PCI DSS標準のプリズムによる監査の概要

オンライン決済、貿易およびサービス企業のキャッシュレス決済、オンラインバンキングシステムでの銀行口座の操作、およびサービスプロバイダーからの他の決済アプリケーション：プラスチックカードを使用した操作の数は急速に増加しています。 したがって、インフラストラクチャは拡大しており、カード所有者と重要な認証データに関する情報が流通しています。 この情報またはその一部が攻撃者の手に渡ると、発行銀行とエンドユーザーの両方が金銭的損失を被ります。



支払いカードの所有者に関するデータ要素を処理するシステムの規模が拡大するにつれて、詐欺の分野も増加しています。 この問題に関連して、ユーザーを狙った最も一般的な攻撃は、依然として悪意のあるソフトウェアを使用したデータの盗難と、ベンダー企業の偽のWebリソースを使用した情報の盗難（フィッシング）です。 ほとんどの場合、ベンダー自体に向けられた攻撃は、影響を受ける企業の従業員（インサイダー）によって実行されます。 そして、侵入者の最初のケースでは、ユーザ情報のレベルで制御し、適切なクライアントソフトウェアをインストールすることができた場合、後者の場合には、我々は、データ要素のカードを保存、処理して送信するシステムプロセスの保護に適切な組織と技術的なアプローチを必要としています。



安全基準クレジットカード業界（クレジットカード業界のセキュリティ基準審議会、評議会PCI SSC）[ 1]、主要な国際決済システム（ビザ、マスターカード、アメリカンエクスプレス、によって設立された発見、JCB）、セキュリティのルールを含むドキュメントのセットを開発しました、カード会員データ- 支払いカード業界データセキュリティ標準（PCI DSS ）。







PCI DSS規格は、支払いカード情報が送信、処理、または保存されるインフラストラクチャのコンポーネントのセキュリティにかなり厳しい要件を課しています。 これらの要件の遵守のための支払いインフラチェックは大幅にセキュリティのレベルを下げる原因を特定することができます。 さらに、適切に構成された監査手順により、適合性評価活動中に受け取った情報を構造化し、優先順位に従って情報セキュリティを改善するための推奨事項を作成できます。 このように、会社の処分で、オーダーサービスは、標準の遵守を評価し、結果だけでなく、各要求に関するコメントを含む正式な報告書の形で決済インフラの保護の最も完全な絵ですが、完了しなければならない基本的な手順のセットである行動計画、問題を修正します。 Cだけでなく、企業の国内従業員の視点から、テストの境界の外部にある攻撃者の位置などの情報資産の保護の本当のレベルを示すことができPCI DSS標準で規定必須イベントのリストに含まれている侵入テスト、。

国際決済システム（ MPS ）は、すべての銀行、貿易およびサービス企業（ TSP ）、プロセッサー、および決済カードの分野でビジネスを行うその他の企業にPCI DSS規格に準拠することを義務付けています。 鉄道省が規格の要件に違反した場合の罰則がないことは、TSPとサービスプロバイダーのインフラストラクチャとビジネスプロセスの適応策です。 上記から、適合証明書を取得するための正式な手順としてのみPCI DSSコンプライアンス検証サービスを利用するべきではないという事実に従うことになります。



PCI DSSコンプライアンス検証サービスを提供するコンサルタント会社は、検討中のインフラストラクチャのセキュリティステータスを評価するこの標準を監査するための方法論を自由に使用できる必要があります。 PCI DSS要件のコンテキストでは、この方法により、一定期間、調査中のシステムの主要コンポーネントを強調表示し、それに応じて結果を構造化できます。 したがって、コンサルタントのタスクは、カード会員データのセキュリティを確保し、その結果、顧客のPCI DSS標準の要件を満たすことを支援することです。

