Если вы только начинаете свой путь к соблюдению требований PCI, может быть довольно сложно выяснить, где получить информацию. Эта страница не является исчерпывающим списком всех ресурсов, доступных в Интернете для помощи в соблюдении требований PCI DSS. Он действительно содержит ссылки на некоторые из самых полезных ресурсов, которые я нашел за эти годы. Пожалуйста, свяжитесь с нами, если вы считаете, что здесь чего-то существенного не хватает.
Содержание
Совет по стандартам безопасности PCI
Совет по стандартам безопасности индустрии платежных карт (PCI SSC) - это орган, изначально сформированный 5 брендами карт (American Express, Discover, JCB, MasterCard и Visa). Совет, как его иногда называют, отвечает за поддержание стандарта безопасности данных PCI (PCI DSS) и связанных с ним стандартов и программ безопасности.
Стандарт безопасности данных PCI (PCI DSS)
Библиотека документов PCI SSC для текущей версии PCI DSS, v3.2.1, находится здесь. Обратите внимание, что сайт настроен так, чтобы требовать принятия их согласия, прежде чем вы сможете открыть эти документы, поэтому я не могу ссылаться на них напрямую. Важные документы в библиотеке:
Списки поставщиков, утвержденных PCI SSC
Для определенных действий в рамках соответствия PCI вы должны использовать поставщика, утвержденного PCI SSC. К ним относятся ваш аудитор (квалифицированный специалист по оценке безопасности / QSA), поставщик внешнего сканирования ( утвержденный поставщик сканирования / ASV), а в случае нарушения - судебный следователь (PCI Forensic Investigator / PFI ).
PCI SSC также ведет список компаний- сертифицированных интеграторов и торговых посредников (QIR). Это компании, продемонстрировавшие способность правильно внедрять платежные приложения, соответствующие стандарту PCI PA-DSS, на сайтах клиентов. Некоторые бренды карт требуют, чтобы продавцы уровня 4 использовали QIR для развертывания своих платежных приложений, а не доверяли это продавцу.
Каждый из них должен регулярно проходить повторную сертификацию в PCI SSC. Когда вы выбираете поставщика для одной из этих ролей, вы обязаны убедиться, что компания, с которой вы работаете, а в некоторых случаях даже отдельный сотрудник, в настоящее время имеет хорошую репутацию - если нет, то любые предоставляемые ими услуги могут не считается действительным.
Вы также должны убедиться, что данной фирме разрешено предоставлять услуги в вашем регионе. Например, QSA, зарегистрированное только для оказания услуг в Северной Америке, не может проводить аудит компании, работающей в Австралии.
Бренды карт
Карты различных производителей используют собственные программы защиты информации, одной из составных частей которых является PCI DSS. Хотя многие бренды карт ведут глобальные списки утвержденных поставщиков услуг, конкретные требования могут быть переданы на региональный уровень. Возможно, что правила Visa US могут отличаться от правил Visa Europe, поэтому при просмотре их онлайн-рекомендаций всегда стоит проверять, подходит ли оно для вашего конкретного региона.
MasterCard
Программа защиты информации MasterCard известна как Программа защиты данных сайта MasterCard (SDP). Он основан на стандарте PCI DSS и определяет уровни соответствия, такие как конкретные уровни продавца и поставщика услуг.
Одним из ключевых требований является то, что все продавцы и поставщики услуг, которые используют сторонние платежные приложения, должны использовать приложения, соответствующие Стандарту безопасности данных платежных приложений индустрии платежных карт (PCI PA-DSS).
Как и другие бренды карт, MasterCard ведет список поставщиков услуг, успешно прошедших аудит уровня 1 стандарта PCI DSS за последний год.
Visa
Программа информационной безопасности Visa известна как Программа информационной безопасности держателей карт Visa. Он основан на стандарте PCI DSS и определяет уровни соответствия, такие как конкретные уровни продавца и поставщика услуг.
Как и другие бренды карт, Visa ведет доступный для поиска список поставщиков услуг, которые успешно прошли аудит уровня 1 стандарта PCI DSS в течение последнего года.
Блоги
Есть ряд блогов, созданных членами сообщества PCI, включая сам PCI SSC.
Совет по стандартам безопасности PCI
Блог PCI SSC называется PCI Perspectives. Это и анонсированный блог, и советы по достижению и поддержанию соответствия с точки зрения самих PCI SSC.
QSA блоги
Некоторые PCI QSA ведут собственные блоги. Новичков в соблюдении требований PCI часто ставят в тупик из-за некоторых требований, когда ваш QSA может не счесть интуитивный подход к решению вопроса достаточным. В этих QSA-блогах часто исследуются причины некоторых менее интуитивных интерпретаций PCI DSS, и за ними стоит следить.
