WWW.PDF.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Разные материалы
 

«Стандарт безопасности данных индустрии платежных карт Опросные листы для самооценки Инструкции и рекомендации Версия 2.0 Октябрь 2010 г. Изменения документа Дата Версия ...»

Стандарт безопасности данных

индустрии платежных карт

Опросные листы для самооценки

Инструкции и рекомендации

Версия 2.0

Октябрь 2010 г.

Изменения документа

Дата Версия Описание

Обеспечено соответствие стандарту PCI DSS версии 1.2 и внедрены

1 октября 2008 г. 1.2

незначительные изменения по сравнению с версией 1.1.

Обеспечено соответствие стандарту PCI DSS версии 2.0, описаны

типы среды для целей заполнения ОЛС и критерии, по которым следует выбирать опросный лист.

28 октября 2.0 2010 г. Добавление опросного листа для самооценки C-VT для торговосервисных предприятий, использующих виртуальный терминал с веб-интерфейсом

БЛАГОДАРНОСТЬ:

PCI SSC благодарит Центральный банк Российской Федерации и Некоммерческое партнерство "Сообщество пользователей стандартов по информационной безопасности АБИСС" (НП "АБИСС") за поддержку, оказанную при подготовке перевода настоящего документа.

Английская версия этого документа является окончательной для всех целей и считается официальной версией. В случае каких-либо неоднозначностей или противоречий между текстом этого документа и английским текстом английский текст имеет преимущественное значение.

Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 Октябрь 2010 г.

Страница 2 (C) PCI Security Standards Council LLC, 2010 Содержание Инструкции и рекомендации Версия 2.0 Октябрь 2010 г.



Изменения документа

Об этом документе

Самооценка PCI DSS: как все взаимосвязано

Стандарт безопасности данных индустрии платежных карт (PCI DSS). Документы по теме

Общие сведения об опросных листах для самооценки

Почему соответствие стандарту PCI DSS так важно?

Общие советы и стратегии по подготовке к проверке на соответствие стандарту.... 9 Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят вашей организации

Опросный лист для самооценки A — Торгово-сервисные предприятия, выполняющие операции без предоставления карт, все задачи по работе с данными о держателях карт выполняются сторонними организациями

Опросный лист B — Торгово-сервисные предприятия, которые используют только системы для чтения данных с банковской карточки или только автономные терминалы с подключением к телефонной линии. Данные о держателях карт не хранятся в электронном формате................. 14 Опросный лист для самооценки C-VT — Торгово-сервисные предприятия, которые используют виртуальные терминалы с веб-интерфейсом, данные о держателях карт не хранятся в электронном виде

ОЛС C — Торгово-сервисные предприятия, которые используют платежные приложения, подключенные к Интернету, и которые не хранят данные о держателях карт в электронном виде

Опросный лист для самооценки D — Все остальные торгово-сервисные предприятия и поставщики услуг, которым платежная система предоставила право на проведение самооценки с использованием опросного листа

Рекомендации о неприменимости определенных требований

Инструкции по заполнению опросного листа

Какой тип опросного листа лучше всего подходит для моей среды?

–  –  –

Этот документ был разработан для помощи торгово-сервисным предприятиям и поставщикам услуг в понимании того, как следует заполнять опросные листы для самооценки соответствия стандарту PCI DSS. Прочтите эти инструкции и рекомендации, чтобы понять, почему стандарт PCI DSS важен для вашей организации, какие стратегии может использовать ваша организация для облегчения проверки соответствия требованиям и может ли ваша организация использовать сокращенные версии опросных листов для самооценки. В следующих разделах приведены сведения, которые вы должны знать об опросных листах для самооценки соответствия стандарту PCI DSS.





Самооценка PCI DSS: как все взаимосвязано PCI DSS. Документы по теме Общие сведения об опросных листах для самооценки Почему соответствие стандарту PCI DSS так важно?

