PaymentCardIndustry (PCI) Data Security Standard. Odvětví platebních karet (PCI) Standard bezpečnosti dat (DSS)
|
|
- Marcela Dušková
- před 8 lety
- Počet zobrazení:
Transkript
1 PaymentCardIndustry (PCI) Data Security Standard Odvětví platebních karet (PCI) Standard bezpečnosti dat (DSS)
2 Requirements and Security Assessment Procedures Požadavky a postupy posouzení bezpečnosti Verze3.1 Duben 2015
3 Změny v dokumentu Datum Verze Popis Strana Zavedení standardu PCI DSS v1.2 v dokumentu Požadavky Standardu bezpečnosti dat PCI a postupy posouzení bezpečnosti ( PCI DSS Requirements and SecurityAssessmentProcedures ) zrušením nadbytečných informací v různých dokumentech, a provedením obecných i Říjen 1.2 specifických změn podle dokumentu Postupy bezpečnostního auditu (PCI DSS Security Audit 2008 Procedures v1.1). Úplné informace viz dokument PCI Standard bezpečnosti dat - Přehled změn od verze 1.1 k 1.2 (PCI Data Security Standard SummaryofChangesfrom PCI DSS Version 1.1 to 1.2). Červenec Říjen Přidání věty, která byla nesprávně zrušena při přechodu z PCI DSS v1.1 na v1.2 5 Oprava pak (then) na než (than) v postupu testování, a a b 32 Odstranění šedivého zabarvení pro sloupce Zavedeny (In place) a Nezavedeny (Not in place)v testovacích postupech 6.5.b Pracovní tabulka náhradního řešení Vzor (Compensating Controls Worksheet Example) upraven text na začátku stránky Použijte tuto tabulku k definování náhradního řešení pro jakýkoli požadavek, označený jako Zavedeny prostřednictvím náhradního řešení. Aktualizovány a zavedeny změny verze Podrobněji v PCI DSS Summary of Changes from PCI DSS Version to 2.0 (PCI DSS Seznam změn PCI DSS verze do 2.0) Listopad Aktualizace v2.0. Viz PCI DSS Summary of Changes from PCI DSS Version 2.0 to 3.0. Duben Aktualizace v3.0. Viz PCI DSS Podrobněji v Summary of Changes from PCI DSS Version 3.0 to 3.1 (PCI DSS Seznam změn PCI DSS verze 3.0 do 3.1) strana2
4 Obsah Změny v dokumentu... 2 Úvod a přehled Standardu bezpečnosti dat PCI DSS... 5 Další materiály k PCI DSS... 6 Aplikace požadavků standardu PCI DSS... 8 Vztah mezi PCI DSS a PA-DSS Aplikace standardu PCI DSS pro PA-DSS Aplikace standardu PCI DSS pro dodavatele platebních aplikací Rozsah požadavků standardu PCI DSS Segmentace sítě Bezdrátové technologie Spolupráce se třetími stranami poskytovateli služeb / Outsourcing Doporučené postupy implementace požadavků PCI DSS do běžného provozu Pro hodnotitele: Výběr vzorků provozních zařízení / systémových komponent Kontrola náhradních řešení Pokyny a obsah dokumentu Zpráva o shodě Postup vyhodnocení požadavků PCI DSS Podrobné požadavky a postupy posouzení bezpečnosti PCI DSS Vybudování a udržování bezpečné sítě a systémů Požadavek 1: Instalovat a udržovat konfiguraci firewallů za účelem ochrany dat držitelů karet Požadavek 2: Nepoužívat výchozí nastavení od dodavatele pro systémová hesla a jiné bezpečnostní parametry Ochrana dat držitelů karet Požadavek 3: Chránit uchovávaná data držitelů karet Požadavek 4: Zašifrovat přenos dat držitelů karet po otevřených veřejných sítích Udržování programu kontroly zranitelnosti Požadavek 5: Chránit všechny systémy proti malware a pravidelně aktualizovat antivirový software nebo programy Požadavek 6: Vyvíjet a udržovat bezpečné systémy a aplikace Zavedení přísných opatření a kontrol přístupů Požadavek 7: Omezit přístup k datům držitelů karet jen podle oprávněné potřeby Požadavek 8: Identifikovat a autentizovat přístup k systémovým komponentám Požadavek 9: Omezit fyzický přístup k datům držitelů karet strana3
5 Pravidelné monitorování a testování sítí Požadavek 10: Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet Požadavek 11: Pravidelně testovat bezpečnostní systémy a procesy Udržování politiky bezpečnosti informací Požadavek 12: Udržovat politiku zaměřenou na bezpečnost informací pro všechny pracovníky Požadavek A.1: Poskytovatelé sdíleného hostingu musí chránit prostředí dat držitelů karet Příloha B: Náhradní řešení Příloha C: Pracovní tabulka náhradního řešení Příloha D: Segmentace a výběru vzorků provozních objektů/systémových komponent strana4
6 Úvod a přehled Standardu bezpečnosti dat PCI DSS Standard bezpečnosti dat odvětví platebních karet (Payment Card Industry Data Security Standard PCI DSS) byl vyvinut za účelem podpořit a posílit bezpečnost dat držitelů karet, resp. údajů o platební kartě a k usnadnění globálního přijetí jednotných opatření k zabezpečení uvedených dat. Standard PCI DSS poskytuje základní technické a provozní požadavky vytvořené k ochraně dat držitelů karet (kartového účtu). PCI DSS se vztahuje na všechny subjekty podílející se na zpracování platebních karet včetně obchodníků, zpracovatelů (procesorů), acquirerů, vydavatelů a poskytovatelů služeb, a dalších subjektů, které uchovávají, zpracovávají nebo přenášejí data držitelů karet (CHD Cardholder data) a/nebo citlivá autentizační data (SAD Sensitive authentication data). Dále je uveden stručný přehled 12 bezpečnostních požadavků standardu PCI DSS. PCI Standard bezpečnosti dat - přehled Vybudování a udržování bezpečné sítě a systémů Ochrana dat držitelů karet Udržování programu kontroly zranitelnosti Zavedení přísnýchopatření a kontrol přístupů Pravidelné monitorování a testování sítí Udržování politiky bezpečnosti informací Instalovat a udržovat konfiguraci firewallůza účelem ochrany dat držitelů karet Nepoužívat výchozí nastavení od dodavatele pro systémová hesla a jiné bezpečnostní parametry Chránit uchovávaná data držitelů karet Zašifrovat přenos dat držitelů karet po otevřených veřejných sítích Chránit všechny systémy proti malware a pravidelně aktualizovat antivirový software nebo programy Vyvíjet a udržovat bezpečné systémy a aplikace Omezit přístup k datům držitelů karet jen podle oprávněné potřeby Identifikovat a autentizovat přístup k systémovým komponentám Omezit fyzický přístup k datům držitelů karet Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet Pravidelně testovat bezpečnostní systémy a procesy 12. Udržovat politiku zaměřenou na bezpečnost informací pro všechny pracovníky strana5
7 Tento dokument, Požadavky a postupy posouzení bezpečnosti PCI Standardu bezpečnosti dat (PCI Data Security Standard Requirements and Security Assessment Procedures) spojuje 12 požadavků PCI DSS a odpovídající testovací postupy do nástroje revize bezpečnosti. Je navržen pro využití při vyhodnocování shody se standardem PCI DSS jako součást procesu revize subjektu. Následující části manuálu poskytují podrobné zásady a doporučené postupy pro posouzení subjektů, pro přípravu, provedení a zpracování výsledkůvyhodnocenídle standardupci DSS. Požadavky PCI DSS a revizní postupy začínají na straně 21. Standard PCI DSS představuje minimální informace k požadavkům ochrany dat držitelů karet (kartového účtu) a může být rozšířen dodatečnými kontrolami a postupy k dalšímu snížení rizika a takéna základě vyhovění místním, regionálním a kartovým pravidlům a zákonům a regulacím. Navíc legislativní nebo regulatorní požadavky mohou vyžadovat specifickou ochranu osobních údajů nebo jiných datových prvků (například jméno držitele karty). PCI DSS nenahrazuje místní nebo regionální zákony, vládní regulace nebo jiné právní požadavky. Další materiály k PCI DSS Internetové stránky Rady pro bezpečnostní standardy PCI (PCI Security Standards Council, PCI SSC) ( obsahují řadu dalších materiálů k využití subjekty, které se zabývajíposuzováním PCI DSS, včetně: Dokumenty: o PCI DSS Přehled změn od verze 2.0 na 3.0 (PCI DSS Summary of Changes from PCI DSS version 2.0 to 3.0) o o o o PCI DSS Stručný přehled (PCI DSS Quick Reference Guide) PCI DSS a PA-DSS Slovník termínů, zkratek a akronymů (PCI DSS and PA-DSS Glossary of Terms, Abbreviations, and Acronyms) Doplňující informace a návody (Information Supplements and Guidelines) Postup prioritizace k PCI DSS (Prioritized Approach for PCI DSS) o Zprávao shodě (ROC) a instrukce k vyplnění (Report on Compliance (ROC) Reporting Template and Reporting Instructions ) o o Dotazníky pro vlastní vyhodnocení (SAQ), instrukce a návody pro SAQ (Self-assessment Questionnaires (SAQs) and SAQ Instructions and Guidelines) Osvědčení o shodě (AOC) (Attestations of Compliance (AOCs)) Často kladené otázky (Frequently Asked Questions (FAQs)) PCI pro internetové stránky drobných obchodníků (PCI for Small Merchants website) PCI školení a informativní webináře (PCI training courses and informational webinars) Seznam Kvalifikovanýchhodnotitelů bezpečnosti a Schválených poskytovatelů skenů(list of Qualified Security Assessors (QSAs) and Approved Scanning Vendors (ASVs)) Seznam schválených zařízení dle PTS a ověřených platebních aplikací dle PA-DSS (List of PTS approved devices and PA-DSS validated payment applications) strana6