Учитывая, что здесь все официальные сообщения от PCI SSC и относительно небольшой объем, на этот канал стоит подписаться. Большая часть представленного здесь материала на самом деле больше нацелена на работу программ повышения осведомленности о безопасности, таких как мультфильмы, показывающие, каковы 12 основных требований PCI DSS или как выбрать надежный пароль. Так что, если вы ищете материал для включения в программу повышения осведомленности о безопасности вашей компании, вы вполне можете найти что-нибудь здесь.
Дискуссионные форумы
Reddit
Хотите верьте, хотите нет, но соответствие стандарту PCI дошло до Reddit. На самом деле существует два отдельных субреддита, посвященных вопросам соответствия PCI:
Есть также некоторые другие субреддиты, которые не относятся к PCI, но охватывают темы, которые вам нужно решить для соответствия PCI:
Каналы IRC
Во времена, когда еще не было Slack, у нас был IRC. Если вы хотите обсудить тему безопасности или соответствия, рассмотрите ## CompSec, где группа аудиторов и администраторов безопасности тусуется , обсуждая эти вопросы.
Форум блога PCI
В блоге PCI также есть дискуссионный веб-форум, зарегистрироваться на который может бесплатно любой желающий. Один из их форумов - «Задайте QSA», где вы можете задать вопросы непосредственно квалифицированному специалисту PCI QSA.
Команда мечты PCI
PCI Dream Team - это название, принятое группой QSA, которые регулярно проводят открытые панельные сессии для обсуждения различных вопросов соответствия PCI DSS. Это хороший форум для получения ответов на ваши вопросы от профессионалов и даже для получения нескольких предложений по некоторым из наиболее сложных случаев.
Архивы их сессий доступны для прослушивания в Интернете, и мы поддерживаем их локальный индекс.
Отчет о безопасности платежей Verizon
Это хорошо известный ресурс, который регулярно упоминается в обсуждениях соответствия стандарту PCI DSS.
Verizon имеет обширную консультационную службу по вопросам безопасности и с 2009 года активно проводит PCI QSA. Ежегодно они используют объем информации, собранной за год, для публикации бесплатного отчета о состоянии безопасности платежей. Эти годовые снимки детализируют процентные уровни соответствия (на месте / не на месте / используемый компенсирующий контроль) для каждого под требования PCI DSS, а также соотносят их с каждым расследуемым нарушением.
Поскольку Verizon выполняет множество аудитов и расследований, мы можем эффективно рассматривать отчет как прокси для отраслевых ключевых показателей эффективности.
Содержание
- 1. Совет по стандартам безопасности PCI
- 1.1 Стандарт безопасности данных PCI (PCI DSS)
- 1.2 Списки поставщиков, утвержденных PCI SSC
- 2. Бренды карт
- 2.1 MasterCard
- 2.2 Виза
- 3 блога
- 3.1 Совет по стандартам безопасности PCI
- 3.2 Блоги QSA
- 4. YouTube
- 5. Дискуссионные форумы
- 5.1 Reddit
- 5.2 Каналы IRC
- 5.3 Форум блога PCI
- 6. Команда мечты PCI
- 7. Отчет о безопасности платежей Verizon
Совет по стандартам безопасности PCI
Совет по стандартам безопасности индустрии платежных карт (PCI SSC) - это орган, изначально сформированный 5 брендами карт (American Express, Discover, JCB, MasterCard и Visa). Совет, как его иногда называют, отвечает за поддержание стандарта безопасности данных PCI (PCI DSS) и связанных с ним стандартов и программ безопасности.
Стандарт безопасности данных PCI (PCI DSS)
Библиотека документов PCI SSC для текущей версии PCI DSS, v3.2.1, находится здесь. Обратите внимание, что сайт настроен так, чтобы требовать принятия их согласия, прежде чем вы сможете открыть эти документы, поэтому я не могу ссылаться на них напрямую. Важные документы в библиотеке:
- PCI DSS - сам стандарт безопасности. В нем изложены основные требования для соответствия организации требованиям PCI DSS.
- Шаблон отчета PCI DSS ROC - шаблон отчета, который аудитор заполняет, если вы подлежите проверке на месте. В этом шаблоне содержится более подробная информация о том, что необходимо для демонстрации соответствия, чем в самом стандарте PCI DSS. На практике при разработке программы соответствия PCI вам следует работать с шаблоном отчетности ROC.
- Инструмент приоритетного подхода - инструмент для работы с электронными таблицами, разработанный, чтобы помочь вам на пути к соответствию требованиям PCI DSS. Обратите внимание: хотя это может помочь вам определить области, в которых следует сосредоточиться на использовании подхода, основанного на оценке риска, вы должны выполнить все требования PCI DSS, чтобы быть признанными соответствующими. Этот инструмент просто помогает вам получить максимальную рентабельность инвестиций с точки зрения PCI SSC на ранних этапах процесса.
