© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Секция 3Область применимости требований PCI DSS

3-2 Определение области применимости стандарта PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Требования стандарта PCI DSS применимы ко всем компонентам информационной инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях карт, а также смежным по отношению к ним информационным системам.

Смежная информационная система – это система, соединение с которой не защищено корректно настроенным межсетевым экраном.

3-3 Данные о держателях карт

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Вид Обозначение Определение

Номер карты PANНомер, идентифицирующий платёжную карту, наносится на её лицевую сторону.

Имя держателя карты CHNAMEИмя и фамилия человека, которому банк предоставил право распоряжения платёжной картой, наносится на её лицевую сторону.

Дата окончаниясрока действия карты EXPDATE

Дата, при наступлении которой платёжная карта становится недействительна, наносится на её лицевую сторону.

Сервисный код SCODEСлужебное значение, содержащееся на магнитной полосе (чипе) карты.

Содержимое магнитной полосы / чипа TRACK

Вся информация, содержащаяся на магнитной полосе (чипе) карты.

Проверочное значение CVV2 / CVC2Значение, используемое для авторизации платёжной транзакции без считывания магнитной полосы (чипа) карты, наносится на её оборотную сторону.

ПИН-коди его шифрограмма PIN и PINBLOCK

Значение, используемое для авторизации платёжной транзакции на банкоматах и POS-терминалах, и его шифрограмма (ПИН-блок).

3-4 Категории данных о держателях карт

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Категория Вид Правила хранения

Данные о держателях карт (ДДК)

PAN При хранении следует применять один из методов защиты согласно требованию 3.4 стандарта PCI DSS.

CHNAME

Разрешается хранить.EXPDATE

SCODE

Критичные аутентификационные

данные (КАД)

TRACK

Запрещается хранить после авторизации транзакции, даже в зашифрованном виде.

CVV2 / CVC2

PIN и PINBLOCK

3-5 Информационная инфраструктура организации

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Информационная инфраструктура – это разделяемый развивающийся гетерогенный парк информационно-технологических возможностей, построенный на открытых стандартизованных интерфейсах.*

* – определение информационной инфраструктуры взято из публикации «Theorizing about the Design of Information Infrastructures: Design Kernel Theories and Principles», O. Hanseth, K. Lyytinen.

3-6 Описание информационной инфраструктуры

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Информационная инфраструктура может быть описана следующими тремя элементами*:

1. Перечень компонентов информационной инфраструктуры по уровням:•приложения;•хранилища данных (базы данных и плоские файлы);•компьютеры;•активное сетевое оборудование;

2. Схема сетевой инфраструктуры;

3. Схема потоков данных (прикладной инфраструктуры).

* – согласно официальной процедуре QSA-аудита, утвержденной Советом PCI SSC, каждый Отчет о Соответствии (Report on Compliance, ROC) должен содержать в себе все три элемента описания информационной инфраструктуры организации в рамках области аудита: перечень компонентов, схему сети и схему потоков данных.

3-7 Инфраструктура банка (упрощенная) – схема сети

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-8 Инфраструктура банка (упрощенная) – компоненты

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Приложения

Название На каком компьютере установлено Какие хранилища использует PA-

DSS

Карточный фронт-офис •Сервер приложенийкарточного фронт-офиса •БД карточного фронт-офиса +

Карточный бэк-офис •Сервер приложенийкарточного бэк-офиса

•БД карточного бэк-офиса•Сетевая папка на сервере

приложений карточного бэк-офиса+

АБС •Сервер приложений АБС •БД АБС -

Интернет-банк •Веб-сервер Интернет-банка •БД Интернет-банка -

Приложение для выпуска карт

•Компьютер для персонализации карт •БД карточного бэк-офиса +

3-9 Инфраструктура банка (упрощенная) – компоненты

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Хранилища данных

Тип Название На каком компьютере установлено Какие ДДК хранит

БД БД карточного фронт-офиса Сервер БДкарточного фронт-офиса PAN

БД БД карточного бэк-офиса Сервер БДкарточного бэк-офиса PAN

БД БД АБС Сервер БД АБС -

БД БД Интернет-банка Сервер БД Интернет-банка PAN

ФайлыСетевая папка на сервере приложений карточногобэк-офиса

Сервер приложений карточного бэк-офиса PAN

3-10 Инфраструктура банка (упрощенная) – компоненты

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

КомпьютерыНазвание IP-интерфейсы ОС

Сервер приложений карточного фронт-офиса 10.10.8.2 Windows Server 2008

Сервер приложений карточного бэк-офиса 10.10.8.4 Windows Server 2008

Сервер приложений АБС 10.10.8.6 Red Hat Enterprise Linux 6

Веб-сервер Интернет-банка 192.168.110.8 Red Hat Enterprise Linux 6

Сервер БД карточного фронт-офиса 10.10.8.3 Windows Server 2008

Сервер БД карточного бэк-офиса 10.10.8.5 Windows Server 2008

Сервер БД АБС 10.10.8.7 Red Hat Enterprise Linux 6

Сервер БД Интернет-банка 192.168.110.9 Red Hat Enterprise Linux 6

Рабочая станция 1 192.168.110.101 Windows 7 Professional

Рабочая станция 2 192.168.110.102 Windows 7 Professional

Компьютер для персонализации карт 10.10.8.15 Windows 7 Professional

HSM 1 10.10.8.11 -

HSM 2 10.10.8.12 -

3-11 Инфраструктура банка (упрощенная) – компоненты

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Активное сетевое оборудованиеНазвание IP-интерфейсы Модель

Маршрутизатор 1

LAN10.10.8.251

Cisco 2800 Series WAN white IPx.x.x.x

Маршрутизатор 2

LAN10.10.8.252

Cisco ASA 5500 Series LAN192.168.110.252

WAN white IPy.y.y.y

3-12 Инфраструктура банка (упрощенная) – потоки ДДК

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-13 Область применимости PCI DSS в инфраструктуре банка

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК

3-14 Область аудита PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Согласно требованиям международных платежных систем требования стандарта PCI DSS распространяются на все компоненты информационной инфраструктуры, обрабатывающие, хранящие или передающие данные о держателях карт.

Область аудита – это совокупность компонентов информационной инфраструктуры, включенных в процесс оценки соответствия PCI DSS в рамках выполнения ISA- или QSA-аудита или заполнения листа самооценки SAQ.

В большинстве случаев область аудита совпадает с областью применимости PCI DSS.

Исключением из этого правила являются банки, обладающие собственной как эквайринговой, так и эмиссионной инфраструктурой. На момент 2012 года для них существует неофициальное правило МПС Visa и MasterCard, гласящее, что приводить в соответствие требованиям PCI DSS следует как эквайринговую, так и эмиссионную инфраструктуру, однако при этом в область сертификационного аудита входит только эквайринговая часть. Эмиссионная инфраструктура может быть включена в область аудита по желанию эмитента (это приветствуется) или по отдельному требованию международной платежной системы*.

* – эта информация получена в октябре 2010 года в ходе ежегодного мероприятия PCI SSC European Community Meeting 2010 от главы службы безопасности МПС Visa Europe – Шейна Болфе (Shane Balfe) и вице-президента по безопасности МПС MasterCard Майкла Грина (Michael Green).

3-15 Инфраструктура банка (упрощенная) – потоки ДДК - эмиссия

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-16 Область аудита PCI DSS в инфраструктуре банка

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Желтым цветом отмечены компоненты, обрабатывающие, хранящие и передающие только эмиссионные (свои) ДДК

3-17 Смежные информационные системы в инфраструктуре банка

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Красным цветом отмечены компоненты, относящиеся к смежным информационным системам

3-18 Потоки ДДК между участниками процесса эквайринга

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-19 Платежный шлюз – схема сети (упрощенная)

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-20 Платежный шлюз – потоки ДДК

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-21 Платежный шлюз – область применимости PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК

3-22 Интернет-магазин – схема сети

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Этот Интернет-магазин принимает ДДК на своем сайте

3-23 Интернет-магазин – потоки ДДК

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Этот Интернет-магазин принимает ДДК на своем сайте

3-24 Интернет-магазин – область применимости PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Этот Интернет-магазин принимает ДДК на своем сайте

Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК

3-25 Розничный магазин – схема сети

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-26 Розничный магазин – потоки ДДК

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

3-27 Розничный магазин – область применимости PCI DSS

© ООО «Дейтерий», 2012 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | info@deiteriy.com

Голубым цветом отмечены компоненты, обрабатывающие, хранящие и передающие ДДК