8 Informace o výše uvedených materiálech k PCI DSS jsou k dispozici na Poznámka:Dokument Doplňující informace a návody doplňujeí požadavky PCI DSS a poskytuje další poznatky a doporučení vedoucí k dosažení bezpečnosti dle požadavků PCI DSS - ale nenahrazují, neruší ani nerozšiřují standard PCI DSS ani žádný z jeho požadavků. strana7
9 Aplikace požadavkůstandardu PCI DSS Standard PCI DSS je závazný pro všechny subjekty při zpracování platebních karet včetně obchodníků, zpracovatelů (procesorů), subjektů zajišťujících kartové transakce obchodníkům (acquirerů), vydavatelů platebních karet (issuerů) a poskytovatelů služeb. PCI DSS se vztahuje také na všechny další subjekty, které uchovávají, zpracovávají nebo přenášejí data držitelů karet a/nebo citlivá autentizační data. Data držitele karty a citlivá autentizačních data jsou definována dle následující tabulky: Data držitele karet zahrnují: Citlivá autentizační data Číslo karty (PAN,Primary Account Number) Kompletní data(uložená na magnetickém proužku nebo ekvivalent na čipu) Jméno držitele karty CAV2/CVC2/CVV2/CID Datum ukončení platnosti PINy /PIN bloky Servisní kód Číslo karty (PAN) je určujícím faktorem pro data držitele karet. Pokud se uchovává, zpracovává nebo přenáší jméno držitele karty, servisní kód a/nebo datum ukončení platnosti spolu s číslem karty (PAN), nebo jsou jinak tyto údaje přítomny společně s údaji držitelů karet (CDE Cardholder Data Environment), musejí být chráněny v souladu se všemi příslušnými požadavky PCI DSS. Standardy PCI DSS se vztahují na organizace,, kde údaje o účtu /čísle platební karty (data držitele karty a/nebo citlivá autentizační data) jsou uchovávana, zpracovávana nebo přenášena. Některé požadavky PCI DSS se mohou také vztahovat na organizace, které outsourcovaly své platební operace nebo správu prostředí CDE 1.Organizace, které outsourcovali správu svéhoprostředí CDE nebo platební operace prostřednictvím třetích stran, jsou zodpovědné za zajištění,zdaúdaje o účtu / čísle platební karty jsou třetí stranou chráněny podle příslušných požadavků PCI DSS. Tabulka na následující straně uvádí obecně používané prvky dat držitelů karet a citlivých autentizačních dat, bez ohledu na to, zda je jejich uchovávání povoleno nebo zakázáno, a zda musí být každý datový prvek chráněn. Výčet v této tabulce není vyčerpávající, je však předkládán jako příklad různých typů požadavků uplatňovaných na každý datový prvek. 1 V souladu s programem bezpečnosti dat u jednotlivých platebních společností (VISA, MasterCard, apod.) strana8
10 Datový prvek Ukládání povoleno Znečitelnění uchovávaných dat o kartě podle Požadavku 3.4 Data o účtu (kartovém) Data držitelů karet Citlivá autentizační data 2 Číslo karty (PAN) Ano Ano Jméno držitele karty Ano Ne Servisní kód Ano Ne Datum konce platnosti karty Ano Ne kompletní data z magnetického proužku nebo čipu 3 Ne Podle Požadavku 3.2 nelze uchovávat CAV2/CVC2/CVV2/CID 4 Ne Podle Požadavku 3.2 nelze uchovávat PIN/PINů 5 Ne Podle Požadavku 3.2 nelze uchovávat Požadavky 3.3 a 3.4 standardu PCI DSS se vztahují pouze na číslo karty (PAN). Je-li PAN uchováván s dalšími prvky dat držitele karty, pouze číslo karty musí být učiněno nečitelným podle Požadavku 3.4 standardu PCI DSS. Citlivá autentizační data (SAD) nesmí být po autorizaci uchovávána, a to ani v zašifrovaném tvaru. To platí, i když se číslo karty v prostředí nevyskytuje. Organizace by měly kontaktovat své acquirery nebo přímo jednotlivé platební brandy (kartové společnosti) k získání informace, zda se mohou citlivá autentizační data uchovávat před autorizací, na jak dlouho, a na požadavky týkající se jejich užití a ochrany. 2 Citlivá autentizační datanesmí být po autorizaci uchovávána (dokonce ani v zašifrované formě). 3 Úplná data obsažená na magnetickém proužku, ekvivalent dat uložených na čipu nebo v jiné formě nosiče. 4 Tří-čislicová nebo čtyř-číslicová hodnota vytištěná na přední nebo zadní straně platební karty 5 PIN (osobní idetifikační číslo/personalidentificationnumber) zadané držitelem karty během transakce za přítomnosti karty a/nebo zašifrovaný PIN blokátor obsažený v transakčním záznamu. strana9
11 Vztah mezi PCI DSS a PA-DSS Aplikace standardu PCI DSS pro PA-DSS (PA-DSS - Payment Application DSS, Standard bezpečnosti dat platebních aplikací) Používání aplikace, která je ve shodě se Standardem bezpečnosti dat Platebních aplikací (PA-DSS), ještě samo o sobě nezaručuje, že subjekt je ve shodě s celým standardem PCI DSS, neboť tato aplikace musí být implementována do prostředí, které je ve shodě s požadavky PCI DSS a podle Implementačního průvodce standardu PA-DSS ( PA-DSS Implementation Guide ) poskytnutým dodavatelem platební aplikace. Všechny aplikace, které uchovávají, zpracovávají nebo přenášejí data držitelů karet jsou v rozsahu (scope) pro posouzení dle PCI DSS daného subjektu, včetně aplikací, které byly validovány podle PA-DSS. Posouzení dodržování požadavků PCI DSS by mělo ověřit, zdaplatební aplikace validovaná podle požadavků PA-DSS je náležitě konfigurována a bezpečně implementována podle požadavků PCI DSS. Pokud u platební aplikace dojde k úpravě (customization), bude během posouzení požadavků PCI DSS vyžadován hloubkový přezkum, neboť aplikace již nemusí představovat tu verzi, která byla validována dle požadavkůpa-dss. Požadavky PA-DSS jsou odvozeny z Požadavků a postupů posouzení bezpečnosti PCI DSS ( PCI DSS Requirements and Security Assessment Procedures )(definovaných v tomto dokumentu). Standard PA-DSS popisuje detailně požadavky na platební aplikaci, které musí být splněny tak, aby bylo docíleno shody s požadavky PCI DSS u zákazníka. Bezpečná platební aplikace, implementovaná v prostředí, které je ve shodě s požadavky PCI DSS, bude minimalizovat možné bezpečnostní narušení vedoucí ke kompromitování čísla karty, dat magnetického proužku nebo čipu, a kódů pro ověření karty (CAV2, CID, CVC2, CVV2), PINů a PIN bloků, a také omezí dopad ničivých účinků podvodů plynoucích z takovýchto narušení. PA-DSS Program Guide (Průvodce programem požadavků PA-DSS ) Zda se požadavky PA-DSS vztahují na danou platební aplikaci lze ověřit v manuálu PA-DSS Program Guide (Průvodce programem požadavků PA-DSS ), který je k dispozici na Aplikace standardu PCI DSS pro dodavatele platebních aplikací Požadavky PCI DSS se mohou vztahovat na dodavatele platebních aplikací, pokud dodavatel uchovává, zpracovává nebo přenáší data držitelů karet nebo má přístup k datům držitelů platebních karet u svých zákazníků (například v roli poskytovatele služeb). strana10
12 Rozsah požadavků standardu PCI DSS Bezpečnostní požadavky PCI DSS platí pro všechny systémové komponenty zahrnuté nebo napojené na prostředí dat držitelů karet. Prostředí dat držitelů karet (CDE - Cardholder data environment) sestává z pracovníků, procesů a technologií, které uchovávají, zpracovávají nebo přenášejí data držitelů karet nebo citlivá autentizační data. Systémové kompotnenty obsahují síťová zařízení, servery, počítače a aplikace. Příklady systémových komponent mimo jiné zahrnují: Systémy zajišťující bezpečnostní služby (např. autentizační servery), usnadňující segmentaci (např. vnitřní firewally) nebo mající dopad na bezpečnost prostředí dat držitelů karet (např. rozlišení jmen nebo přesměrovací servery,web redirection servers). Virtualizační komponenty, jako jsou virtuální stroje, virtuální přepínače/routery, virtuální zařízení, virtuální aplikace/pracovní stanice (desktops) a hypervisory (Pozn. překl.: monitory virtuálních strojů) Síťové komponenty včetně,ale nikoli výlučně, např. firewallů, přepínačů, routerů, bezdrátovýchmíst přístupu, síťových zařízení a dalších bezpečnostních zařízení. Servery (různé), mimo jiné pro internet, aplikace, databáze, autentizaci, ovou poštu, proxy, Network Time Protocol( NTP) a Domain Name Server ( DNS). Aplikace zahrnující všechny zakoupené nebo na míru upravené vlastní aplikace, včetně interních a externích aplikací (na přiklad internet). Všechny ostatní komponenty a zařízení umístěná uvnitř nebo napojená na prostředí dat držitelů karet (CDE). Prvním krokem posouzení shody s požadavky standardu PCI DSS je přesné určení rozsahu posuzování. Minimálně jednou ročně a před výročním posouzenímby měl hodnocený subjekt potvrdit správnost rozsahu posouzení dle PCI DSS, a to identifikováním všech míst a toků dat držitelů karet a zajistit, že všechny systémy napojené do prostředí dat držitelů karet nebo při kompromitaci ovlivňující toto prostředí (např. autetizační servery), budou zahrnuty do rozsahu posouzení PCI DSS. Pro potvrzení přesnosti a vhodnosti rozsahu posouzení PCI DSS, proveďte následující kroky: o o o o Posuzovaný subjekt identifikuje a dokumentuje ve svém prostředí výskyt všech dat držitelů karet; ověří, že žádná data držitelů karet se nevyskytují mimo právě definované prostředí dat držitelů karet (cardholder data environment, CDE). Jakmile jsou všechnyvýskyty dat držitelů karet identifikovány a dokumentovány, subjekt ověří, že rozsah PCI DSS je odpovídající (např. výsledkem může být diagram nebo seznam výskytů dat držitelů karet). Subjekt vezme v úvahu jakákoli data držitelů karet nalézající se v rozsahu posouzení PCI DSS a v části prostředí dat držitelů karet. Pokud subjekt identifikuje data, která ještě nejsou zahrnuta do prostředí dat držitelů karet, taková data musí být bezpečně vymazána, migrována (přesunuta) do současně definovaného prostředí dat držitelů karet nebo musí být prostředí dat držitelů karet předefinováno, aby takováto data obsahovalo. Subjekt uchová dokumentaci prokazující, jak byl rozsah PCI DSS určen. Dokumentace bude uchována pro přezkum hodnotitelem a/nebo jako reference pro příští výroční posouzení souladu s požadavky PCI DSS. Při každém posouzení shody s PCI DSS je hodnotitel povinen ověřit, zda rozsah vyhodnocení je správně definován a dokumentován. strana11
