Безопасность бизнеса банковских платежных карт. PCI DSS 4.0

Для кого предназначен:

Тренинг будет полезен специалистам, координирующим в своей организации управление и внедрение стандарта PCI DSS, начальникам служб информационной безопасности, , руководителям отделов ИТ-безопасности, разработчикам систем сетевой безопасности и ПО, специалистам групп по расследованию инцидентов, PCI проект-менеджерам, менеджерам по информационной безопасности и обеспечению соответствия, специалистам по аудиту, специалистам подразделений платежных систем отделов банковских карт, а также профессионалам, заинтересованным в углублении знаний в сфере защиты информации и стандарта PCI DSS.

Программа курса

Модуль 1. Обзор стандарта PCI DSS

• Обзор индустрии платежных карт
• Схема прохождения платежной транзакции
• Потоки данных в индустрии платежных карт
• Банки-принципалы и аффилированные члены МПС
• Поставщики услуг и торгово-сервисные предприятия
• Распределение ответственности за безопасность
• Стандарты безопасности данных PCI DSS и SSF

Модуль 2. Подтверждение соответствия PCI DSS

• QSA-аудит, ISA-аудит и SAQ-самооценка
• ASV-сканирование
• Тестирование на проникновение
• Уровни и правила подтверждения соответствия
• PCI DSS v. 4.0 — что нового?
• Что понимать под «существенным изменением инфраструктуры»?
• Организация работ по внедрению PCI DSS — что нового в отчетности
• Варианты аутсорсинга при внедрении PCI DSS -что нового в отчетности
• Правила выбора листа самооценки SAQ — что нового в отчетности

Модуль 3. Область применимости PCI DSS

• Определение области применимости PCI DSS – v. 4.0
• Эквайринг платежных карт и типовые потоки данных
• Потоки данных с точки зрения банка
• Потоки данных с точки зрения платежного шлюза
• Потоки данных с точки зрения интернет-магазина
• Потоки данных с точки зрения розничного магазина
• Смежные информационные системы

Модуль 4. Уменьшение области применимости PCI DSS

• Оптимизация потоков данных о держателях карт
• Минимизация мест хранения данных о держателях карт
• Сегментация вычислительной сети
• Применение токенизации
• Снижение зависимости от смежных систем

Модуль 5. Выполнение требований PCI DSS — обновление

• Ограничение хранения данных о держателях карт
• Защита сетевой инфраструктуры
• Защита приложений, баз данных и серверов
• Мониторинг и контроль доступа к данным
• Защита хранимых данных о держателях карт
• Система менеджмента информационной безопасности
• Обоснование и выбор компенсационных мер

Модуль 6. Сертификационный QSA-аудит

• Процедура сертификационного аудита
• Взаимодействие с аудитором

Модуль 7. Программа управления уязвимостями.

• Патч — менеджмент
• Сканирование сети и приложений
• Тесты на проникновение
• Методика
• Отчетность
• SDLC в PCI DSS 4.0
• Работа с Web – приложениями
• Поддержание политики информационной безопасности.
• Программы работы с сервис — провайдерами
• Аутсорсинг в PCI DSS
• Стратегии достижения соответствия стандарту.
• Документарная поддержка
• Документы, обеспечивающие успешную реализацию требований стандарта
• Связь PCI DSS с другими стандартами безопасности

Модуль 8. Защита персональных данных держателей карт

• Требования локального законодательства и их отличия от аналогичных законов стран ближайшего окружения

Модуль 9. Что дает соответствие PCI DSS с точки зрения обеспечения защиты персональных данных? Compliance vs. Security

Основные преимущества:

• Проведение анализа достаточности уровня информационной безопасности
• Идентификация текущих рисков несоответствия требованиям законодательства и регуляторов в области защиты информации
• Формирование экспертного заключения о соответствии и рекомендаций по устранению несоответствий.