This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Payment Card Industry Data Security Standard (PCI DSS) – стандарт безопасности данных индустрии платежных карт. Обязателен для всех организаций, обрабатывающих, хранящих и/или передающих данные платежных карт Visa, MasterCard, American Express, JCB, Discover.
Факты о версии 2.0:
• 288 проверочных процедур • 12 тематических разделов • соответствие = 100% внедрение • ежегодное подтверждение • вариант подтверждения зависит от бизнес-процесса
3 Стандарты безопасности данных индустрии платежных карт
Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS.
Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.
Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки.
Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).
Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP).
В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем.
Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов.
Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение.
На текущий момент все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS.
Уточнение Следует ежедневно читать и анализировать все журналы протоколирования событий
Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и критичных системных журналов. Добавлена гибкость путем предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков
Изменение (активно с 1 июля 2015 года)
- Определены требования к методике теста на проникновение и необходимость её документирования
Несмотря на недостатки, для компаний с низким уровнем зрелости процессов ИБ, к которым относится подавляющее большинство участников индустрии платежных карт, PCI DSS – хорошее начало пути, а для компаний с высоким уровнем зрелости процессов ИБ – это метод внешнего контроля.