Защита данных владельцев платежных карт в соответствии с международными стандартами PCI DSS

Для кого предназначен:

Тренинг будет полезен специалистам, координирующим в своей организации управление и внедрение стандарта PCI DSS, начальникам служб информационной безопасности, , руководителям отделов ИТ-безопасности, разработчикам систем сетевой безопасности и ПО, специалистам групп по расследованию инцидентов, PCI проект-менеджерам, ИТ-директорам, менеджерам по информационной безопасности и обеспечению соответствия, специалистам по аудиту, специалистам подразделений платежных систем отделов банковских карт, а также профессионалам, заинтересованным в углублении знаний в сфере защиты информации и стандарта PCI DSS.

ПРОГРАММА КУРСА

Модуль 1. Обзор стандарта PCI DSS

• История стандарта
• Сфера действия стандарта
• Риски, связанные с дискредитацией карточных данных
• Схемы монетизации карточных данных

Модуль 2. Методы и средства обеспечения безопасности и оценки защищенности данных платежных карт

• Содержимое платежной карты
• Содержимое магнитной полосы
• Критичные аутентификационные данные
• PAN как минимальная единица защиты
• Анализ схемы корпоративной сети, принципов сегментации и разделения информационных потоков.
• Анализ конфигурации межсетевых экранов, корректности и актуальности списков контроля доступа.
• Проверка наличия беспроводных сетей стандарта 802.11X и анализ их защищенности.
• Анализ используемых сетевых протоколов с точки зрения безопасности.
• Анализ принятых в информационной системе политик безопасности (политики контроля доступа, парольной политики, политики физической безопасности и т.д.).
• Анализ принципов и технологий обработки критичной информации о платежных картах.
• Проверка наличия процедуры своевременного обновления системных компонентов и антивирусного ПО на серверах и рабочих станциях.
• Проверка наличия механизмов регулярного мониторинга сети и информационных ресурсов.
• Приведение критичных данных к нечитаемому виду
  • однонаправленное хеширование
  • шифрование
  • урезание
• Понятие компенсационных мер на примере выполнения требований п. 3.4.1 PCI DSS
• Понятие строгой криптографии в PCI DSS.
• Сканирование информационной сети на наличие уязвимостей (ASV)
• Проведение теста на проникновение на сетевом уровне (Network-layer penetration tests)
• Проведение теста на проникновение на уровне приложений (Application-layer penetration tests)
• Анализ защищенности беспроводных сетей

Модуль 3. Защита персональных данных держателей карт.

• Требования локального законодательства и их отличия от аналогичных законов стран ближайшего окружения
• Проблемы внедрения закона о защите персональных данных в Украине
• Общие моменты в требованиях Закона и стандарта PCI DSS – полезная синергия для банков

Модуль 4. Что дает соответствие PCI DSS с точки зрения обеспечения защиты персональных данных? Compliance vs. Security

Основные преимущества:

• проведение анализа достаточности уровня информационной безопасности;
• идентификация текущих рисков несоответствия требованиям законодательства и регуляторов в области защиты информации;
• формирование экспертного заключения о соответствии и рекомендаций по устранению несоответствий.Подведение итогов, ответы на вопросы.Документ об окончании курса – Сертификат о прослушивании курса