SlideShare une entreprise Scribd logo
1  sur  13
Télécharger pour lire hors ligne
Влияние стандартов
   серии PCI на
   бизнес-процессы в
   различных
   отраслях
Эмм Максим, MBA, QSA, CISA, CISSP
Директор Департамента Аудита
1  vliyanie pci dss na business-processy
PCI DSS: Что надо было сделать?

• Что надо сделать было всем:
  – Определить PCI Scope
  – Выполнить все требования PCI DSS
  – Подтверждать соответствие PCI DSS в соответствии
    с правилами платежных систем ежегодно
• Дополнительно:
  – Банкам отчитываться в платежные системы по
    соответствию PCI своих мерчантов
  – Мерчантам использовать только
    сертифицированные по PA DSS решения
“Письма счастья” от VISA
• November 2008
   – IML 28/08: Visa International PCI DSS Compliance Validation
     Framework
• April 2009
   – IML 05/09: Visa Inc. PCI DSS framework for VisaNet (Direct Connect)
     Processors
• May 2009
   – IML 13/09: Risk based approach to PCI DSS Validation
   – IML 11/09: Global PCI DSS Service Provider List and Compliance
• June 2009
   – IML 17/09: Reminder of Upcoming PCI DSS Validation Compliance
     Framework Deadlines
   – Payment Application Security Mandates
Банки: Сроки от VISA
• Ноябрь 2008
   – Классифицировать своих мерчантов по уровням
• 30 сентября 2009
   – Убедиться что мерчанты 1 и 2 уровня не сохраняют критичных данных
     после авторизации и послать Merchant Compliance Validation Report
• 1 июля 2010
   – Вновь подключаемые мерчанты должны использовать PA DSS
     сертифицированное программное обеспечение или соответствовать PCI
     DSS
• 30 сентября 2010
   – Обеспечить полное соответствие PCI DSS провести сертификационный
     аудит
• 1 июля 2012
   – Все подключенные мерчанты должны использовать PA DSS
     сертифицированное программное обеспечение
За что обещают штрафовать Банки?

• Ежемесячно:
  – За мерчантов 1 и 2 уровня не подтвердивших
    соответствие PCI DSS
  – За несоответствие PCI DSS
• По факту:
  – Нарушение требований программы AIS
  – Нарушение требований по отчетности
Банки – влияние на бизнес
• Дополнительные расходы на:
   –   Новое программное обеспечение
   –   Персонал
   –   Средства защиты
   –   Услуги аудиторов и консультантов
   –   Сетевое и серверное оборудование
• Изменение бизнес-процессов:
   – Выпуска и обслуживания карт
   – Мониторинга банкоматов
• Изменение ИТ и ИБ сервисов:
   – Управление изменениями
   – Управление доступом
   – …
VISA: Мерчанты
Уровен           Критерий                                 Требования
   ь
  1 Любое торгово-сервисное                  - Ежегодный аудит на соответствие
      предприятие, обрабатывающее более требованиям PCI DSS
      6 млн. транзакций по Visa в год или    - Ежеквартальное сканирование сети
      интернациональные ТСП, которым был - Наличие аттестата соответствия
      присвоен 1 уровень Visa в другом
      регионе или стране
  2   ТСП, обрабатывающие от 1 млн.          - Ежегодное самостоятельное заполнение
      до 6 млн. транзакций по Visa в год (по опросного листа (SAQ)
      всем платежным каналам)                - Ежеквартальное сканирование сети
                                             - Наличие аттестата соответствия
  3   ТСП, обрабатывающие от 20 000          – Ежегодное заполнение SAQ
      до 1 млн. транзакций электронной       – Ежеквартальное сканирование сети
      торговли по Visa в год                 – Наличие аттестата соответствия
  4   ТСП, обрабатывающие менее 20 000       – Рекомендуется ежегодное заполнение SAQ
      транзакций электронной торговли по – Ежеквартальное сканирование сети, если
      Visa в год, или все другие ТСП,        применимо
      обрабатывающие до 1 млн. транзакций – Проверка соответствия требованиям,
      в год                                  выполняемая эквайером
Мерчанты: Сроки от VISA
• 30 сентября 2009
   – Мерчантам 1 и 2 уровня перестать сохранять критичные
     данные после авторизации
• 1 июля 2010
   – Для новых подключений необходимо использовать PA DSS
     сертифицированное программное обеспечение или
     соответствовать PCI DSS
• 30 сентября 2010
   – Мерчантам 1 уровня обеспечить полное соответствие PCI
     DSS и провести сертификационный аудит
• 1 июля 2012
   – Заменить кассовые решения на PA DSS сертифицированные
Мерчанты – влияние на бизнес