13 Segmentace sítě Segmentace sítě, nebo izolace (segmentování), prostředí dat držitelů karet od zbytku sítě subjektu není požadavkem PCI DSS. Nicméně se velmi doporučuje jako metoda, která může omezit: Rozsah posouzení shody s požadavky PCI DSS Náklady na posouzení shody s požadavky PCI DSS Náklady a obtíže spojené s realizací a udržováním kontroly požadavků PCI DSS Rizika pro organizaci (omezením formou konsolidace dat držitelů karet do menšího počtu lépe kontrolovatelných umístění) Bez odpovídající síťové segmentace (někdy označované jako tzv. flat network ) je předmětem posouzení souladu s požadavky PCI DSS celá síť. Síťové segmentace lze dosáhnout pomocí celé řady fyzických nebo logických prostředků, jako jsou správně konfigurované interní síťové firewally, routery se seznamem silných kontrol přístupů nebo pomocí jiných technologií, které omezují přístup k určitému segmentu sítě. Pokud má být systémová komponenta mimo rozsahposouzení PCI DSS, musí být náležitě izolována (segmentována) od prostředí dat držitelů karet, aby v případě kompromitování této komponenty nedošlo k narušení bezpečnosti prostředí dat držitelů karet. Důležitým předpokladem redukce rozsahu prostředí dat držitelů karet je jasné porozumění obchodním potřebám a procesům týkajícím se uchovávání, zpracování nebo přenosu dat držitelů karet. Omezením dat držitelů karet na co nejmenší počet umístění eliminací nadbytečných dat a konsolidací dat nezbytných, může vyžadovat změnu dlouhodobých provozních/obchodních postupů. Vytvoření diagramu toku dat držitelů karet napomůže plnému pochopení toku všech dat držitelů karet a zajistí, že příslušná síťová segmentace bude efektivní z hlediska izolace prostředí dat držitelů karet. Pokud je zavedena síťová segmentace a bude použita ke zmenšení rozsahu posouzení požadavků PCI DSS, musí hodnotitelověřit, zda je segmentace dostatečná ke snížení rozsahuvyhodnocení. Z celkového pohledu adekvátní síťová segmentace odděluje systémy, které uchovávají, zpracovávají nebo přenášejí data držitelů karet od těch, které tyto úkony neprovádějí. Ačkoliv adekvátnost specifické implementace síťové segmentace je velmi rozmanitá a závisí na řadě faktorů, jako jsou konfigurace dané sítě, použité technologie a další možná kontrolní opatření. Příloha D: Segmentace a výběr vzorků zařízení/systémových komponentůposkytuje více informací o dopadu segmentace sítě a výběru vzorků na rozsah posouzení dle požadavků PCI DSS. Bezdrátové technologie Pokud je použita bezdrátová technologie k uchovávání, zpracování nebo přenášení dat držitelů karet (např. POS transakce na prodejním místě, line-busting pozn. překl.: interaktivní nákup v obchodě s pomocí tabletů) nebo pokud je bezdrátová lokální síť (WLAN) součástí dat držitelů karet neboje na ně napojena, platí zde požadavky a testovací postupy standardu PCI DSSpro bezdrátové prostředí a musí být provedeny (např. Požadavky 1.2.3, 2.1.1, a 4.1.1). Před zavedením bezdrátové technologie by měl subjekt důkladně zvážit nezbytnost této technologie ve vztahu k riziku. Zavedení bezdrátových technologií zvažujte pouze pro přenos jiných než citlivých dat. strana12
14 Spolupráce se třetími stranami poskytovateli služeb / Outsourcing U poskytovatelů služeb je vyžadováno podstoupení každoročního vyhodnocení v jejich provozu, musí být provedeno ověření shody s požadavky u všech systémových komponent v prostředí dat držitelů karet. Poskytovatelé služeb nebo obchodníci mohou využít třetí stranu - poskytovatele služeb, která pro ně bude uchovávat, zpracovávat nebo přenášet data držitelů karet nebo bude spravovat komponenty jako např. routery, firewally, databáze, fyzické zabezpečení a/nebo servery. V takovém případě to může mít vliv na bezpečnost prostředí dat držitelů karet. Strany musí jasně identifikovat služby a systémové komponenty, které jsou zahrnuty do rozsahu posouzení požadavků PCI DSS u poskytovatele služeb, specifické požadavky PCI DSS pokryté u poskytovatele služeb a další požadavky, u kterých mají odpovědnost za jejich zařazení do vlastního přezkoumání standardu PCI DSS zákazníci poskytovatele služeb. Například, poskytovatel hostingu má zřetelně definovat, které z jeho IP adres budou skenovány jako součást procesu v jejich čtvrtletnímskenování zranitelnosti, a za které IP adresy má odpovědnost jeho zákazník, aby je zahrnul do svéhovlastního čtvrtletníhoskenování. Poskytovatelé služeb jsou zodpovědní za prokázání souladu s PCI DSS a mohou být požádáni kartovými společnostmi, aby tak učinili. Poskytovatelé služeb by měli kontaktovat svého acquirera a/nebo kartovou společnost, aby určili vhodný způsob ověření shody. Pro třetí strany - poskytovatele služeb se nabízejí dvě možnosti, jak ověřovat shodu: 1) Roční posouzení: Poskytovatelé služeb mohou provést roční posouzení shody s PCI DSS sami a předložit potvrzení svým zákazníkům jako důkaz shody, nebo 2) Posouzení (vícenásobné) na vyžádání: Pokud poskytovatelé služeb nepodstoupí vlastní roční posouzení shody s PCI DSS, budou si muset nechat své služby prověřit na žádost zákazníků a/nebo se účastnit posouzení shody s PCI DSS spolu s každým ze svých zákazníků a výsledky jednotlivýchhodnocení poskytnout příslušnému zákazníkovi(zákazníkům). Pokud třetí strana podstoupí svoje vlastní posouzení shody s PCI DSS měla by poskytnout svým zákazníkům adekvátní důkazy potvrzující, že rozsah posouzení shody s PCI DSS poskytovatele služby pokryl služby vztahující se ke konkrétnímu zákazníkovi a že relevantní požadavky PCI DSS byly přezkoumány a shledány účinnými. Specifický typ důkazů poskytnutý poskytovatelem služeb svým zákazníkům bude záviset na smlouvě uzavřené mezi těmito stranami. Například, poskytnutí osvědčení AOC (Attestation of Compliance, Osvědčení o shodě) a/nebo odpovídající části zprávy poskytovatele služeb ROC (Report on Compliance, Zpráva o shodě) (upravené vzhledem k ochraně důvěrných informací) může poskytnout všechny nebo některé informace. Obchodníci a poskytovatelé služeb musí navíc spravovat a monitorovat shodu s PCI DSS všech přidružených třetích stran poskytovatelů služeb, které mají přístup k datům držitelů karet. Podrobnosti viz Požadavek 12.8 v tomto dokumentu. strana13
15 Doporučené postupy implementace požadavků PCI DSS do běžného provozu K zajištění stálého a náležitého provádění bezpečnostní kontroly měly by být požadavky PCIDSSimplementoványdoběžných provozních procesů (Business-as-usual, BAU) jako součástcelkovébezpečnostní strategiesubjektu. Subjektu to umožníprůběžně sledovatúčinnost svýchbezpečnostních kontrolaudržovat svéprostředí ve shodě spcidssmezijednotlivými vyhodnoceními dle PCIDSS. Příkladytoho, jakzačlenit PCIDSSdoběžných provozních procesů mimo jiné zahrnují: 1. Monitorování řízení zabezpečení jako jsou firewally, systémy detekce průniků / systémy prevence průniků (intrusion-detection systems/intrusion-prevention systems, IDS/IPS),monitorování integrity souborů (file-integrity monitoring, FIM), anti-virové programy (AV), kontrola přístupů, apod. k zajištění jejich efektivní a předpokládané činnosti. 2. Zajištění, že všechna selhání v řízení zabezpečení jsou detekována a je na ně včasně reagováno. Procesy reagování na selhání v řízení zabezpečení by měly zahrnovat: Obnovení řízení zabezpečení Identifikování příčin selhání Identifikace a řešení jakýchkoli bezpečnostních problémů, které zapříčinily selhání řízení zabezpečení Implementace opatření (jako jsou procesní nebo technické kontroly) k prevenci opakování příčin selhání Obnovení monitorování řízení zbezpečení, třeba rozšířeným monitorováním po určité období k ověření efektivního fungování řízení 3. Přezkum změn v prostředí (například při doplnění nových systémů, změnách konfigurace systému nebo sítě) před dokončením změny, a provedením následujících kroků: Určete možný dopad na rozsah PCI DSS (například nové pravidlo firewallu, které povoluje spojení mezi systémem v prostředí dat držitele karet a dalším systémem, může vyvolat zahrnutí dalšího systému nebo sítě do rozsahu PCI DSS). Identifikujte požadavky PCI DSS vztahující se na systémy nebo sítě ovlivněné změnami (například je-li nový systém v rozsahu PCI DSS, bude se muset konfigurovat podle standardů konfigurace systému, včetně FIM (file-integrity monitoring), AV (anti-virus), záplat (patches), auditovatelných záznamů (audit logging), apod., a bude se muset přidat do čtvrtletního plánu skenovánízranitelnosti). Aktualizujte rozsah posouzení dle PCI DSS a implementujte příslušné bezpečnostní kontroly. 