Общие советы и стратегии по подготовке к проверке на соответствие стандарту Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят вашей организации Рекомендации о неприменимости определенных требований Инструкции по заполнению опросного листа Какой тип опросного листа лучше всего подходит для моей среды?

–  –  –

Стандарт PCI DSS и вспомогательные документы представляют собой набор средств и показателей, которые помогают в обеспечении безопасности критичной информации. Стандарт обеспечивает концептуальную основу для разработки надежного процесса защиты данных, включая предотвращение, обнаружение и реагирование на инциденты. Для снижения риска компрометации и ее последствий важно, чтобы все организации, которые занимаются хранением, обработкой или передачей данных о держателях карт, соответствовали требованиям стандарта. В приведенной ниже таблице описаны средства, которые могут помочь организациям в достижении соответствия стандарту PCI DSS и самооценке соответствия.

Эти и другие документы можно найти по адресу www.pcisecuritystandards.org.

–  –  –

Следующие документы были подготовлены для помощи торгово-сервисным предприятиям и поставщикам услуг в понимании стандарта PCI DSS и того, как следует заполнять опросные листы.

–  –  –

Опросный лист для самооценки соответствия стандарту PCI DSS (ОЛС) — это инструмент, который предназначен для оказания помощи торгово-сервисным предприятиям и поставщикам услуг в самооценке их соответствия требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). Существует несколько версий опросных листов, которые соответствуют различным сценариям. Этот документ разработан для помощи организациям в определении того, какой опросный лист лучше всего подходит вашей организации.

Опросный лист для самооценки соответствия стандарту PCI DSS — это инструмент проверки для торгово-сервисных предприятий и поставщиков услуг, от которых не требуется предоставлять отчет о соответствии по результатам оценки безопасности данных на территории организации согласно документу "Стандарт безопасности данных индустрии платежных карт (PCI DSS).

Требования и процедуры аудита безопасности". Использование опросных листов для самооценки может требоваться банком-эквайером или платежной системой.

Опросный лист для самооценки соответствия стандарту PCI DSS состоит из следующих компонентов:

1. Вопросы, соответствующие требованиям PCI DSS и подходящие для поставщиков услуг и торгово-сервисных предприятий: См. раздел "Выбор опросного листа для самооценки и свидетельства о соответствии, которые лучше всего подходят для вашей организации" в этом документе.

2. Аттестация на соответствие стандарту: Аттестация — это самостоятельная сертификация, которую организация имеет право выполнять и выполняет посредством прохождения самооценки соответствия стандарту PCI DSS.

–  –  –

Члены Совета по стандартам безопасности индустрии платежных карт (American Express, Discover, JCB, MasterCard и Visa) постоянно отслеживают случаи компрометации данных. Случаи компрометации охватывают организации различного уровня: от небольших до крупных торговосервисных предприятий и поставщиков услуг.

Нарушение системы безопасности и компрометация данных о держателях карт имеют негативные последствия для организаций, включая следующие:

1. требования об уведомлении госорганов;

2. потеря репутации;

3. потеря клиентов;

4. потенциальные финансовые обязательства (например, предусмотренные законодательством или другие штрафы);

5. судебный процесс.

Анализ случаев компрометации позволяет выявить распространенные уязвимости в системе безопасности организаций, которые можно было бы устранить, если бы в этих организациях использовались процессы и механизмы, предусмотренные стандартом PCI DSS. Стандарт PCI DSS содержит требования, соблюдение которых помогает снизить риск компрометации и уменьшить ее последствия (если компрометация уже произошла).

Анализ случаев компрометации демонстрирует распространенные факты нарушения требований

PCI DSS, включая, но не ограничиваясь:

Хранение данных магнитной полосы (Требование 3.2). Важно отметить, что многие организации, данные которых были компрометированы, не знали, что их системы хранят такие данные.

