Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Report
Share
1 of 11
More Related Content
введение в проблематику Pa dss
1. Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Введение в проблематику PA-DSS “ Стандарт PA - DSS : безопасность платежных приложений” Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
2. PA-DSS: Причины появления Невозможность или сложность выполнения требований PCI DSS Сохранение TRACK,CVC2/CVV2,PINBLOCK приложением Невозможность удалить/вычистить TRACK,CVC2/CVV2 из архивов Хранение номеров карт ( PAN ) в открытом виде Отказ поддержки вендором приложения патчей на СУБД
3. “ Серебряная пуля ” PCI DSS Реализация переложена на разработчиков: Все применимые к прикладному уровню требования PCI DSS Возможность работы приложения в PCI DSS- compliant среде Контроль уровня безопасности приложения Решение проблемы совместимости с обновлениями безопасности платформ
4. PA-DSS: краткая информация Основная цель – поддержка реализации PCI DSS Является прямым наследником VISA PABP Дата рождения: апрель 2008 Разработчик – PCI Security Standards Council ( PCI SSC) Ориентирован на разработчиков платежных приложений Форма подтверждения соответствия – сертификация Сертификацию проводит компания, имеющий статус PA QSA
5. Что сертифицировать? Подлежит сертификации, если: Обрабатывает номера карт ( PAN ) в рамках авторизации/расчетов Разрабатываются на продажу, не являются разовой заказной разработкой Основные виды сертифицируемого ПО ПО процессинга (front-office, back-office ( расчеты ), middleware/switching) ПО для банкоматов ПО для POS-терминалов ПО для поддержки электронной коммерции ПО мобильной коммерции Исключение: отдельно стоящие POS терминалы, если: подключены напрямую к эквайеру не хранят данных платежных карт обновляются разработчиком ПО
6. Поддержка сертификации Сертифицируется конкретная версия приложения Срок действия сертификата – 3 года При обновлении приложения необходима досертификация Процедура зависит от характера вносимых изменений Затронуты вопросы безопасности или реализация платежного процесса ? «НЕТ» - подтверждение от аудитора факта отсутствия влияния «ДА» - проведение сертификационных проверок (их части)
7. Зачем сертифицировать? Внедрение PA-DSS реализуют МПС независимо друг от друга Требования по внедрению направлены на членов МПС Обязательные сроки перехода на PA-DSS сертифицированные приложения от Visa Inc.: С 1 июля 2010г - Новые мерчанты обязаны соответствовать PCI DSS или использовать PA-DSS сертифицированное ПО до 1 июля 2012 г - Эквайеры обязаны удостовериться, что все мерчанты и агенты используют PA-DSS сертифицированное ПО
8. Рынок сертифицированного ПО Более 150 вендоров имеют сертификат PA-DSS * Около 700 сертифицированных приложений 60% приложений – « POS-related » Основной поток сертификации начался в 2009г Сертифицированное ПО процессинга (из любимых в России): Base24, Way4, Tranzware Ежегодная плата PCI SSC за публикацию в списке сертифицированных $ 1 250 * - Информация по опубликованным данным PCI SSC ( https://www.pcisecuritystandards.org/security_standards/vpa/ )
9. Требования стандарта PA-DSS ВСЕГО 14 ТРЕБОВАНИЙ И ПОЧТИ 120 ПРОЦЕДУР АУДИТА Сертифицируемое приложение Компания-разработчик Исключение хранения критичных данных карт (TRACK,CVC2/CVV2,PINBLOCK) Безопасное хранение и передача номеров платежных карт Контроль доступа и протоколирование событий Формализация процесса разработки с учетом вопросов ИБ практики безопасного программирования тестирование приложения анализ кода мониторинг уязвимостей платформ и тестирование совместимости с патчами Возможность встраивания в PCI DSS Compliant инфраструктуру Руководство по выполнению требований стандарта PCI DSS
10. PA-DSS vs PCI DSS № PA DSS PCI DSS 1 Запрет хранения критичные данные после авторизации ( TRACK, CAV2, CID, CVC2, CVV2 или PIN-блок ) 3.2 2 Защита данных платежных карт при хранении ( PAN) 3.1, 3.3, 3.4, 3.5, 3.6 3 Безопасные механизмы аутентификации 8.1,8.2, 8.4, 8.5.8–8.5.15 4 Протоколирование событий 10.1, 10.2, 10.3 5 Разработка защищенных платежных приложений 6.3, 6.4, 6.5, 2.2.2 6 Защита беспроводного обмена данными платежных карт 1.3.8, 2.1.1, 4.1.1 7 Тестирование приложения для устранения уязвимостей 6.2 8 Защита сети 1, 3, 4, 5, 6.6 9 Хранение данных платежных карт во внутренней сети 1.3, 1.3.4 10 Защита удаленного обновления приложения 1, 1.3.9, 12.3.9 11 Защита удаленного доступа к платежному приложению 8.3 12 Шифрование критичного трафика при передаче по открытым каналам 4.1, 4.2 13 Шифрование неконсольного административного доступа 2.3 14 Документация и обучение для клиентов/дилеров/интеграторов Нет аналогов
11. (495) 980 23 45 [email_address] Гольдштейн Анна Заместитель директора департамента аудита ВОПРОСЫ ? “ Стандарт PA - DSS : безопасность платежных приложений” Семинар компании «Информзащита» г. Москва, 25 марта 2010 г., Holiday Inn Suschevsky
Editor's Notes
Всего около 7 компаний в мире, которые на территории семеа могут проводить сертификацию и поддерживают русский язык.