4. Změny v organizační struktuře (například sloučení společností nebo akvizice) by měly vést k formálnímu přezkumu jejich vlivu na rozsah posouzení a požadavky PCI DSS. 5. Provádění pravidelných přezkumů a komunikace k potvrzení skutečnosti, že požadavky PCI DSS jsou stále účinné a pracovníci dodržují bezpečné postupy. Pravidelné prověrky by měly zahrnovat všechna zařízení a místa, včetně prodejních míst,datových center, apod., a zahrnovat prověrku systémových komponent (nebo vzorků systémových komponent), aby se ověřilo, že požadavky PCI DSS jsou stále účinné například byly uplatněny konfigurační standardy, záplaty a antivirové programy jsou aktuální, auditovatelné záznamy (audit logs) byl prověřeny, apod. Frekvence pravidelných přezkumů by měla být určena subjektem, na základě velikosti a komplexnosti jeho prostředí. Tyto přezkumy také mohou ověřit, zda je udržována příslušná evidence například auditovatelné logy, zprávy o skenovánízranitelnosti, prověrky firewallů, apod. a posloužit k usnadnění přípravy subjektu na dalšívyhodnoceníshody. strana14
16 6. Přezkum hardwarových a softwarových technologií by měl proběhnout nejméně jednou ročně, aby se ověřilo, že jsou i nadále podporovány dodavatelem a vyhovují bezpečnostním požadavkům subjektu, včetně PCI DSS. Pokud se zjistí, že technologie nejsou nadále dodavatelem podporovány nebo již nevyhovují bezpečnostním požadavkům subjektu, subjekt musí připravit plán nápravy, a to podle potřeby včetně výměny technologie. Kromě výše uvedených postupů může organizace zvážit oddělení povinností pracovníků s bezpečnostními funkcemi, takže bezpečnostní a/nebo auditorské funkce jsou odděleny od funkcí provozních. Napříkladv prostředí, kdy jeden pracovník vykonává vícenásobné role (na přiklad administrátorské a bezpečnostní operace) povinnosti mohou být přiřazeny takovým způsobem, aby nikdo neměl celkovou odpovědnost (end-toend) za procesy bez nezávislé kontroly. Například odpovědnost za konfiguraci a odpovědnost za schvalování změn by měly být přiřazeny různým osobám. Poznámka: Tyto osvědčené postupy pro implementaci PCI DSS do běžných provozníchprocesů jsou poskytnuty pouze jako doporučení a vysvětlení a nenahrazují aninerozšiřují požadavky PCI DSS. strana15
17 Pro hodnotitele: Výběr vzorků provozních zařízení/systémových komponent Výběr vzorků (sampling) hodnotitelům (assessors)usnadníposouzení u velkého počtu provozních zařízení a/nebo systémových komponent. I když jeprohodnotitele přijatelnévybrat vzorky provozních zařízení/systémových komponentjako součást jejichpřezkumu shodypcidss u subjektu, pro subjekt není přijatelnéaplikovat požadavkypcidsspouze navzorekjejichprostředí(například požadavkyna čtvrtletnískenovánízranitelnostiplatí provšechny komponentysystému). Stejně taknení přijatelnéprohodnotitele přezkoumatpouzevzorekpožadavkůstandardu PCIDSS. Vzhledem k celkovémurozsahu a složitostiposuzovaného prostředí, můžehodnotitel nezávisle zvolitreprezentativní vzorkyprovozních zařízení/ systémových komponents cílem posouditsoulad subjektu s požadavkypcidss. Tyto vzorky musí býtdefinovány nejprvepro provozníobjekt apak pro systémové komponentyv rámci každéhovybraného provozního zařízení. Vzorkymusíbýtreprezentativnímvýběremze všechdruhů a umístění provozních zařízení, stejně jako ze všechdruhůsystémovýchkomponentv rámci vybraných provozních objektů. Vzorkymusí být dostatečněrozsáhlé, abyposkytlyhodnotiteli jistotu, že kontrolní opatření jsou implementována podle očekávání. Příklady provozních zařízenímimo jiné zahrnují kanceláře subjektu, obchody, sklady, umístění frančíz, zpracovávací zařízení, datová centra a další typy zařízení v různých lokalitách. Vzorky by měly zahrnovat systémové komponenty za každé vybraný provoznízařízení. Například pro každé vybrané provozní zařízení je třeba uvažovat různé operační systémy, funkce a aplikace, které se nacházejí v prověřované oblasti. Například hodnotitel můžedefinovat v rámci provozního zařízenívzorek, který zahrne servery Sun provozující software Apache, servery Windows provozující databázi Oracle, systémy hlavních počítačů provozující historické (legacy) aplikace pro zpracování karet, servery přenosu dat provozující HP-UX a Linux servery provozující MySQL. Pokud jsou všechny aplikace provozovány pod jedinou verzí operačního systému (například Windows 7 nebo Solaris), vzorek by měl zahrnovat škálu aplikací (například databázové servery, webové servery, servery přenosu dat). Při nezávislém výběru vzorků provozníchobjektů/ systémových komponent by měli hodnotitelé brát v úvahu následující: Pokud jsou uplatňovány standardní, centralizované bezpečnostní a provozní procesy a kontroly požadavků PCI DSS, které zajišťují důslednost a kterými se každé provozní zařízení / systémová komponenta musí řídit, může být vzorek menší než je nezbytné pro případ, kdy nejsou uplatňovány žádné standardní procesy / kontroly. Vzorek musí být dostatečně rozsáhlý, aby poskytnul hodnotiteli postačující ujištění, že je každé provozní zařízení/ systémová komponenta konfigurována podle standardního procesu. Hodnotitel musí ověřit, zdastandardizované, centralizované kontroly jsou implementovány a pracují efektivně. Pokud existuje a je uplatňován více než jeden typ standardního bezpečnostního a/nebo provozního procesu (například u různých typů provozních zařízení/ systémových komponent), musí být vzorek dostatečně rozsáhlý, aby zahrnoval provozní zařízení/systémové komponenty zajišťované jednotlivými typy procesu. Pokud nejsou zavedeny žádné standardní procesy a kontroly požadavků standardu PCI DSS a každé provozní zařízení/ systémová komponenta je řízena nestandardními procesy, musí být vzorek dostatečně rozsáhlý, aby se hodnotitel ujistil, že každéprovozní zařízení/ systémová komponenta má přiměřeně implementovány požadavky PCI DSS. strana16
18 Vzorky systémových komponent musí zahrnovat každý používaný typ a kombinaci. Například je-li vzorkována aplikace, vzorek musí zahrnovat všechny verze a platformy pro každý typ aplikace. Pro každé využití výběru vzorků, hodnotitel musí: Dokumentovat důvody rozhodnutí pro výběr techniky a velikost vzorku, Dokumentovat a ověřit standardizované procesy dle PCI DSS a kontroly použité k určení velikosti vzorku, a Vysvětlit jaká je vypovídající hodnota vzorkua jeho reprezentativnost vzhledem k celkovému množství. Hodnotitelmusí zdůvodnit výběr vzorků při každém vyhodnocení. Má-li se použít metoda výběruvzorků, pak se musí pro každéposouzení použít odlišné vzorky pro provozní zařízenía systémové komponenty. Další informace viz také: Dodatek D: Segmentace a výběr vzorků provozních zařízení/ systémových komponent. Kontrola náhradních řešení Každoročně musí být každá kontrola náhradního řešení(compensating Control) dokumentována, revidována a ověřena hodnotitelem a zahrnuta do předložené Zprávy o shodě (Report on Compliance, ROC), podle Přílohy B: Kontrola náhradních řešení a Přílohy C: Výkaz kontroly náhradních řešení. Pro každou kontrolu náhradního řešení musí být vyplněnpracovní tabulka náhradního řešení/compensating Controls Worksheet(Příloha C:). Navíc by výsledky kontroly měly být dokumentovány ve Zprávě o shodě, ROC, v odpovídající sekci požadavků PCI DSS. Další podrobnosti o kontrole náhradních řešení viz výše uvedené Přílohy B a C. strana17
19 Pokyny a obsah dokumentu Zpráva o shodě Pokyny ke Zprávě o shodě (Report on Compliance, ROC) a její obsah je nyní popsán v šabloně pro PCI DSS ROC (PCI DSS ROC Reporting Template). Šablona pro PCI DSS ROC musí být použita jako šablona pro vytvoření Zprávy o shodě, ROC. Hodnocený subjekt by měl při tvorbě zprávy dodržovat požadavky každé kartové společnosti (VISA, MasterCard atp.), aby zajistil, že každá kartová společnost uzná status shody daného subjektu. Kontaktujte jednotlivé kartové společnosti nebo acquirera za účelem zjištění požadavků a pokynů. Postup vyhodnocení požadavků PCI DSS 1. Potvrďte rozsah posouzenípci DSS. 2. Proveďte posouzení PCI DSS v prostředí, pro každé prostředí uplatněte testovacích postupy. 3. Dokončete příslušnou zprávu o posouzení(tj. Dotazník vlastního hodnocení, Self-AssessmentQuestionnaire (SAQ) nebo Zprávu o shodě, Report on Compliance (ROC)), včetně dokumentace všech kontrol náhradních řešení, podle příslušných vysvětlení a instrukcí PCI. 4. Dokončete Osvědčení o shodě (AttestationofCompliance) pro poskytovatele služeb nebo obchodníky v celé šíři. Osvědčení o shodě je dostupné na internetových stránkách PCI SSC. 5. Předložte dotazníky SAQ nebozprávu o shodě (ROC) a Osvědčení o shodě, spolu s dalšími vyžadovanými dokumenty jako jsou ASV skenovací zprávy svému acquirerovi (za obchodníky) nebo kartové společnosti nebo jinému vyžadujícímu subjektu (za poskytovatele služeb). 6. V případě potřeby proveďte nápravu všech požadavků, které nebyly v průběhu posouzení v souladu a poskytněte aktualizovanou zprávu strana18
20 Podrobné požadavky a postupy posouzení bezpečnosti PCI DSS Pro požadavky a postupyposouzení bezpečnostipci DSS jsou záhlaví jednotlivých sloupců tabulky definována následovně: PCI DSS Požadavky Tento sloupec definuje požadavky Standardu bezpečnosti dat (DSS); shoda s PCI DSS bude validována (ověřena) vůči těmto požadavkům. Testovací Procedury V tomto sloupci jsou uvedeny procesy, které musí hodnotitel provést, aby ověřil, zda požadavkům PCI DSS bylo vyhověno a jsou účinné. Vysvětlení Tento sloupec popisuje záměr nebo bezpečnostní hledisko v pozadí každého požadavku PCI DSS. Tento sloupec obsahuje pouze vysvětlení a jeho smyslem je umožnit porozumění záměru každého požadavku. Vysvětlení v tomto sloupci nenahrazuje ani nerozšiřuje požadavky PCI DSS a testovací postupy. Poznámka: Požadavky PCI DSS nejsou pokládány za splněné, pokud nebyly implementovány kontroly nebo se jejich dokončení plánuje někdy v budoucnosti. Po té, co určité otevřené nebo nesplněné položky jsou subjektem vyřešeny, hodnotitel pak znovu vyhodnotí, zda náprava je úplná a že všem požadavkům bylo vyhověno. Další zdroje informací k dokumentování vyhodnocenípci DSS jsou na internetových stránkách PCI SSC: Ohledně instrukcí k vyhotovení Zprávy o shodě (ROC), odkazujeme na Šablonu pro PCI DSS ROC (PCI DSS ROC Reporting Template). Ohledně instrukcí k vyhotovení Dotazníku pro vlastní vyhodnocení(saq), odkazujeme napci DSS Instrukce a návody pro SAQ(PCI DSS SAQ Instructions and Guidelines). Ohledně instrukcí k předložení Zprávy o ověření shody s PCI DSS, odkazujeme na Osvědčení o shodě s PCI DSS (PCI DSS Attestations of Compliance). strana19
21 Vybudování a udržování bezpečné sítě a systémů Požadavek 1: Instalovat a udržovat konfiguraci firewallů za účelem ochrany dat držitelů karet Firewally jsou zařízení, která kontrolují autorizované datové přenosy mezi firemní sítí (interní) a nedůvěryhodnými sítěmi (externími), i přenosy do/z citlivých oblastí v rámci důvěryhodné interní sítě subjektu. Příkladem citlivé oblasti v rámci důvěryhodné sítě subjektu je prostředí dat držitelů karet. Firewall prověřuje veškeré síťové přenosy a blokuje ty, které nesplňují stanovená bezpečnostní kritéria. Všechny systémy musí být chráněny před neautorizovaným přístupem z nedůvěryhodných sítí, ať již jde o přístupy do systému prostřednictvím internetu (jako je e-commerce), přístup zaměstnanců k internetu prostřednictvímwebového prohlížeče na stolních počítačích, přístupy zaměstnanců k ům, vyhrazená spojení typu business to business, přístupy prostřednictvím bezdrátových sítí nebo jiných zdrojů. Často zdánlivě bezvýznamné cesty z/do nedůvěryhodných sítí mohou představovat nechráněné cesty do klíčových systémů. Firewally jsou klíčovým ochranným mechanismem jakékoliv počítačové sítě. Jiné systémové komponenty mohou vykonávat funkčnost firewallu, za předpokladu, že vyhovují minimálním požadavkům na firewally definovaných v Požadavku 1. Pokud jsou jiné systémové komponenty použity v rámci prostředí dat držitelů karet k zajišťování funkčnosti firewallu, pak musí být zahrnuty v rozsahu a vyhodnocování dle Požadavku 1. PCI DSS Požadavky Testovací Procedury Vysvětlení 1.1Zavést konfigurační standardy pro firewally a routery, které zahrnují následující kroky: 1.1 Přezkoumat konfigurační standardy firewallů a routerů a další dokumentaci specifikovanou níže a ověřit, že standardy jsou kompletní a implementovány dle následujících kroků: Firewally a routery jsou klíčové komponenty architektury, které řídí vstup do sítě a výstup ze sítě. Jsou to softwarová nebo hardwarová zařízení, která blokují nežádoucí přístup a spravují autorizovaný přístup do sítě a výstup ze sítě. Konfigurační pravidla a postupy pomohou zajistit, aby první obrannálinie organizace (kterou firewall představuje) zůstala při ochraně jeho dat odolná Formální proces schvalování a testování všech síťových připojení a změny konfigurací firewallů a routerů a Prověřit dokumentované postupy a ověřit, zda existuje formální proces pro testování a schválení všech bodů: Síťová spojení Změny v konfiguraci firewallu a routeru b Dotázat se odpovědného pracovníka ohledně vzorku síťového spojení a prověřit záznamy, zda síťová spojení byla schválena a otestována. Dokumentovaný a implementovaný proces pro schvalování a testování všech spojení a změn firewallů a routerů napomůže při prevenci bezpečnostních problémů způsobených nesprávnou konfigurací sítě, routeru nebo firewallu. Bez formálního odsouhlasení a testování změn by nemusely být aktualizovány záznamy o změnách, což by mohlo vést k rozporuplnosti mezi strana20
22 1.1.1.c Identifikovat vzorek aktuálních změn provedených u konfigurace firewallu a routeru, porovnat jej se záznamem změny a dotázat se odpovědného pracovníka, zda změny byly schváleny a ověřeny. dokumentací sítě a skutečnou konfigurací Aktuální diagram sítě identifikující všechna spojení mezi prostředím dat držitelů karet a dalšími sítěmi, včetně sítí bezdrátových Aktuální diagram zobrazující všechny toky dat držitelů karet napříč systémy a sítěmi Požadavky na firewall na každém internetovém připojení a mezi každou demilitarizovanou zónou (DMZ) a zónou vnitřní sítě aPrověřit diagram(-y) a prohlédnout konfigurace sítě a ověřit, zda existuje aktuální diagram sítě a zda dokumentuje všechna spojení na data držitelů karet, včetně všech bezdrátových sítí bDotázat se odpovědných pracovníků a ověřit, zda diagramy jsou udržovány aktuální Zkontrolovat diagram toku dat a dotázat se pracovníků, zda diagram: znázorňuje všechny toky dat držitelů karet napříč systémy a sítěmi, je udržován aktuální a aktualizuje se podle potřeby při změnách prostředí aZkontrolovat konfigurační standardy firewallu a ověřit, zda zahrnují požadavky na firewall na každém internetovém připojení a mezi každou demilitarizovanou zónou (DMZ) a zónou vnitřní sítě bOvěřit, zda aktuální diagram sítě je konzistentní s konfiguračními standardy firewallu c Prověřit konfigurace sítí a ověřit, že firewall je umístěn u každého internetového připojení a mezi každou demilitarizovanou zónou (DMZ) a zónou vnitřní sítě, a to podle dokumentovaných konfiguračních standardů a diagramů sítě. Diagramy sítí popisují, jak jsou sítě konfigurovány a identifikují umístění všech síťových zařízeních. Bez aktuálních síťových diagramů by zařízení mohla být přehlédnuta a nevědomky vynechána z bezpečnostních kontrol implementovaných pro PCI DSS a ponechána zranitelná vůči zneužití. Diagramy toků dat držitelů karet identifikují umístění všech dat držitelů karet, která se uchovávají, zpracovávají nebo přenášejí v rámci sítě. Diagramy sítě a toku dat držitelů karet napomáhají organizaci porozumět a udržovat přehled o rozsahu jejího prostředí, a to znázorněním toků dat držitelů karet napříč sítěmi a mezi jednotlivými systémy a zařízeními. Použití firewallu na každém internetovém připojení do (a ze) sítě a mezi každou demilitarizovanou zónou (DMZ) a vnitřní sítí umožňuje organizaci monitorovat a řídit přístup a minimalizovat možnost, aby zlovolný jedinec získal přístup do vnitřní sítě prostřednictvím nechráněného připojení. strana21
23 1.1.5Popis skupin, rolí a odpovědností pro správu síťových komponent aOvěřit, zda konfigurační standardy firewallů a routerů zahrnují popis skupin, rolí a odpovědností pro správu komponent sítě bDotázat se pracovníků zodpovědných za správu komponent sítě, a potvrdit, že role a odpovědnosti jsou přiřazeny v souladu s dokumentací. Tento popis rolí a přidělení odpovědnosti zajišťuje, že pracovníci si jsou vědomi, kdo je odpovědný za bezpečnost všech komponent sítě a že ti, kdo jsou pověřeni správou komponent si jsou vědomi své odpovědnosti. Pokud nejsou role a odpovědnosti formálně přiděleny, zařízení by mohla zůstat nespravovaná Dokumentování a provozní zdůvodnění používání veškerých povolených služeb, protokolů a portů, včetně dokumentování bezpečnostních charakteristik implementovaných pro protokoly považované za nezabezpečené. Příklady nezabezpečených služeb, protokolů a portů jsou mimo jiné FTP, Telnet, POP3, IMAP, a SNMP v1 a v a Ověřit, zda konfigurační standardy firewallů a routerů zahrnují dokumentovaný seznam všech služeb, protokolů a portů včetně provozního zdůvodnění každého z nich například hypertextový přenosový protokol (HTTP, hypertext transfer protocol) a protokoly Secure Sockets Layer (SSL), Secure Shell (SSH) a Virtual Private Network (VPN) b Identifikovat nezabezpečené přípustné služby, protokoly a porty a ověřit, zda jsou bezpečnostní prvky dokumentovány pro každou službu cPrověřit firewallové a routerové konfigurace, a ověřit, zda dokumentované bezpečnostní prvky jsou implementovány pro každou nezabezpečenou službu, protokol a port. K napadení často dochází vzhledem k nepoužívaným nebo nezabezpečeným službám a portům a četné organizace nezáplatují zranitelná místa svých služeb, protokolů a portů, které nepoužívají (i když zranitelná místa jsou stále přístupná). Srozumitelným definováním a dokumentováním služeb, protokolů a portů, které jsou nezbytné pro jejich činnost mohou organizace zajistit, že všechny ostatní služby jsou deaktivovány nebo odstraněny. Pokud jsou nezabezpečené služby, protokoly a porty nezbytné pro zabezpečení provozu, mělo by být riziku spojenému s těmito protokoly jasně porozuměno a organizací akceptováno. Použití protokolů by mělo být zdůvodněné a měly by být dokumentovány a implementovány bezpečnostní prvky umožňující těmto protokolům bezpečné použití. Pokud tyto nezabezpečené služby, protokoly a porty nejsou nezbytné pro zabezpečení provozu, měly by být deaktivovány nebo odstraněny. strana22
