Здавалка
Главная | Обратная связь

Общие сведения о стандарте PCI DSS




Стандарт безопасности данных индустрии платежных карт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационной инфраструктуре торгово-сервисных предприятий, сервис-провайдеров и других организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платежных карт.

Состав [3] и описание официальных поддерживающих документов стандарта PCI DSS:

1) Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0 (Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0).
В документе детально описаны 12 требований стандарта, область их применимости, основные сведения по подготовке к аудиту соответствия требованиям стандарта и проведению аудита, а также сведения по написанию отчетных материалов. Документ разработан преимущественно для использования аудиторами, проводящими onsite-аудит на соответствие требованиям стандарта.

2) Глоссарий. Версия 2.0 (Glossary v2.0).
Перечень терминов и сокращений, используемых в нормативной документации PCI DSS. Предназначен для понимания терминов, используемых в других поддерживающих документах и поэтому рекомендуется Заказчику для ознакомления.

3) Ориентирование в PCI DSS. Версия 2.0 (Navigating the PCI DSS. Version 2.0).
Документ, в котором описываются 12 требований стандарта с пояснением их значений в целях улучшения понимания требований стандарта предприятиями торгово-сервисной сети, сервис-провайдерами и другими финансовыми учреждениями.

4) Приоритезированный подход к достижению соответствия PCI DSS. Версия 1.2 (Prioritized Approach for PCI DSS v1.2).
Правила работ для уменьшения рисков на ранних стадиях мероприятий по достижению соответствия стандарту. Приоритезированный подход состоит из 6 этапов, которые в порядке приоритета помогут распределить усилия по достижению соответствия, снизят риск компрометации данных о платежных картах в процессе выполнения. Подход не заменяет требования стандарта PCI DSS v2.0.

5) Требования, предъявляемые к квалифицированным экспертам безопасности (PCI DSS Validation Requirements for Qualified Security Assessors).
Приложение, в котором содержатся требования, предъявляемые Советом по стандартам безопасности платежных карт экспертам безопасности, получающим или уже имеющим статус квалифицированного эксперта безопасности (QSA).

6) Требования, предъявляемые к поставщикам услуг сканирования (PCI DSS Validation Requirements for Approved Scanning Vendors).
Приложение, в котором содержатся требования, предъявляемые Советом по стандартам безопасности платежных карт экспертам безопасности, получающим или уже имеющим поставщика услуг сканирования (ASV).

7) Листы самооценки. Версия 2.0 (PCI DSS Self-Assessment Questionnaire v2.0).
Листы самооценки предназначены для организации проведения самооценки торгово-сервисными предприятиями и сервис-провайдерами их соответствия стандарту и представляют собой средства проверки соответствия финансовой организации стандарту PCI DSS согласно документу «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0» («Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0»). Существуют несколько вариантов листа самоооценки, которые используются в том или ином случае.

8) Аттестация соответствия PCI DSS – торговые организации. Версия 2.0 (PCI DSS Attestation of Compliance – Merchants v2.0).
Шаблон документа, который заполняется QSA или торговой организацией (в случае, если торговая организация осуществляет внутренний аудит), и в результате является официальным документом о соответствии данной организации стандарту PCI DSS.

9) Аттестация соответствия PCI DSS – сервис-провайдеры. Версия 2.0 (PCI DSS Attestation of Compliance – Service Providers v2.0).
Шаблон документа, который должны заполнить QSA и сервис-провайдер в качестве официального документа о соответствии данного сервис-провайдера стандарту PCI DSS.

Дополнительная документация:

1) Дополнительные документы – ASV (Additional Documents — ASV).
Набор документации для поставщиков услуг сканирования (ASV): руководство по программе ASV, список требований ASV, проверка соответствия статусу ASV.

2) Дополнительные документы – QSA (Additional Documents — QSA).
Набор документации для квалифицированных экспертов безопасности (QSA): соглашение QSA, список требований QSA.

3) Дополнительные документы – PFI (Additional Documents — PFI).
Набор документации для экспертов-криминалистов в индустрии платежных карт (PFI): руководство по программе PFI, список требований PFI, проверка соответствия статусу PFI. Статус эксперта-криминалиста в платежной индустрии введен Советом PCI SSC со второй версией стандарта PCI DSS.

4) Требование 11.3 Тестирование на проникновение (Requirement 11.3 Penetration Testing).
Подробное описание требования 11.3 стандарта PCI DSS к проведению тестирований на проникновение.

5) Требование 6.6 Защита веб-приложений (Requirement 6.6 Application Reviews and Web Application Firewalls Clarified).
Уточнение к требованию 6.6 стандарта PCI DSS к обеспечению защиты веб-приложений.

6) Руководство по беспроводным сетям. Версия 1.2 (Wireless Guidelines v1.2)
Документ содержит предложения и рекомендации для развертывания и тестирования беспроводных сетей в контексте требований стандарта PCI DSS.

Разработчик стандарта не уделяет внимание процедуре структуризации своей документационной базы. Консультант должен определить взаимосвязь официальных документов с целью разработки методологической базы проведения аудита. Рисунок 1 содержит схему, отражающую подчиненность официальных документов стандарта PCI DSS.

 

Рисунок 1 – Подчиненность официальных документов стандарта PCI DSS







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.