Ненадлежащий контроль доступа вследствие неправильно установленных POS-систем, что позволяет злоумышленникам получить доступ к данным (Требования 7.1, 7.2, 8.2 и 8.3) Настройки и пароли системы, заданные по умолчанию, не изменяются при настройке системы (Требование 2.1) Не обеспечивается удаление или защита необязательных и небезопасных служб (Требования 2.2.2 и 2.2.4) Ошибки в коде веб-приложений, которые могут привести к SQL-инъекции и другим уязвимостям, с помощью которых злоумышленники могут получить доступ к данным о держателях карт непосредственно с веб-сайта (Требование 6.5) Отсутствие обновление или использование устаревших обновлений (Требование 6.1) Не ведется регистрация событий в журнале (Требование 10) Не выполняется мониторинг (посредством проверки журналов, обнаружения/предотвращения вторжения, ежеквартального сканирования на наличие уязвимостей, мониторинга целостности файлов) (Требования 10.6, 11.2, 11.4 и 11.5) Ненадлежащая сегментация сети, которая делает среду данных о держателях карт подверженной уязвимостям в других частях сети, которые не защищены в соответствии со стандартом PCI DSS (например, это могут быть беспроводные точки доступа и уязвимости, связанные с электронными сообщениями сотрудников и работой в сети Интернет) (Требования 1.2, 1.3 и 1.4)

–  –  –

Далее приведены некоторые общие советы и стратегии по подготовке к проверке на соответствие стандарту PCI DSS. Эти советы помогут вам избавиться от данных, которые вам не нужны, изолировать данные, которые вам нужны, в определенных и контролируемых централизованных местах и ограничить область проверки на соответствие стандарту PCI DSS. Вы сможете удалить из области самооценки системы и/или сети, которые не используются для хранения, обработки или передачи данных о держателях карт и не подключены к системам, которые используются для этих целей.

1. Критичные аутентификационные данные (включают в себя содержимое магнитной полосы или чипа, коды и значения проверки подлинности карты, PIN-коды и блоки

PIN):

a. Убедитесь, что вы не храните эти данные.

b. Если вы не уверены, обратитесь к вашему поставщику POS-систем, чтобы узнать, хранит ли ПО и версия, которую вы используете, эти данные. Или наймите сертифицированного специалиста по оценке безопасности, чтобы он помог вам определить, хранятся ли, регистрируются или обрабатываются критичные аутентификационные данные где-либо в ваших системах.

2. Если у вас торгово-сервисное предприятие, обратитесь к поставщику POS-систем и задайте ему следующие вопросы:

a. Соответствует ли моя POS-система стандарту PA-DSS? (Ознакомьтесь со списком платежных приложений, одобренных Советом PCI SSC.) b. Хранятся ли в моей POS-системе данные магнитной полосы (данные дорожки) или блоки PIN? Если такие данные хранятся в моей системе, их необходимо удалить. Как вы можете помочь мне быстро удалить их?

Хранятся ли в моей POS-системе номера платежных карт (PAN)? Если хранятся, то эти c.

данные должны быть надежно защищены. Как POS-система обеспечивает защиту этих данных?

d. Есть ли у вас список файлов, созданных приложением, с краткой информацией о содержимом каждого файла, для проверки того, хранятся ли в системе упомянутые выше данные, хранение которых запрещено?

e. Требует ли ваша POS-система установки межсетевого экрана для защиты моих систем от несанкционированного доступа?

Требуются ли сложные и уникальные пароли для доступа к моим системам? Можете ли f.

вы подтвердить, что вы не используете легкоугадываемые пароли или пароли, заданные по умолчанию, для моей системы и других систем, которые вы поддерживаете?

g. Менялись ли настройки и пароли, заданные по умолчанию, для систем и баз данных, которые являются частью POS-системы?

h. Выполнялось ли удаление всех необязательных и небезопасных служб из систем и баз данных, которые являются частью POS-системы.

Есть ли у вас удаленный доступ к моей POS-системе? Если есть, используете ли вы i.