Списки поставщиков, утвержденных PCI SSC
Для определенных действий в рамках соответствия PCI вы должны использовать поставщика, утвержденного PCI SSC. К ним относятся ваш аудитор (квалифицированный специалист по оценке безопасности / QSA), поставщик внешнего сканирования ( утвержденный поставщик сканирования / ASV), а в случае нарушения - судебный следователь (PCI Forensic Investigator / PFI ).
PCI SSC также ведет список компаний- сертифицированных интеграторов и торговых посредников (QIR). Это компании, продемонстрировавшие способность правильно внедрять платежные приложения, соответствующие стандарту PCI PA-DSS, на сайтах клиентов. Некоторые бренды карт требуют, чтобы продавцы уровня 4 использовали QIR для развертывания своих платежных приложений, а не доверяли это продавцу.
Каждый из них должен регулярно проходить повторную сертификацию в PCI SSC. Когда вы выбираете поставщика для одной из этих ролей, вы обязаны убедиться, что компания, с которой вы работаете, а в некоторых случаях даже отдельный сотрудник, в настоящее время имеет хорошую репутацию - если нет, то любые предоставляемые ими услуги могут не считается действительным.
Вы также должны убедиться, что данной фирме разрешено предоставлять услуги в вашем регионе. Например, QSA, зарегистрированное только для оказания услуг в Северной Америке, не может проводить аудит компании, работающей в Австралии.
Бренды карт
Карты различных производителей используют собственные программы защиты информации, одной из составных частей которых является PCI DSS. Хотя многие бренды карт ведут глобальные списки утвержденных поставщиков услуг, конкретные требования могут быть переданы на региональный уровень. Возможно, что правила Visa US могут отличаться от правил Visa Europe, поэтому при просмотре их онлайн-рекомендаций всегда стоит проверять, подходит ли оно для вашего конкретного региона.
MasterCard
Программа защиты информации MasterCard известна как Программа защиты данных сайта MasterCard (SDP). Он основан на стандарте PCI DSS и определяет уровни соответствия, такие как конкретные уровни продавца и поставщика услуг.
Одним из ключевых требований является то, что все продавцы и поставщики услуг, которые используют сторонние платежные приложения, должны использовать приложения, соответствующие Стандарту безопасности данных платежных приложений индустрии платежных карт (PCI PA-DSS).
Как и другие бренды карт, MasterCard ведет список поставщиков услуг, успешно прошедших аудит уровня 1 стандарта PCI DSS за последний год.
- Программа защиты данных сайта MasterCard
- MasterCard Merchant PCI Compliance Requirements - определяет требования для торговцев уровня 1, 2, 3 и 4.
- Требования к поставщику услуг MasterCard PCI Compliance Requirements - определяют требования для поставщиков услуг уровня 1 и 2.
- Список поставщиков услуг, соответствующих стандарту MasterCard PCI DSS
Visa
Программа информационной безопасности Visa известна как Программа информационной безопасности держателей карт Visa. Он основан на стандарте PCI DSS и определяет уровни соответствия, такие как конкретные уровни продавца и поставщика услуг.
Как и другие бренды карт, Visa ведет доступный для поиска список поставщиков услуг, которые успешно прошли аудит уровня 1 стандарта PCI DSS в течение последнего года.
- Программа защиты информации о держателях карт Visa для продавцов
- Программа защиты информации о держателях карт Visa для партнеров
- Поставщики услуг, совместимые с Visa PCI DSS
Блоги
Есть ряд блогов, созданных членами сообщества PCI, включая сам PCI SSC.
Совет по стандартам безопасности PCI
Блог PCI SSC называется PCI Perspectives. Это и анонсированный блог, и советы по достижению и поддержанию соответствия с точки зрения самих PCI SSC.
- Перспективы PCI на Совете по стандартам безопасности PCI
QSA блоги
Некоторые PCI QSA ведут собственные блоги. Новичков в соблюдении требований PCI часто ставят в тупик из-за некоторых требований, когда ваш QSA может не счесть интуитивный подход к решению вопроса достаточным. В этих QSA-блогах часто исследуются причины некоторых менее интуитивных интерпретаций PCI DSS, и за ними стоит следить.
- PCI Guru - Джеффри Холл, пишущий как PCIGuru , является хорошо известным и уважаемым QSA. Он опубликовал хорошие подробные сообщения по различным техническим темам, а несколько лет назад опубликовал образец конструкции Ultra Secure Network .
- PCI Ramblings - поддерживается Уэйном Мерфи, в этом блоге есть несколько чрезвычайно подробных сообщений по темам, включая управление областью соответствия при использовании общих служб, таких как Microsoft Active Directory.
