Электронная торговля англ e-commerce




НазваниеЭлектронная торговля англ e-commerce
страница6/6
Дата публикации06.08.2013
Размер0.57 Mb.
ТипДокументы
litcey.ru > Информатика > Документы
1   2   3   4   5   6



^ Требования PCI DSS

Рекомендации для ЭТ

Поддержка программы управления уязвимостями

5. Использовать и регулярно обновлять антивирусное ПО

Так как новые вирусы и вредоносное ПО появляются каждый день и используют все более изощренные методы обхода защитных мер, крайне важно своевременно обновлять антивирусное ПО.

Антивирусная система должна регистрировать в журналах события, включая, среди прочего:
— обновления антивирусного ПО,
— действия, завершившиеся удачно и неудачно,
— обнаруженное антивирусным ПО подозрительное или вредоносное ПО,
— обнаруженная антивирусным ПО подозрительная активность системы,
— события, связанные с отключением или попытками помешать работе программного обеспечения или функций оповещения.

Прежде чем разворачивать антивирусную систему в производственной среде, рекомендуется проверить ее в тестовой и (или) непроизводственной среде и посмотреть, не мешают ли антивирусные механизмы нормальному выполнению функций ЭТ.

6. Разрабатывать и поддерживать безопасные системы и приложения

Приложения типа «корзины покупок» и другие платежные приложения ЭТ должны:
— в случае разработки сторонними организациями – иметь сертификат соответствия PA-DSS и вводиться в эксплуатацию в соответствии с «Руководством по внедрению PA-DSS»
— в случае разработки внутри ТСП — создаваться с учетом стандарта PA-DSS как рекомендательного документа.

Чтобы сделать веб-приложение неуязвимым для атак, следует придерживаться рекомендаций по безопасному программированию и разработке программ.

Если приложения, приобретенные у сторонних организаций или разработанные самостоятельно, не имеют сертификата соответствия PA-DSS, они должны быть включены в область аудита PCI DSS, чтобы убедиться, что они функционируют в соответствии с требованиями PCI DSS. Однако и приложения, сертифицированные по PA-DSS, включаются в область оценки PCI DSS, чтобы убедиться в их правильной установке и использовании в соответствии с «Руководством по внедрению PA-DSS» и стандартом PCI DSS.

Следует убедиться, что установлены самые последние версии ПО и что обновления безопасности, выпускаемые разработчиком, устанавливаются оперативно, как определено в требовании 6.1 PCI DSS. Это касается приложений типа «корзин покупок», веб-браузеров, операционных систем, а в случае сервис-ориентированных архитектур — связующего программного обеспечения для обработки сообщений, и сервисной шины предприятия.

^ Внедрение строгих мер контроля доступа

7. Предоставлять доступ к ДДК только по служебной необходимости

Следует свести к минимуму количество сотрудников, которым позволено видеть ДПК. Наличие прав на просмотр незашифрованных ДПК не означает того, что сотрудники ТСП должны их видеть для выполнения своих служебных обязанностей. Многие поставщики услуг не предоставляют незашифрованные данные своим клиентам-ТСП, если только сам клиент не попросит об этом.

Следует убедиться, чтобы пароли к учетным записям пользователей на всех компонентах системы ЭТ (включая, среди прочего веб-приложения, серверы, компоненты сетевой архитектуры — например, сервис-ориентированная архитектура) не предоставляют прав системного администрирования и чтобы любой административный доступ предоставлялся только пользователям, выполняющим функции администрирования в рамках своих служебных обязанностей.

8. Назначить уникальный идентификатор каждому лицу, имеющему доступ к компьютеру

Не использовать простые пароли, такие как «пароль123» или название магазина ТСП. Вместо паролей рекомендуется использовать парольные фразы из двух и более слов, которые имеют смысл, но которые нелегко угадать. В состав таких парольных фраз рекомендуется включать буквы верхнего и нижнего регистров, цифры и спецсимволы.

9. Ограничить физический доступ к ДДК

У ТСП может не быть доступа к физической инфраструктуре, если оно пользуется услугами хостинга сторонней организации; в таких случаях в соглашениях со сторонними организациями следует оговаривать физическую защиту их помещений.

Необходимо уничтожать электронные и бумажные носители (например, распечатки с указанием ДПК), которые уже не потребуются для служебных целей или в рамках выполнения требований законодательства.

^ Требования PCI DSS

Рекомендации для ЭТ

Регулярный мониторинг и тестирование сети

10. Контролировать и отслеживать любой доступ к сетевым ресурсам и ДДК

Журналы, фиксирующие события на веб-серверах и на веб-сайтах, могут быть источником информации о подозрительной активности (как, например, ввод недопустимых данных в форму).

Следует просматривать журналы событий веб-серверов и приложений типа «корзина покупок», а также ответы системы на ввод некорректных данных, чтобы удостовериться, чтобы ДДК, после внесения в систему текущих изменений, не попадали в журналы событий или сообщения об ошибках и не отправлялись никому кроме ПЦ.

ТСП и всем сторонним организациям следует предусмотреть возможность обмена журналами событий, которыми пользуются стороны для наблюдения за взаимодействием друг с другом. В соглашениях со сторонними организациями следует указать, что в случае необходимости, например, при расследовании инцидентов безопасности, стороны будут обеспечивать доступ к журналам событий (имеющим отношение к предоставляемым услугам).