定義

ASV（承認済みスキャンベンダー）は、セキュリティ基準審議会（PCI SSC）の公式ステータスを持つスキャンサービスプロバイダーです。



オンサイト監査 -監査クライアントインフラストラクチャ、実際の機能コンポーネントに直接監査人によって行われます。



QSA（Qualified Security Assessor）は、従業員がセキュリティ基準審議会（PCI SSC）が実施するトレーニングと試験に個別に合格した会社です。



監査人（コンサルタント） -PCI DSSの監査（規格の要件への準拠の検証）およびPCI DSS規格の要件への準拠の評価に関連するコンサルティング活動に携わる人。



顧客 - PCI DSSの要件の遵守のためのパフォーマー検査サービスのパフォーマンスに興味を持って法的人。



取得者は、銀行カード発行者協会のメンバーであり、支払いカードを受け入れる貿易およびサービスネットワークの企業との相互作用を確立および維持します。 [2]

PCI DSS標準

PCI DSSの概要

ペイメントカード業界のデータセキュリティ標準は、貿易およびサービス企業、サービスプロバイダー、その他の組織の情報インフラストラクチャで送信、保存、処理されるペイメントカード所有者のデータのセキュリティを確保するための12の詳細な要件のセットです。 規格の要求事項の遵守を確保するために適切な措置をとることはペイメントカードデータの情報セキュリティへの総合的なアプローチを意味します。



構成[3]およびPCI DSS標準の公式サポート文書の説明：



1）支払いカード業界のデータセキュリティ標準。 セキュリティ監査の要件と手順。 バージョン2.0（Payment Card Industry Data Security Standard。要件およびセキュリティ評価手順v2.0）。

このドキュメントでは、標準の12の要件、その適用範囲、標準要件への準拠の監査の準備と監査の実施に関する基本情報、および報告資料の作成に関する情報について詳しく説明しています。 この文書は、主に、規格の要件に準拠するためにオンサイト監査を実施する監査員が使用するために開発されました。



2）用語集。 バージョン2.0（用語集v2.0）。

PCI DSS規制文書で使用される用語と略語のリスト。 他のサポート文書で使用されている用語を理解することを目的としているため、レビューのためにお客様に推奨されます。



3） PCI DSSの方向。 バージョン2.0（PCI DSSのナビゲート。バージョン2.0）。

貿易およびサービスネットワークの企業、サービスプロバイダー、その他の金融機関による標準要件の理解を向上させるために、標準の12の要件とその意味の説明を記載したドキュメント。



4） PCI DSSコンプライアンスを達成するための優先アプローチ。 バージョン1.2（PCI DSS v1.2の優先アプローチ）。

活動の初期段階でリスクを軽減し、標準への準拠を達成するための作業規則。 優先アプローチは6段階で構成されており、優先順位に従って、コンプライアンスを達成するための努力を分散し、実行中に支払いカードのデータが侵害されるリスクを軽減します。 このアプローチは、PCI DSS v2.0標準の要件を置き換えるものではありません。



5）認定セキュリティ専門家の要件（認定セキュリティ評価者のPCI DSS検証要件）。

資格のあるセキュリティ専門家（QSA）のステータスを取得済みまたは既に持っているセキュリティ専門家向けの、Payment Card Security Standards Boardの要件を含むアプリケーション。



6）スキャンサービスプロバイダーの要件（承認済みスキャンベンダーのPCI DSS検証要件）。

スキャンサービスプロバイダー（ASV）を受け取っているか、既に持っているセキュリティ専門家向けの、Payment Card Security Standards Boardの要件を含むアプリケーション。



7）自尊心のシート。 バージョン2.0（PCI DSS Self-Assessment Questionnaire v2.0）。

自己評価シートは、貿易およびサービス企業およびサービスプロバイダーによる標準への準拠の自己評価を整理することを目的としており、「Payment Card Industry Data Security Standard。 セキュリティ監査の要件と手順。 バージョン2.0 "（"ペイメントカード業界データセキュリティ標準。要件とセキュリティ評価手順v2.0 "）。 特定のケースで使用される自己評価シートにはいくつかのオプションがあります。



