Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 6.5.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 5
7.3.5. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.5
6.5.5
Defined Approach Requirements:
Live PANs are not used in pre-production environments, except where those environments are included in the CDE and protected in accordance with all applicable PCI DSS requirements.
Customized Approach Objective:
Live PANs cannot be present in pre-production environments outside the CDE.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Live PANs are not used in pre-production environments, except where those environments are included in the CDE and protected in accordance with all applicable PCI DSS requirements.
Customized Approach Objective:
Live PANs cannot be present in pre-production environments outside the CDE.
Defined Approach Testing Procedures:
- 6.5.5.a Examine policies and procedures to verify that processes are defined for not using live PANs in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements.
- 6.5.5.b Observe testing processes and interview personnel to verify procedures are in place to ensure live PANs are not used in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements.
- 6.5.5.c Examine pre-production test data to verify live PANs are not used in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements.
Purpose:
Use of live PANs outside of protected CDEs provides malicious individuals with the opportunity to gain unauthorized access to cardholder data.
Good Practice:
Entities can minimize their storage of live PANs by only storing them in pre-production when strictly necessary for a specific and defined testing purpose and securely deleting that data after use.
If an entity requires PANs specifically designed for test purposes, these can be obtained from acquirers.
Definitions:
Live PANs refer to valid PANs (not test PANs) that have the potential to be used to conduct payment transactions. Additionally, when payment cards expire, the same PAN is often reused with a different expiry date. All PANs must be verified as being unable to conduct payment transactions before they are excluded from PCI DSS scope. It is the responsibility of the entity to confirm that PANs are not live.
Use of live PANs outside of protected CDEs provides malicious individuals with the opportunity to gain unauthorized access to cardholder data.
Good Practice:
Entities can minimize their storage of live PANs by only storing them in pre-production when strictly necessary for a specific and defined testing purpose and securely deleting that data after use.
If an entity requires PANs specifically designed for test purposes, these can be obtained from acquirers.
Definitions:
Live PANs refer to valid PANs (not test PANs) that have the potential to be used to conduct payment transactions. Additionally, when payment cards expire, the same PAN is often reused with a different expiry date. All PANs must be verified as being unable to conduct payment transactions before they are excluded from PCI DSS scope. It is the responsibility of the entity to confirm that PANs are not live.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.3.1
A.14.3.1 Защита тестовых данных
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.33
А.8.33 Тестовая информация
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.3.1
14.3.1 Защита тестовых данных
Мера обеспечения ИБ
Тестовые данные следует тщательно выбирать, защищать и контролировать.
Руководство по применению
Следует избегать использования данных из эксплуатируемой среды, содержащих персональные данные или любую другую конфиденциальную информацию, в целях тестирования. Если для целей тестирования используется такая информация, все конфиденциальные данные и содержимое должно быть защищено путем удаления или модификации (см. ИСО/МЭК 29101 [26]).
Для защиты эксплуатационных данных, используемых в целях тестирования, должны применяться следующие рекомендации:
- a) процедуры контроля доступа, которые применяются к эксплуатируемым прикладным системам, должны также применяться к тестовым прикладным системам;
- b) необходимо запрашивать разрешение каждый раз, когда эксплуатируемые данные копируются в тестовую среду;
- c) информация из эксплуатируемой среды должна быть удалена из тестовой среды сразу после завершения тестирования;
- d) копирование и использование информации из эксплуатируемой среды должно регистрироваться для обеспечения аудита.
Дополнительная информация
Системные и приемочные испытания обычно требуют значительных объемов тестовых данных, максимально приближенных к эксплуатационным.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.33
А.8.33 Test information
Test information shall be appropriately selected, protected and managed.
Test information shall be appropriately selected, protected and managed.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.