Top.Mail.Ru
    Главная  /  Сертификация на соответствие требованиям PCI DSS
    Закрыть   

Как SoftControl обеспечивает соответствие требованиям PCI DSS


Введение


Для банков-эмитентов, взаимодействующих хотя бы с одной из платежных систем (Visa, MasterCard, American Express, JCB, Discover и МИР) необходимо ежегодно подтверждать соответствие стандартам PCI SSC. При этом критерий соответствия составляет 100%.


Бизнес-процессы, для которых прохождение сертификации на PCI DSS обязательна:



Соответствие стандартам открывает широкие возможности для банка: он получает лицензию на интернет-эквайринг, может подключить банки-аффилиаты, и воспользоваться другими преференциями «участников клуба». В противоположность несоблюдение требований PCI DSS прежде всего может привести к запрету обрабатывать платежи с использованием международных платежных систем. Также на такие банки может быть наложен штраф, и увеличен размер страхового депозита.


Нужно отметить, что PCI DSS не просто список теоретических требований, которые выполняются для галочки. Для их формирования исследуются лучшие мировые практики для поиска оптимальных подходов защиты. Основные задачи:



Актуальной версией стандарта PCI DSS является версия 3.2, опубликованная в апреле 2016 года. На русском языке описание стандартов PCI DSS доступно по ссылке. Часть новых требований вступит в силу в 2018 года, например, отказ от использования небезопасных версий протоколов (SSL и TLS 1.0).


Решение SoftControl TPSecure было разработано в сотрудничестве с Советом по Разработке Стандартов Безопасности Индустрии Платежных Карт (PCI Security Standarts Council), что позволяет использовать его для приведения информационной системы в соответствие требованиям стандарта PCI DSS 3.2 в части защиты банкоматов и рабочих станций.


Преимущество решений SoftControl


В TPSecure, как и в других решениях SoftControl, в основе лежат проактивные технологии защиты, целью которых является сохранение неизменности системной конфигурации, нейтрализуя саму возможность попадания в систему вредоносного кода. Высокоэффективная технология VIPO, осуществляет мониторинг и контроль активности всей системы с целью предотвращения нежелательных или несанкционированных действий.


Кроме выполнения специальных требований стандарта, TPSecure предоставляет дополнительные возможности:



Требования PCI DSS



Построить и поддерживать защищенные сети и системы


Требование 1. Установить и поддерживать конфигурацию межсетевых экранов для защиты данных держателей карт (ДДК).


 

РЕШЕНИЕ SOFTCONTROL


TPSecure работает совместно с межсетевым экраном, сохраняет его в заведомо исправном состоянии, предотвращая несанкционированное изменение целостности приложения.


Доступ к файлам, ключам реестра, процессам приложения может быть заблокирован. Тем самым TPSecure предотвращает несанкционированное изменение настроек межсетевого экрана.



Требование 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.


 

РЕШЕНИЕ SOFTCONTROL


TPSecure использует Active Directory для централизованного управления политиками безопасности и защиты административного доступа.




Защищать ДДК


Требование 3. Защищать хранимые ДДК.


 

РЕШЕНИЕ SOFTCONTROL


TPSecure обеспечивает защиту хранимых данных, блокируя несанкционированный доступ ко всем объектам файловой системы.




Поддерживать программу управления уязвимостями


Требование 5. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусные ПО или программы.


 

РЕШЕНИЕ SOFTCONTROL


TPSecure не только выполняет это требование, но также защищает от всех угроз, известных и неизвестных. Уникальность TPSecure в том, что он обеспечивает проактивную защиту от любого вредоносного ПО (вирусы, черви, трояны и тп), включая такую растущую угрозу, как инсайдерские атаки. TPSecure предотвращает получение доступа и внесение изменений в систему обработки транзакций, будь то в результате хакерской атаки или несанкционированных действий обслуживающего персонала. TPSecure создает профиль системы на основе модулей и компонент самой операционной системы и всех установленных приложений.


TPSecure осуществляет контроль запуска приложений, позволяя блокировать новые или измененные приложения, если их контрольные суммы отсутствуют в профиле системы. Также, TPSecure содержит традиционный антивирусный сканер.



Требование 6. Разрабатывать и поддерживать безопасные системы и приложения.


 

РЕШЕНИЕ SOFTCONTROL


TPSecure предотвращает использование уязвимостей, применяя проверку целостности и запуская потенциально уязвимые приложения в изолированной среде с ограниченными системными привилегиями.


Как следствие, процесс установки обновлений перестает быть процедурой, проведение которой необходимо по мере обнаружения новых уязвимостей. Установка обновлений может быть отложена во времени без ущерба безопасности.


Благодаря гибкости решения, TPSecure обеспечивает целостность системы с минимальным влиянием на процедуры технического обслуживания. Устройство может быть полностью заблокировано, либо приложения могут быть запущены в изолированной среде, либо могут быть заданы индивидуальные и / или групповые политики, чтобы использовать приложения только в определенных целях и / или с заданными параметрами.




Осуществлять регулярный мониторинг и тестирование сетей


Требование 10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК.


 

РЕШЕНИЕ SOFTCONTROL


В случае инцидента, наряду с блокировкой несанкционированной активности, TPSecure регистрирует и посылает уведомление с описанием того, где, когда и какого рода нарушение было пресечено. Для каждого приложения или процесса ведется история активности с возможностью теневого копирования изменяемых файлов. Возможно отследить последовательность действий каждого инцидента.



Требование 11. Регулярно тестировать системы и процессы безопасности.


 

РЕШЕНИЕ SOFTCONTROL


TPSecure упрощает процесс тестирования. Уведомления создаются на каждую попытку запуска неизвестного кода и несанкционированный доступ к файлам, с возможностью просмотра лога активности на конечных точках.


TPSecure может отправлять статус системы защиты на конечной точке. Если по какой-то причине клиент TPSecure был остановлен на конечной точке, отправляется уведомление в консоль администрирования или на электронную почту.


Кроме того, TPSecure позволяет ускорить процесс прохождения тестов на проникновение, предотвращая вторжения и сохраняя целостность, как всей системы, так и отдельных файлов.




Поддерживать политику информационной безопасности


Требование 12. Поддерживать политику информационной безопасности для всех работников.


 

РЕШЕНИЕ SOFTCONTROL


Благодаря возможности централизованного получения уведомлений в режиме реального времени, TPSecure вносит существенный вклад в план реагирования на инциденты.



Стандарты PCI DSS 3.2 на русском языке

© ООО Протекшен Технолоджи, 2000-2020. Все права защищены.