8） PCI DSS適合性評価-業界団体。 バージョン2.0（PCI DSS準拠証明書-マーチャントv2.0）。

QSAまたは取引組織（取引組織が内部監査を実施する場合）によって入力されるドキュメントテンプレート。その結果、この組織がPCI DSS規格に準拠していることに関する公式ドキュメントです。



9） PCI DSS適合性評価-サービスプロバイダー。 バージョン2.0（PCI DSS準拠証明書-サービスプロバイダーv2.0）。

QSAとサービスプロバイダーがPCI DSS規格へのこのサービスプロバイダーのコンプライアンスに関する公式文書として記入しなければならないドキュメントテンプレート。



追加のドキュメント：



1）追加文書-ASV（追加文書-ASV）。

スキャンサービスプロバイダー（ASV）ドキュメントキット：ASVプログラムガイド、ASV要件リスト、ASVコンプライアンスチェック。



2）追加ドキュメント-QSA（追加ドキュメント-QSA）。

認定セキュリティエキスパート（QSA）のドキュメント：QSA、QSA要件のリスト。



3）追加文書-PFI（追加文書-PFI）。

ペイメントカード業界（PFI）のフォレンジック専門家向けの一連のドキュメント：PFIプログラムガイド、PFI要件のリスト、PFIステータスへの準拠の検証。 支払い業界の法医学の専門家の地位は、PCI SSC評議会によってPCI DSS標準の2番目のバージョンとともに導入されました。



4）要件11.3侵入テスト。

侵入テストのためのPCI DSS標準11.3の詳細な説明。



5）要件6.6アプリケーションレビューとWebアプリケーションファイアウォールが明確化されました。

Webアプリケーションを保護するためのPCI DSS標準6.6の明確化。



6）ワイヤレスネットワークのガイド。 バージョン1.2（ワイヤレスガイドラインv1.2）

このドキュメントには、PCI DSS要件のコンテキストでワイヤレスネットワークを展開およびテストするための提案と推奨事項が含まれています。



標準の開発者は、ドキュメントベースを構築する手順に注意を払いません。 コンサルタントは、監査の方法論的基盤を開発するために、公式文書の関係を決定する必要があります。 図1には、公式のPCI DSS文書の従属性を示す図が含まれています。







図1 -PCI DSS規格の公式文書の従属

主要なデータ保護要件

ペイメントカード所有者のデータ保護を組織するための重要な要件は、ドキュメント「ペイメントカード業界のデータセキュリティ基準。 セキュリティ監査の要件と手順。 バージョン2.0」（「支払いカード業界データセキュリティ標準。要件およびセキュリティ評価手順v2.0」）およびセキュリティ監査のプロセスを簡素化するような方法でグループ化されています。 以下は、PCI DSS標準の中心であり、監査手順の種類とその簡単な分析によってグループ化された12の要件のリストです。



1）要件1.「カード会員データを保護するためにファイアウォールをインストールし、機能を確認します。」

2）要件2。「デフォルトでは、メーカーが設定したパスワードやその他のシステムパラメータを使用しないでください。」



最初のグループは「安全なネットワークの構築と維持」と呼ばれます （要件1および2）。 最初の要件から、ターゲットインフラストラクチャのセグメンテーションプロセスがどれほど重要であり、このプロセスがどのような基盤で構築されているかが明らかになります。 ファイアウォール -セキュリティの基礎。 循環トラフィックを適切に設計すると、インフラストラクチャ全体が整頓されます。 それにもかかわらず、標準の最新バージョンでは、最初の要件の表現が多少緩和されており、ファイアウォールだけでなくトラフィックをフィルタリングおよびブロックするという事実を暗示しています。



