Управление соответствием PCI DSS - Секция 4 - Сужение...
-
Upload
deiteriy-co-ltd -
Category
Technology
-
view
264 -
download
2
description
Transcript of Управление соответствием PCI DSS - Секция 4 - Сужение...
![Page 1: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/1.jpg)
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Секция 4Сужение области применимости стандарта PCI DSS
![Page 2: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/2.jpg)
4-2 Сужение области применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Уменьшение количества компонентов информационной инфраструктуры организации, на которые распространяются требования стандарта PCI DSS, оказывает благотворное влияние:
•повышает уровень защищенности данных о держателях карт вследствие уменьшения количества потенциально уязвимых бизнес-процессов, приложений, хранилищ данных, компьютеров и сетевых устройств;
•снижает затраты на обеспечение безопасности данных о держателях карт и выполнение требований стандарта PCI DSS.
![Page 3: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/3.jpg)
4-3 Методы сужения области применимости PCI DSS
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Уменьшить размер области применимости требований PCI DSS можно следующими способами:
•избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет непосредственной необходимости с точки зрения бизнеса;
•шифровать хранимые и передаваемые данные о держателях карт, исходя из того, что отсутствие актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие доступа к самим данным;
•отделить смежные информационные системы, не участвующие в обработке, хранении и передаче данных о держателях карт, корректно настроенными межсетевыми экранами;
•применить токенизацию – заменить данные о держателях карт при обработке их уникальными идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив корреляцию между исходными данными и используемым токеном.
![Page 4: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/4.jpg)
4-4 Область применимости PCI DSS в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
![Page 5: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/5.jpg)
4-5 Потоки ДДК в инфраструктуре банка
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- потоки ДДК эквайринга - потоки ДДК эмиссии
![Page 6: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/6.jpg)
4-6 Шаг 1 - избежать обработки, хранения и передачи ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Согласно бизнес-требованиям
рассматриваемого банка, приложение Интернет-
банка может оперировать маскированными значениями PAN
Можно организовать
терминальный доступ к ДДК
(тонкий клиент)
![Page 7: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/7.jpg)
4-7 Шаг 1 - избежать обработки, хранения и передачи ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- потоки ДДК эквайринга - потоки ДДК эмиссии - не ДДК
![Page 8: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/8.jpg)
4-8 Шаг 2 - шифровать передаваемые ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Можно зашифровать канал связи для тонкого
клиента (например, использовать VPN)
- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде
![Page 9: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/9.jpg)
4-9 Шаг 2 - шифровать передаваемые ДДК
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- потоки ДДК эквайринга - потоки ДДК эмиссии - нет ДДК в открытом виде
![Page 10: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/10.jpg)
4-10 Результат выполнения шагов 1 и 2
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
![Page 11: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/11.jpg)
4-11 Шаг 3 - отделить смежные информационные системы
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Теперь ничто не мешает отделить сегмент 192.168.110.x
межсетевым экраном на Маршрутизаторе 2
Приложение и БД АБС можно выделить в отдельный
сегмент сети
- обработка ДДК эквайринга - обработка ДДК эмиссии - смежные системы
![Page 12: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/12.jpg)
4-12 Результат выполнения шага 3
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга - обработка ДДК эмиссии
![Page 13: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/13.jpg)
4-13 Результат сужения области применимости PCI DSS в банке
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга - обработка ДДК эмиссии
![Page 14: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/14.jpg)
4-14 Область применимости PCI DSS в розничном магазине
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
![Page 15: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/15.jpg)
4-15 Потоки ДДК в розничном магазине
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
![Page 16: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/16.jpg)
4-16 Применение токенизации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Согласно бизнес-требованиям
рассматриваемого магазина, ERP-система
может оперировать уникальными
идентификаторами клиентов вместо PAN
![Page 17: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/17.jpg)
4-17 Применение токенизации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
![Page 18: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/18.jpg)
4-18 Применение токенизации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга - смежные системы
![Page 19: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/19.jpg)
4-19 Применение сегментации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
ERP-систему и рабочую станцию можно
выделить в отдельный сегмент сети
- обработка ДДК эквайринга - смежные системы
![Page 20: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/20.jpg)
4-20 Применение сегментации
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга
![Page 21: Управление соответствием PCI DSS - Секция 4 - Сужение области применимости](https://reader037.fdocument.pub/reader037/viewer/2022103115/557e0389d8b42ae6458b480a/html5/thumbnails/21.jpg)
4-21 Результат сужения области применимости PCI DSS в магазине
© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
- обработка ДДК эквайринга