Первый день
Обзор стандарта PCI DSS
- Обзор индустрии платежных карт
- Схема прохождения платежной транзакции
- Потоки данных в индустрии платежных карт
- Банки-принципалы и аффилированные члены МПС
- Поставщики услуг и торгово-сервисные предприятия
- Распределение ответственности за безопасность
- Стандарты безопасности данных PCI DSS и PA-DSS
Подтверждение соответствия PCI DSS
- QSA-аудит, ISA-аудит и SAQ-самооценка
- ASV-сканирование
- Тестирование на проникновение
- Уровни и правила подтверждения соответствия
Внедрение PCI DSS
- Мировой опыт внедрения PCI DSS
- Российский опыт внедрения PCI DSS
- Типовой проект по внедрению PCI DSS
- Участие разных подразделений в проекте
- Описание ключевых участников процесса
- Организация работ по внедрению PCI DSS
- Варианты аутсорсинга при внедрении PCI DSS
- Правила выбора листа самооценки SAQ
Второй день
Область применимости PCI DSS
- Определение области применимости PCI DSS
- Эквайринг платежных карт и типовые потоки данных
- Потоки данных с точки зрения банка
- Потоки данных с точки зрения платежного шлюза
- Потоки данных с точки зрения интернет-магазина
- Потоки данных с точки зрения розничного магазина
- Смежные информационные системы
Уменьшение области применимости PCI DSS
- Оптимизация потоков данных о держателях карт
- Минимизация мест хранения данных о держателях карт
- Сегментация вычислительной сети
- Применение токенизации
- Снижение зависимости от смежных систем
Выполнение требований PCI DSS
- Ограничение хранения данных о держателях карт
- Защита сетевой инфраструктуры
- Защита приложений, баз данных и серверов
- Мониторинг и контроль доступа к данным
- Защита хранимых данных о держателях карт
- Система менеджмента информационной безопасности
- Обоснование и выбор компенсационных мер
Сертификационный QSA-аудит
- Процедура сертификационного аудита
- Взаимодействие с аудитором