システムの主要なコンポーネントのブロックおよびフィルタリングネットワークトラフィックの実装に加えて、第一の要件は（ユーザがパラメータを変更することはできません適切に構成された従業員のワークステーション上でパーソナルファイアウォールを意味節1.4を含み、（支持文書の文脈におけるテストネットワーク内のサーバ手段）ファイアウォールの機能）-これは、組織の管理者が手順を制御するのが最も困難です。 2番目の要件は、メーカーがデフォルトで設定したシステムパラメータの必須変更をネットワーク管理者に思い出させます。



3）要件3.「カード所有者へのデータの安全な保存を確保する」。

4）要件4.「カード所有者がパブリックネットワーク経由で送信される場合、カード所有者のデータの暗号化を確保する。」



要件「カード所有者のデータ保護」 （要件3および4）のグループは、データ保護の重要な方法（暗号化、セキュリティキーポリシーなど）とその範囲を考慮しますが、他の要件で説明される情報保護の他の方法侵害のリスクを減らす手段として位置付けられています。 この一連の要件では、セキュリティキーポリシーとライフサイクルについて説明します。 暗号化された形式でプラスチックカードの所有者にデータを保存することにより、攻撃者による不正使用の事実が排除されるという事実により（彼が何らかの方法で他の保護ラインを克服した場合）、このグループのポイントは非常に厳密に表現され、オブジェクトによって明確に解釈されるおよび監査の対象。 個人データ（特定の個人に関連する情報）に関連するプラスチックカードの所有者にデータを保存するための便利な手法は、「デパーソナライゼーション」です。所有者を一意に識別できないこれらのデータの断片を削除または独立して保存する手順です。



5）要件5.「ウイルス対策ソフトウェアを使用し、定期的に更新する。」

6）要件6.「安全なシステムとアプリケーションを開発および維持する。」



要件5と6を組み合わせたグループは、 脆弱性管理と呼ばれます 。 脆弱性管理とは、ウイルス対策ソフトウェアを含む最新の更新プログラムのタイムリーなインストール、Webベースのものを含む安全なアプリケーションの開発、保守、および使用を指します。



7）要件7.「公式の必要性に応じて、カード所有者のデータへのアクセスを制限する」。

8）要件8.「情報インフラストラクチャにアクセスできる各人に一意の識別子を割り当てます。」

9）要件9.「カード会員データへの物理的アクセスを制限する」。



要件7、8、9は、 「厳格なアクセス制御手段の実装」グループにグループ化され、組織のセキュリティ手段と物理的アクセスおよび監視メカニズムの両方を使用して情報の保護を確保するための組織的および技術的な性質です。



10）要件10.「カード所有者のネットワークリソースおよびデータへのアクセスを制御および監視する」。

11）要件11.「セキュリティシステムとプロセスの定期的なテストを実施する。」



監査人にとって注目すべきは、 「ネットワークの定期的な監視とテスト」という要件のグループです（要件10、11）。 必ずしもすべての貿易とサービス会社は、社内セキュリティのサービス内容を買う余裕ができ、その力は、定期的に予防侵入テストおよびセキュリティプロセスの監視を行っています。 これらの体系的な手順を実装する必要があるため、情報セキュリティ市場では、内部および外部の侵入テストの形でさまざまなサービスが発生し、完全に異なるサプライヤーからの脆弱性のインフラストラクチャをスキャンします。 PCI DSS要件の遵守を評価する上で監査人は、浸透およびASV-スキャンの最後のメンテナンステストの結果（サブ11.2「の脆弱性のために四半期ごとにスキャン」と11.3「毎年のペネトレーションテスト」）に精通していると、すべての識別された脆弱性を排除することを確認する必要があります。 これらの結果は、第三者機関が提供する侵入テストおよび脆弱性スキャンサービスの結果として取得できるという事実、およびその結果、監査人の結論は、第三者によるこのサービスの提供中に取得したデータの信頼に基づいています。



12）要件12.「情報セキュリティポリシーを作成および維持する。」



実装の範囲に関する要件12は、顧客のインフラストラクチャへの適応に関して最も難しいものの1つです。 条項12.1.1では、すべてのPCI DSS要件を考慮したポリシーの作成が必要です。 貿易と認定されたサービスの企業やサービスプロバイダは、そのセキュリティポリシーを策定や標準の要件に応じた電流を確認してください。