механизмы контроля для предотвращения доступа других лиц к моей POS-системе, например безопасные методы удаленного доступа и смену легкоугадываемых паролей и паролей, заданных по умолчанию? Как часто вы осуществляете удаленный доступ к моему устройству POS и почему? Кто имеет авторизованный удаленный доступ к моей POS-системе?

Для всех ли систем и баз данных, которые являются частью POS-системы, j.

установлены необходимые обновления?

–  –  –

3. Данные о держателях карт: если они вам не нужны, не храните их!

a. Правила платежной системы разрешают хранение номера платежной карты (PAN), даты истечения срока действия, имя держателя карты и сервисный код.

b. Необходимо регистрировать все причины и места хранения этих данных. Если данные не требуются для достижения бизнес-целей, рассмотрите возможность их удаления.

При решении вопроса о том, стоит ли хранить эти данные и использовать бизнесc.

процессы, которые они поддерживают, примите во внимание следующие факторы:

i. риск компрометации данных;

ii. дополнительные усилия в рамках достижения соответствия стандарту PCI DSS для защиты этих данных;

iii. необходимость непрерывной поддержки для обеспечения соответствия стандарту PCI DSS.

4. Данные о держателях карт: если они не нужны вам, консолидируйте и изолируйте их!

Вы можете ограничить область оценки на соответствие стандарту PCI DSS посредством консолидации хранилища данных в определенной среде и изоляции данных посредством надлежащей сегментации сети. Например, если ваши сотрудники получают электронное сообщение по почте на одном компьютере или сегменте сети с данными о держателях карт, рассмотрите возможность сегментации (изоляции) данных о держателях карт на собственном компьютере или в сегменте сети (например, через маршрутизаторы или межсетевые экраны). Если вы можете эффективно изолировать данные о держателях карт, вы можете сфокусировать свои усилия в рамках стандарта PCI DSS только на изолированной части, а не на всех компьютерах.

5. Компенсационные меры Компенсационные меры можно использовать для всех требований PCI DSS, когда организация не может соответствовать технической спецификации требования, но снизила риск с помощью альтернативных компенсационных мер. Если ваша компания не имеет инструментов контроля, указанных в стандарте PCI DSS, но имеет другие инструменты контроля, которые соответствуют определению компенсационных мер (см. раздел «Компенсационные меры" в приложении к опросному листу и документу "Глоссарий PCI DSS и PA-DSS. Основные определения, аббревиатуры и сокращения" на сайте

www.pcisecuritystandards.org), ваша компания должна сделать следующее:

a. На соответствующий вопрос опросного листа дайте ответ "ДА" и в столбце "Комментарии" отметьте использование компенсационных мер с целью соответствия требованиям.

b. Ознакомьтесь с разделом "Компенсационные меры" в Приложении В опросного листа и задокументируйте использование компенсационных мер, заполнив лист компенсационных мер в Приложении С опросного листа.

Заполните лист компенсационных мер для каждого требования, соответствие которому c.

достигается с использованием компенсационных мер.

d. Отправьте все заполненные листы компенсационных мер, а также заполненный опросный лист для самооценки и/или свидетельство в соответствии с инструкциями от вашего банка-эквайера или платежной системы.

Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 Октябрь 2010 г.

Страница 10 (C) PCI Security Standards Council LLC, 2010

6. Профессиональная помощь и обучение a. Если вам требуется профессиональная помощь по достижению соответствия требованиям и заполнению опросного листа, вы можете воспользоваться ею. Но обратите внимание: хотя вы имеете право воспользоваться помощью любых специалистов, только те компании, которые включены Советом PCI SSC в список сертифицированных аудиторов, имеют статус QSA и прошли обучение под руководством специалистов Совета PCI SSC. Ознакомиться с этим списком можно на сайте https://www.pcisecuritystandards.org.

b. Совет по стандартам безопасности индустрии платежных карт (SSC) предоставляет различные образовательные ресурсы для повышения осведомленности организаций в вопросах обеспечения безопасности. Эти ресурсы включают в себя программу обучения PCI DSS для внутренних аудиторов (ISA) и программу обучения по стандартам.