- Блог PCI - предоставляет множество ресурсов, включая новостную ленту PCI DSS, списки бесплатного и коммерческого программного обеспечения для упрощения соблюдения нормативных требований и форумы для обсуждения.
- thePCI Portal - написанный Шоном Лукащуком, содержит в основном короткие статьи, комментирующие текущие темы PCI, а также ссылки на новости, представляющие интерес для сообщества PCI.
- Бранден Уильямс - консультант по ИТ-безопасности, который пишет на различные темы, включая PCI. Следует отметить, что он также написал инструмент, который может оценить способность самого PCI SSC приносить доход!
- Фрауд о мошенничестве - Дэвид Фрауд - консультант по безопасности, который пишет на различные темы, связанные с безопасностью платежей. Его эссе, как правило, уделяют особое внимание вопросам управления, выходя за рамки технических гаек и болтов операционной безопасности.
YouTube
PCI SSC поддерживает собственный канал YouTube, полный созданного ими контента. Учитывая, насколько важно соблюдение PCI DSS для многих предприятий, количество подписчиков на этот канал удручающе мало. Несмотря на это, они продолжают регулярно публиковать новый контент, поэтому кто-то решил, что это стоит финансировать в качестве разъяснительной работы.Учитывая, что здесь все официальные сообщения от PCI SSC и относительно небольшой объем, на этот канал стоит подписаться. Большая часть представленного здесь материала на самом деле больше нацелена на работу программ повышения осведомленности о безопасности, таких как мультфильмы, показывающие, каковы 12 основных требований PCI DSS или как выбрать надежный пароль. Так что, если вы ищете материал для включения в программу повышения осведомленности о безопасности вашей компании, вы вполне можете найти что-нибудь здесь.
- Канал PCI SSC на YouTube - материалы по безопасности и записи отраслевых мероприятий
Дискуссионные форумы
Хотите верьте, хотите нет, но соответствие стандарту PCI дошло до Reddit. На самом деле существует два отдельных субреддита, посвященных вопросам соответствия PCI:
- / r / pcicompliance - из двух он более активен и имеет большее сообщество пользователей. У него также есть Wiki, хотя он нуждается в некоторых обновлениях.
- / r / pci - меньшая громкость, но все же стоит поискать, если вы хотите узнать, есть ли уже ответ на вопрос. Эта субмарина на самом деле более старая из двух.
Есть также некоторые другие субреддиты, которые не относятся к PCI, но охватывают темы, которые вам нужно решить для соответствия PCI:
- / r / netsec - Новости и обсуждения информационной безопасности
- / r / sysadmin - Довольно много работы по обеспечению соответствия стандарту PCI DSS ложится на системных администраторов и сетевых инженеров.
- / r / SOC2 и / r / HIPAA - компании, занимающиеся вопросами соответствия PCI, часто также подвергаются одному из этих аудитов, в зависимости от их отрасли.
Каналы IRC
Во времена, когда еще не было Slack, у нас был IRC. Если вы хотите обсудить тему безопасности или соответствия, рассмотрите ## CompSec, где группа аудиторов и администраторов безопасности тусуется , обсуждая эти вопросы.
- ## CompSec на irc.freenode.org
Форум блога PCI
В блоге PCI также есть дискуссионный веб-форум, зарегистрироваться на который может бесплатно любой желающий. Один из их форумов - «Задайте QSA», где вы можете задать вопросы непосредственно квалифицированному специалисту PCI QSA.
- PCI Blog Forums - список всех форумов
- Задайте вопрос QSA
Команда мечты PCI
PCI Dream Team - это название, принятое группой QSA, которые регулярно проводят открытые панельные сессии для обсуждения различных вопросов соответствия PCI DSS. Это хороший форум для получения ответов на ваши вопросы от профессионалов и даже для получения нескольких предложений по некоторым из наиболее сложных случаев.
Архивы их сессий доступны для прослушивания в Интернете, и мы поддерживаем их локальный индекс.
- Команда PCI Dream - подробнее
- Список эпизодов PCI Dream Team
Отчет о безопасности платежей Verizon
Это хорошо известный ресурс, который регулярно упоминается в обсуждениях соответствия стандарту PCI DSS.
Verizon имеет обширную консультационную службу по вопросам безопасности и с 2009 года активно проводит PCI QSA. Ежегодно они используют объем информации, собранной за год, для публикации бесплатного отчета о состоянии безопасности платежей. Эти годовые снимки детализируют процентные уровни соответствия (на месте / не на месте / используемый компенсирующий контроль) для каждого под требования PCI DSS, а также соотносят их с каждым расследуемым нарушением.
Поскольку Verizon выполняет множество аудитов и расследований, мы можем эффективно рассматривать отчет как прокси для отраслевых ключевых показателей эффективности.
- Отчет Verizon по безопасности платежей - ключевые показатели эффективности для соответствия стандарту PCI DSS