VisaおよびMasterCardセキュリティプログラム

PCI DSS規格は、主要な国際決済システムによって開発されており、VisaとMasterCardセキュリティプログラムの要件を組み合わせています。

ビザAISプログラム

Visaアカウント情報セキュリティ（AIS）プログラムは、Visa for Europe（米国の同様のVisaプログラム-カード所有者情報セキュリティプログラム）によって開発され、加盟店およびサービスプロバイダがVisa支払いカード所有者のセキュリティ対策を改善するのを支援します。トランザクション情報。



組織が満たす必要のあるVisa AISプログラムの要件は、組織が毎年保存、処理、送信するVisa資格情報の数によって異なり、これらのデータに従って、取得者は特定のレベルを商人に割り当てます。 以下は、販売者とサービスプロバイダーのプログラム要件のリストです。



貿易とサービス会社（商人）の要件：



1）PCI DSS要件の遵守に関する年次監査（年間600万件以上のVisaトランザクションを処理するTSP、または別の地域または国で1つのVisaレベルが割り当てられた国際TSP）。



2）アンケート（SAQ）の年間自己完了（すべての支払いチャネルで年間100万から600万のVisaトランザクションを処理するTSP、または年間20,000から100万のビザeコマーストランザクションを処理するTSP） ;



3）スキャンサービスプロバイダー（ASV）による四半期ごとのネットワークスキャン。



4）適合証明書の存在（TSPのすべてのレベル）;



5）アクワイアラによって実行されるコンプライアンスチェック（年間20,000未満のVisa eコマーストランザクションを処理するTSP、または年間最大100万件のトランザクションを処理する他のすべてのTSP）。



サービスプロバイダーのビザ要件：



1）PCI DSS要件の遵守に関する年次監査。



2）SAQ（年間300,000未満のVisaトランザクションを処理するサービスプロバイダー）の年間完了。



3）PCI DSS規格に準拠した四半期ごとのネットワークスキャン。



4）適合証明書の存在。

MasterCard SDPプログラム

MasterCardが承認したMasterCard Site Data Protection（SDP）は、PCI DSS規格に従って、MasterCardアカウントデータのTSPおよびサービスプロバイダーを安全に保存するように設計されています。 以下は、販売者とサービスプロバイダーのプログラム要件のリストです。



販売者向けのMasterCardの要件：



A）TSPレベル1（マスターカードおよび可マエストロペットのために、毎年600万件の以上の取引の年間売上高を持つすべてのTSP、;すべてのTSPは、強盗やデータの漏洩につながった攻撃の影響を受けるの裁量で、レベル1に割り当てられているすべてのTSP MasterCard）は、次の要件に準拠する必要があります。



1）QSAが実施する年次監査。

2）ASVによって実行される四半期ごとのネットワークスキャン。

3）必須のコンプライアンス検証手順。



B）TSPレベル2（の売上高を持つすべてのTSP 100万人以上が、以下マスターとマエストロのために毎年600万トランザクションに等しく、すべてのTSPは、次の要件を満たさなければならない）別の支払いシステムのレベル2に対応します。



1）QSAが実施する年次監査。

2）SAQアンケートの年次記入（2010年12月31日まで）。

3）ASVによる四半期ごとのネットワークスキャン。

4）初期コンプライアンス検証手順の実装（2010年12月31日まで）。



C）TSPレベル3（すべてのTSP、マスターとマエストロに電子商取引の数は年間20 000を超えるが、マスターとマエストロ上のeコマーストランザクションの合計数が100万を超えていない、他の支払いシステムのレベル3に対応する全てのTSP）が従わなければなりません以下の要件：