Дополнительные ресурсы можно найти на веб-сайте PCI SSC, в том числе следующие:

–  –  –

Согласно правилам платежных систем, все торгово-сервисные предприятия и поставщики услуг должны обеспечить соответствие стандарту PCI DSS. Существует пять категорий опросных листов, которые представлены в таблице ниже и описаны более подробно в следующих разделах.

Используйте эту таблицу, чтобы определить, какой опросный лист лучше всего подходит вашей организации, затем просмотрите подробные описания, чтобы убедиться в том, что вы соответствуете всем требованиям для этого опросного листа.

–  –  –

Опросный лист для самооценки A — Торгово-сервисные предприятия, выполняющие операции без предоставления карт, все задачи по работе с данными о держателях карт выполняются сторонними организациями

–  –  –

Торгово-сервисные предприятия, которым подходит опросный лист A, не хранят данные о держателях карт в электронном формате и не обрабатывают и не передают данные о Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 Октябрь 2010 г.

Страница 12 (C) PCI Security Standards Council LLC, 2010 держателях карт.

Посредством заполнения опросного листа A и Свидетельства о соответствии они подтверждают следующее:

Ваша компания выполняет только операции без предоставления карты (электронная коммерция, обработка заказов по почте или телефону).

Ваша компания не хранит, не обрабатывает и не передает данные о держателях карт, а все задачи по работе с данными о держателях карт выполняются сторонними организациями.

Ваша компания подтверждает, что сторонняя организация, которая хранит, обрабатывает и/или передает данные о держателях карт, соответствует требованиям PCI DSS.

Ваша компания хранит только бумажные отчеты или квитанции с данными о держателях карт, и эти документы не принимаются в электронном виде.

Ваша компания не хранит данные о держателях карт в электронном формате.

Этот вариант не применим к торгово-сервисным предприятиям, которые используют POSсистемы в своей среде.

–  –  –

Опросный лист для самооценки B предназначен для торгово-сервисных предприятий, которые обрабатывают данные о держателях карт только с помощью машин для чтения данных или автономных Рекомендации по выбору терминалов с подключением к телефонной сети. типа опросного листа, который подходит вашей Торгово-сервисные предприятия, которым подходит опросный организации, приведены на лист для самооценки B, обрабатывают данные о держателях схеме в разделе "Какой тип карт только с помощью машин для чтения данных или опросного листа лучше автономных терминалов с подключением к телефонной сети и всего подходит для моей могут выполнять как операции с предоставлением карты, так и среды?" на странице 19.

операции без предоставления карты. Посредством заполнения опросного листа B и свидетельства о соответствии такие торгово-сервисные организации подтверждают следующее:

Ваша компания использует только машины для чтения данных и/или только автономные терминалы с подключением к телефонной сети для обработки данных о держателях карт;

Автономные терминалы не подключены к другим системам в вашей среде;

Автономные терминалы не подключены к сети Интернет;

Ваша компания не передает данные о держателях карт по сети (внутренней или Интернету);

Ваша компания хранит только бумажные отчеты или квитанции с данными о держателях карт, и эти документы не принимаются в электронном виде.

Ваша компания не хранит данные в электронном формате.

Опросный лист для самооценки C-VT — Торгово-сервисные предприятия, которые используют виртуальные терминалы с веб-интерфейсом, данные о держателях карт не хранятся в электронном виде Опросный лист для самооценки C-VT предназначен для торгово-сервисных предприятий, которые обрабатывают данные о держателях карт с помощью изолированных виртуальных терминалов на персональных компьютерах, подключенных к сети Интернет.

