Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Описание PCI

PDFПечатьE-mail

30 июня 2005 года был выпущен стандарт защиты данных для отрасли платежных карт – Payment Card Industry Data Security Standard (стандарт защиты платежных систем на основе пластиковых карт), разработанный совместно крупными платежными системами (MasterCard Worldwide, Visa International, American Express, Discover Financial Services, JCB).

Цель стандарта – обеспечить защиту данных платежных карт и их владельца от компрометации. Стандарт рекомендуется к внедрению во всех организациях, осуществляющих хранение, обработку и передачу данных платежных карт. К ним относятся компании розничной торговли, Internet-магазины, процессинговые центры, банки и другие компании, использующие в расчетах с клиентами платежные карты. Более подробная информация об этих компаниях представлена на странице: Классификация организаций, осуществляющих обработку, хранение и передачу данных платежных карт.

В 2006 году был создан Совет по стандартам безопасности – PCI Security Standards Council (PCI SSC), в который вошли представители ведущих международных платежных систем. Совет является контролирующим и координирующим органом по внедрению и исполнению требований стандарта PCI DSS.

В текущей редакции стандарт PCI DSS содержит следующие требования:

Создание и поддержка безопасной сетевой инфраструктуры:

  • Требование 1: Разработать и обеспечить поддержку конфигураций межсетевых экранов для защиты данных о держателях карт.
  • Требование 2: Не использовать установленные производителем системные пароли и иные параметры безопасности.

Защита данных о держателях карт:

  • Требование 3: Обеспечить безопасность хранимых данных о держателях карт.
  • Требование 4: Шифровать данные о держателях карт при передаче их через открытые общедоступные сети.

Поддержка программы управления уязвимостями:

  • Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение.
  • Требование 6: Разработать и поддерживать безопасные системы и приложения.

Внедрение усиленных средств управления доступом:

  • Требование 7: Ограничить доступ к данным о держателях карт только служебной необходимостью.
  • Требование 8: Назначить уникальный идентификатор каждому лицу, имеющему доступ к компьютерной сети.
  • Требование 9: Ограничить физический доступ к данным о держателях карт.

Регулярный мониторинг и тестирование сетевой инфраструктуры:

  • Требование 10: Отслеживать и контролировать любой доступ к сетевым ресурсам и данным о держателях карт.
  • Требование 11: Регулярно проверять системы и процессы обеспечения безопасности.

Поддержка Политики информационной безопасности:

  • Требование 12: Поддерживать политику, определяющую правила информационной безопасности для сотрудников и партнеров.
Классификация организаций, осуществляющих обработку, хранение и передачу данных платежных карт
Для выполнения требований стандарта PCI DSS выделяется две категории организаций:
  • Service Provider;
  • Merchant (торговая организация).
  • В зависимости от присвоенного уровня организации предъявляются различные требования по подтверждению соответствия требованиям стандарта PCI DSS. В любом случае, последнее слово в определении уровня и способа подтверждения соответствия принадлежит платежным системам. Ниже приведена классификация двух ведущих мировых платежных систем –Visa Int.  и MasterCard.

    Классификация Visa Int. для Service Provider
    Уровень (level)
    Service Provider
    Требования к SP
    Отчетная документация
    1
    Все VisaNet процессоры (member и  non-member) и все платежные шлюзы (payment gateways)
    • Ежегодная сертификационная оценка, выполняемая QSA
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    ROC (Отчет о соответствии) Подтверждение правильности отчета (Confirmation of Report Accuracy letter)
    2
    Service Provider (agents), которые не относятся к первому уровню, которые хранят, обрабатывают или передают больше 1 млн. транзакций ежегодно
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    3
    Service Provider (agents), которые не относятся к первому уровню, которые хранят, обрабатывают или передают меньше 1 млн. транзакций ежегодно
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    Классификация Visa Int. для Merchant
    Уровень (level)
    Мерчант ( от Merchant - торговые организации)
    Требования к Мерчанту
    Отчетная документация
    1
    Мерчанты, которые обрабатывают более 6 млн. транзакций Visa ежегодно (все каналы) или скомпрометированные мерчанты
    • Ежегодная сертификационная оценка, выполняемая QSA
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    ROC (Отчет о соответствии) Подтверждение правильности отчета (Confirmation of Report Accuracy letter)
    2
    Мерчанты, которые обрабатывают менее 6 млн. транзакций Visa ежегодно
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    Подтверждение соответствия Мерчанта должно даваться банком-эквайером
    Классификация Master Card для Merchant
    Уровень (level)
    Мерчант ( от Merchant - торговые организации)
    Требования к Мерчанту
    Отчетная документация
    1
    Мерчанты, которые обрабатывают более 6 млн. транзакций MasterCard ежегодно или которые отнесены другими платежными системами к 1 уровню, либо скомпрометированные мерчанты
    • Ежегодная сертификационная оценка, выполняемая QSA
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    Банк-эквайер регистрирует мерчанта, выполняющего требования PCI DSS, в соответствии с MasterCard Registration Program
    Банк-эквайер регистрирует статус всех мерчантов ежеквартально
    2
    Мерчанты, которые обрабатывают от 1 до 6 млн. транзакций MasterCard ежегодно
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    3
    Мерчанты, которые обрабатывают от 20 000 до 6 млн. транзакций MasterCard ежегодно
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    4
    Все другие мерчанты
    Соответствие требованиям подтверждается банком-эквайером. Для подтверждения должны быть выполнены:
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    Нет требований
    Классификация Master Card для сервис-провайдеров
    Уровень (level)
    Service Provider
    Требования к SP
    Отчетная документация
    1
    Все TPP (Third Party Processors)
    Все DSE, которые хранят,  передают или обрабатывают более 1 млн. транзакций MasterCard или Maestro
    Все скомпрометированные TPP и DSE
    • Ежегодная сертификационная оценка, выполняемая QSA
    • Ежеквартальное сканирование, выполняемое ASV
    COV (Сертификат о соответствии), подписанный QSA ИЛИ ASV.
    Action Plan в случае, если получено заключение о несоответствии
    2
    Все DSE, которые хранят,  передают или обрабатывают менее 1 млн. транзакций MasterCard или Maestro
    • Ежеквартальное сканирование, выполняемое ASV
    • Ежегодное заполнение самоопросника (Self-Assessment)
    Joomla! Template design and develop by JoomVision

    Случайная новость

    В 63% организаций отсутствует архитектура системы безопасности
    http://cnews.ru/

    По данным отчета «Глобальное исследование информационной безопасности, 2012 год», опубликованного компанией «Эрнст энд Янг», для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности. Всего в исследовании приняли участие более чем 1850 руководителей информационно-технологических подразделений и подразделений по обеспечению информационной безопасности, а также других руководящих работников … полный текст

    Источник: CNews