1）SAQアンケートの年次記入。

2）ASVによる四半期ごとのネットワークスキャン。

3）必須のコンプライアンス検証手順。



d）レベル4のTSP（最初の3つのレベルに属さないすべてのTSP）は、次の要件を満たしている必要があります。



1）SAQアンケートの年次記入。

2）ASVによる四半期ごとのネットワークスキャン。

3）コンプライアンス検証手順の日に取得者と協議する。



MasterCardサービスプロバイダーの要件：



a）レベル1サービスプロバイダー（すべてのサードパーティプロセッサ、300,000を超えるMasterCardおよびMaestroトランザクションを毎年保存、転送、または処理するすべてのデータストレージ組織）は、次の要件を満たす必要があります。



1）QSAが実施する年次監査。

2）ASVによる四半期ごとのネットワークスキャン。



b）レベル2のサービスプロバイダー（MasterCardおよびMaestroの年間30万件未満のトランザクションを保存、転送、または処理するすべてのデータストレージ組織）は、次の要件を満たす必要があります。



1）SAQアンケートの年次記入。

2）ASVによる四半期ごとのネットワークスキャン。

IPUの要件を順守しなかった場合の責任

TSPレベルは、TSPが接続されているアクワイアラによって直接決定されます。 ターンでは、IPUは、年二回TSPレベル1、2、PCI DSS要件の3の報告コンプライアンスを提供するために、買収が必要です。 したがって、買収者は、貿易およびサービス企業と鉄道省の間の仲介者として機能します。 貿易およびサービス企業が鉄道省の規則に違反した場合、ビザはリスクを管理するための適切な措置を講じます。これにより、取得者に罰金が課される可能性があります[5]。



レベル1の基準を満たすサービス・プロバイダは、必要なコンプライアンス手続であり、PCI DSS準拠のサービスプロバイダのリストに含まれています。 サービスプロバイダのレベル2は中に含まれたリストの関連する買収をして（コントロールがsamooprosnika監視結果を表している）が制御されていません。







図2-鉄道省と金融機関の相互作用のスキーム

PCI DSS規格に準拠したIS監査

PCI DSS内のサービス

以下は、PCI DSS標準で提供できるサービスの範囲です。



1）PCI DSSへの準拠の監査



ステータスQSA（認定セキュリティ評価機関）を有する監査人が実施し、以下の一般的な手順が含まれます。

a）PCI DSS規格に準拠するための監査の準備と計画に取り組みます。

b）監査手順に従って活動を実施する。

c）結果の分析。

d）PCI DSS標準に準拠するための監査レポートの生成。



2）PCI DSSへの準拠の監査を実施するためのお客様のインフラストラクチャの準備

PCI DSS遵守のための認証の活動への顧客のインフラストラクチャを準備するために行われ、規格に準拠するための予備的な監査です。



3）PCI DSS規格の要件に従った脆弱性スキャン

これは、ASV（承認済みスキャンベンダー）のステータスを持つ企業によって実行され、PCI DSS規格の要件11.3に従って、必須の手順であり、公式文書PCI DSSセキュリティスキャン手順に詳細に反映されています。



4）PCI DSSに準拠した侵入テスト

侵入テストは、少なくとも年に一度（11.3 PCI DSS要件の標準）を開催し、含まれている標準に準拠を達成するために必須です。



a）外部侵入テスト。

B）内部監査。



5）顧客組織の情報セキュリティの分野における高度なトレーニングコース

これは、お客様の従業員の意識を高めるために行われ、オプションで以下を含みます：



a）情報セキュリティのさまざまな側面に関するトレーニングとセミナー。

b）テーマ別プレゼンテーションのデモンストレーション;

d）ウェビナーの実施。



PCI DSS規格は、VisaおよびMasterCard（Visa AIS、MasterCard SDP）が開発した情報保護プログラムの要件を組み合わせたもので、これらの支払いシステムを使用するすべての組織に適用されます。