Виртуальный терминал обеспечивает доступ через вебинтерфейс к сайту банка-эквайера, процессинговой системы или Рекомендации по выбору типа стороннего поставщика услуг для авторизации операций с опросного листа, который платежной картой, где ввод данных о держателе карт подходит вашей организации, выполняется вручную через защищенный веб-браузер. В приведены на схеме в разделе отличие от физических терминалов, виртуальные терминалы не "Какой тип опросного листа считывают данные непосредственно с платежной карты. лучше всего подходит для моей Поскольку операции с платежной картой выполняются вручную, среды?" на странице 19.

виртуальные терминалы обычно используются вместо физических терминалов в средах торгово-сервисных предприятий с низкими объемами транзакций.

Инструкции и рекомендации по заполнению опросных листов для самооценки соответствия стандарту PCI DSS, версия 2.0 Октябрь 2010 г.

Страница 14 (C) PCI Security Standards Council LLC, 2010 Такие торгово-сервисные предприятия обрабатывают данные о держателях карт только с помощью виртуальных терминалов и не хранят данные о держателях карт в компьютерных системах. Виртуальные терминалы подключены к сети Интернет для доступа к серверам третьих сторон. На этих серверах размещены механизмы обработки платежей виртуальных терминалов.

Эти третьи стороны могут быть процессинговыми системами, банками-эквайерами и другими сторонними поставщиками услуг, которые хранят, обрабатывают и/или передают данные о держателях карт для авторизации платежных операций и возвратов, проводимых посредством виртуальных терминалов.

Данный опросный лист применяется только для торгово-сервисных организаций, использующих ручной ввод данных для каждой операции с клавиатуры в виртуальный терминал, доступный в сети Интернет.

Такие торгово-сервисные предприятия обрабатывают данные о держателях карт с помощью виртуальных терминалов на компьютерах, подключенных к сети Интернет и не хранят данные о держателях карт в компьютерных системах. При этом торгово-сервисное предприятие может иметь физические пункты обслуживания клиентов (в этом случае при проведении операций клиенты предоставляют платежные карты), или же может работать в области электронной торговли, торговли по почте или по телефону (в этом случае операции проводятся без предоставления платежных карт).

Такие торгово-сервисные предприятия могут проверить свое соответствие, заполнив опросный лист C-VT и связанное с ним свидетельство о соответствии для подтверждения следующих фактов:

Обработка платежей в компании осуществляется только с помощью виртуального терминала, доступ к которому осуществляется посредством веб-браузера, подключенного к сети Интернет.

Используемое решение виртуального терминала предоставляется третьей стороной, прошедшей проверку на соответствие стандартам PCI DSS, и размещается на ее ресурсах.

Доступ к решению виртуального терминала, поддерживающему стандарты PCI DSS, осуществляется в вашей компании с помощью компьютера, изолированного в одном месте и не подключенного к другим местам и системам в вашей среде (изолировать компьютер от других систем можно путем применения брандмауэра или сегментации сети).

На компьютере вашей компании нет программ, сохраняющих данные о держателях карт (например, нет программ для пакетной обработки или промежуточного хранения).

К компьютеру вашей компании не подключены устройства, способные записывать или хранить данные о держателях карт (например, к компьютеру не подключены считыватели карт памяти).

Ваша компания не получает и не передает данные о держателях карт в электронном виде никаким иным образом по любым каналам (например, по внутренней сети или через Интернет).

В вашей компании сохраняются только бумажные отчеты и бумажные копии чеков.

Ваша компания не хранит данные о держателях карт в электронном формате.

Это не относится к торгово-сервисным предприятиям, которые занимаются электронной торговлей.

–  –  –

Опросный лист для самооценки C предназначен для торгово-сервисных предприятий, платежные системы которых (например, POS-системы) подключены к сети Интернет (например, с помощью DSL-модема, кабельного модема и т.

