Основы и введение в PCI DSS

Для кого предназначен:

Тренинг будет полезен специалистам, координирующим в своей организации управление и внедрение стандарта PCI DSS, начальникам служб информационной безопасности, , руководителям отделов ИТ-безопасности, разработчикам систем сетевой безопасности и ПО, специалистам групп по расследованию инцидентов, PCI проект-менеджерам, ИТ-директорам, менеджерам по информационной безопасности и обеспечению соответствия, специалистам по аудиту, специалистам подразделений платежных систем отделов банковских карт, а также профессионалам, заинтересованным в углублении знаний в сфере защиты информации и стандарта PCI DSS.

Программа курса

Первый день

Модуль 1. Обзор стандарта PCI DSS

• Обзор индустрии платежных карт
• Схема прохождения платежной транзакции
• Потоки данных в индустрии платежных карт
• Банки-принципалы и аффилированные члены МПС
• Поставщики услуг и торгово-сервисные предприятия
• Распределение ответственности за безопасность
• Стандарты безопасности данных PCI DSS и PA-DSS

Модуль 2. Подтверждение соответствия PCI DSS

• QSA-аудит, ISA-аудит и SAQ-самооценка
• ASV-сканирование
• Тестирование на проникновение
• Уровни и правила подтверждения соответствия

Модуль 3. Внедрение PCI DSS

• Мировой опыт внедрения PCI DSS
• Российский опыт внедрения PCI DSS
• Типовой проект по внедрению PCI DSS
• Участие разных подразделений в проекте
• Описание ключевых участников процесса
• Организация работ по внедрению PCI DSS
• Варианты аутсорсинга при внедрении PCI DSS
• Правила выбора листа самооценки SAQ

Модуль 4. Область применимости PCI DSS

• Определение области применимости PCI DSS
• Эквайринг платежных карт и типовые потоки данных
• Потоки данных с точки зрения банка
• Потоки данных с точки зрения платежного шлюза
• Потоки данных с точки зрения интернет-магазина
• Потоки данных с точки зрения розничного магазина
• Смежные информационные системы

Модуль 5. Уменьшение области применимости PCI DSS

• Оптимизация потоков данных о держателях карт
• Минимизация мест хранения данных о держателях карт
• Сегментация вычислительной сети
• Применение токенизации
• Снижение зависимости от смежных систем

Второй день

Модуль 6. Выполнение требований PCI DSS

• Ограничение хранения данных о держателях карт
• Защита сетевой инфраструктуры
• Защита приложений, баз данных и серверов
• Мониторинг и контроль доступа к данным
• Защита хранимых данных о держателях карт
• Система менеджмента информационной безопасности
• Обоснование и выбор компенсационных мер

Модуль 7. Сертификационный QSA-аудит

• Процедура сертификационного аудита
• Взаимодействие с аудитором

Модуль 8.

• Программа управления уязвимостями.
  • Патч — менеджмент
  • Сканирование сети и приложений
  • Тесты на проникновение
  • методика
  • отчетность
  • Работа с Web – приложениями
• Поддержание политики информационной безопасности.
  • Программы работы с сервис — провайдерами
  • Аутсорсинг в PCI DSS
• Стратегии достижения соответствия стандарту.
• Документарная поддержка
• Документы, обеспечивающие успешную реализацию требований стандарта
• Связь PCI DSS с другими стандартами безопасности

Модуль 9. Защита персональных данных держателей карт

• Требования локального законодательства и их отличия от аналогичных законов стран ближайшего окружения
• Проблемы внедрения закона о защите персональных данных в Украине
• Общие моменты в требованиях Закона и стандарта PCI DSS – полезная синергия для банков

Модуль 10. Что дает соответствие PCI DSS с точки зрения обеспечения защиты персональных данных? Compliance vs. Security

Основные преимущества:

• проведение анализа достаточности уровня информационной безопасности;
• идентификация текущих рисков несоответствия требованиям законодательства и регуляторов в области защиты информации;
• формирование экспертного заключения о соответствии и рекомендаций по устранению несоответствий.

Документ об окончании курса — Сертификат о прослушивании курса