Сведения о всех реализуемых Компанией процессах обработки
advertisement
1. Сведения о всех реализуемых Компанией процессах обработки данных держателей карт: Название процесса Тип транзакции (card-not-present (for example, mail order/telephone order (MOTO), e-Commerce), card-present) Описание процесса Вид обработки платежа (прямой или косвенный) Выполняемые Компанией операции с ДДК Тип операции (хранение, обработка, передача) Цель операции Взаимодействие с 3-й стороной (Название компании) 2. Cведения о сетевых сегментах: Описание сегментов, в которых ведется обработка ДДК: DMZ ip-адрес подсети/мас ка 10.10.0.0/24 Тип подсети (проводная, беспроводная) Проводная CHD_DB 10.10.1.0/24 проводная Название сегмента Операции, проводимые с ДДК Назначение сегмента Передача Обработка Хранение Предоставление доступа к общедоступному платежному приложению Хранение ДДК Физическое размещение сегмента ЦОД (г.Москва, ул.Ленина 1/2) ЦОД (г.Москва, ул.Ленина 1/2) Описание сегментов, в которых не ведется обработка ДДК, но взаимодействующие с сегментами обработки ДДК и/или расположенные в среде ДДК: Название сегмента DMZ_SYS ip-адрес подсети/мас ка 10.10.2.0/24 Тип подсети (проводная, беспроводная) Проводная Назначение сегмента Размещение системных сервисов, требующих взаимодействие с внешними системами (NTP, DNS) Взаимодействие с сегментами обработки ДДК Средства/м Цель Сегменты етоды взаимодей ДДК контроля ствия доступа Администр Правила ирование, межсетево предоставл го CHD_DB ение экранирова технологич ния и еских журналиров сервисов ание Физическое размещение сегмента ЦОД (г.Москва, ул.Ленина 1/2) Название сегмента ip-адрес подсети/мас ка Тип подсети (проводная, беспроводная) Назначение сегмента Взаимодействие с сегментами обработки ДДК событий Физическое размещение сегмента Описание сегментов, в которых не ведется обработка ДДК и не входящие в область действия стандарта: Название сегмента ip-адрес подсети/мас ка Тип подсети (проводная, беспроводная) Назначение сегмента Операции с ДДК Операции, проводимые с ДДК Передача Обработка Хранение Физическое размещение сегмента 3. Хранилища ДДК. Необходимо предоставить сведения обо всех местах хранения данных держателей карт в Компании: Тип хранилища данных (база данных, файл, бумажный документы) Имена таблиц, названия файлов, документов содержащих ДДК Типы хранимых ДДК Место хранения (сервер (dns-имя) съемный носитель (инвентар.номер) шкаф/сейф (место размещения) Метод защиты (согласно требованию 3.4 PCI DSS) Механизмы, средства, методы регистрации событий доступа Обоснование хранения 4. Критичные системные компоненты. В таблице должны быть указаны сведения о следующих программно-аппаратных платформах/системах размещенных в сегментах сети, указанных в разделе 5: активное сетевое оборудование (маршрутизаторы, коммутаторы), в том числе и вируальные устройства cерверы (физические и виртуальные) cистемы защиты (например: межсетевые экраны, IDS/IPS, WAF, SIEM, VPN-шлюзы) (физические и виртуальные) АРМ (рабочие станции и ноутбуки), терминалы Тип устройства Сервер, коммутатор, маршрутизатор, Вендор Модель Функция/назначение устройства ip-адрес DNS-имя Тип устройства Вендор Модель Функция/назначение устройства ip-адрес DNS-имя МЭ, 5. Критичное ПО. В таблице должны быть указаны сведения о следующем ПО (при их наличии): все ПО используемое для хранения, обработки и передачи ДДК (например: платежные приложения (самописные, проприетарные), СУБД и иное ПО систем хранения, VPN) ПО для E-commerce ПО, имеющее доступ к ДДК. Например: ПО фрод-мониторинга, банковское ПО ПО, реализующее функции защиты. Например: системы двухфакторной аутентификации, ПО для контроля и разграничения доступа, центры сертификации и PKI, антивирусное ПО, программные МЭ и IDS, программные SIEM, и т.п.) операционные системы ПО управления. Например: ПО для управления конфигурациями, ПО для удаленного управления, и т.п. ПО для управления виртуальной инфраструктурой Тип ПО Вендор Название Версия Функция/назначение ПО На каких серверах установлено СУБД, ОС, Прикладное ПО, СЗИ, системное ПО, служба терминалов, виртуализации и т.д. 6. Сторонние платежные приложения. Программное обеспечение для работы с данными платежных карт сторонних производителей используемое в Компании: Наименование Версия Описание приложения Используемые хранилища данных (хранилища) Используемые протоколы передачи ДДК Статус соответствия PA-DSS PA-DSS reference number Дата истечения срока действия PA-DSS Наименование Версия Описание приложения Используемые хранилища данных (хранилища) Используемые протоколы передачи ДДК Статус соответствия PA-DSS PA-DSS reference number Дата истечения срока действия PA-DSS
