Upload
deiteriy-co-ltd
View
790
Download
2
Embed Size (px)
DESCRIPTION
Определение области применимости PCI DSS. Определение потоков данных о держателях карт. Смежные информационные системы.
Citation preview
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Секция 3Область применимости требований PCI DSS
3-2 Определение области применимости стандарта PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Требования стандарта PCI DSS применимы ко всем компонентам информационной инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях карт, а также смежным по отношению к ним информационным системам.
Смежная информационная система – это система, соединение с которой не защищено корректно настроенным межсетевым экраном.
3-3 Данные о держателях карт
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Вид Обозначение Определение
Номер карты PANНомер, идентифицирующий платёжную карту, наносится на её лицевую сторону.
Имя держателя карты CHNAMEИмя и фамилия человека, которому банк предоставил право распоряжения платёжной картой, наносится на её лицевую сторону.
Дата окончаниясрока действия карты EXPDATE
Дата, при наступлении которой платёжная карта становится недействительна, наносится на её лицевую сторону.
Сервисный код SCODEСлужебное значение, содержащееся на магнитной полосе (чипе) карты.
Содержимое магнитной полосы / чипа TRACK
Вся информация, содержащаяся на магнитной полосе (чипе) карты.
Проверочное значение CVV2 / CVC2Значение, используемое для авторизации платёжной транзакции без считывания магнитной полосы (чипа) карты, наносится на её оборотную сторону.
ПИН-коди его шифрограмма PIN и PINBLOCK
Значение, используемое для авторизации платёжной транзакции на банкоматах и POS-терминалах, и его шифрограмма (ПИН-блок).
3-4 Категории данных о держателях карт
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Категория Вид Правила хранения
Данные о держателях карт (ДДК)
PAN При хранении следует применять один из методов защиты согласно требованию 3.4 стандарта PCI DSS.
CHNAME
Разрешается хранить.EXPDATE
SCODE
Критичные аутентификационные
данные (КАД)
TRACK
Запрещается хранить после авторизации транзакции, даже в зашифрованном виде.
CVV2 / CVC2
PIN и PINBLOCK
3-5 Информационная инфраструктура организации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Информационная инфраструктура – это разделяемый развивающийся гетерогенный парк информационно-технологических возможностей, построенный на открытых стандартизованных интерфейсах.*
* – определение информационной инфраструктуры взято из публикации «Theorizing about the Design of Information Infrastructures: Design Kernel Theories and Principles», O. Hanseth, K. Lyytinen.
3-6 Описание информационной инфраструктуры
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Информационная инфраструктура может быть описана следующими тремя элементами*:
1. Перечень компонентов информационной инфраструктуры по уровням:•приложения;•хранилища данных (базы данных и плоские файлы);•компьютеры;•активное сетевое оборудование;
2. Схема сетевой инфраструктуры;
3. Схема потоков данных (прикладной инфраструктуры).
* – согласно официальной процедуре QSA-аудита, утвержденной Советом PCI SSC, каждый Отчет о Соответствии (Report on Compliance, ROC) должен содержать в себе все три элемента описания информационной инфраструктуры организации в рамках области аудита: перечень компонентов, схему сети и схему потоков данных.