この標準は、PCI DSS標準が必須であるCEMEA地域（中央および東ヨーロッパ、中東、アフリカ）に必要です。したがって、この地域のすべてのTSPおよびサービスプロバイダーは、コンプライアンス手順を実行する必要があります。 したがって、上記のMEAとのコラボレーションロシアの金融機関は、標準的な評価手順のPCI DSSコンプライアンス要件を受けなければなりません。

コンプライアンス監査を実施するための一般的なアプローチ

PCI DSS標準の下で提供できるサービスの一般的なリストの中で、顧客のインフラストラクチャのセキュリティの全体像を取得し、コンプライアンス証明書を発行すると、QSAステータスを取得した企業によって実行される要件へのコンプライアンスの監査サービスを提供できます。



IS監査を実施するアプローチには、根本的に異なる2つの方法があります。



1）侵入テスト。

2）情報セキュリティの技術監査。



適合性チェック手順の最初の段階で、監査人は監査領域を特定します。コンポーネントのセットは、彼の意見では、支払いカードデータのセキュリティの程度に関する完全な情報を取得するのに十分です。



PCI DSS標準要件への準拠に関する監査、要件の分析、および公式文書「Payment Card Industry Data Security Standard」に記載されている適切な対策の採用プロセス。 要件とセキュリティ評価手順」（「ペイメントカード業界データセキュリティ基準。要件とセキュリティ評価手順」）。 監査領域とサンプルの決定結果は、監査人によって確認され、レポートに記録されます。 さらに、監査員はコンポーネント（会社のオフィス、TSP、会社のキャラクターなど）の総数を決定します[6]。 得られたデータは、適合性評価の段階で入力として使用されます。



適合性評価を実施するために開発された方法論に従って、監査人は初期データを収集する段階で受け取った情報を分析します。 結果は、要件を集計しています。 要件が満たされていない場合、補償措置のリストが作成されます[6]、満たされていない要件がそのような措置を意味する場合。 適合性評価手順の最後に、監査人はレポート（AOC、適合証明書）に記入します。

監査の主要な段階

以下の項目は、ロシアの主要コンサルティング会社の監査実務を構築し、これに対してマイルストーンのセットです。

1）第一段階。 分析と体系化。

背景：

a）は、カード所有者に関する重要な情報を保管または処理され、顧客のシステムの構成要素に関する情報を。

b）情報セキュリティに関連するお客様の規制および管理文書（PCI DSSの要件に従って必要な情報セキュリティポリシー、規制、指示、およびその他の文書）。

c）ハードウェアとソフトウェアの情報転送、ネットワークトポロジの構成と特性。

d）情報システムの内部および外部通信の性質、情報システムで重要な情報を処理する原則。

作業範囲：

a）ソースデータの分析。

b）ソースデータの分析に基づいた監査領域の選択。

出力データ：

a）トポロジ（情報処理デバイスのリストと特性）監査エリア。

b）作業範囲および必要な監査の技術的手段の決定に関する情報。



2）ステージ2。標準の要件への準拠の評価。

入力データ：前のステップで取得した出力データ。

作業範囲（顧客の選択された認証領域の機能によって決定されます）：

a）企業ネットワークの分析とそのセキュリティの検証。

b）無線ネットワークの分析とセキュリティの検証。

c）ファイアウォールの構成の分析。

d）アクセス制御リストの分析。

e）パスワードポリシー分析。

f）重要な情報処理技術の分析。

g）ネットワーク監視ソフトウェアの可用性を確認し、ユーザーのアクションを記録します。

h）ソフトウェア更新ポリシー（セキュリティソフトウェアを含む）の確認。

出力データ：

a）PCI DSS規格の要件への顧客インフラストラクチャのコンプライアンスに関する最終結論。

b）顧客が、インフラストラクチャのセキュリティ、既存の脆弱性、セキュリティポリシーの設計におけるエラーの写真を入手する。



3）ステージ3。レポート生成。

入力データ：前のステップで取得した出力データ。

作業範囲：認証審査の結果に関する報告書の作成。

奥付：お客様のインフラストラクチャがPCI DSS標準の要件に準拠していることに関する認証監査の結果について報告します。

戦場-セグメント

PCI DSSの範囲であれば楽観的な見て、本質的な要件は、カード番号（PAN）の中に操作するシステムに適用されます。ただし、実際の「システム」の概念は非常に拡張可能で、システムを定義する多くのコンポーネントでカード番号を処理できます。ちなみに、PANやその他の情報を含むカード会員データに加えて、重要な認証データもあります。そのデータの保存は、暗号化された形式でも受け入れられません。