• Дополнительные расходы на:
  –   Новое программное обеспечение
  –   Персонал
  –   Средства защиты
  –   Услуги аудиторов и консультантов
  –   Сетевое и серверное оборудование
• Изменение ИТ и ИБ сервисов:
  – Управление изменениями
  – Управление доступом
  –…
VISA: Сервис провайдеры
Уровень            Критерий                          Требования

   1      Все процессоры,               – Ежегодный аудит на соответствие
          подключенные к VisaNet, или   требованиям PCI DSS
          любой поставщик услуг,        – Ежеквартальное сканирование сети
          обрабатывающий более 300      – Наличие аттестата соответствия
          000 транзакций в год


   2      Любой поставщик услуг,       – Ежегодное самостоятельное заполнение
          обрабатывающий менее 300 опросного листа
          000 транзакций по Visa в год – Ежеквартальное сканирование сети
                                       – Наличие аттестата соответствия
Сервис провайдеры: Сроки от VISA

• 30 сентября 2009
  – перестать сохранять критичные данные после
    авторизации
• 30 сентября 2010
  – обеспечить полное соответствие PCI DSS и
    провести сертификационный аудит
“PCI Compliance: Информационная безопасность в индус
                     платежных карт”
                  Семинар компании «Информзащита»
             г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky




               ВОПРОСЫ ?


                            Эмм Максим, MBA, QSA, CISA, CIS
                            Директор Департамента Аудита
                             (495) 980 23 45
                             maxus@infosec.ru

Contenu connexe

Tendances

Аутентификация - поиск баланса
Аутентификация - поиск балансаАутентификация - поиск баланса
Аутентификация - поиск балансаAleksandrs Baranovs
 
Cloud Credit Card Processing Kaznachey
Cloud Credit Card Processing KaznacheyCloud Credit Card Processing Kaznachey
Cloud Credit Card Processing KaznacheyAndrey Golovchenko
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSRISSPA_SPb
 
бифит эб в кризис
бифит эб в кризисбифит эб в кризис
бифит эб в кризисNick Turunov
 
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...Aleksandrs Baranovs
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей:  основные события 2016 г.Тренды российского рынка электронных платежей:  основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.Aleksandrs Baranovs
 
презентация о.а. гончарова
презентация о.а. гончаровапрезентация о.а. гончарова
презентация о.а. гончароваfinnopolis
 
Crowd financing и p2 p мамута_finopolis2016_14окт
Crowd financing и p2 p мамута_finopolis2016_14октCrowd financing и p2 p мамута_finopolis2016_14окт
Crowd financing и p2 p мамута_finopolis2016_14октfinopolis
 
ITB Technologies - Ко-брендовые карты
ITB Technologies - Ко-брендовые картыITB Technologies - Ко-брендовые карты
ITB Technologies - Ко-брендовые картыPayler_
 
Мобильный эквайринг Alfa-Pay для малого и среднего бизнеса
Мобильный эквайринг Alfa-Pay для малого и среднего бизнесаМобильный эквайринг Alfa-Pay для малого и среднего бизнеса
Мобильный эквайринг Alfa-Pay для малого и среднего бизнесаMoySklad
 

Tendances (19)

Аутентификация - поиск баланса
Аутентификация - поиск балансаАутентификация - поиск баланса
Аутентификация - поиск баланса
 
Cloud Credit Card Processing Kaznachey
Cloud Credit Card Processing KaznacheyCloud Credit Card Processing Kaznachey
Cloud Credit Card Processing Kaznachey
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSSОсобенности взаимодействия организаций в рамках программы соответствия PCI DSS
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
 
бифит эб в кризис
бифит эб в кризисбифит эб в кризис
бифит эб в кризис
 
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...Современные тенденции развития рынка платежей и их проекция на мобильную комм...
Современные тенденции развития рынка платежей и их проекция на мобильную комм...
 
Open payment platform
Open payment platformOpen payment platform
Open payment platform
 
Тренды российского рынка электронных платежей: основные события 2016 г.
Тренды российского рынка электронных платежей:  основные события 2016 г.Тренды российского рынка электронных платежей:  основные события 2016 г.
Тренды российского рынка электронных платежей: основные события 2016 г.
 
презентация о.а. гончарова
презентация о.а. гончаровапрезентация о.а. гончарова
презентация о.а. гончарова
 
Мамута М.В.
Мамута М.В.Мамута М.В.
Мамута М.В.
 
Достов В.Л. русск.
Достов В.Л. русск.Достов В.Л. русск.
Достов В.Л. русск.
 
Arma PCA English
Arma PCA EnglishArma PCA English
Arma PCA English
 
Кованцов Н.
Кованцов Н.Кованцов Н.
Кованцов Н.
 