3-7 Инфраструктура банка (упрощенная) – схема сети
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-8 Инфраструктура банка (упрощенная) – компоненты
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Приложения
Название На каком компьютере установлено Какие хранилища использует PA-
DSS
Карточный фронт-офис •Сервер приложенийкарточного фронт-офиса •БД карточного фронт-офиса +
Карточный бэк-офис •Сервер приложенийкарточного бэк-офиса
•БД карточного бэк-офиса•Сетевая папка на сервере
приложений карточного бэк-офиса+
АБС •Сервер приложений АБС •БД АБС -
Интернет-банк •Веб-сервер Интернет-банка •БД Интернет-банка -
Приложение для выпуска карт
•Компьютер для персонализации карт •БД карточного бэк-офиса +
3-9 Инфраструктура банка (упрощенная) – компоненты
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Хранилища данных
Тип Название На каком компьютере установлено Какие ДДК хранит
БД БД карточного фронт-офиса Сервер БДкарточного фронт-офиса PAN
БД БД карточного бэк-офиса Сервер БДкарточного бэк-офиса PAN
БД БД АБС Сервер БД АБС -
БД БД Интернет-банка Сервер БД Интернет-банка PAN
ФайлыСетевая папка на сервере приложений карточногобэк-офиса
Сервер приложений карточного бэк-офиса PAN
3-10 Инфраструктура банка (упрощенная) – компоненты
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
КомпьютерыНазвание IP-интерфейсы ОС
Сервер приложений карточного фронт-офиса 10.10.8.2 Windows Server 2008
Сервер приложений карточного бэк-офиса 10.10.8.4 Windows Server 2008
Сервер приложений АБС 10.10.8.6 Red Hat Enterprise Linux 6
Веб-сервер Интернет-банка 192.168.110.8 Red Hat Enterprise Linux 6
Сервер БД карточного фронт-офиса 10.10.8.3 Windows Server 2008
Сервер БД карточного бэк-офиса 10.10.8.5 Windows Server 2008
Сервер БД АБС 10.10.8.7 Red Hat Enterprise Linux 6
Сервер БД Интернет-банка 192.168.110.9 Red Hat Enterprise Linux 6
Рабочая станция 1 192.168.110.101 Windows 7 Professional
Рабочая станция 2 192.168.110.102 Windows 7 Professional
Компьютер для персонализации карт 10.10.8.15 Windows 7 Professional
HSM 1 10.10.8.11 -
HSM 2 10.10.8.12 -
3-11 Инфраструктура банка (упрощенная) – компоненты
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Активное сетевое оборудованиеНазвание IP-интерфейсы Модель
Маршрутизатор 1
LAN10.10.8.251
Cisco 2800 Series WAN white IPx.x.x.x
Маршрутизатор 2
LAN10.10.8.252
Cisco ASA 5500 Series LAN192.168.110.252
WAN white IPy.y.y.y
3-12 Инфраструктура банка (упрощенная) – потоки ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-13 Область применимости PCI DSS в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК
3-14 Область аудита PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Согласно требованиям международных платежных систем требования стандарта PCI DSS распространяются на все компоненты информационной инфраструктуры, обрабатывающие, хранящие или передающие данные о держателях карт.
Область аудита – это совокупность компонентов информационной инфраструктуры, включенных в процесс оценки соответствия PCI DSS в рамках выполнения ISA- или QSA-аудита или заполнения листа самооценки SAQ.
В большинстве случаев область аудита совпадает с областью применимости PCI DSS.
Исключением из этого правила являются банки, обладающие собственной как эквайринговой, так и эмиссионной инфраструктурой. На момент 2012 года для них существует неофициальное правило МПС Visa и MasterCard, гласящее, что приводить в соответствие требованиям PCI DSS следует как эквайринговую, так и эмиссионную инфраструктуру, однако при этом в область сертификационного аудита входит только эквайринговая часть. Эмиссионная инфраструктура может быть включена в область аудита по желанию эмитента (это приветствуется) или по отдельному требованию международной платежной системы*.
* – эта информация получена в октябре 2010 года в ходе ежегодного мероприятия PCI SSC European Community Meeting 2010 от главы службы безопасности МПС Visa Europe – Шейна Болфе (Shane Balfe) и вице-президента по безопасности МПС MasterCard Майкла Грина (Michael Green).
3-15 Инфраструктура банка (упрощенная) – потоки ДДК - эмиссия
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-16 Область аудита PCI DSS в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Желтым цветом отмечены компоненты, обрабатывающие, хранящие и передающие только эмиссионные (свои) ДДК
3-17 Смежные информационные системы в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Красным цветом отмечены компоненты, относящиеся к смежным информационным системам
3-18 Потоки ДДК между участниками процесса эквайринга
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-19 Платежный шлюз – схема сети (упрощенная)
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-20 Платежный шлюз – потоки ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-21 Платежный шлюз – область применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК
3-22 Интернет-магазин – схема сети
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этот Интернет-магазин принимает ДДК на своем сайте
3-23 Интернет-магазин – потоки ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этот Интернет-магазин принимает ДДК на своем сайте
3-24 Интернет-магазин – область применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Этот Интернет-магазин принимает ДДК на своем сайте
Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК
3-25 Розничный магазин – схема сети
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-26 Розничный магазин – потоки ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
3-27 Розничный магазин – область применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК