Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Введение в проблематику PA-DSS Стандарт PA-DSS: безопасность платежных приложений Семинар.

Презентация:



Advertisements
Похожие презентации
Владимир Кузнецов Старший аудитор PA-DSS: Практика. Типовые задачи и способы их решения. Стандарт PA-DSS: безопасность платежных приложений Москва,
Advertisements

1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.
Бабенко Алексей старший аудитор описание применение соответствие «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата,
Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.
Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Как выполнить требования регуляторов по защите среды виртуализации в государственных информационных системах и при обработке персональных данных ИНФОФОРУМ-2013.
© ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Обеспечили.
Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.
ПРЕДЛОЖЕНИЕ ОАО «РОСТЕЛЕКОМ» ПЛАТЕЖНОМУ СООБЩЕСТВУ И БАНКУ РОССИИ.
Практика применения EMV-технологий в России и мире.
ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.
ВИРТУАЛИЗАЦИЯ: ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ CSO Summit 2010 Москва, Конгресс-центр МТУСИ, 23 МАРТА 2010 Генеральный директор ООО.
РАЗРАБОТКА КРИПТОГРАФИЧЕСКОГО МОДУЛЯ, ПРЕДОСТАВЛЯЮЩЕГО УСЛУГИ ШИФРОВАНИЯ С ИСПОЛЬЗОВАНИЕМ ФУНКЦИОНАЛА SIM КАРТЫ МОБИЛЬНОГО ТЕЛЕФОНА. Автор проекта: Карпов.
Коробочное решение для защиты электронного документооборота Андрей ШАРОВ Электронные Офисные Системы 2007.
Александр Митрохин Руководитель направления ИБ Автоматизированный контроль за выполнением требований ИБ.
Решение задач защиты информации в виртуализированных средах и приведения систем в соответствие с законодательством и мировыми стандартами Круглый стол.
VGate сертифицированная защита виртуальной инфраструктуры ТРЕТИЙ РОССИЙСКИЙ ПАРТНЕРСКИЙ ФОРУМ VMWARE МАРТА 2010, МОСКВА Менеджер по развитию продуктов.
Система по приему платежей ТАУЛИНК. ТАУЛИНК Краткая история Компании: ТОО «ТАУЛИНК» начало свою деятельность в Республике Казахстан 30 мая 2006, осуществив.
ЦЕЛЬ Обеспечение процессов оплаты товаров и услуг.
Транксрипт:

Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Введение в проблематику PA-DSS Стандарт PA-DSS: безопасность платежных приложений Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky

PA-DSS: Причины появления Невозможность или сложность выполнения требований PCI DSS –Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением –Невозможность удалить/вычистить TRACK,CVC2/CVV2 из архивов –Хранение номеров карт (PAN) в открытом виде –Отказ поддержки вендором приложения патчей на СУБД

Серебряная пуля PCI DSS Реализация переложена на разработчиков: –Все применимые к прикладному уровню требования PCI DSS –Возможность работы приложения в PCI DSS- compliant среде –Контроль уровня безопасности приложения –Решение проблемы совместимости с обновлениями безопасности платформ

PA-DSS: краткая информация Основная цель – поддержка реализации PCI DSS Является прямым наследником VISA PABP Дата рождения: апрель 2008 Разработчик – PCI Security Standards Council (PCI SSC) Ориентирован на разработчиков платежных приложений Форма подтверждения соответствия – сертификация Сертификацию проводит компания, имеющий статус PA QSA

Что сертифицировать? Подлежит сертификации, если: –Обрабатывает номера карт (PAN) в рамках авторизации/расчетов –Разрабатываются на продажу, не являются разовой заказной разработкой Основные виды сертифицируемого ПО –ПО процессинга (front-office, back-office (расчеты), middleware/switching) –ПО для банкоматов –ПО для POS-терминалов –ПО для поддержки электронной коммерции –ПО мобильной коммерции Исключение: отдельно стоящие POS терминалы, если: –подключены напрямую к эквайеру –не хранят данных платежных карт –обновляются разработчиком ПО

Поддержка сертификации Сертифицируется конкретная версия приложения Срок действия сертификата – 3 года При обновлении приложения необходима досертификация Процедура зависит от характера вносимых изменений Затронуты вопросы безопасности или реализация платежного процесса ? «НЕТ» - подтверждение от аудитора факта отсутствия влияния «ДА» - проведение сертификационных проверок (их части)

Зачем сертифицировать? Внедрение PA-DSS реализуют МПС независимо друг от друга Требования по внедрению направлены на членов МПС Обязательные сроки перехода на PA-DSS сертифицированные приложения от Visa Inc.: –С 1 июля 2010г - Новые мерчанты обязаны соответствовать PCI DSS или использовать PA-DSS сертифицированное ПО –до 1 июля 2012 г - Эквайеры обязаны удостовериться, что все мерчанты и агенты используют PA-DSS сертифицированное ПО

Рынок сертифицированного ПО Более 150 вендоров имеют сертификат PA-DSS* Около 700 сертифицированных приложений 60% приложений – «POS-related» Основной поток сертификации начался в 2009г Сертифицированное ПО процессинга (из любимых в России): Base24, Way4, Tranzware Ежегодная плата PCI SSC за публикацию в списке сертифицированных $1 250 * - Информация по опубликованным данным PCI SSC (

Требования стандарта PA-DSS ВСЕГО 14 ТРЕБОВАНИЙ И ПОЧТИ 120 ПРОЦЕДУР АУДИТА Сертифицируемое приложениеКомпания-разработчик Исключение хранения критичных данных карт (TRACK,CVC2/CVV2,PINBLOCK) Безопасное хранение и передача номеров платежных карт Контроль доступа и протоколирование событий Формализация процесса разработки с учетом вопросов ИБ практики безопасного программирования тестирование приложения анализ кода мониторинг уязвимостей платформ и тестирование совместимости с патчами Возможность встраивания в PCI DSS Compliant инфраструктуру Руководство по выполнению требований стандарта PCI DSS

PA-DSS vs PCI DSS PA DSSPCI DSS 1 Запрет хранения критичные данные после авторизации (TRACK,CAV2, CID, CVC2, CVV2 или PIN-блок) 3.2 2Защита данных платежных карт при хранении (PAN) 3.1, 3.3, 3.4, 3.5, 3.6 3Безопасные механизмы аутентификации 8.1,8.2, 8.4, 8.5.8– Протоколирование событий10.1, 10.2, Разработка защищенных платежных приложений 6.3, 6.4, 6.5, Защита беспроводного обмена данными платежных карт 1.3.8, 2.1.1, Тестирование приложения для устранения уязвимостей6.2 8Защита сети1, 3, 4, 5, 6.6 9Хранение данных платежных карт во внутренней сети1.3, Защита удаленного обновления приложения1, 1.3.9, Защита удаленного доступа к платежному приложению8.3 12Шифрование критичного трафика при передаче по открытым каналам4.1, Шифрование неконсольного административного доступа2.3 14Документация и обучение для клиентов/дилеров/интеграторовНет аналогов

(495) Гольдштейн Анна Заместитель директора департамента аудита ВОПРОСЫ ? Стандарт PA-DSS: безопасность платежных приложений Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky