Куда я попал?
CIS Critical Security Controls v8 (The 18 CIS CSC)
Framework
3.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.3.1
3.3.1
Defined Approach Requirements:
SAD is not retained after authorization, even if encrypted. All sensitive authentication data received is rendered unrecoverable upon completion of the authorization process
Customized Approach Objective:
This requirement is not eligible for the customized approach.
Applicability Notes:
This requirement does not apply to issuers and companies that support issuing services (where SAD is needed for a legitimate issuing business need) and have a business justification to store the sensitive authentication data.
Refer to Requirement 3.3.3 for additional requirements specifically for issuers.
Sensitive authentication data includes the data cited in Requirements 3.3.1.1 through 3.3.1.3.
Defined Approach Testing Procedures:
Defined Approach Requirements:
SAD is not retained after authorization, even if encrypted. All sensitive authentication data received is rendered unrecoverable upon completion of the authorization process
Customized Approach Objective:
This requirement is not eligible for the customized approach.
Applicability Notes:
This requirement does not apply to issuers and companies that support issuing services (where SAD is needed for a legitimate issuing business need) and have a business justification to store the sensitive authentication data.
Refer to Requirement 3.3.3 for additional requirements specifically for issuers.
Sensitive authentication data includes the data cited in Requirements 3.3.1.1 through 3.3.1.3.
Defined Approach Testing Procedures:
- 3.3.1.a If SAD is received, examine documented policies, procedures, and system configurations to verify the data is not retained after authorization.
- 3.3.1.b If SAD is received, examine the documented procedures and observe the secure data deletion processes to verify the data is rendered unrecoverable upon completion of the authorization process.
Purpose:
SAD is very valuable to malicious individuals as it allows them to generate counterfeit payment cards and create fraudulent transactions. Therefore, the storage of SAD upon completion of the authorization process is prohibited.
Definitions:
The authorization process completes when a merchant receives a transaction response (for example, an approval or decline)
SAD is very valuable to malicious individuals as it allows them to generate counterfeit payment cards and create fraudulent transactions. Therefore, the storage of SAD upon completion of the authorization process is prohibited.
Definitions:
The authorization process completes when a merchant receives a transaction response (for example, an approval or decline)
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.3.1
3.3.1
Определенные Требования к Подходу:
SAD не сохраняется после авторизации, даже если он зашифрован. Все полученные конфиденциальные аутентификационные данные становятся невосстановимыми после завершения процесса авторизации
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Это требование не распространяется на эмитентов и компании, которые поддерживают услуги выдачи (где SAD необходим для законных бизнес-потребностей выпуска) и имеют бизнес-обоснование для хранения конфиденциальных аутентификационных данных.
Дополнительные требования, конкретно касающиеся эмитентов, см. в Требовании 3.3.3.
Конфиденциальные аутентификационные данные включают данные, указанные в требованиях 3.3.1.1-3.3.1.3.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
SAD не сохраняется после авторизации, даже если он зашифрован. Все полученные конфиденциальные аутентификационные данные становятся невосстановимыми после завершения процесса авторизации
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Это требование не распространяется на эмитентов и компании, которые поддерживают услуги выдачи (где SAD необходим для законных бизнес-потребностей выпуска) и имеют бизнес-обоснование для хранения конфиденциальных аутентификационных данных.
Дополнительные требования, конкретно касающиеся эмитентов, см. в Требовании 3.3.3.
Конфиденциальные аутентификационные данные включают данные, указанные в требованиях 3.3.1.1-3.3.1.3.
Определенные Процедуры Тестирования Подхода:
- 3.3.1.a Если получен SAD, изучите документированные политики, процедуры и конфигурации системы, чтобы убедиться, что данные не сохраняются после авторизации.
- 3.3.1.b Если получен SAD, изучите документированные процедуры и соблюдайте безопасные процессы удаления данных, чтобы убедиться, что данные становятся невосстановимыми после завершения процесса авторизации.
Цель:
SAD очень ценен для злоумышленников, поскольку позволяет им создавать поддельные платежные карты и совершать мошеннические транзакции. Поэтому хранение SAD после завершения процесса авторизации запрещено.
Определения:
Процесс авторизации завершается, когда продавец получает ответ на транзакцию (например, одобрение или отклонение).
SAD очень ценен для злоумышленников, поскольку позволяет им создавать поддельные платежные карты и совершать мошеннические транзакции. Поэтому хранение SAD после завершения процесса авторизации запрещено.
Определения:
Процесс авторизации завершается, когда продавец получает ответ на транзакцию (например, одобрение или отклонение).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.