Общие сведения
Полное наименование услуг:
Проведение аудита ПС УЭК на соответствие требованиям стандарта PCI DSS 3.0
Шифр темы:
Аудит PCI DSS 3.0
Перечень документов и методика, на основании которых осуществляется аудит на соответствие требованиям стандарта PCI DSS 3.0:
Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры аудита безопасности. Версия 3.0, ноябрь 2013 г.
DSS Validation Requirements for Qualified Security Assessors (QSAs).
PCI DSS Validation Requirements for Approved Scanning Vendors (ASVs).
Technical & Operational Requirements for ASVs.
Information Supplements. Requirement 6.6 Application Reviews and Web Application Firewalls Clarified.
Information Supplements. Requirement 11.3 Penetration Testing.
Цели и решаемые задачи
Цель проведения Предварительного аудита:
оценка готовности ПС УЭК к прохождению сертификации стандарта PCI DSS 3.0 первого уровня и разработка рекомендаций по устранению выявленных несоответствий требованию стандарта.
Цель проведения сертификационных испытаний на соответствие требованиям стандарта PCI DSS 3.0:
предотвращение финансовых потерь и затрат на возмещение ущерба, вызванного нарушениями интересов клиентов и бизнес-партнеров;
уход от штрафных санкций и других ограничений со стороны международных платежных систем за несоответствие требованиям безопасности данных о держателях платежных карт;
100%-ное выполнение требований Стандарта.
Решаемые задачи
В ходе выполнения услуг Исполнитель должен решить следующие задачи:
ознакомить работников Заказчика со Стандартом и практиками для сужения области аудита и выполнения требований Стандарта;
дать обзор по периодическим процедурам безопасности, необходимым для выполнения Стандарта;
провести сбор и анализ сведений по информационным системам ПС УЭК;
провести оценку документов Заказчика;
провести оценку соответствия информационных систем требованиям Стандарта;
провести предварительный аудит безопасности на месте;
проверить состояние и степень подготовленности документальной и технической базы, а также процессов и мероприятий, необходимых для выполнения Стандарта;
выявить несоответствия Стандарту;
разработать отчет по итогам аудита и рекомендации (требования) по подготовке к сертификационному аудиту на соответствие требованиям Стандарта;
провести сертификационные испытания.
Характеристики объекта аудита
Платежная система ПС УЭК (далее – ПС УЭК) является распределенной и располагается на следующих площадках:
основной вычислительный центр: г. Москва, Варшавское шоссе, дом 125, стр. 16 (ОЦОД);
резервный вычислительный центр: г. Москва, ул. Боровая, д. 7, стр. 10 (РЦОД);
офис ОАО «УЭК»: г. Москва, ул. Новолесная д.3, стр. 1 (Офис).
Описание информационной системы и бизнес-процессов
3.1.1. Проведение платежа
ПС УЭК поддерживает обмен БИН МПС между участниками системы (Схема 1):
Банк-эквайер, участник ПС УЭК, получает транзакцию по карте МПС.
Банк-эквайер проверяет по справочнику БИН. Если карта выпущена другим участником ПС УЭК, банк отправляет транзакцию в ПС УЭК.
ПС УЭК отправляет транзакцию по карте МПС банку-эмитенту.
ПС УЭК получает ответ банка-эмитента.
ПС УЭК транслирует ответ банку-эквайеру.
Схема 1. Обмен БИН МПС между участниками системы
3.1.2. Технологические платформы
Все внешние хосты (банки и процессинговые центры) имеют два физических подключения к платежной системе, по одному на каждую площадку. Транзакционный поток принимается одновременно на двух площадках. Внешние хосты (банки и процессинговые центры) могут работать с процессинговым центром как в режиме распределения нагрузки (Round-Robin), так и в режиме отказоустойчивости (Fail Over).
