Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 6.5.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 5
7.3.5. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.3.1
A.14.3.1 Защита тестовых данных
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.5
6.5.5
Определенные Требования к Подходу:
Текущие PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды включены в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
Цель Индивидуального подхода:
Текущие PANs не могут присутствовать в среде предварительного производства за пределами CDE.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Текущие PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды включены в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
Цель Индивидуального подхода:
Текущие PANs не могут присутствовать в среде предварительного производства за пределами CDE.
Определенные Процедуры Тестирования Подхода:
- 6.5.5.a Изучите политики и процедуры, чтобы убедиться, что процессы определены для отказа от использования live PANs в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
- 6.5.5.b Наблюдайте за процессами тестирования и опрашивайте персонал, чтобы убедиться в наличии процедур, гарантирующих, что live PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
- 6.5.5.c Изучите данные предпроизводственных тестов, чтобы убедиться, что live PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
Цель:
Использование текущих PANs за пределами защищенных CDE предоставляет злоумышленникам возможность получить несанкционированный доступ к данным о держателях карт.
Надлежащая практика:
Организации могут свести к минимуму хранение данных в режиме реального времени, сохраняя их только в стадии подготовки к производству, когда это строго необходимо для конкретной и определенной цели тестирования, и безопасно удаляя эти данные после использования.
Если предприятию требуются PAN, специально разработанные для целей тестирования, их можно получить у покупателей.
Определения:
Текущие PANs относятся к действительным PANs (не тестовым PANs), которые потенциально могут быть использованы для проведения платежных транзакций. Кроме того, когда срок действия платежных карт истекает, один и тот же PAN часто используется повторно с другой датой истечения срока действия. Все PANS должны быть проверены как неспособные проводить платежные транзакции, прежде чем они будут исключены из сферы действия PCI DSS. Организация несет ответственность за подтверждение того, что кастрюли не находятся в режиме реального времени.
Использование текущих PANs за пределами защищенных CDE предоставляет злоумышленникам возможность получить несанкционированный доступ к данным о держателях карт.
Надлежащая практика:
Организации могут свести к минимуму хранение данных в режиме реального времени, сохраняя их только в стадии подготовки к производству, когда это строго необходимо для конкретной и определенной цели тестирования, и безопасно удаляя эти данные после использования.
Если предприятию требуются PAN, специально разработанные для целей тестирования, их можно получить у покупателей.
Определения:
Текущие PANs относятся к действительным PANs (не тестовым PANs), которые потенциально могут быть использованы для проведения платежных транзакций. Кроме того, когда срок действия платежных карт истекает, один и тот же PAN часто используется повторно с другой датой истечения срока действия. Все PANS должны быть проверены как неспособные проводить платежные транзакции, прежде чем они будут исключены из сферы действия PCI DSS. Организация несет ответственность за подтверждение того, что кастрюли не находятся в режиме реального времени.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.33
А.8.33 Тестовая информация
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.3.1
14.3.1 Защита тестовых данных
Мера обеспечения ИБ
Тестовые данные следует тщательно выбирать, защищать и контролировать.
Руководство по применению
Следует избегать использования данных из эксплуатируемой среды, содержащих персональные данные или любую другую конфиденциальную информацию, в целях тестирования. Если для целей тестирования используется такая информация, все конфиденциальные данные и содержимое должно быть защищено путем удаления или модификации (см. ИСО/МЭК 29101 [26]).
Для защиты эксплуатационных данных, используемых в целях тестирования, должны применяться следующие рекомендации:
- a) процедуры контроля доступа, которые применяются к эксплуатируемым прикладным системам, должны также применяться к тестовым прикладным системам;
- b) необходимо запрашивать разрешение каждый раз, когда эксплуатируемые данные копируются в тестовую среду;
- c) информация из эксплуатируемой среды должна быть удалена из тестовой среды сразу после завершения тестирования;
- d) копирование и использование информации из эксплуатируемой среды должно регистрироваться для обеспечения аудита.
Дополнительная информация
Системные и приемочные испытания обычно требуют значительных объемов тестовых данных, максимально приближенных к эксплуатационным.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.33
А.8.33 Test information
Test information shall be appropriately selected, protected and managed.
Test information shall be appropriately selected, protected and managed.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.