д.) при следующих условиях:

–  –  –

Торгово-сервисные предприятия, которым подходит опросный лист C, обрабатывают данные о держателях карт с помощью платежных приложений, подключенных к сети Интернет, и не хранят данные ни в одной компьютерной системе. Они могут выполнять операции как с предоставлением карты, так и без предоставления карты. Заполняя опросный лист C и

Свидетельство о соответствии, эти торгово-сервисные предприятия подтверждают следующее:

в вашей компании платежная система и подключение к сети Интернет находятся на одном и том же устройстве и/или в одной и той же локальной сети (LAN);

платежное приложение или устройство с подключением к сети Интернет не подключено ни к каким другим системам в вашей среде (чего можно достичь посредством сегментации сети для отделения платежного приложения или устройства от других систем);

магазин вашей компании не подключен к другим магазинам в других местах. Каждая LAN существует только в пределах одного магазина;

в вашей компании сохраняются только бумажные отчеты и бумажные копии чеков;

ваша компания не хранит данные в электронном виде;

поставщик приложения платежной системы использует методы защиты данных при удаленной технической поддержке приложения платежной системы, используемого в вашей организации.

–  –  –

Опросный лист D предназначен для всех поставщиков услуг, которым платежная система предоставила право на проведение самооценки с использованием опросного листа, а также торгово-сервисным предприятия, которые могут проводить самооценку с помощью опросных листов и которые не соответствуют описаниям опросных листов категорий A-C.

Такие торгово-сервисные предприятия могут проверить свое соответствие, заполнив опросный лист D и связанное с ним Свидетельство о соответствии.

Хотя многие организации, которые заполняют опросный лист ОЛС D, должны подтверждать соответствие всем требованиям PCI DSS, к некоторым организациям со специфическими бизнес-моделями определенные требования не применяются. Например, не требуется, чтобы компания, не использующая беспроводные технологии, подтверждала соответствие требованиям, которые описаны в разделах стандарта PCI DSS, относящихся к управлению беспроводными технологиями. См. приведенные ниже инструкции по исключению из области оценки требований, относящихся к беспроводным технологиям, а также некоторых других требований.

–  –  –

Исключение: Если для подтверждения соответствия стандарту PCI DSS вам нужно заполнять опросный лист C или D, необходимо учитывать следующие моменты. См. также раздел "Неприменимость требований", чтобы выбрать нужный ответ на вопрос.

Требования 1.2.3, 2.1.1 и 4.1.1 (опросные листы C и D): На вопросы о беспроводных технологиях следует отвечать, только если в вашей сети используются беспроводные устройства. Обратите внимание, что на вопросы, связанные с требованием 11.1 (использование процесса для выявления неавторизованных беспроводных точек доступа), необходимо отвечать даже в том случае, если беспроводные технологии не используются в вашей сети, поскольку данный процесс обнаруживает все неавторизованные устройства, которые могли быть подключены без вашего ведома.

Требования 6.3 и 6.5 (опросный лист D): на вопросы, связанные с разработанными приложениями и кодом, необходимо отвечать, только если эти приложения разработаны специалистами вашей организации.

Требования 9.1-9.4 (опросный лист D): на вопросы, связанные с этими требованиями, необходимо отвечать, только если в офисе вашей компании имеются критичные помещения (определение "критичного помещения" приведено ниже). Под критичным помещением понимается любой центр обработки данных, серверное помещение или любое помещение, в котором находятся системы, где выполняются хранение, обработка или передача данных о держателях карт. К ним не относятся помещения, в которых находятся только POSтерминалы, например зоны кассовых аппаратов в розничном магазине, но относятся серверные помещения, где обрабатываются данные о держателях карт, и хранилища с большим объемом таких данных.

Неприменимость требований: Для всех типов опросных листов эти и любые другие требования, которые неприменимы к вашей среде, должны быть отмечены как "Н/п" в столбце "Комментарии" опросного листа для самооценки. Для каждого такого требования заполните форму "Причины неприменимости требований", приведенную в приложении к опросному листу.

Инструкции по заполнению опросного листа

1. Используйте рекомендации, приведенные в настоящем документе, для выбора опросного листа, подходящего для вашей компании.