На каждой площадке установлен симметричный комплект оборудования:
WAY4 Netserver - коммуникационный сервер, обеспечивает транспортировку и обработку онлайн сообщений в формате ISO8583 между платежной системой и внешними хостами. Серверы располагаются на двух площадках, работают в режиме Active-Active. На каждой из площадок располагаются несколько серверов с установленным приложением WAY4 Netserver. Внешние хосты (банки и процессинговые центры) закреплены за определенными серверами WAY4 NetServer на каждой площадке и имеют минимум два независимых подключения, по одному или более на каждую площадку, с целью обеспечения резервирования канальных подключений.
Онлайн HSM - криптографические устройства, обеспечивающие работу с крипто-величинами в ISO-сообщениях. Располагаются на двух площадках процессингового центра и взаимодействуют с WAY4 Netserver’ами, находящимися на той же площадке.
WAY4 DB Server онлайн - сервер базы данных, обеспечивает регистрацию и обслуживание транзакций в режиме онлайн и выполняет функцию Stand-In. Сервера разделяются на пары, в каждой паре сервера располагаются на двух площадках и работают в режиме Active-Active, обслуживание осуществляет одновременно два сервера из пары. Сервера одной пары синхронизируются между собой в режиме реального времени, синхронизация реализована на основе механизмов WAY4 Replication. Внешние хосты (банки и процессинговые центры) закреплены за определённой парой северов. Одновременно может эксплуатироваться несколько пар серверов. Все активные сервера WAY4 DB Server онлайн обеспечивают регистрацию и обслуживание транзакций и функцию Stand-In. При штатной работе системы, транзакционная нагрузка делится равномерно между узлами одной пары серверов.
WAY4 DB Server Clearing - сервер базы данных, обеспечивает обработку клиринговых транзакций, формирование проводок, расчетных документов. Серверы располагаются на двух площадках, работают в режиме Active-Passive, обслуживание осуществляет только один сервер из пары, данный сервер называется активным, второй сервер из этой пары является резервной копией, которая реплицируется с основной копии средствами Oracle Active Data Guard.
File Server – файловый сервер для хранения и передачи на обработку выгружаемой или загружаемой в систему WAY4 информации в виде файлов. Основная копия данных располагается на одной из площадок. На другой площадке располагается резервная копия, которая реплицируется с основной копией средствами Microsoft DFS. В случае выхода из строя основной копии сервера, резервный сервер принимает на себя функции основного сервера. Требования к масштабированию отсутствуют.
Reports Server – сервер формирования отчетов системы WAY4. Две копии сервера располагается независимо на разных площадках. При необходимости могут масштабироваться за счет увеличения количества экземпляров серверов или за счет увеличения вычислительных мощностей серверов.
Job Scheduler Server – сервер запуска заданий в системе WAY4 по описанным правилам и временному расписанию. Две копии сервера располагается независимо на разных площадках. При необходимости могут масштабироваться за счет увеличения количества экземпляров серверов или за счет увеличения вычислительных мощностей серверов.
Workstation – рабочее место пользователя системы WAY4.
WAY4 Test System - тестовый комплекс системы WAY4. Является аналогом промышленного комплекса. Количество компонентов тестового комплекса может быть сокращено до минимально-достаточного количества элементов при условии обеспечения требований к тестированию функциональности системы.
Настройки телекоммуникационного оборудования выполнены с учетом возможностей передачи трафика q-in-q.
3.1.3. Программная платформа
DB Онлайн Production Server, DB Clearing Production Server
AIX 7.1;
Oracle Database Enterprise Edition, bronze support (version 11.2.0.3 or higher), including:
Partitioning (for high-end solutions),
Oracle Diagnostic Pack;
Oracle Tuning Pack;
Active DataGuard;
Backup software.
NetServer Server
AIX 6.1;
Java Virtual Machine version 1.6.0 32 bit;
Reports Server
AIX 7.1;
Oracle Fusion Middleware 11.1.1.1/11.1.1.2 Forms and Reports;
Workstations
Windows 7;
Oracle ODBC Driver for Oracle 11.2.0.1 or higher;
Oracle Client 11g (32bit) for Windows;
Oracle 11g Developer Suite for Windows(Optional);
File server net client (file-server dependent; for instance)
Java Runtime Environment 1.6.0 Update 38
Детальные сведения должны быть уточнены в ходе аудита.
|
