* – согласно официальной процедуре QSA-аудита, утвержденной Советом PCI SSC, каждый Отчет о Соответствии (Report on Compliance, ROC) должен содержать в себе все три элемента описания информационной инфраструктуры организации в рамках области аудита: перечень компонентов, схему сети и схему потоков данных.

3-7 Инфраструктура банка (упрощенная) – схема сети


3-8 Инфраструктура банка (упрощенная) – компоненты


Приложения

Название На каком компьютере установлено Какие хранилища использует PA-

DSS

Карточный фронт-офис •Сервер приложенийкарточного фронт-офиса •БД карточного фронт-офиса +

Карточный бэк-офис •Сервер приложенийкарточного бэк-офиса

•БД карточного бэк-офиса•Сетевая папка на сервере

приложений карточного бэк-офиса+

АБС •Сервер приложений АБС •БД АБС -

Интернет-банк •Веб-сервер Интернет-банка •БД Интернет-банка -

Приложение для выпуска карт

•Компьютер для персонализации карт •БД карточного бэк-офиса +



Хранилища данных

Тип Название На каком компьютере установлено Какие ДДК хранит

БД БД карточного фронт-офиса Сервер БДкарточного фронт-офиса PAN

БД БД карточного бэк-офиса Сервер БДкарточного бэк-офиса PAN

БД БД АБС Сервер БД АБС -

БД БД Интернет-банка Сервер БД Интернет-банка PAN

ФайлыСетевая папка на сервере приложений карточногобэк-офиса

Сервер приложений карточного бэк-офиса PAN



КомпьютерыНазвание IP-интерфейсы ОС

Сервер приложений карточного фронт-офиса 10.10.8.2 Windows Server 2008

Сервер приложений карточного бэк-офиса 10.10.8.4 Windows Server 2008

Сервер приложений АБС 10.10.8.6 Red Hat Enterprise Linux 6

Веб-сервер Интернет-банка 192.168.110.8 Red Hat Enterprise Linux 6

Сервер БД карточного фронт-офиса 10.10.8.3 Windows Server 2008

Сервер БД карточного бэк-офиса 10.10.8.5 Windows Server 2008

Сервер БД АБС 10.10.8.7 Red Hat Enterprise Linux 6

Сервер БД Интернет-банка 192.168.110.9 Red Hat Enterprise Linux 6

Рабочая станция 1 192.168.110.101 Windows 7 Professional

Рабочая станция 2 192.168.110.102 Windows 7 Professional

Компьютер для персонализации карт 10.10.8.15 Windows 7 Professional

HSM 1 10.10.8.11 -

HSM 2 10.10.8.12 -



Активное сетевое оборудованиеНазвание IP-интерфейсы Модель

Маршрутизатор 1

LAN10.10.8.251

Cisco 2800 Series WAN white IPx.x.x.x

Маршрутизатор 2

LAN10.10.8.252

Cisco ASA 5500 Series LAN192.168.110.252

WAN white IPy.y.y.y

3-12 Инфраструктура банка (упрощенная) – потоки ДДК


3-13 Область применимости PCI DSS в инфраструктуре банка


Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК

3-14 Область аудита PCI DSS


Согласно требованиям международных платежных систем требования стандарта PCI DSS распространяются на все компоненты информационной инфраструктуры, обрабатывающие, хранящие или передающие данные о держателях карт.

Область аудита – это совокупность компонентов информационной инфраструктуры, включенных в процесс оценки соответствия PCI DSS в рамках выполнения ISA- или QSA-аудита или заполнения листа самооценки SAQ.

В большинстве случаев область аудита совпадает с областью применимости PCI DSS.

Исключением из этого правила являются банки, обладающие собственной как эквайринговой, так и эмиссионной инфраструктурой. На момент 2012 года для них существует неофициальное правило МПС Visa и MasterCard, гласящее, что приводить в соответствие требованиям PCI DSS следует как эквайринговую, так и эмиссионную инфраструктуру, однако при этом в область сертификационного аудита входит только эквайринговая часть. Эмиссионная инфраструктура может быть включена в область аудита по желанию эмитента (это приветствуется) или по отдельному требованию международной платежной системы*.

* – эта информация получена в октябре 2010 года в ходе ежегодного мероприятия PCI SSC European Community Meeting 2010 от главы службы безопасности МПС Visa Europe – Шейна Болфе (Shane Balfe) и вице-президента по безопасности МПС MasterCard Майкла Грина (Michael Green).

3-15 Инфраструктура банка (упрощенная) – потоки ДДК - эмиссия


3-16 Область аудита PCI DSS в инфраструктуре банка


Желтым цветом отмечены компоненты, обрабатывающие, хранящие и передающие только эмиссионные (свои) ДДК

3-17 Смежные информационные системы в инфраструктуре банка


Красным цветом отмечены компоненты, относящиеся к смежным информационным системам

3-18 Потоки ДДК между участниками процесса эквайринга


3-19 Платежный шлюз – схема сети (упрощенная)


3-20 Платежный шлюз – потоки ДДК


3-21 Платежный шлюз – область применимости PCI DSS



3-22 Интернет-магазин – схема сети


Этот Интернет-магазин принимает ДДК на своем сайте

3-23 Интернет-магазин – потоки ДДК



3-24 Интернет-магазин – область применимости PCI DSS




3-25 Розничный магазин – схема сети


3-26 Розничный магазин – потоки ДДК


3-27 Розничный магазин – область применимости PCI DSS



Technology

Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS