Изискванията на стандарта PCI DSS към организациите, работещи с кредитни карти
PCI DSS е международен стандарт за информационна сигурност, разработен от Payment Card Industry Security Standards Council. В PCI SS Council участват American Express, Visa International, JCB, Discover Financial Services.
Стандартът има за цел да увеличи контрола върху информацията и намали излагането й на риск. Стандартът е създаден, за да подпомага организации, работещи с плащания чрез кредитни карти, да предотвратяват измами с кредитни карти.
PCI DSS е в сила за всички организации, които обработват, съхраняват или обменят информация за кредитни карти и техните собственици.
PCI DSS compliance се извършва годишно, независимо от големината на организацията. Организации, работещи с големи обеми на транзакции с кредитни карти, трябва да бъдат одитирани от независим Qualified Security Assessor (QSA). Организации, работещи с малки обеми на транзакции с кредитни карти, могат да се самоодитират чрез въпросник Self-Assessment Questionnaire (SAQ).
PCI DSS включва изисквания и процедури за управление на сигурността, за мрежовата архитектура и за дизайна на софтуерните приложения.
PCI DSS е организиран около няколко основни принципи и изисквания:
1. Изграждане и поддържане на защитена мрежа
Изискване 1: Инсталация и поддържане на firewall конфигурация за защита на информация за кредитни карти и техните собственици
Изискване 2: Да не се използват предефинирани от производителите на хардуер и софтуер пароли и други параметри
2. Защита на информация за кредитни карти и техните собственици
Изискване 3: Защита на съхраняваната информация
Изискване 4: Криптиране на информация за кредитни карти, изпращана чрез отворени и/или публични мрежи
3. Поддържане на Vulnerability Management Program
Изискване 5: Използване и редовно осъвременяване на антивирусен софтуер
Изискване 6: Разработване и поддържане на сигурни системи и приложения
4. Въвеждане на мерки за ограничен достъп
Изискване 7: Ограничаване на достъпа до информация
Изискване 8: Всеки служител с достъп до компютър да се идентифицира чрез уникален ID
Изискване 9: Ограничаване на физическия достъп до информация
5. Редовна проверка и наблюдение на мрежата
Изискване 10: Следене и наблюдение на целия достъп до мрежовите ресурси и информацията
Изискване 11: Редовна проверка на системите за сигурността и съответните процесите
6. Поддържане на политики за Information Security
Изискване 12: Поддържане на политики и процедури за information security
Как да разберете дали e необходим одит за съвместимост с PCI DSS?
PCI DSS предлага въпросник за определяне на съвместимост със стандарта – Self- Assessment Questionnaire. Според правилата на индустрията всички търговци и техните доставчици са длъжни да отговорят на PCI DSS. Според PCI има пет главни категории от организации, за които се попълва отделен въпросник за съпоставимост с PCI DSS.
Категориите са както следва:
- Търговци, работещи чрез e-commerce или поръчка по поща или телефон, всички дейности по обработка на кредитни карти прехвърлени към външен доставчик (Card-not-present merchant). This would never apply to face-to-face merchants.
- Търговци, които обработват кредитни карти, без да съхраняват информация (Imprint-only merchants)
- Stand-alone terminal merchants, без да съхраняват информация
- Търговци с POS системи, свързани с интернет, без да съхраняват информация
- Всички останали търговци и свързани доставчици на услуги
Въпросниците Self- Assessment Questionnaire можете да свалите на адрес:
https://www.pcisecuritystandards.org/saq/instructions_dss.shtml#instructions
За повече информация относно PCI, моля посетете сайта на PCI:
https://www.pcisecuritystandards.org/index.shtml
За повече информация относно възможностите за penetration test и IT Security assessment, моля не се колебайте да се свържете с нас.
Интервю със CTO и CEO на PCISS Council можете да прочете в блога на Security Warrior:
http://chuvakin.blogspot.com/2010/03/rsa-2010-exclusive-pci-security.html
dimitar (at) newhorizons.bg
21.04.2010 г.