11. Регулярно проверять системы и процессы, обеспечивающие безопасность

Даже если ТСП полностью передало сторонней организации все ДДК на подрядной основе, эти данные все же могут по-прежнему быть подвержены риску из-за уязвимостей на сервере ТСП. Ежеквартальное внешнее ASV-сканирование и контроль целостности файлов могут помочь в обеспечении доказательств несанкционированных изменений системы, которые позволят ТСП привести ее к состоянию, при котором она была доверенной. Проверить веб-приложение на устойчивость к атакам можно также с помощью серьезного тестирования на проникновение.

Приложения, разработанные для ТСП под заказ, важно также регулярно тестировать веб-сайт на наличие уязвимостей в приложениях и вести учет обнаруженных и исправленных проблем безопасности.

^ Поддержание политики ИБ

12. Разработать и поддерживать политику ИБ для всего персонала организации

Следует разработать политику ИБ и довести до сведения каждого его обязанности. Согласно требованию 12.8 PCI DSS:
— следует вести перечень всех поставщиков услуг,
— проверить их соответствие требованиям стандарта PCI DSS в качестве поставщиков услуг,
— включить в договоры положение, предусматривающее подтверждение ими своей ответственности за защиту ДДК. Поскольку никто не застрахован от рисков, следует разработать план реагирования на инциденты, проверять его не реже одного раза в год и поддерживать контактные данные в актуальном состоянии.

Следует тщательно изучать соглашения о качестве услуг, предоставляемых сторонними организациями и поставщиками услуг хостинга. Следует максимально изучить историю деятельности потенциальных поставщиков, обращая особое внимание на следующее:
— прошлые инциденты ИБ;
— текущие или предыдущие судебные процессы с его участием;
— рейтинг организации;
— общедоступные аудиторские отчеты;
— любые иные полезные сведения, которые позволят убедиться в надежности выбранного поставщика услуг.

^ Приложение B. Ответственность ТСП и сторонних организаций за соблюдение стандарта PCI DSS

Если ТСП само контролирует свою инфраструктуру ЭТ, оно отвечает за обеспечение выполнения всех требований стандарта PCI DSS. Соответственно, если ТСП передает всю инфраструктуру ЭТ сторонним организациям на подрядной основе, то к нему предъявляется минимальный набор требований PCI DSS (12.8 и мониторинг состояния системы, согласно настоящей Дополнительной информации).

Настоящее приложение представляет собой пример опросника для ТСП с инфраструктурой ЭТ на полной или частично подрядной основе (частично подрядная основа описана в Разделе 3.5 настоящего документа) и может быть использовано для разделения, в рамках выбранного решения ЭТ, ответственности за выполнение требований стандарта PCI DSS между ТСП и поставщиком услуг. ТСП могут использовать данное приложение для указания в первых двух колонках стороны, ответственной за выполнение определенного требования PCI DSS, а в третьей колонке указывать информацию, подтверждающую выполнение.

^ Заполнение приведенной анкеты не является требованием и оставляется на усмотрение ТСП и сторонней организации.

^ Требования PCI DSS

Ответственность ТСП

Ответственность сторонней организации

Доказательства выполнения требования PCI DSS, представленные сторонней организацией

^ Построение и обслуживание безопасной сети

1. Установить и обеспечить функционирование МЭ для защиты ДДК












2. Не использовать пароли и другие системные настройки безопасности, заданные производителем по умолчанию










^ Защита ДДК

3. Обеспечить безопасное хранение ДДК












4. Использовать шифрование при передаче ДДК через сети общего пользования










^ Поддержка программы управления уязвимостями

5. Использовать и регулярно обновлять антивирусное ПО












6. Разрабатывать и поддерживать безопасные системы и приложения










^ Внедрение строгих мер контроля доступа

7. Предоставлять доступ к ДДК только по служебной необходимости












8. Назначить уникальный идентификатор каждому лицу, имеющему доступ к компьютеру












9. Ограничить физический доступ к ДДК










^ Регулярный мониторинг и тестирование сети

10. Контролировать и отслеживать любой доступ к сетевым ресурсам и ДДК












11. Регулярно проверять системы и процессы, обеспечивающие безопасность










Поддержание политики ИБ

12. Разработать и поддерживать политику ИБ для всего персонала организации









1   2   3   4   5   6

Похожие:

Электронная торговля англ e-commerce iconЛитература 4 Англ язык История Математика 5 Физкультура Англ язык...

Электронная торговля англ e-commerce iconФинансовые инструменты
Венным процессом появления новых видов ценных бумаг и финансовых операций. Сначала торговля ресурсами осуществлялась по бартеру,...
Электронная торговля англ e-commerce iconРасписание занятий
Ия учебный корпус №2 англ к филол н. Иванова Н. Н., англ. Краснянская И. И., нем. Лейба С. С
Электронная торговля англ e-commerce iconГлаголы со значением ошибочного действия в английском, русском, украинском языках
Лы типа: (1) англ mishear, рус ослышаться, укр недочути, «неверно понять вследствие ослышки», (2) англ mis-step, рус оступиться,...
Электронная торговля англ e-commerce iconПоложение о проведении кубка вызова «champion of commerce game»
Регистрация участников соревнования: 31. 01. 13 г в 20-00 в бильярдном клубе «Формула С»
Электронная торговля англ e-commerce iconИнструкция пользователя
Электронная карта: предоставление отображения несколькими способами такими, как: электронная карта, мульти-дисплей, древовидный список...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Электронная торговля англ e-commerce iconЭлектронная Подпись Уважаемый
Одно из средств обеспечения безопасности и идентификации подлинности документов является Электронная подпись. Она предназначена обеспечить...
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
litcey.ru
Главная страница