Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

Share

Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”

Download to read offline

This online Сloud Webinar: “PCI DSS Compliance: Getting Ready for the Certification”” was delivered by Volodymyr Kovrygyn (Senior Consultant, Engineering, GlobalLogic) on August 26, 2021

During the event, the speaker considered an approach to creating a solution that is compatible with PCI DSS from scratch or updating the existing one. Also, he shared his experience in the painless certification process.

More details and video: https://bit.ly/3hnSfTb

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Сloud Webinar #2: “PCI DSS Compliance: Getting Ready for the Certification”

  1. 1. 1 Confidential PCI DSS: Подготовка и прохождение Владимир Ковригин Solution Architect, Senior Consultant 26 августа 2021
  2. 2. 2 Confidential Agenda 1. Появление Payment Council и PCI DSS 2. Суть и охват Data Security Standard 3. Содержание и практические цели стандарта 4. Построение системы 5. Q&A
  3. 3. 3 Confidential Payment Card Industry Security Standards Council • Visa's Cardholder Information Security Program • MasterCard's Site Data Protection • American Express's Data Security Operating Policy • Discover's Information Security and Compliance • JCB's Data Security Program September 2006 Content Content
  4. 4. 4 Confidential Суть, цель и охват стандарта • Процесс построение безопасной системы, частью которого является обеспечение защиты карточных данных • Имплементация 6 принципов Цель и суть Photo is example for placement and max. size Охват • Данные держателя: PAN, ФИО, дата, сервисный код • Чувствительные данные: данные трека, СVV2, PIN
  5. 5. 5 Confidential Субъекты, подпадающие под действие • Продавцы (Мерчанты)  Level 1 (6 миллионов транзакций в год)  Level 2 (от 1 до 6 миллионов)  Level 3 (от 20К до 1М)  Level 4 (до 20К) • Платежные сервисы, эквайеры, повайдепры B2B • Все иные субъекты, которые хранят, обрабатывают или передают данные держателя
  6. 6. 6 Confidential Последствия non-compliance  Законодательные требования (US: MN, MS)  Штрафы от payment systems и issuers для продавцов  Отключение от интерфейсов  Отказ от сотрудничества со стороны партнеров
  7. 7. 7 Confidential Ключевые роли • Внешний эксперт • Уполномочен PCI Council • Проводит assesment • Средние объемы транзакций Self-Assessment Questionnaire • Сотрудник компании или контрактор • Уполномочен PCI Council • Только для крупных объемов Internal Security Assessor Qualified Security Assessor • Маленькие объемы • Опросник • Уведомительный порядок
  8. 8. 8 Confidential 8 На практике
  9. 9. 9 Confidential 6 принципов: практика в первом приближении 1. Установить и поддерживать конфигурацию брандмауэра для защиты данных держателях 2. Не используйте настройки по умолчанию для системных паролей и других параметров безопасности Построить и поддерживать безопасную сеть 3. Защитите сохраненные данные держателях 4. Шифрование переданных данных держателя (в открытых общедоступных сетях) Защитить данные держателя 5. Защитить все системы от вредоносных программ и регулярно обновляйте антивирус 6. Разрабатывать и поддерживать безопасную систему Программа уязвимостей Контроль доступа 10. Отслеживать и контролировать любой доступ к сетевым ресурсам и данным держателей 11. Регулярно тестировать системы и процессы безопасности. Мониторинг и тестирование 11. Поддерживать политику, направленную на обеспечение информационной безопасности всего персонала. Security Policies 7. Ограничить доступ к данным о держателях карт 8. Определить уровни доступа к системным компонентам. 9. Ограничить физический доступ к данным держателей
  10. 10. 10 Confidential Руководства к действию • White papers  Azure  Official white paper  Compliant services  AWS  White paper  Official compliant services • Внешний консультант, эксперт, контрактор  Scope / not Scope  Best practices
  11. 11. 11 Confidential Немного из практического опыта • Секьюрная разработка системы и ПО • Регулярные треннинги всего вовлеченного персонала • Ограничение доступа вплоть до системы контроля версий и логов • Минимизируйте PCI DSS Compliant систему. Разбейте вашу систему на две (защищенная и нет) Люди и процессы • Используйте WAF (Cloud Flare) • Никакого. Нет, даже НИКАКОГО прямого доступа к базе • RDP. SSH. Смотри пункт выше • Данные не только в базе, но и в логах • Используйте Serverless и Operative Storage Техника и технологии
  12. 12. 12 12 Confidential Немного примеров
  13. 13. 13 Confidential Процессинг платежей (перестройка)
  14. 14. 14 Confidential Швидко грошi по-американски
  15. 15. 15 Confidential 15 Q&A
  16. 16. 16 Confidential Рекомендуется к прочтению 1. Ди Хок “Философия твоей кредитки” 2. Payment Card Industry (PCI) Data Security Standard, v3.2.1 3. AWS 1. https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf 2. https://aws.amazon.com/ru/compliance/services-in-scope/ 4. Azure 1. https://docs.microsoft.com/en-us/azure/governance/blueprints/samples/pci-dss-3.2.1/ 2. https://azure.microsoft.com/en-us/blog/the-biggest-pci-coverage-in-the-industry-just-got-bigger/ 5. OWASP Top 10 1. Secure Software development course by Kelly Handerrah

This online Сloud Webinar: “PCI DSS Compliance: Getting Ready for the Certification”” was delivered by Volodymyr Kovrygyn (Senior Consultant, Engineering, GlobalLogic) on August 26, 2021 During the event, the speaker considered an approach to creating a solution that is compatible with PCI DSS from scratch or updating the existing one. Also, he shared his experience in the painless certification process. More details and video: https://bit.ly/3hnSfTb

Views

Total views

101

On Slideshare

0

From embeds

0

Number of embeds

46

Actions

Downloads

0

Shares

0

Comments

0

Likes

0

×