24 1.1.7 Požadavek revize firewallových a routerových sad nejméně každých šest měsíců a Ověřit, zda konfigurační standardy firewallů a routerů vyžadují přezkum souborů firewallových a routerových pravidel nejméně každých šest měsíců bZkontrolovat dokumentaci vztahující se k ověření souborů pravidel a dotažte se odpovědných pracovníků, zda jsou soubory firewallových a routerových pravidel přezkoumány nejméně každých šest měsíců. Tento přezkum dává organizaci příležitost, aby nejméně každého půl roku odstranila jakákoli nepotřebná, zastaralá nebo nesprávná pravidla a zajistila, že všechna pravidla povolují jen autorizované služby a porty, které jsou v souladu s dokumentovanými provozními důvody. Organizace s vysokým výskytem změn v souborech firewallových a routerových pravidel mohou zvážit provádění těchto přezkumů ještě častěji, aby soubory pravidel odpovídalyprovozním potřebám. 1.2Vytvořit firewallovou a routerovou konfiguraci, která omezuje připojení mezi nedůvěryhodnými sítěmi a jakýmikoliv systémovými komponentami v prostředí dat držitelů karet. Poznámka: Nedůvěryhodná síť je jakákoliv síť, která je externí pro sítě náležející posuzovanémusubjektu a/nebo která se vymyká subjektu z možností kontroly nebo řízení Omezit příchozí i odchozí přenosy na ty, které jsou nezbytné pro prostředí dat držitelů karet, a zejména odmítnout všechny ostatní přenosy. 1.2Prověřit konfigurace firewallů a routerů a provést následující kroky k ověření, zda připojení jsou omezena mezi nedůvěryhodnými sítěmi a systémovými komponentami v prostředí dat držitelů karet: a Zkontrolovat konfigurační standardy firewallů a routerů a ověřit, zda identifikují příchozí i odchozí přenosy nezbytné pro prostředí dat držitelů karet bZkontrolovat konfigurační standardy firewallů a routerů a ověřit, zda omezují příchozí i odchozí přenosy pouze na ty, které jsou nezbytné pro prostředí dat držitelů karet c Zkontrolovat konfigurační standardy firewallů a routerů a ověřit, zda ostatní příchozí i odchozí přenosy jsou odmítnuty; například s použitím příkazu zakázat všechny nebo implicitním odmítnutím po příkazu povolit. Je nezbytné, aby se instalovala ochrana sítě, mezi interní, důvěryhodnou sítí a jakoukoli nedůvěryhodnou sítí, která je externí a/nebo která se vymyká subjektu z možností kontroly nebo řízení. Jestliže není toto opatření správně implementováno, znamená to, že subjektu bude hrozit neautorizovaný přístup ze strany zlovolných jedinců nebo softwaru. Aby funkčnost firewallu byla účinná, musí být správně konfigurován, aby řídil a/nebo omezovalpřenosy dovnitř nebo ven ze sítě subjektu. Tento požadavek je zacílen na znemožnění přístupu zlovolným jedincům do sítě subjektu prostřednictvím neautorizovaných IP adres nebo použitím služeb, protokolů nebo portů neautorizovaným způsobem (například odesláním dat získaných z vaší sítě ven na nedůvěryhodný server.) Implementování pravidla, které odmítne jakýkoli provoz dovnitř i ven, který není potřebný pro specifický účel, zabrání vzniku zranitelností, které by umožnily nezamýšlené nebo potenciálně škodlivé komunikace dovnitř nebo ven. strana23
25 1.2.2 Zabezpečit a synchronizovat konfigurační soubory routerů a Zkontrolujte konfigurační standardy routerů a ověřte, zda jsou zabezpečeny před neautorizovaným přístupem b Zkontrolovat konfigurace routerů a ověřit, zda jsou synchronizovány například běžící (nebo aktivní) konfigurace se shoduje s konfigurací při startu (start-up konfigurace, používaná při bootování, spouštění zařízení). Pokud spuštěné (nebo aktivní) konfigurační soubory routeru obsahují aktuální, bezpečné nastavení, start-up soubory (které jsou používány při re-startu nebo bootování routerů) musí být aktualizovány se stejným bezpečnostním nastavením, aby se zajistilo použití těchto nastavení při spuštění start-up konfigurace. Vzhledem k tomu, že se konfigurační soubory start-upu spouštějí jen příležitostně, jsou tyto často opomíjeny a nejsou aktualizovány. Když se router restartuje a zavádí se konfigurace startupu, která nebyla aktualizována se stejným bezpečnostním nastavením jako je pro spuštěnou konfiguraci, může to vyvolat oslabení pravidel, cožmůže umožnit zlovolným jedincům přístup do sítě Instalovat perimetrové (hraniční) firewally mezi všemi bezdrátovými sítěmi aprostředím dat držitelů karet a konfigurovat tyto firewally tak, aby odmítaly nebo povolovaly (pokud jsou takové přenosy nutné z provozních důvodů) pouzeautorizované přenosy mezi bezdrátovým prostředíma prostředím dat držitelů karet a Zkontrolovat konfigurace firewallů a routerů a ověřit existenci perimetrových firewallů mezi všemi bezdrátovými sítěmi a prostředím dat držitelů karet b Ověřit, zdafirewally odmítají nebo povolují (pokud jsou takové přenosy nutné z provozních důvodů) pouze autorizované přenosy mezi bezdrátovým prostředím a prostředím dat držitelů karet. Známá (nebo neznámá) implementace a zneužívání bezdrátové technologie v rámci sítě je obvyklou cestou k podvodnému získání přístupu k síti a k datům držitelů karet. Jestliže je instalováno nějaké bezdrátové zařízení nebo síť bez vědomí subjektu, mohl by zlovolný jedinec snadno a nepozorovaně proniknout do sítě. Jestliže firewally neomezují přístup z bezdrátových sítí do prostředí platebních karet, podvodníci, kteří získali neautorizovaný přístup do bezdrátové sítě, se mohou snadno připojit do prostředí platebních karet a proniknout k informacím o účtech. Firewally musí být instalovány mezi všemi bezdrátovými síti a prostředí platebních karet, bez ohledu na účel prostředí, ke kterému je bezdrátová síť připojena. To může zahrnovat mimo jiné korporátní sítě, obchodní prodejny, hostitelské sítě, skladové prostředí, apod. strana24
Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.:
BELLPRO, s.r.o. nezávislý konzultant pro problematiku akceptace platebních karet včetně jejích bezpečnostních aspektů spolupracující se Sdružením pro bankovní karty (sdružuje zejména všechny banky zajišťující
VíceWINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA
WINCOR NIXDORF Certifikovaný PCI DSS auditor - QSA Wincor Nixdorf s.r.o. Evropská 33a 160 00 Praha 6 Tel.: +420 233 034 129 Email: pci@wincor-nixdorf.cz PCI DSS jako norma pro bezpečnost v odvětví platebních
VíceLOGmanager a dodržování požadavků bezpečnostních standardů PCI DSS v3.2
LOGmanager a dodržování požadavků bezpečnostních standardů PCI DSS v3.2 Whitepaper ilustrující, jak nasazení platformy LOGmanager napomáhá zajistit dodržování požadavků standardu PCI DSS Mnoho organizací
VícePříklad druhý, Politika používání mobilních PC (mpc)
Příklad druhý, Jak chránit důvěrná data na mpc opouštějícím síť E-mail, lokálně uchovávaná pracovní data uživatele,,,cached data (prohlížeče), data v síti dostupná z vnějšku sítě, lokálně uchovávaná jména
VíceOrganizační opatření, řízení přístupu k informacím
Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceNávod k požadavkům ISO 9001:2015 na dokumentované informace
International Organization for Standardization BIBC II, Chemin de Blandonnet 8, CP 401, 1214 Vernier, Geneva, Switzerland Tel: +41 22 749 01 11, Web: www.iso.org Návod k požadavkům ISO 9001:2015 na dokumentované
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceŘízení rizik podle PCI DSS Prioritized Approach. Jakub Morávek Wincor Nixdorf
Řízení rizik podle PCI DSS Prioritized Approach Jakub Morávek Wincor Nixdorf Obsah přednášky Co je PCI DSS a jak řídí rizika? Jaké nástroje PCI DSS používá a nabízí? Jak můžeme PCI DSS využít i mimo platební
VíceSSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
VíceÚvod - Podniková informační bezpečnost PS1-2
VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VíceObrana sítě - základní principy
Obrana sítě - základní principy 6.6.2016 Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava Agenda Základní úvod, přehled designu sítí, technických prostředků a možností zabezpečení. Zaměřeno na nejčastější
VícePOLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry
POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější
VíceTechnická a organizační opatření pro ochranu údajů
Technická a organizační opatření pro ochranu údajů V této příloze najdete více podrobností o tom, jak zabezpečujeme data. verze 1810 Adresa Bisnode Česká republika, a. s. Siemensova 2717/4 155 00 Praha
VíceOBCHODNÍ SLUŽBY SPOLEČNOSTI WORLDLINE. Technická a organizační opatření a Seznam Oprávněných subdodavatelů
OBCHODNÍ SLUŽBY SPOLEČNOSTI WORLDLINE Technická a organizační opatření a Seznam Oprávněných subdodavatelů 1. ÚČEL TOHOTO DOKUMENTU Tento dokument obsahuje seznam technických a organizačních opatření, která
VíceISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013
ISMS Případová studie Síťová bezpečnost V Brně dne 7. a 14. listopadu 2013 Zadání - infrastruktura Modelová firma je výrobní firma, která síťové zabezpečení doposud nijak zásadně neřešila, a do jisté míry
Vícewebmarketin Základní moduly aplikace
webmarketin Aplikace webmarketing je komplexní online nástroj určený pro podporu a řízení marketingu a CRM ve společnosti. Její součástí jsou webové ankety, SMS kampaně nebo newslettery, které lze spravovat
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceNávrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí
Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí 24.5.2012 ing. Bohuslav Poduška, CIA na úvod - sjednocení názvosloví Internal Control různé překlady vnitřní
VíceISA 402 ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ
ZVAŽOVANÉ SKUTEČNOSTI TÝKAJÍCÍ SE SUBJEKTŮ VYUŽÍVAJÍCÍCH SLUŽEB SERVISNÍCH ORGANIZACÍ (Platí pro audity účetních závěrek sestavených za období počínající 15. prosince 2004 nebo po tomto datu.)* O B S A
VíceBezpečnostní politika společnosti synlab czech s.r.o.
www.synlab.cz synlab czech s.r.o. Sokolovská 100/94 Karlín 186 00 Praha 8 Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 12. dubna 2017 Datum vypracování: 7. dubna 2017 Datum
Více1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu.
1 Slovník pojmů Zákaznická data jsou data, která mají být zahrnuta do záložní kopie vytvořené pomocí Služby v závislosti na zálohovacím schématu. Překročení objednané kapacity pro zálohu (Backup Burst)
VíceDokumentace pro plánování a realizaci managementu jakosti dle požadavků
Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Požadavek norem ISO 9001 ISO/TS 16949 : 4.2 na dokumentaci Dokumentace systému managementu jakosti musí zahrnovat: a) dokumentované
VícePOMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1
POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.
VíceZVLÁŠTNÍ PODMÍNKY ŘEŠENÍ GROUPWARE (EXCHANGE) NABÍDKA INDIVIDUAL Poslední verze ze dne 13. června 2011
ZVLÁŠTNÍ PODMÍNKY ŘEŠENÍ GROUPWARE (EXCHANGE) NABÍDKA INDIVIDUAL Poslední verze ze dne 13. června 2011 DEFINICE: Aktivace Služby: Aktivace Služby se provádí po potvrzení platby Zákazníka a vyznačuje se
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VíceProvozní pokyny Aplikační stránky
Před použitím tohoto zařízení si důkladně přečtěte tento manuál a mějte jej po ruce pro budoucí použití. Provozní pokyny Aplikační stránky OBSAH Jak číst tuto příručku...2 Použité symboly...2 Vyloučení
VíceASV testy - podmínky služby
ASV testy - podmínky služby Část I. Podmínky provozu služby Služby QualysGuard Služba QualysGuard Service umožňuje zákazníkovi automatizovat proces řízení bezpečnosti a řízení IT, včetně zjišťování sítí,
VíceZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání.
ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD Verze z 15. 2..2011 Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. Věrnostní schéma: Část rozhraní správy pro zákazníka
VíceCENTRUM ZABEZPEČENÍ VERVE
RKNEAL, inc. Průmyslové řídicí systémy. Kybernetická bezpečnost. Technické služby. OCHRANA FORMOU HLOUBKOVÉ A DŮKLADNÉ OCHRANY CENTRUM ZABEZPEČENÍ VERVE Konsolidace prvotřídních technologií do jediné správní
VíceNávrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení
Návrh II. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Státní úřad pro jadernou bezpečnost stanoví podle 236 zákona č..../... Sb., atomový zákon, k provedení 24 odst. 7, 29 odst. 7 a 30 odst. 9:
VíceBezpečnostní aspekty informačních a komunikačních systémů PS2-1
Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis
VíceNení cloud jako cloud, rozhodujte se podle bezpečnosti
Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel
VíceZásady ochrany údajů v evropském regionu
Zásady ochrany údajů v evropském regionu Tyto zásady ochrany údajů v evropském regionu (dále jen Evropské zásady ) tvoří součást Zásad ochrany údajů společnosti Gates Corporation (dále jen Firemní zásady
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VícePoužití programu WinProxy
JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě
VíceBEZPEČNOSTNÍ POLITIKA INFORMACÍ
BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace
VíceRiJ ŘÍZENÍ JAKOSTI L 1 1-2
RiJ ŘÍZENÍ JAKOSTI ML 1-2 Normy řady ISO 9000 0 Úvod 1 Předmět QMS podle ISO 9001 2 Citované normativní dokumenty 3 Termíny a definice 4 Systém managementu kvality 5 Odpovědnost managementu 6 Management
VíceABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:
ABC s.r.o. PŘÍRUČKA EMS Výtisk číslo: Zpracoval: Ověřil: Schválil: Tento dokument je duševním vlastnictvím společnosti ABC s.r.o. Rozmnožování a předávání třetí straně bez souhlasu jejího jednatele není
VícePřehled služeb CMS. Centrální místo služeb (CMS)
Přehled služeb Centrální místo služeb () Katalog služeb informačního systému obsahuje seznam všech služeb poskytovaných prostřednictvím tohoto systému a jejich stručnou charakteristiku. Verze 2.17 Schválil
VíceObecné pokyny k vyřizování stížností pojišťovnami
EIOPA-BoS-12/069 CS Obecné pokyny k vyřizování stížností pojišťovnami 1/7 1. Obecné pokyny Úvod 1. Podle článku 16 nařízení o orgánu EIOPA (European Insurance and Occupational Pensions Authority, Evropského
Více(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému
Strana 5882 Sbírka zákonů č. 453 / 2011 Částka 155 453 VYHLÁŠKA ze dne 21. prosince 2011, kterou se mění vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických
VíceČl. 2 Princip posuzování změn v objektu nebo zařízení změny v řízení bezpečnosti nové poznatky změny v provozu
METODICKÝ POKYN odboru environmentálních rizik Ministerstva životního prostředí pro zpracování zprávy o posouzení bezpečnostní zprávy podle zákona č. 59/2006 Sb., o prevenci závažných havárií Čl. 1 Úvod
VícePŘÍLOHA C Požadavky na Dokumentaci
PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé
Více1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně
Certifikační postup systému managementu (BCMS, ISMS, SMS) sestává z přípravy nabídky a smlouvy, přípravy auditu, provedení auditu 1. stupně a vyhodnocení systémové dokumentace, provedení auditu 2. stupně,
Více1.05 Informační systémy a technologie
Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a
VíceCloud pro utajované informace. OIB BO MV 2012, Karel Šiman
Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti
Více1.05 Informační systémy a technologie
Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 7 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a
VíceMEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU
MEZINÁRODNÍ STANDARDY PRO PROFESNÍ PRAXI INTERNÍHO AUDITU Základní standardy 1000 Účel, pravomoci a odpovědnosti Účel, pravomoci a odpovědnosti interního auditu musí být formálně stanoveny ve statutu interního
VíceEIOPA(BoS(13/164 CS. Obecné pokyny k vyřizování stížností zprostředkovateli pojištění
EIOPA(BoS(13/164 CS Obecné pokyny k vyřizování stížností zprostředkovateli pojištění EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19 info@eiopa.europa.eu
VícePOŽADAVKY NORMY ISO 9001
Kapitola Název Obsah - musí MUSÍ MŮŽE NESMÍ Záznam POČET Dokumentovaný postup Obecné požadavky staus národní normy 1 Předmluva požadavek organizacím, které musí dodržovat evropské směrnice 2 1 0.2 Procesní
VícePB169 Operační systémy a sítě
PB169 Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha Zabezpečení sítě úvod Důvody pro zabezpečení (interní) sítě? Nebezpečí ze strany veřejného Internetu Spyware Malware
VíceBezpečnost webových stránek
Teze k diplomové práci na téma: Bezpečnost webových stránek Vypracoval: Jan Kratina, PEF, INFO, 5.ročník Vedoucí projektu: RNDr. Dagmar Brechlerová Jan Kratina 2005 Téma diplomové práce Bezpečnost webových
VíceZabezpečení v síti IP
Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co
VíceInfrastruktura služby IBM PureApplication Service
IBM Podmínky užívání Podmínky specifické pro nabídku IBM SaaS Infrastruktura služby IBM PureApplication Service Podmínky užívání ("ToU") sestávají z těchto IBM podmínek užívání - Podmínek specifických
VíceSOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)
SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?