図3-データ要素とそれに対応する対策



を示す表プラスチックカードのデータ要素とそれに対応する保護対策を示す表を見ると、CVV2（カード検証値2 -Visa支払いシステムのカードの認証コード）とCVC2（MasterCard支払いシステムの同じコード）は重要な認証データであるため、保存できません。それにもかかわらず、ユーザーの業務では、顧客の生活を簡素化するために販売およびサービス会社がWebリソースにこのコードを再入力する必要がない場合があります。このような組織は、CVC2とCVV2がオンライン金融取引を行う際の重要なリンクの1つであるため、PCI DSS証明書（およびその結果、ビジネスプロセスのセキュリティ）とユーザーに対する過度の疑似ケアを選択する必要があります。



ターゲットシステムの構造を最適化し、その後カードホルダーのデータを操作する環境を選択することにより、PCI DSSの影響範囲を狭め、監査者の注意をより具体的なオブジェクトに集中させ、その結果、適合性評価のコストを削減できます。ただし、セグメンテーションプロセスでは、問題の組織のビジネスプロセスを理解し、場合によっては再構築する必要があります。これは、最適化されていない監査よりもはるかにコストが高くなります。この場合、ネットワーク全体が監査範囲に含まれます。ここで、各組織は、現在のビジネス慣行を修正すべきか、または「現状のまま」のチェックを受けやすいかどうかを自ら決定する必要があります。



どのような方法で無線ネットワークは、カード会員のデータ伝送の媒体として使用されている場合は、この事実は間違ったセグメンテーションまたはその欠如の結果です。この場合、力へのワイヤレスネットワークのためのPCI DSS要件を来る、それが（ワイヤレスネットワークのセキュリティ専門家は、「道路に横たわっている」のために）（理由は「meticulousness」要件の）証明書利用者または監査の一部のためのいずれかに良いではありません。



テストセグメントのもう一つの「寄生虫は、」処理サービス、ストレージ、またはカード会員データの伝送編成の研究を提供党組織です。各第三者は、監査員にPCI DSSコンプライアンス証明書を提示するか、適合性評価手順を実行する必要があります。



結論を導きます：



1）適切なセグメンテーションにより、適合性評価を実施する時間と、場合によっては金銭的コストを削減できます。

2）所有者のデータを処理する手段としてのワイヤレスネットワークのシステム内の存在-誤ったセグメンテーション手順またはその不在の結果。

3）ビジネスプロセスへの第三者の関与には、監査人によるこれらの当事者の検証のための追加の時間費用が伴います。

参考文献

1.用語解説（バージョン2.0） - PCI SSC、2010 - 16 P

2. PCIセキュリティ基準審議会- PCI SSC、2010 - www.pcisecuritystandards.org。

3. PCI DSSドキュメントライブラリ-PCI SSC、2010-www.pcisecuritystandards.org/security_standards/documents.php?category = supporting

4.ドキュメント「支払いカード業界データセキュリティ標準。要件とセキュリティ監査手続「（バージョン2.0） - PCI SSC、2010 - 。84 P

5. PCI DSSコンプライアンス管理- «INFOSEC「2010年- www.pcisecurity.ru。

6.文書「Payment Card Industry Data Security Standard」の付録B、C、F。セキュリティ監査の要件と手順」（バージョン2.0）-PCI SSC、2010-84ページ



この分析作業の一部の資料は、2011年1月にHacker誌（＃144）に掲載されました。