PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Мифы о PCI DSS

Стандарт PCI DSS, содержащий 12 разделов c требованиями по обеспечению безопасности данных о держателях карт при их хранении, обработке и передаче, отражает большинство лучших практик для поддержания должного уровня безопасности критичной информации. ТСП и сервис-провайдерам работа по приведению в соответствие может показаться пугающей, особенно в случае, когда в компании отсутствует служба ИБ или ИТ, способная указать, что требуется и что не требуется. Усложняет ситуацию то, что некоторые вендоры, продающие свои продукты и услуги, позиционируют их в более широком контексте.

Совет PCI SSC сформировал ряд мифов о стандарте PCI DSS, часть которых приведена ниже, для того, чтобы помочь компаниям оптимизировать процессы защиты данных о держателях карт и обеспечить соответствие стандарту и выполнение его основных целей, среди которых:

  • Построение и поддержание безопасной сети;
  • Защита данных о держателях карт;
  • Поддержание процесса управления уязвимостями;
  • Внедрение процедуры контроля доступа;
  • Регулярный мониторинг и тестирование сетей;
  • Поддержание Политики информационной безопасности.

Один вендор и продукт позволят достичь соответствия

Многие разработчики предлагают спектр программных продуктов и сервисов для достижения соответствия требованиям PCI DSS. Однако ни один из них не удовлетворяет всем 12 разделам стандарта. Когда маркетинг обращает внимание на одну функцию продукта, не учитывая другие требования PCI DSS, результат «верного решения» может создать впечатление, что выбранный продукт позволяет достичь соответствия, хотя в действительности он дает возможность выполнить требования только одного или нескольких разделов. Поэтому Совет PCI DSS рекомендует торгово-сервисным предприятиям, сервис-провайдерам и процессинговым центрам избегать фокусирования на одном продукте для защиты информации и достижения PCI DSS соответствия. Вместо этого следует выработать единую стратегию безопасности, которая позволит увидеть всю картину целей, на которые направлены требования стандарта PCI DSS. Подобный подход учитывает не только технологии, но и сотрудников компании, и процессы, протекающие в ней.

Аутсорсинговый процессинг карт позволяет достичь соответствия

Аутсорсинг упрощает процессинг платежных карт, но не позволяет автоматически достичь соответствия. Не следует забывать учитывать политики и процедуры осуществления транзакций и обработки данных. Информация о держателях карт должна быть защищена не только в том случае, когда вы ее получаете, но и в случае отмены или возврата платежа. Также следует удостовериться, что платежные приложения и терминалы соответствуют PCI стандартам и не хранят критичные аутентификационные данные. Необходимо ежегодно запрашивать у всех у поставщиков услуг подтверждение их соответствия.

Достижение соответствия PCI DSS – это IT-проект

IT-персонал отвечает за реализацию технических и эксплуатационных аспектов в отношений платежных систем, но соответствие - это намного больше, чем проект, имеющий начальную и завершающую стадии - это непрерывный процесс оценивания, корректировки и информирования. Риски компрометации являются и финансовыми, и репутационными, поэтому они оказывают влияние на всю компанию в целом. Необходимо удостовериться, что политики и процедуры, существующие в компании, применимы к процессу подтверждения платежей и бизнес-процессам обработки транзакций.

PCI DSS защитит нас

Успешное проведение сканирования системы или прохождение PCI DSS аудита – это отражение состояния инфраструктуры на определенный момент времени. Эксплойты совершенствуются и становятся более грамотными с каждым днем, вот почему поддержание соответствие PCI DSS должно быть непрерывным процессом проведения оценки и внесения изменений для обеспечения уверенности в том, что данные о держателях карт надежно защищены.

PCI DSS – необоснован; он требует слишком многого

В большинстве аспектов стандарта PCI DSS отражены наилучшие практики в области безопасности. Стандарт также допускает использование компенсирующих мер для большого количества требований. Возможности и гибкость стандарта позволяют взглянуть на него как на эффективный инструмент защиты критичных аутентификационных данных.

Недостаточное количество транзакций для прохождения процедуры соответствия

Соответствие требованиям PCI DSS необходимо для любой организации, которая принимает платежные карты даже в случае проведения всего лишь одной транзакции.

Заполнение листа самооценки означает соответствие стандарту

Лист самооценки – средство подтверждения соответствия для ряда ТСП и сервис-провайдеров, которым разрешено проведение самооценки. Документ отражает состояние инфраструктуры на момент проведения самооценки и ASV-сканирования. Но даже одно изменение в системе может мгновенно привести к несоответствию. Для поддержания должного уровня безопасности данных о держателях карт проведение оценки должно быть непрерывным и сопровождаться внесением изменений в случае необходимости для того, чтобы максимально снизить вероятность брешей в безопасности.

PCI DSS требует хранить данные о держателях карт

Как PCI DSS, так и МПС не одобряют хранение ТСП и сервис-провайдерами данных о держателях карт. Хранение информации магнитной полосы, находящейся на обратной стороне платежной карты, или ее чипового эквивалента не только не является необходимым, но и запрещено . В случае бизнес-необходимости ТСП или процессинговые центры могут хранить информацию лицевой стороны карты, такую как имя держателя карты и PAN, при этом перечисленные данные должны быть защищены , и PAN должны быть зашифрованы или нечитаемы.

PCI DSS – это слишком сложно

Понимание и выполнение 12 разделов стандарта PCI DSS может показаться пугающим особенно для ТСП при отсутствии достаточно большого подразделения ИБ или ИТ. Однако PCI DSS главным образом призывает к созданию основы безопасности. Даже если прямых требований к достижению PCI соответствия нет, лучшие практики безопасности, содержащиеся в стандарте, являются основными шагами для компаний, которые хотели бы защитить критичные данные и обеспечить непрерывность бизнеса. Существует множество продуктов и сервисов, способствующих выполнению требований безопасности и достижению PCI соответствия. Когда говорят, что PCI DSS – это слишком сложно, многие имеют ввиду, что это не дешево. Однако бизнес-риски и стоимость несоответствия могут серьезно превысить затраты на внедрение PCI DSS (штрафы, судебные сборы, уменьшение прибыли и, особенно, потеря бизнеса). Внедрение PCI DSS должно быть частью основной корпоративной стратегии безопасности, которая требует отражения этих действий в бизнес-плане и бюджете.

соответствие | стандарт | pci ssc | pci dss
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры