Электронная торговля англ e-commerce




НазваниеЭлектронная торговля англ e-commerce
страница3/6
Дата публикации06.08.2013
Размер0.57 Mb.
ТипДокументы
litcey.ru > Информатика > Документы
1   2   3   4   5   6

^ 3.5 Распределение ролей и ответственности в ЭТ

В решениях ЭТ распределение ролей и ответственности может быть следующим.

  • Собственные решения: ТСП полностью управляет всеми компонентами ЭТ и использует свою собственную инфраструктуру ИТ.

  • Решение на подрядной основе: ТСП передает на подрядной основе управление и хостинг всех компонентов ЭТ поставщику услуг хостинга и (или) ПЦ ЭТ.

  • Решение на частично подрядной основе: ТСП размещает и контролирует одну часть компонентов ЭТ у себя , а другую часть на подрядной основе — сторонним организациям.

В собственных решениях ЭТ ТСП контролирует все компоненты системы ЭТ и несет полную ответственность за соблюдение всех применимых требований PCI DSS.

В решениях ЭТ на подрядной основе ответственность за соблюдение требований PCI DSS будет разделена в том или ином соотношении между ТСП и поставщиком (поставщиками) услуг. Тем не менее, ТСП в конечном итоге отвечает за то, чтобы каждый поставщик услуг защищал целостность и конфиденциальность ДПК, которые хранятся, обрабатываются или передаются по поручению ТСП.

На рис. 7 показан пример распределения ответственности между ТСП и поставщиками услуг в зависимости от структуры решения и типа его управления.



Примечание. Некоторые требования PCI DSS имеют силу независимо от того, передает ли ТСП свое решение ЭТ (или его часть) на подрядную основу. В частности это касается всех ситуаций, когда обрабатываются, хранятся либо передаются ДПК — например, в момент их ввода или во время передачи сторонней организации. Кроме того, ТСП обязано реализовать и поддерживать политики и процедуры в отношении поставщиков услуг в следующих ситуациях:
— при совместном использовании ДДК;
— при хранении, обработке или передаче данных поставщиком услуг по поручению ТСП;
— в иных случаях, где поставщик услуг может оказывать воздействие на безопасность среды ДДК.

^ Кто такой поставщик услуг? Как узнать, что он отвечает требованиям PCI DSS?

В «Глоссарии PCI DSS…», версии 2.0 поставщику услуг дано следующее определение:

Организация, которая, не являясь МПС, непосредственно вовлечена в процесс обработки, хранения или передачи ДДК по поручению другой организации. К поставщикам услуг относятся также организации, предоставляющие услуги, которые контролируют безопасность ДДК или могут на нее воздействовать. Примерами таких компаний являются поставщики управляемых услуг (Managed Service Providers – MSP), предоставляющие услуги по межсетевому экранированию, обнаружению вторжений и прочие услуги, а также поставщики услуг хостинга и иные организации. К поставщикам услуг не относятся такие организации, как телекоммуникационные компании, предоставляющие только каналы связи без доступа к их прикладному уровню.

В соответствии с этим определением, если организация не занимается хранением, обработкой или передачей ДДК, это еще не означает, что она не является поставщиком услуг. Если ее услуги могут каким-либо образом «воздействовать на безопасность ДДК», то организация относится к поставщикам услуг и должна соответствовать требованиям PCI DSS. Примеры таких услуг: предоставление ЦОДов в аренду, архивное хранение или уничтожение документов.

Согласно стандарту PCI DSS, сторонние поставщики услуг могут подтвердить свое соответствие ему двумя способами: 1) самостоятельно проходить аудит PCI DSS и предоставлять клиентам свидетельства о соответствии стандарту;
2) включать свои услуги в область проверки при каждом прохождении своими клиентами аудита на соответствие стандарту PCI DSS.

Если поставщик услуг самостоятельно прошел аудит PCI DSS, аудитор ТСП должен удостовериться, что срок действия свидетельства о прохождении поставщика услуг не истек, что в область аудита вошли все услуги, предоставляемые поставщиком услуг ТСП или используемые ТСП, и что выполнены все требования, применимые к средам и системам, вошедшим в область проверки.

Нижеприведенные вопросы помогут ТСП определить распределение ролей и ответственности в рамках решения ЭТ и, следовательно, того, кто отвечает за выполнение каждого конкретного требования стандарта PCI DSS.

Разрабатывало ли ТСП приложение типа «корзина покупок» самостоятельно или приобрело готовое приложение?

o За безопасность программного кода отвечает его разработчик.

o Ответ на вопрос позволит узнать, носит ли PA-DSS обязательный характер — для кода, приобретенного у сторонних разработчиков, или рекомендательный — для кода, разработанного ТСП самостоятельно.

Какие из компонентов контролирует сторонняя организация (организации)?

o За соблюдение соответствующих требований PCI DSS в отношении этих компонентов отвечает сторонняя организация.

Какие из компонентов контролирует, устанавливает, настраивает и т.д. ТСП?

o За соблюдение соответствующих требований PCI DSS в отношении этих компонентов отвечает ТСП.

Где и как собираются ДДК? Куда и как они передаются? ^ Примечание. ответ на этот вопрос должен учитывать ответы на предыдущие вопросы в рамках конкретного решения ЭТ.

o Ответ позволит определить сторону и компоненты инфраструктуры, осуществляющие хранение, обработку и передачу ДДК.

Например, если ТСП размещает систему ЭТ на серверах, предоставляемых поставщиком услуг хостинга или облачных сервисов, поставщик обязан обеспечить выполнение требований PCI DSS в среде, где расположены серверы. Если к тому же ТСП пользуется приложением типа «корзина покупок», предоставленным ПЦ ЭТ, то ПЦ ЭТ будет отвечать за соблюдение требований PCI DSS и (или) PA-DSS в отношении приложения и его функций.

Если ТСП планирует использовать часть решения ЭТ для своей среды ДДК на подрядной основе, оно должно изучить особенности предлагаемых решений и тщательно оценить потенциальные риски от их внедрения. Роли и ответственность за выполнение требований PCI DSS могут быть разделены между несколькими сторонами, а могут быть сосредоточены в одной организации. В любом случае, согласно требованию 12.8 стандарта PCI DSS, ответственность за выполнение требований PCI DSS и иных защитных мер, которые могут воздействовать на безопасность ДДК, должна быть четко определена между участвующими сторонами и документально зафиксирована (например, в соглашении о качестве предоставляемых услуг или в договоре). Более подробная информация указана в пункте 5.4 «Управление рисками, связанными с привлечением на подрядной основе сторонних поставщиков услуг».

Приложение B. В приложении B «Ответственность ТСП и сторонних организаций за соблюдение стандарта PCI DSS» предоставлен опросник, который может быть использован ТСП и поставщиками услуг для документирования своих сфер ответственности.

^ Таблица 1. Краткое описание распределения ролей и ответственности в типовых решениях ЭТ

Решение ЭТ

^ Распределение ролей и ответственности

ТСП

Поставщик услуг хостинга и (или) ПЦ ЭТ

Решения ЭТ, контролируемые ТСП, в том числе приложения типа «корзины покупок» и платежные приложения (разработанные самостоятельно, на заказ или приобретенные в готовом виде)

ТСП разрабатывает или покупает программное обеспечение, создает и поддерживает собственную инфраструктуру ЭТ, в том числе ЦОД; как правило, платежные данные отправляет в ПЦ ЭТ.

ТСП может сделать свой ЦОД у поставщика услуг хостинга на подрядной основе и (или) отправлять платежные данные в ПЦ ЭТ.

ТСП несет полную ответственность за соответствие своей инфраструктуры ЭТ требованиям PCI DSS.
В частности, оно обязано:

Обеспечить безопасную разработку своего приложения

Удостовериться в соответствии приложений сторонних организаций требованиям PA-DSS

Иметь письменные соглашения со всеми сторонними организациями для обеспечения защиты ДДК в соответствии с PCI DSS.

Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие их соответствие.

^ Решения ЭТ на частично подрядной основе: Интерфейсы API сторонних организаций с использованием метода Direct Post

С помощью API, лицензия на использование которого получена от ПЦ ЭТ, веб-сайт ТСП перенаправляет платежные данные из браузера клиента непосредственно в ПЦ ЭТ, минуя веб-страницу ТСП.

Хотя значительная часть ответственности за хранение, обработку и передачу ДДК лежит на сторонних организациях, ТСП по-прежнему обязаны обеспечивать соответствие некоторых элементов инфраструктуры ЭТ требованиям PCI DSS.

Это обусловлено тем, что компрометация сайта ТСП может привести к компрометации API и, как следствие, ДДК.

Обязанности ТСП:

Контролировать веб-сайт и серверы (если они размещены на самом предприятии), в том числе на предмет соответствия применимым требованиям PCI DSS

Если размещение веб-сайта или серверов осуществляется на подрядной основе, то необходимо соблюдать соответствующие требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8)

Иметь письменные соглашения со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS, по поручению ТСП.

Защитить веб-страницу (страницы), содержащую (содержащие) код и (или) функции API.

Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие.

ПЦ ЭТ должен предоставить ТСП инструкцию и руководство по безопасному внедрению и практике использования API на его веб-сайте.



Решение ЭТ

^ Распределение ролей и ответственности

ТСП

Поставщик услуг хостинга и (или) ПЦ ЭТ

^ Решения ЭТ на частично подрядной основе: встроенные фреймы

Платежная форма ПЦ встраивается на веб-сайт ТСП как отдельный, но незаметный фрейм, и таким образом платежные данные клиента отправляются непосредственно в ПЦ ЭТ, минуя веб-сайт ТСП.

Хотя значительная часть ответственности за хранение, обработку и передачу ДДК лежит на сторонних организациях, ТСП по-прежнему обязаны обеспечивать соответствие некоторых элементов инфраструктуры ЭТ требованиям PCI DSS.

Это обусловлено тем, что компрометация сайта ТСП может привести к компрометации встроенного фрейма и, как следствие, ДДК.

Обязанности ТСП:

Контролировать веб-сайт и серверы (если они размещены на самом предприятии), в том числе на предмет соответствия применимым требованиям PCI DSS

Если размещение веб-сайта или серверов осуществляется на подрядной основе, то необходимо соблюдать соответствующие требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8)

Иметь соглашения в письменном виде со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS и по поручению ТСП.

Защитить веб-страницы, содержащие код встроенного фрейма.

Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие.

ПЦ ЭТ должен предоставить ТСП инструкцию и руководство по безопасному внедрению и практике использования встраиваемых фреймов на его веб-сайте.

^ Решения ЭТ на частично подрядной основе: Встраиваемые страницы оплаты сторонних организаций

Веб-сайт ТСП перенаправляет браузер клиента на веб-сайт ПЦ ЭТ, а клиент вводит туда оплату напрямую.

Хотя значительная часть ответственности за хранение, обработку и передачу ДДК лежит на сторонних организациях, ТСП по-прежнему обязаны обеспечивать соответствие некоторых элементов инфраструктуры ЭТ требованиям PCI DSS.

Это обусловлено тем, что компрометация сайта ТСП может привести к компрометации механизма переадресации и, как следствие, к компрометации ДДК.

Обязанности ТСП:

Контролировать веб-сайт и серверы (если они размещены на самом предприятии), в том числе на предмет соответствия применимым требованиям PCI DSS

Соблюдать применимые требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8)

Иметь соглашения в письменном виде со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS, по поручению ТСП.

Защитить веб-страницу (страницы), содержащую (содержащие) код и (или) функции механизма переадресации.

Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие.

ПЦ ЭТ должен предоставить ТСП руководство по безопасному внедрению и практике использования механизма перенаправления.




Решение ЭТ

^ Распределение ролей и ответственности

ТСП

Поставщик услуг хостинга и (или) ПЦ ЭТ

^ Решения ЭТ на полностью подрядной основе

ТСП передало на подрядную основу максимальное количество функций по хранению, обработке и передаче ДДК, к которым применяются требования стандарта PCI DSS.

Обязанности ТСП:

Соблюдать применимые требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8)

Иметь письменные соглашения со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS, по поручению ТСП.

Следить за тем, чтобы инфраструктура, размещенная у сторонних организаций и (или) обслуживаемая ими на подрядной основе, успешно проходила ежеквартальное ASV-сканирование, выполненное надлежащим образом.

Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие.

Если ТСП предоставляется веб-интерфейс или пользовательский портал для управления его интернет-магазином, клиентами и т.д., сторонняя организация должна предоставить инструкции и руководство по его использованию ТСП.
1   2   3   4   5   6

Похожие:

Электронная торговля англ e-commerce iconЛитература 4 Англ язык История Математика 5 Физкультура Англ язык...

Электронная торговля англ e-commerce iconФинансовые инструменты
Венным процессом появления новых видов ценных бумаг и финансовых операций. Сначала торговля ресурсами осуществлялась по бартеру,...
Электронная торговля англ e-commerce iconРасписание занятий
Ия учебный корпус №2 англ к филол н. Иванова Н. Н., англ. Краснянская И. И., нем. Лейба С. С
Электронная торговля англ e-commerce iconГлаголы со значением ошибочного действия в английском, русском, украинском языках
Лы типа: (1) англ mishear, рус ослышаться, укр недочути, «неверно понять вследствие ослышки», (2) англ mis-step, рус оступиться,...
Электронная торговля англ e-commerce iconПоложение о проведении кубка вызова «champion of commerce game»
Регистрация участников соревнования: 31. 01. 13 г в 20-00 в бильярдном клубе «Формула С»
Электронная торговля англ e-commerce iconИнструкция пользователя
Электронная карта: предоставление отображения несколькими способами такими, как: электронная карта, мульти-дисплей, древовидный список...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
litcey.ru
Главная страница