2. Ознакомьтесь с документом "PCI DSS: Понимание назначения требований", чтобы понять, какие требования и почему должна соблюдать ваша организация.

3. Оцените свою среду на соответствие стандарту PCI DSS.

4. Заполните выбранный опросный лист для самооценки, чтобы подтвердить соответствие стандарту PCI DSS.

5. Следуйте инструкциям, приведенным в разделе "Порядок оформления подтверждения о соответствии стандарту PCI DSS" опросного листа. Отправьте всю необходимую документацию в ваш банк-эквайер или вашей платежной системе.

Похожие работы:

«Эксперт: (ФИО полностью) Должность _ Предприятие _ _ Контакты: тел. _ Электронная почта Подпись Дата_ АНКЕТА для опроса специалистов профильных организаций В соответствии с постановлением Правительства Российской Предлагаем Вам принять у...»

«АКАДЕМИЯ УПРАВЛЕНИЯ ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ УТВЕРЖДЕНО Проректором по учебной работе «18» июня 2010 г. Регистрационный № УД-13/1. Пп /уч. УЧЕБНАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ СОЦИОЛОГИЯ УПРАВЛЕНИЯ специальности переподготовки 1-26 01 76 «Управление персоналом» квалификация «специалист по управлению персона...»

«ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 27 июня 2014 г. № 589 МОСКВА Об утверждении устава федерального государственного бюджетного учреждения Российская академия наук Правительство Российской Федерации п о с т а н о в л я е т : 1. Утвердить прилагаемый устав федерального государственного бюд...»

«Утверждено постановлением Правительства Кыргызской Республики от 31 мая 2001 года N 260 ПОЛОЖЕНИЕ о лицензировании отдельных видов предпринимательской деятельности (В редакции постановлений Правитель...»

«Л.А. Бершадская ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ: СТРУКТУРА ПОТРЕБЛЕНИЯ В РОССИИ Электронное правительство представляет из себя новую структуру взаимодействия между представителями органов власти, гражданами и организациями, а также систему оказания государственных...»

«ПРЕДВАРИТЕЛЬНО УТВЕРЖДЕН: УТВЕРЖДЕН: Решением Совета директоров Решением годового Общего собрания акционеров ОАО «Группа «Илим» (Протокол № 18 (171) от 22.04.2016) ОАО «Группа «Илим» (Протокол №3/2016 от 09.06.2016) Годовой отчет Открытого акционерного общества «Группа «Илим» Достоверность данных, привед...»

«Perl. Строки. Введение. Строка — последовательность символов. В строки возможно включать любые символы. Самая короткая строка — пустая (нет символов). Длина самой длинной строки ограничена лишь доступной памятью.Литеральные представления строк: в одинарных кавычках, в двойных кав...»

«РОССИЙСКАЯ АКАДЕМИЯ НАРОДНОГО ХОЗЯЙСТВА И ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ СЕВЕРО-ЗАПАДНЫЙ ИНСТИТУТ УПРАВЛЕНИЯ ISSN 1726-1139 УПРАВЛЕНЧЕСКОЕ КОНСУЛЬТИРОВАНИЕ 2015. № 5(77) Научно-практический журнал Выходит ежемесячно С 2005 года статьи...»

«МОДУЛЬ ИНТЕРФЕЙСНЫЙ RS-485 Протокол информационного обмена Часть 2. МЭК 60870-5-101 47113964.505100.074-01 90 06-2 47113964.505100.074-01 90 06-2 1 Основные положения 1.1 Настоящий документ распространяется на модуль интерфейсный RS-485 (дал...»

«эндодонтия в деталях АпикАльнАя обтурАция МтА с использовАниеМ зААпикАльной МАтрицы Создать идеальные условия для обтурации системы корневого канала в условиях полости рта невозможно — это аксиома. Особенно, если это не простое первично...»








 
2017 www.pdf.knigi-x.ru - «Бесплатная электронная библиотека - разные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.