Коллеги, в связи с участившимися вопросами по процедуре
прохождения аудита PCI DSS, попробую изложить всю известную мне информацию на эту тему и ответить на самые
частые вопросы.
Все ниже описанное, а также описанное мной в последущих частях является моим субъективным мнением (основанном на прохождении аудита) и не должно расцениваться как руководство к действию
- Где взять требования к инфраструктуре ?
- Есть требования и процедуры,
описанные в стандарте PCI DSS v3.0
(взять можно здесь).
Стандарт советую рассматривать как набор рекомендаций.
- Есть ли у аудиторов чек-лист, по которому они проводят
проверку инфраструктуры ?
- Где его можно скачать ?
- У аудиторов он, естественно, есть.
- Нигде. Подобный чек-лист Вы можете составить
самостоятельно на основе стандарта PCI DSS. Процедура непростая, но существенно помогает
систематизировать и упорядочить понимание рекомендаций, а также упростить процедуру самопроверки.
- Какие данные относятся к категории «Данные платежных карт»
?
- основной номер держателя карты – PAN, имя держателя карты, дата истечения
срока действия карты, сервисный код, полные
данные дорожки магнитной полосы или ее эквивалент на чипе, CAV2, CVC2, CVV2,
CID, PIN-блоки.
- Если мы выполнили требования к инфраструктуре, описанные в
стандарте PCI DSS,
мы пройдем успешно аудит ?
- Если Вы действительно выполнили все рекомендации
стандарта, то Вы действительно молодцы, но это еще не значит, что Вы успешно
пройдете аудит. Платформа Windows Azure тоже
прошла проверку на соответствие PCI DSS, но это не значит, что на нее можно навернуть Ваш уровень App и
автоматически получить соответствие стандарту. Есть такая полезная штука PA-DSS –
стандарт безопасности данных платежных приложений индустрии платежных карт. PA-DSS ориентирован
на разработчиков и поставщиков ПО. Т.е. если у Вас есть ПО, соответствующие требованиям
PA-DSS, после
его внедрения Вы проходите аудит на соответствие PCI-DSS. Эти два документа необходимо рассматривать комплексно.
- Есть ли еще документы кроме стандартов PCI-DSS и PA-DSS ?
- Да. Все они есть на офф. сайте совета PCI SSC: справочники PCI DSS, драфты изменений,
глоссарий, анкеты самооценки, список курсов и вебинаров, список уполномоченных
на проведение аудита организаций и т.п.. Все другие источники информации, в
первую очередь мой блог, рассматривайте как недостоверный источник информации.
- Мы не можем выполнить все требования стандарта PCI DSS –
значит ли это, что мы не пройдем аудит ?
- Нет не значит. Именно поэтому вначале данной статьи я
обозвал требования рекомендациями. Есть такое понятие – «Компенсационные меры»,
они должны быть документированы (описываете что именно не можете выполнить, почему, риски, компенсационные
меры) и предоставлены аудиторам. Компенсационные
меры в обязательном порядке будут проверены аудиторами. Компенсационные меры –
это не отмазка от аудиторов, это набор действий, направленных на снижение
рисков, связанных с невыполненным требованием.
Для первого раза достаточно, чуть позже вернемся к
требованиям PCI-DSS и
PA-DSS и проекции всего этого на виртуальную
инфраструктуру.
А пока, для затравки, рекомендую ознакомиться с NIST
Guide to Security for Full Virtualization Technologies. Документ
не первой свежести, но фундаментальные знания и понятия еще никому не мешали =)
Я бы добавил, что аудиторы проверяют не только состояние дел в момент проверки, но и полные "пруфы" того, что вы делали все по правилам в течении предыдущего периода. Самый простой пример - недостаточно установить обновления на все ОС/ПО, необходимо доказать, что в течении года обновления устанавливались регулярно и в срок, либо делались соответствующие записи, что обновления проверены, устанавливаться не будут, т.к. есть причина. Компенсационные меры - такие-то.
ОтветитьУдалитьСаша, к процессу и процедурам мы еще вернемся, чуть позже. Пока разговор только про базовые вещи и понимание стандарта.
ОтветитьУдалитьКстати, присоединяйся к обсуждению на постоянной основе.
ок!
ОтветитьУдалить