Crowd financing и p2 p мамута_finopolis2016_14окт
Crowd financing и p2 p мамута_finopolis2016_14октCrowd financing и p2 p мамута_finopolis2016_14окт
Crowd financing и p2 p мамута_finopolis2016_14окт
 
Мамута М.В.
Мамута М.В.Мамута М.В.
Мамута М.В.
 
ITB Technologies - Ко-брендовые карты
ITB Technologies - Ко-брендовые картыITB Technologies - Ко-брендовые карты
ITB Technologies - Ко-брендовые карты
 
Сотников А.Е.
Сотников А.Е.Сотников А.Е.
Сотников А.Е.
 
Мобильный эквайринг Alfa-Pay для малого и среднего бизнеса
Мобильный эквайринг Alfa-Pay для малого и среднего бизнесаМобильный эквайринг Alfa-Pay для малого и среднего бизнеса
Мобильный эквайринг Alfa-Pay для малого и среднего бизнеса
 
Cashmob payment messenger
Cashmob payment messengerCashmob payment messenger
Cashmob payment messenger
 
Кленчин М.А. русск
Кленчин М.А. русскКленчин М.А. русск
Кленчин М.А. русск
 

En vedette

5. jizn posle pci dss compliance
5. jizn posle pci  dss  compliance5. jizn posle pci  dss  compliance
5. jizn posle pci dss complianceInformzaschita
 
2.pci dss eto nujno znat
2.pci dss  eto nujno znat2.pci dss  eto nujno znat
2.pci dss eto nujno znatInformzaschita
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci complianceInformzaschita
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияAlex Babenko
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта  Pa dssпорядок сертификации программного обеспечения по требованиям стандарта  Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 

En vedette (8)

6.n.danyukov oracle
6.n.danyukov oracle6.n.danyukov oracle
6.n.danyukov oracle
 
5. jizn posle pci dss compliance
5. jizn posle pci  dss  compliance5. jizn posle pci  dss  compliance
5. jizn posle pci dss compliance
 
2.pci dss eto nujno znat
2.pci dss  eto nujno znat2.pci dss  eto nujno znat
2.pci dss eto nujno znat
 
3. 10 shagov k pci compliance
3. 10 shagov k pci compliance3. 10 shagov k pci compliance
3. 10 shagov k pci compliance
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта  Pa dssпорядок сертификации программного обеспечения по требованиям стандарта  Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
8.pci arch sight
8.pci arch sight8.pci arch sight
8.pci arch sight
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 

Similaire à 1 vliyanie pci dss na business-processy

Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14DialogueScience
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?Andrew Gaiko
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитDeiteriy Co. Ltd.
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSDeiteriy Co. Ltd.
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапаRISSPA_SPb
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxrusbase
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Artem Polyanskiy
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSarogozhin
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСAleksey Lukatskiy
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Eugene Bartov
 
презентацияпорекламе
презентацияпорекламепрезентацияпорекламе
презентацияпорекламеguest866676
 

Similaire à 1 vliyanie pci dss na business-processy (20)

Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14Вебинар PCI DSS 14.10.14
Вебинар PCI DSS 14.10.14
 
PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?PCI DSS 3.0: к чему готовиться?
PCI DSS 3.0: к чему готовиться?
 
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудитУправление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
Управление соответствием PCI DSS - Секция 6 - Сертификационный QSA-аудит
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSSУправление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
Управление соответствием PCI DSS - Секция 2 - Внедрение стандарта PCI DSS
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
История одного стартапа
История одного стартапаИстория одного стартапа
История одного стартапа
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBox
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"
 
Trustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSSTrustwave: Введение в практику PCI DSS
Trustwave: Введение в практику PCI DSS
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
Ключевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПСКлючевые изменения законодательства по защите информации в НПС
Ключевые изменения законодательства по защите информации в НПС
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни» Перевод PCI DSS на русский язык: технология и «подводные камни»
Перевод PCI DSS на русский язык: технология и «подводные камни»
 
презентацияпорекламе
презентацияпорекламепрезентацияпорекламе
презентацияпорекламе
 

