Saturday, June 23, 2018

Решения Trend Micro для соответствия требованиям PCI DSS (The Payment Card Industry (PCI) Data Security Standard)

07/08/2009 Автор: mkozloff · View Comments · 113 views · Сохранить ·

Информационные технологии, помогающие соответствовать требованиям стандарта платежных карт PCI DSS, становятся довольно востребованными в банковской отрасли и сфере розничной торговли. Напомню, что в стандарте PCI DSS прописаны 12 ключевых положений:

Построение и поддержание защищенной сети

Требование 1: должны быть обеспечены разработка и управление конфигурацией межсетееых экранов е целях защиты данных платежных карт.

Требования 1.1–1.4 поддерживаются
Trend Micro Deep Security for PCI DSS

Основные возможности Trend Micro Deep Security

Требование 2: Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчанию.

 

Требования 2.2, 2.4 поддерживаются
Trend Micro Deep Security for PCI DSS

 

Защита данных платежных карт.

Требование 3: должна быть обеспечена защита данных платежных карт при хранении.

 

Требование 4: должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования.

 

Реализация программы управления уязвимостями.

Требование 5: должно использоваться и регулярно обновляться антивирусное программное обеспечение.

Требование поддерживается при помощи Trend Micro Office Scan с технологией Trend Micro Smart Protection Network 

Требование 6: должна обеспечиваться безопасность при разработке и поддержке систем и приложений.

Требования 6.1, 6.2, 6.5, 6.6 поддерживаются
Trend Micro Deep Security for PCI DSS

Реализация мер по строгому контролю доступа.

Требование 7: доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостью.

 

Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор.

 

Требование 9: Физический доступ к данным платежных карт должен быть ограничен.

 

Регулярный мониторинг и тестирование сетей.

Требование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных карт.

Требования 10.3, 10.5.3, 10.5.5, 10.6 поддерживаются
Trend Micro Deep Security for PCI DSS

Требование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности.

Требования 11.4, 11.5 поддерживаются
Trend Micro Deep Security for PCI DSS

Поддержание политики информационной безопасности.

Требование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентов.

Требования 12.9.5 поддерживается
Trend Micro Deep Security for PCI DSS

Trend Micro Deep Security позволяет обеспечить соответствие 6 из 12 требований PCI DSS с учетом тенденции виртуализации центров обработки данных:

imageDeep Security provides integral, comprehensive server security for datacenter modernization initiatives, including virtualization and cloud computing. This end-to-end protection helps you prevent data breaches and business disruptions, enables regulatory compliance, and reduces operational costs. Deep Security can accelerate and simplify your PCI audit, and help achieve compliance, by:

• Monitoring the integrity of critical system and application files such as executables, configuration and parameter files, and log and audit files—it includes support for alerting, dashboards, and reporting on events raised

• Detecting and preventing attacks that target cardholder data, alerting your personnel the moment an attack has been attempted, and providing detailed logging of the event for audit purposes

• Virtual patching, as a compensating control for systems that cannot have vendor security patches applied to them within one month of release

• Web application protection to complement secure coding initiatives and to protect against attacks such as SQL injection, cross-site scripting [XSS], and many more

• Enabling firewall network segmentation, to reduce the scope of the PCI audit

• Log collection of important security events from operating system and application log files, including the ability to forward all events—or only events relevant to a centralized logging server

• Creating virtual machine zones and isolating payment processing applications from virtual machines on the same physical hardware that are separate from the cardholder data environment

Мы планируем провести семинар по Trend Micro Deep Security в сентябре/октябре в Москве. Если вам интересно поучастовать – дайте знать заранее, что бы нам было легче оргнизовать аудиторию.

Для интересующихся положениями стандарта на сайте Информзащиты представлены следующие документы, относящиеся к версиям 1.1 и 1.2. стандарта (свободный доступ, но требуется регистрация):

  • СкачатьТребования и процедуры оценки безопасности PCI DSS v1.2 (октябрь 2008)  (1.04 MB)
  • СкачатьОриентирование в стандарте PCI DSS: Понимание требований v1.2  (768.40 kB)
  • СкачатьПриоритезированный подход к достижению соответствия PCI DSS v1.2  (707.24 kB)
  • СкачатьИнструкция по заполнению листов самооценки (SAQ) v1.2  (1.81 MB)
  • СкачатьЛист самооценки (SAQ) тип А v1.2  (269.50 kB)
  • СкачатьЛист самооценки (SAQ) тип B v1.2  (305.80 kB)
  • СкачатьЛист самооценки (SAQ) тип C v1.2  (356.09 kB)
  • СкачатьЛист самооценки (SAQ) тип D v1.2  (542.12 kB)
  • СкачатьСтандарт PCI DSS v1.1 (сентябрь 2006)  (286.98 kB)
  • СкачатьОриентирование в PCI DSS v1.1  (595.33 kB)
  • СкачатьТребования и процедуры оценки безопасности PCI DSS v1.1  (611.27 kB)
  • СкачатьPCI DSS – список терминов и сокращений (глоссарий) v1.1  (316.20 kB)
  • СкачатьПроцедуры сканирования безопасности PCI v1.1  (147.48 kB)

Ссылки:

Основные возможности Trend Micro Deep Security

blog comments powered by Disqus
©1999-2010, Михаил Козлов · Работает на WordPress · Войти