1. Влияние стандартов
серии PCI на
бизнес-процессы в
различных
отраслях
Эмм Максим, MBA, QSA, CISA, CISSP
Директор Департамента Аудита
2.
3. PCI DSS: Что надо было сделать?
• Что надо сделать было всем:
– Определить PCI Scope
– Выполнить все требования PCI DSS
– Подтверждать соответствие PCI DSS в соответствии
с правилами платежных систем ежегодно
• Дополнительно:
– Банкам отчитываться в платежные системы по
соответствию PCI своих мерчантов
– Мерчантам использовать только
сертифицированные по PA DSS решения
4. “Письма счастья” от VISA
• November 2008
– IML 28/08: Visa International PCI DSS Compliance Validation
Framework
• April 2009
– IML 05/09: Visa Inc. PCI DSS framework for VisaNet (Direct Connect)
Processors
• May 2009
– IML 13/09: Risk based approach to PCI DSS Validation
– IML 11/09: Global PCI DSS Service Provider List and Compliance
• June 2009
– IML 17/09: Reminder of Upcoming PCI DSS Validation Compliance
Framework Deadlines
– Payment Application Security Mandates
5. Банки: Сроки от VISA
• Ноябрь 2008
– Классифицировать своих мерчантов по уровням
• 30 сентября 2009
– Убедиться что мерчанты 1 и 2 уровня не сохраняют критичных данных
после авторизации и послать Merchant Compliance Validation Report
• 1 июля 2010
– Вновь подключаемые мерчанты должны использовать PA DSS
сертифицированное программное обеспечение или соответствовать PCI
DSS
• 30 сентября 2010
– Обеспечить полное соответствие PCI DSS провести сертификационный
аудит
• 1 июля 2012
– Все подключенные мерчанты должны использовать PA DSS
сертифицированное программное обеспечение
6. За что обещают штрафовать Банки?
• Ежемесячно:
– За мерчантов 1 и 2 уровня не подтвердивших
соответствие PCI DSS
– За несоответствие PCI DSS
• По факту:
– Нарушение требований программы AIS
– Нарушение требований по отчетности
7. Банки – влияние на бизнес
• Дополнительные расходы на:
– Новое программное обеспечение
– Персонал
– Средства защиты
– Услуги аудиторов и консультантов
– Сетевое и серверное оборудование
• Изменение бизнес-процессов:
– Выпуска и обслуживания карт
– Мониторинга банкоматов
• Изменение ИТ и ИБ сервисов:
– Управление изменениями
– Управление доступом
– …
8. VISA: Мерчанты
Уровен Критерий Требования
ь
1 Любое торгово-сервисное - Ежегодный аудит на соответствие
предприятие, обрабатывающее более требованиям PCI DSS
6 млн. транзакций по Visa в год или - Ежеквартальное сканирование сети
интернациональные ТСП, которым был - Наличие аттестата соответствия
присвоен 1 уровень Visa в другом
регионе или стране
2 ТСП, обрабатывающие от 1 млн. - Ежегодное самостоятельное заполнение
до 6 млн. транзакций по Visa в год (по опросного листа (SAQ)
всем платежным каналам) - Ежеквартальное сканирование сети
- Наличие аттестата соответствия
3 ТСП, обрабатывающие от 20 000 – Ежегодное заполнение SAQ
до 1 млн. транзакций электронной – Ежеквартальное сканирование сети
торговли по Visa в год – Наличие аттестата соответствия
4 ТСП, обрабатывающие менее 20 000 – Рекомендуется ежегодное заполнение SAQ
транзакций электронной торговли по – Ежеквартальное сканирование сети, если
Visa в год, или все другие ТСП, применимо
обрабатывающие до 1 млн. транзакций – Проверка соответствия требованиям,
в год выполняемая эквайером
9. Мерчанты: Сроки от VISA
• 30 сентября 2009
– Мерчантам 1 и 2 уровня перестать сохранять критичные
данные после авторизации
• 1 июля 2010
– Для новых подключений необходимо использовать PA DSS
сертифицированное программное обеспечение или
соответствовать PCI DSS
• 30 сентября 2010
– Мерчантам 1 уровня обеспечить полное соответствие PCI
DSS и провести сертификационный аудит
• 1 июля 2012
– Заменить кассовые решения на PA DSS сертифицированные
10. Мерчанты – влияние на бизнес
• Дополнительные расходы на:
– Новое программное обеспечение
– Персонал
– Средства защиты
– Услуги аудиторов и консультантов
– Сетевое и серверное оборудование
• Изменение ИТ и ИБ сервисов:
– Управление изменениями
– Управление доступом
–…
11. VISA: Сервис провайдеры
Уровень Критерий Требования
1 Все процессоры, – Ежегодный аудит на соответствие
подключенные к VisaNet, или требованиям PCI DSS
любой поставщик услуг, – Ежеквартальное сканирование сети
обрабатывающий более 300 – Наличие аттестата соответствия
000 транзакций в год
2 Любой поставщик услуг, – Ежегодное самостоятельное заполнение
обрабатывающий менее 300 опросного листа
000 транзакций по Visa в год – Ежеквартальное сканирование сети
– Наличие аттестата соответствия
12. Сервис провайдеры: Сроки от VISA
• 30 сентября 2009
– перестать сохранять критичные данные после
авторизации
• 30 сентября 2010
– обеспечить полное соответствие PCI DSS и
провести сертификационный аудит
13. “PCI Compliance: Информационная безопасность в индус
платежных карт”
Семинар компании «Информзащита»
г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky
ВОПРОСЫ ?
Эмм Максим, MBA, QSA, CISA, CIS
Директор Департамента Аудита
(495) 980 23 45
maxus@infosec.ru