22 октября, понедельник 20:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

PCI DSS и грядущие ужасы

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • PCI DSS и грядущие ужасы

    Добрый день. Недавно озадачился PCI DSS. С процедурами и техническими требованиями все более-менее понятно, но все равно - возникла масса вопросов.

    Ходят слухи, что до 2008 года необходимо протии проверки на соответствие, так ли это? Есть официальная информация? Надо пройти проверки до 2008 или в 2008 начать думать на эту тему?

    Если не пройдем - то что нам грозит?

    Как точно определить, какие работы по PCI DSS требуются? Аудит, сканирование, опросный лист?

    Сколько стоит однократное сканироваание? Аудит?

    Уже в 2007 необходимо проходить 4 сканирования, или вполне хватит одного в конце года?

  • #2
    Для тех кто не очень в курсе - полезная статья.
    http://www.pcweek.ru/?ID=612410

    bankroot Ссылка, так сказать, к вопросу о ...
    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

    Комментарий


    • #3
      bankroot
      Ходят слухи, что до 2008 года необходимо протии проверки на соответствие ггг. к 1 января 2007. 3 месяца ( до 1 марта 2007) санкции действовать не будут. потом штраф.
      Как точно определить, какие работы по PCI DSS требуются? Аудит, сканирование, опросный лист? Сканирование портов ежеквартально. Опросник, проверка на месте, проверка на уязвимость- 1 раз.
      Сколько стоит однократное сканироваание Сканирование бесплатное (пока платит Visa) у нас, например, еще 51 бесплатное сканирование осталось. А вобще у всех по-разному.
      Аудит самое дешевое- 10к USD. Самое дорогое- 30к EUR
      Уже в 2007 необходимо проходить 4 сканирования, или вполне хватит одного в конце года? ежеквартально!
      Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

      Комментарий


      • #4
        Сообщение от Саванарола Посмотреть сообщение
        bankroot
        Ходят слухи, что до 2008 года необходимо протии проверки на соответствие ггг. к 1 января 2007. 3 месяца ( до 1 марта 2007) санкции действовать не будут. потом штраф.
        Как точно определить, какие работы по PCI DSS требуются? Аудит, сканирование, опросный лист? Сканирование портов ежеквартально. Опросник, проверка на месте, проверка на уязвимость- 1 раз.
        Сколько стоит однократное сканироваание Сканирование бесплатное (пока платит Visa) у нас, например, еще 51 бесплатное сканирование осталось. А вобще у всех по-разному.
        Аудит самое дешевое- 10к USD. Самое дорогое- 30к EUR
        Уже в 2007 необходимо проходить 4 сканирования, или вполне хватит одного в конце года? ежеквартально!
        а вы все это как банк делаете? мое понимание предмета, что это касается сервис-провайдеров и мерчентов со значительными оборотами... по информации из Визы конкретные требования банкам будут сформированы только в этом году...

        подскажите, плз, где можно квалифицированно и достоверно узнать?

        Комментарий


        • #5
          bq
          это касается всех, кто хранит инфу по картам. Валя же дал ссылку http://www.pcweek.ru/?ID=612410
          по информации из Визы конкретные требования банкам будут сформированы только в этом году... Они уже давным- давно сформулированы. так что не удивляйтесь када на вас штрафы посыпяцца. В Visa- контактное лицо Mani Tulasi
          Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

          Комментарий


          • #6
            Сообщение от Саванарола Посмотреть сообщение
            bq
            это касается всех, кто хранит инфу по картам. Валя же дал ссылку http://www.pcweek.ru/?ID=612410
            по информации из Визы конкретные требования банкам будут сформированы только в этом году... Они уже давным- давно сформулированы. так что не удивляйтесь када на вас штрафы посыпяцца. В Visa- контактное лицо Mani Tulasi
            пасиб за сигнал! пойду дам в морду кой-кому в московской Визе

            Комментарий


            • #7
              bq
              в московской Визе а они за это не отвечают и потому не в курсе. это напрямую в Лондон нада писать либо Edgar Megan либо Mani
              Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

              Комментарий


              • #8
                Саванарола
                это касается всех, кто хранит инфу по картам.
                Прокомментируйте, пожайлуста.
                В статье написано:"Действие PCI DSS распространяется на всех мерчантов (торговые предприятия) и поставщиков услуг, подключенных к международным платежным системам VISA и MasterCard."
                Меня, ассоциата, со сторонним процессингом это ведь не касается?
                Хотя я тоже храню инфу по картам.

