This online Сloud Webinar: “PCI DSS Compliance: Getting Ready for the Certification”” was delivered by Volodymyr Kovrygyn (Senior Consultant, Engineering, GlobalLogic) on August 26, 2021 During the event, the speaker considered an approach to creating a solution that is compatible with PCI DSS from scratch or updating the existing one. Also, he shared his experience in the painless certification process. More details and video: https://bit.ly/3hnSfTb

1. 1
Confidential
PCI DSS: Подготовка и прохождение
Владимир Ковригин
Solution Architect, Senior Consultant
26 августа 2021

2. 2
Confidential
Agenda
1. Появление Payment Council и PCI DSS
2. Суть и охват Data Security Standard
3. Содержание и практические цели стандарта
4. Построение системы
5. Q&A

3. 3
Confidential
Payment Card Industry Security Standards Council
• Visa's Cardholder Information
Security Program
• MasterCard's Site Data Protection
• American Express's Data Security
Operating Policy
• Discover's Information Security
and Compliance
• JCB's Data Security Program
September 2006
Content
Content

4. 4
Confidential
Суть, цель и охват стандарта
• Процесс построение безопасной системы,
частью которого является обеспечение
защиты карточных данных
• Имплементация 6 принципов
Цель и суть
Photo is
example for
placement and
max. size
Охват
• Данные держателя: PAN, ФИО, дата,
сервисный код
• Чувствительные данные: данные трека,
СVV2, PIN

5. 5
Confidential
Субъекты, подпадающие под действие
• Продавцы (Мерчанты)
 Level 1 (6 миллионов транзакций в
год)
 Level 2 (от 1 до 6 миллионов)
 Level 3 (от 20К до 1М)
 Level 4 (до 20К)
• Платежные сервисы, эквайеры,
повайдепры B2B
• Все иные субъекты, которые
хранят, обрабатывают или
передают данные держателя

6. 6
Confidential
Последствия non-compliance
 Законодательные
требования (US: MN,
MS)
 Штрафы от payment
systems и issuers для
продавцов
 Отключение от
интерфейсов
 Отказ от
сотрудничества со
стороны партнеров

7. 7
Confidential
Ключевые роли
• Внешний эксперт
• Уполномочен PCI
Council
• Проводит assesment
• Средние объемы
транзакций
Self-Assessment Questionnaire
• Сотрудник компании
или контрактор
• Уполномочен PCI
Council
• Только для крупных
объемов
Internal Security
Assessor
Qualified Security
Assessor
• Маленькие объемы
• Опросник
• Уведомительный порядок

8. 8
Confidential
8
На практике

9. 9
Confidential
6 принципов: практика в первом приближении
1. Установить и поддерживать конфигурацию
брандмауэра для защиты данных держателях
2. Не используйте настройки по умолчанию
для системных паролей и других параметров
безопасности
Построить и поддерживать
безопасную сеть
3. Защитите сохраненные данные
держателях
4. Шифрование переданных данных
держателя (в открытых общедоступных
сетях)
Защитить данные держателя
5. Защитить все системы от вредоносных
программ и регулярно обновляйте антивирус
6. Разрабатывать и поддерживать
безопасную систему
Программа уязвимостей
Контроль доступа
10. Отслеживать и контролировать любой
доступ к сетевым ресурсам и данным
держателей
11. Регулярно тестировать системы и
процессы безопасности.
Мониторинг и тестирование
11. Поддерживать политику, направленную
на обеспечение информационной
безопасности всего персонала.
Security Policies
7. Ограничить доступ к данным о держателях
карт
8. Определить уровни доступа к системным
компонентам.
9. Ограничить физический доступ к данным
держателей

10. 10
Confidential
Руководства к действию
• White papers
 Azure
 Official white paper
 Compliant services
 AWS
 White paper
 Official compliant services
• Внешний консультант, эксперт,
контрактор
 Scope / not Scope
 Best practices

11. 11
Confidential
Немного из практического опыта
• Секьюрная разработка системы и ПО
• Регулярные треннинги всего вовлеченного
персонала
• Ограничение доступа вплоть до системы
контроля версий и логов
• Минимизируйте PCI DSS Compliant систему.
Разбейте вашу систему на две (защищенная и
нет)
Люди и процессы
• Используйте WAF (Cloud Flare)
• Никакого. Нет, даже НИКАКОГО прямого
доступа к базе
• RDP. SSH. Смотри пункт выше
• Данные не только в базе, но и в логах
• Используйте Serverless и Operative Storage
Техника и технологии

12. 12
12
Confidential
Немного примеров

13. 13
Confidential
Процессинг платежей (перестройка)

14. 14
Confidential
Швидко грошi по-американски

15. 15
Confidential
15
Q&A

16. 16
Confidential
Рекомендуется к прочтению
1. Ди Хок “Философия твоей кредитки”
2. Payment Card Industry (PCI) Data Security Standard, v3.2.1
3. AWS
1. https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf
2. https://aws.amazon.com/ru/compliance/services-in-scope/
4. Azure
1. https://docs.microsoft.com/en-us/azure/governance/blueprints/samples/pci-dss-3.2.1/
2. https://azure.microsoft.com/en-us/blog/the-biggest-pci-coverage-in-the-industry-just-got-bigger/
5. OWASP Top 10
1. Secure Software development course by Kelly Handerrah