Hacker
Professional
- Messages
- 1,044
- Reaction score
- 822
- Points
- 113
PCI DSS существует с целью защиты данных платежных карт. Но это большая задача, и в прошлом разные компании решали ее по-разному. Чтобы сделать это более управляемым, PCI DSS ставит шесть целей высокого уровня для безопасности данных карт. Эти цели затем подразделяются на двенадцать требований PCI DSS, с которыми вы, вероятно, знакомы.
Эти двенадцать требований поддерживают шесть целей более высокого уровня и работают вместе для защиты данных счета платежной карты. Эти требования являются движущей силой любой программы соответствия PCI DSS, через которую вы проходите.
Когда вы читаете индивидуальные требования, они могут показаться довольно простыми. «Ограничить физический доступ к данным держателей карт». Или «Регулярно тестируйте системы и процессы безопасности». Но, как всегда, дьявол кроется в деталях. Каждое требование разбито на множество дополнительных требований, и именно они в конечном итоге оцениваются.
Сопоставление целей с двенадцатью требованиями PCI DSS
В следующей таблице шесть целей PCI DSS соотносятся с двенадцатью требованиями. Обратите внимание, что распределение неравномерно: цель поддержания политики информационной безопасности имеет одно требование, тогда как реализация строгих мер контроля доступа поддерживается тремя требованиями.
Как оценивается соответствие требованиям?
Никто не оценивается напрямую по требованиям в том виде, в котором они написаны. То есть никто просто не должен отвечать на вопрос «Есть ли у вас Политика информационной безопасности для всего персонала?» Вместо этого с каждым дополнительным требованием связана определенная процедура тестирования. Эта процедура тестирования варьируется в зависимости от того, выполняете ли вы опрос на самооценку или проходите полную оценку с использованием QSA.
Точные дополнительные требования, которые вы должны выполнить, зависят от вашего уровня и типа экзамена, который вы проходите. В зависимости от типа вашего бизнеса они могут сильно различаться. Провайдер услуг уровня 1 должен будет выполнить около 250 отдельных процедур тестирования по всем 12 требованиям в рамках QSA. Должно быть обнаружено, что каждый из них либо присутствует (возможно, с CCW), либо н / д.
Между тем, мерчант, имеющий право использовать SAQ A, сталкивается с совершенно иной ситуацией. Во-первых, им разрешено проводить самооценку, а не использовать QSA. Во-вторых, в то время как PCI DSS имеет 12 требований, SAQ A охватывает только 2 из них.
Даже в этом ограниченном случае набор элементов для тестирования по требованию представляет собой небольшое подмножество полных процедур тестирования. Для требования 12 SAQ A требует, чтобы раздел 12.8 вообще был протестирован. Обоснование этого? Любой, кто имеет право использовать SAQ A, передал все свои обязанности по стандарту PCI DSS поставщику услуг. Таким образом, требование PCI состоит в том, чтобы обеспечить наличие соответствующих процессов для управления поставщиками услуг.
ОЛС A Требование 12.
Как показано на изображении, набор процедур тестирования PCI DSS можно значительно сократить, если полностью передать обработку карты на аутсорсинг.
Эти двенадцать требований поддерживают шесть целей более высокого уровня и работают вместе для защиты данных счета платежной карты. Эти требования являются движущей силой любой программы соответствия PCI DSS, через которую вы проходите.
Когда вы читаете индивидуальные требования, они могут показаться довольно простыми. «Ограничить физический доступ к данным держателей карт». Или «Регулярно тестируйте системы и процессы безопасности». Но, как всегда, дьявол кроется в деталях. Каждое требование разбито на множество дополнительных требований, и именно они в конечном итоге оцениваются.
Сопоставление целей с двенадцатью требованиями PCI DSS
В следующей таблице шесть целей PCI DSS соотносятся с двенадцатью требованиями. Обратите внимание, что распределение неравномерно: цель поддержания политики информационной безопасности имеет одно требование, тогда как реализация строгих мер контроля доступа поддерживается тремя требованиями.
| Задача | # | Требование |
|---|---|---|
| Создавайте и поддерживайте безопасную сеть и системы | 1 | Установите и поддерживайте конфигурацию брандмауэра для защиты данных о держателях карт |
| 2 | Не используйте заводские настройки по умолчанию для системных паролей и других параметров безопасности. | |
| Защитить данные держателей карт | 3 | Защитите сохраненные данные о держателях карт |
| 4 | Шифрование передачи данных о держателях карт в открытых общедоступных сетях | |
| Поддерживайте программу управления уязвимостями | 5 | Защитите все системы от вредоносных программ и регулярно обновляйте антивирусное программное обеспечение или программы |
| 6 | Разрабатывать и поддерживать безопасные системы и приложения | |
| Реализуйте строгие меры контроля доступа | 7 | Ограничить доступ к данным о держателях карт по служебной необходимости |
| 8 | Идентифицировать и подтверждать доступ к системным компонентам | |
| 9 | Ограничить физический доступ к данным держателей карт | |
| Регулярно отслеживайте и тестируйте сети | 10 | Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт |
| 11 | Регулярно тестируйте системы и процессы безопасности | |
| Поддерживать политику информационной безопасности | 12 | Поддерживать политику, направленную на обеспечение информационной безопасности всего персонала. |
Как оценивается соответствие требованиям?
Никто не оценивается напрямую по требованиям в том виде, в котором они написаны. То есть никто просто не должен отвечать на вопрос «Есть ли у вас Политика информационной безопасности для всего персонала?» Вместо этого с каждым дополнительным требованием связана определенная процедура тестирования. Эта процедура тестирования варьируется в зависимости от того, выполняете ли вы опрос на самооценку или проходите полную оценку с использованием QSA.
Точные дополнительные требования, которые вы должны выполнить, зависят от вашего уровня и типа экзамена, который вы проходите. В зависимости от типа вашего бизнеса они могут сильно различаться. Провайдер услуг уровня 1 должен будет выполнить около 250 отдельных процедур тестирования по всем 12 требованиям в рамках QSA. Должно быть обнаружено, что каждый из них либо присутствует (возможно, с CCW), либо н / д.
Между тем, мерчант, имеющий право использовать SAQ A, сталкивается с совершенно иной ситуацией. Во-первых, им разрешено проводить самооценку, а не использовать QSA. Во-вторых, в то время как PCI DSS имеет 12 требований, SAQ A охватывает только 2 из них.
| # | Требование |
|---|---|
| 9 | Ограничить физический доступ к данным держателей карт |
| 12 | Поддерживать политику, направленную на обеспечение информационной безопасности всего персонала. |
ОЛС A Требование 12.
Как показано на изображении, набор процедур тестирования PCI DSS можно значительно сократить, если полностью передать обработку карты на аутсорсинг.