                Комментарий


                • #9
                  Эльф
                  нет. это касается вашего процессинга.
                  Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                  Комментарий


                  • #10
                    Саванарола
                    Спасибо,успокоили.
                    Насколько я понял абсолютно все мерчанты должны проходить
                    эту процедуру начиная с порогового кол-ва транзакций в 20000.
                    Если вернуться к нашим реалиям. Скажем какой-нибудь "Перекрёсток", "Седьмой континент", etc. превысят этот порог и должны будут проходить серификацию.
                    За чей счёт?

                    Комментарий


                    • #11
                      Все за счет Вас! Писал Мани по вопросу помощи в данном направление. Т.к. в Штатах на это Виза выделила 20 млн. Сказал в Штатах свои правила в СЕМЕА регионе свои. Так что надо торопится! Аудиторы говорят процесс занимает 7-8 недель...

                      Комментарий


                      • #12
                        lindt
                        Аудиторы говорят процесс занимает 7-8 недель... ну это как договоритесь. Там проверка сама по себе недолгая. Гораздо хуже с заполнением документов.
                        У нас тоже выделили, но в связи с тем, что никто не удосуживается читать документы из Визы все платят за бесплатное сканирование, а вендорам, кторые его проводят вообще шоколадно- они и от банка бабло получают и от Визы компенсацию.
                        Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                        Комментарий


                        • #13
                          а Вы уже прошли аудит? можно как то с Вами связаться? Сканирование бесплатное я так понимаю не полное либо не достаточное. цены на него тоже очень прыгают от 100 у.е. до 2000... lindt@ukr.net

                          Комментарий


                          • #14
                            lindt
                            недостаточное для чего недостаточное? оно ежеквартальное и является частью всего процесса. Просто помимо сканирования нада еще и общую проверку пройти. Вот как раз 100- 2000у.е. это как раз платить не нада.
                            Общая проверка стоит 10к USD+
                            Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                            Комментарий


                            • #15
                              Саванарола
                              Єто понятно что все зависит от уровня Мерчанта либо Сервис провайдера. Кому сканирования хватит а кому надо еще и онсайт аудит. Многие компании предлагают платное квартальное сканирование. Слышал что только one-sec.com предлагает какое то бесплатное сканирование сети. но является ли объем бесплатного скана полным согласно PCI DSS или там скан урезанный? почему тогда все остальные хотят денег за этот скан?

                              Комментарий


                              • #16
                                lindt
                                ну ван-сек сначала нам пытались платное пропихнуть. я стукнул в Визу без зазрения после чего мне выдали на-гора 53 бесплатных сканирования. думаю 13 лет хватит
                                Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                                Комментарий


                                • #17
                                  Сообщение от Саванарола Посмотреть сообщение
                                  bq
                                  в московской Визе а они за это не отвечают и потому не в курсе. это напрямую в Лондон нада писать либо Edgar Megan либо Mani
                                  Виза в Москве зато с удовольствием будет лепить штрафы банкам региональный риск менеджер обязан это знать. на Украине например риск менеджер в курсе... а все остальные сотрудники офиса действительно не очень знают об этом...

                                  Комментарий


                                  • #18
                                    а кстати, эту штуку и по МС надо делать или результаты выполнения всех мер по соответствию удовлетворяют все системы?

                                    Комментарий


                                    • #19
                                      Сообщение от bq Посмотреть сообщение
                                      а кстати, эту штуку и по МС надо делать или результаты выполнения всех мер по соответствию удовлетворяют все системы?
                                      PCI DSS удовлетворяет и МС и Визу

                                      Комментарий


                                      • #20
                                        lindt
                                        удовлетворяет то удовлетворяет. но не все вендоры зарегистрированы и в Visa и в MasterCard. так что озаботьтесь чтобы вендор был везде зарегистрирован
                                        Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                                        Комментарий


                                        • #21
                                          Сообщение от Саванарола Посмотреть сообщение
                                          lindt
                                          удовлетворяет то удовлетворяет. но не все вендоры зарегистрированы и в Visa и в MasterCard. так что озаботьтесь чтобы вендор был везде зарегистрирован
                                          На сколько мне известно, в мастеркарде это вендоры ASV а в визе это ассесоры QSA. одни проводят сетевое сканирование а другие онсайт аудит. есть компании которые в одно лице являются и тем и тем.

                                          Комментарий


                                          • #22
                                            lindt
                                            в целом да. но нужно искать таких чтобы и сканировние и аудит и все остальное было в одной конторе, сертифицированной и Визой и Мастером (имхо удобней). Хотя тут конечно личное дело каждого.
                                            Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                                            Комментарий


                                            • #23
                                              Сообщение от Саванарола Посмотреть сообщение
                                              lindt
                                              в целом да. но нужно искать таких чтобы и сканировние и аудит и все остальное было в одной конторе, сертифицированной и Визой и Мастером (имхо удобней). Хотя тут конечно личное дело каждого.
                                              Согласен!

                                              Комментарий


                                              • #24
                                                Добрый день.
                                                Вопрос по уязвимости ИТ-инфраструктуры это только часть обсуждаемого проекта.
                                                Сканирования, разграничения прав и т.п. - это все хорошо.
                                                Но остаются вопросы, которые банк не в состоянии решить самостоятельно, например, вопросы хранения, шифрации и доступа к данным.
                                                Эти вопросы должны быть адресованы вендору ПО процессинговых систем.
                                                Как дела обстоят с этим? Имеются ли положительные примеры?

                                                Комментарий


                                                • #25
                                                  Как дела обстоят с этим? Имеются ли положительные примеры?
                                                  Присоединяюсь к автору - тоже интересно кто из вендоров сделал решение для процессингового центра в соответствии с PCI DSS.

                                                  Комментарий


                                                  • #26
                                                    кОт
                                                    Но остаются вопросы, которые банк не в состоянии решить самостоятельно, например, вопросы хранения, шифрации и доступа к данным.
                                                    Это с доступом банк не в состоянии решить? Или компы у вас тоже поставщик ПО настраивает.
                                                    вопросы хранения, шифрации соответствуют стандартам Visa и MasterCard. И в принципе эта проверка ничего нового не предъявляет, а просто выявляет как вы выполняете установки ПС
                                                    Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                                                    Комментарий


                                                    • #27
                                                      Сложилось впечатление от стандарта, что везде данные того же PAN надо хранить в зашифрованном виде (т.е. хранить PAN'ы в базе в открытом виде будет криминалом) и соответсвенно ПО ПЦ должно на ходу для обработки данных расшифровывать-зашифровывать эти данные. Или всё гораздо проще?

                                                      Комментарий


                                                      • #28
                                                        Gran
                                                        там много вариантов. один из- шифрация.
                                                        Реальность - это всего лишь иллюзия, хотя и очень назойливая. © А. Эйнштейн

                                                        Комментарий


                                                        • #29
                                                          Gran

                                                          ПО ПЦ должно на ходу для обработки данных расшифровывать-зашифровывать эти данные
                                                          Дык там же есть оговорка -- Note that this does not apply to those employees and other parties with a specific need to see full credit card numbers.

                                                          Комментарий


                                                          • #30
                                                            Саванарола, спрошу тогда прямо - а у Вас как решены вопросы разграничения доступа к данным? Администратор СУБД имеет доступ? А должен ли? А ведь все утечки данных проходят именно на этом уровне. Целью PCI DSS и является сведение к минимуму возможности таких утечек. И есть единственное решение, а не "одно из" - все критичные данные должны храниться в зашифрованном виде. А это уже вопрос к разработчику.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X