1 vliyanie pci dss na business-processy

  • 1. Влияние стандартов серии PCI на бизнес-процессы в различных отраслях Эмм Максим, MBA, QSA, CISA, CISSP Директор Департамента Аудита
  • 3. PCI DSS: Что надо было сделать? • Что надо сделать было всем: – Определить PCI Scope – Выполнить все требования PCI DSS – Подтверждать соответствие PCI DSS в соответствии с правилами платежных систем ежегодно • Дополнительно: – Банкам отчитываться в платежные системы по соответствию PCI своих мерчантов – Мерчантам использовать только сертифицированные по PA DSS решения
  • 4. “Письма счастья” от VISA • November 2008 – IML 28/08: Visa International PCI DSS Compliance Validation Framework • April 2009 – IML 05/09: Visa Inc. PCI DSS framework for VisaNet (Direct Connect) Processors • May 2009 – IML 13/09: Risk based approach to PCI DSS Validation – IML 11/09: Global PCI DSS Service Provider List and Compliance • June 2009 – IML 17/09: Reminder of Upcoming PCI DSS Validation Compliance Framework Deadlines – Payment Application Security Mandates
  • 5. Банки: Сроки от VISA • Ноябрь 2008 – Классифицировать своих мерчантов по уровням • 30 сентября 2009 – Убедиться что мерчанты 1 и 2 уровня не сохраняют критичных данных после авторизации и послать Merchant Compliance Validation Report • 1 июля 2010 – Вновь подключаемые мерчанты должны использовать PA DSS сертифицированное программное обеспечение или соответствовать PCI DSS • 30 сентября 2010 – Обеспечить полное соответствие PCI DSS провести сертификационный аудит • 1 июля 2012 – Все подключенные мерчанты должны использовать PA DSS сертифицированное программное обеспечение
  • 6. За что обещают штрафовать Банки? • Ежемесячно: – За мерчантов 1 и 2 уровня не подтвердивших соответствие PCI DSS – За несоответствие PCI DSS • По факту: – Нарушение требований программы AIS – Нарушение требований по отчетности
  • 7. Банки – влияние на бизнес • Дополнительные расходы на: – Новое программное обеспечение – Персонал – Средства защиты – Услуги аудиторов и консультантов – Сетевое и серверное оборудование • Изменение бизнес-процессов: – Выпуска и обслуживания карт – Мониторинга банкоматов • Изменение ИТ и ИБ сервисов: – Управление изменениями – Управление доступом – …
  • 8. VISA: Мерчанты Уровен Критерий Требования ь 1 Любое торгово-сервисное - Ежегодный аудит на соответствие предприятие, обрабатывающее более требованиям PCI DSS 6 млн. транзакций по Visa в год или - Ежеквартальное сканирование сети интернациональные ТСП, которым был - Наличие аттестата соответствия присвоен 1 уровень Visa в другом регионе или стране 2 ТСП, обрабатывающие от 1 млн. - Ежегодное самостоятельное заполнение до 6 млн. транзакций по Visa в год (по опросного листа (SAQ) всем платежным каналам) - Ежеквартальное сканирование сети - Наличие аттестата соответствия 3 ТСП, обрабатывающие от 20 000 – Ежегодное заполнение SAQ до 1 млн. транзакций электронной – Ежеквартальное сканирование сети торговли по Visa в год – Наличие аттестата соответствия 4 ТСП, обрабатывающие менее 20 000 – Рекомендуется ежегодное заполнение SAQ транзакций электронной торговли по – Ежеквартальное сканирование сети, если Visa в год, или все другие ТСП, применимо обрабатывающие до 1 млн. транзакций – Проверка соответствия требованиям, в год выполняемая эквайером
  • 9. Мерчанты: Сроки от VISA • 30 сентября 2009 – Мерчантам 1 и 2 уровня перестать сохранять критичные данные после авторизации • 1 июля 2010 – Для новых подключений необходимо использовать PA DSS сертифицированное программное обеспечение или соответствовать PCI DSS • 30 сентября 2010 – Мерчантам 1 уровня обеспечить полное соответствие PCI DSS и провести сертификационный аудит • 1 июля 2012 – Заменить кассовые решения на PA DSS сертифицированные
  • 10. Мерчанты – влияние на бизнес • Дополнительные расходы на: – Новое программное обеспечение – Персонал – Средства защиты – Услуги аудиторов и консультантов – Сетевое и серверное оборудование • Изменение ИТ и ИБ сервисов: – Управление изменениями – Управление доступом –…
  • 11. VISA: Сервис провайдеры Уровень Критерий Требования 1 Все процессоры, – Ежегодный аудит на соответствие подключенные к VisaNet, или требованиям PCI DSS любой поставщик услуг, – Ежеквартальное сканирование сети обрабатывающий более 300 – Наличие аттестата соответствия 000 транзакций в год 2 Любой поставщик услуг, – Ежегодное самостоятельное заполнение обрабатывающий менее 300 опросного листа 000 транзакций по Visa в год – Ежеквартальное сканирование сети – Наличие аттестата соответствия
  • 12. Сервис провайдеры: Сроки от VISA • 30 сентября 2009 – перестать сохранять критичные данные после авторизации • 30 сентября 2010 – обеспечить полное соответствие PCI DSS и провести сертификационный аудит
  • 13. “PCI Compliance: Информационная безопасность в индус платежных карт” Семинар компании «Информзащита» г. Москва, 08 июня 2010 г., Holiday Inn Suschevsky ВОПРОСЫ ? Эмм Максим, MBA, QSA, CISA, CIS Директор Департамента Аудита (495) 980 23 45 maxus@infosec.ru