VíceDesktop systémy Microsoft Windows
Desktop systémy Microsoft Windows IW1/XMW1 2013/2014 Jan Fiedor, přednášející Peter Solár ifiedor@fit.vutbr.cz, solar@pocitacoveskoleni.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceVíce úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VícePopis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001
Certifikační postup systému managementu dle normy ISO 9001, ISO 14001, ISO TS 29001, OHSAS 18001 nebo ISO 50001 se skládá z následujících fází: příprava nabídky a smlouvy, příprava auditu, provedení auditu
Více[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv
[ 1 ] [ 2 ] VYR-32 Doplněk 11, revize 1 Překlad The Rules Governing Medicinal Products in European Union, EU Guidelines to GMP, Annex 11: Computerised Systems Platnost od 30.6.2011 Právní základ: čl.47
Vícevlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků
Program Aktivity propojuje prvky softwarového a personálního auditu, které jsou zaměřeny na optimalizaci firemních nákladů. Slouží ke zjištění efektivity využívání softwarového a hardwarového vybavení
Více1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3
Obsah: 1. ÚČEL... 3 2. ROZSAH PLATNOSTI... 3 3. POJMY A ZKRATKY... 3 3.1 Audit SMK... 3 3.2 Vedoucí auditor/auditor... 3 3.3 Zpráva z auditu kvality... 3 3.4 Zkratky... 3 4. POPIS... 3 4.1 Plánování auditu...
VíceEXTRAKT z mezinárodní normy
EXTRAKT z mezinárodní normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě ICS: 03.220.01; 35.240.60 CALM Základní přístupy k ochraně osobních dat z informačních
VíceJak na řídící kontrolu v malé příspěvkové organizaci?!
Jak na řídící kontrolu v malé příspěvkové organizaci?! Tento příspěvek si neklade za cíl přesné parafrázování zákona. Jedná se o návod, jak by se při řídící kontrole mohlo postupovat. Čtenářům se nedoporučuje
VíceSkupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)
Technik PC a periferií (kód: 26-023-H) Autorizující orgán: Ministerstvo vnitra Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Týká se povolání: Technik PC a periférií Kvalifikační
VíceBEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI
BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A
VíceAktivní bezpečnost sítě
Aktivní bezpečnost sítě Jindřich Šavel 27/11/2014 NOVICOM s.r.o. 2012 2014 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz, sales@novicom.cz Program prezentace Představení společnosti
VíceCo musí zahrnovat dokumentace systému managementu kvality? 1 / 5
ISO 9000:2005 definuje třídu jako 1) kategorie nebo pořadí dané různým požadavkem na kvalitu produktů, procesů nebo systémů, které mají stejné funkční použití 2) kategorie nebo pořadí dané různým požadavkům
VíceNejbezpečnější prostředí pro vaše data
Když si musíte být jistí Kleos Nejbezpečnější prostředí pro vaše data Zabezpečení je pro Kleos prioritou. Držíme krok s nejvyššími standardy zabezpečení a disponujeme certifikáty dosvědčujícími tuto skutečnost.
VícePraha PROJECT INSTINCT
Atestační středisko Equica Inspekční orgán č. 4045 INSPEKČNÍ ZPRÁVA Protokol o provedené zkoušce ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS Statutární město Přerov Praha 29. 1. 2015 PROJECT INSTINCT Obsah 1. Identifikace
VíceESET NOD32 Antivirus. pro Kerio. Instalace
ESET NOD32 Antivirus pro Kerio Instalace Obsah 1. Úvod...3 2. Podporované verze...3 ESET NOD32 Antivirus pro Kerio Copyright ESET, spol. s r. o. Eset software spol. s r.o. Classic 7 Business Park Jankovcova
VíceSystémové požadavky Xesar
Xesar První kroky Systémové požadavky Xesar Osobní počítač; min. 1,2 GHz nebo vyšší Nejméně 8 GB RAM (u 64bitového systému, z toho 4 GB dostupné pro systém Xesar) 2 hostitelské zařízení USB 2.0 pro kódovací
VíceMetodický pokyn k uvedení registru do produkčního provozu
Metodický pokyn k uvedení registru do produkčního provozu dokumentace Národního registru hrazených zdravotních služeb (NRHZS) autoři: Černek J., Blaha M. verze: 1.0 datum: 15. 1. 2018 Dokument je vytvořen
VíceVYHLÁŠKA. č. 18/2014 Sb., o stanovení podmínek postupu při elektronické dražbě. ze dne 24. ledna 2014
VYHLÁŠKA č. 18/2014 Sb., o stanovení podmínek postupu při elektronické dražbě ze dne 24. ledna 2014 Ministerstvo pro místní rozvoj (dále jen ministerstvo ) stanoví podle 16a odst.5 zákona č.26/2000 Sb.,
VíceCentrální místo služeb (CMS)
Přehled služeb Přehled služeb Centrální místo služeb () Katalog služeb informačního systému obsahuje seznam všech služeb poskytovaných prostřednictvím tohoto systému a jejich stručnou charakteristiku.
VíceISA 610 POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU. (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu)
POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu) O B S A H Odstavec Úvod... 1-4 Rozsah a cíle interního auditu..
VíceIdentifikátor materiálu: ICT-3-03
Identifikátor materiálu: ICT-3-03 Předmět Téma sady Informační a komunikační technologie Téma materiálu TCP/IP Autor Ing. Bohuslav Nepovím Anotace Student si procvičí / osvojí architekturu TCP/IP. Druh
VíceSystém managementu jakosti ISO 9001
Systém managementu jakosti ISO 9001 Požadavky na QMS Organizace potřebují prokázat: schopnost trvale poskytovat produkt produkt splňuje požadavky zákazníka a příslušné předpisy zvyšování spokojenosti zákazníka
VíceSemestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control
VYSOKÁ ŠKOLA EKONOMICKÁ V PRAZE náměstí W. Churchilla 4, 130 67 Praha3 Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control Jméno a příjmení: Michal Hendrich Školní
VíceGDPR Obecný metodický pokyn pro školství
GDPR Obecný metodický pokyn pro školství Vydáno 19. 2. 2018 Zpracovala: Mgr. Eva Kleiberová ÚVOD Od 25. května 2018 je povinností každého statutárního orgánu organizace (ředitele školy) naplnit ustanovení
VíceMEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 510 OBSAH. Předmět standardu... 1 Datum účinnosti... 2 Cíl... 3 Definice... 4 Požadavky
MEZINÁRODNÍ AUDITORSKÝ STANDARD PRVNÍ AUDITNÍ ZAKÁZKA POČÁTEČNÍ ZŮSTATKY (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo po tomto datu) Úvod OBSAH Odstavec
VíceF-Secure Mobile Security for Windows Mobile
F-Secure Mobile Security for Windows Mobile 1. Instalace a aktivace Předchozí verze Instalace Aktivace Pokud máte nainstalovanou předchozí verzi aplikace F-Secure Mobile Security, je třeba ji ukončit.
VíceAdvanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě
Advanced IT infrastructure control: Do it better, safer, easier and cheaper FlowMon ADS 3 Nová generace řešení pro analýzu provozu datové sítě FlowMon ADS Přehled produktu Řešení pro automatickou analýzu
VíceL 320/8 Úřední věstník Evropské unie 17.11.2012
L 320/8 Úřední věstník Evropské unie 17.11.2012 NAŘÍZENÍ KOMISE (EU) č. 1078/2012 ze dne 16. listopadu 2012 o společné bezpečnostní metodě sledování, kterou mají používat železniční podniky, provozovatelé
VícePOLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ
POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ Pardubice, květen 2018 Rada Pardubického kraje za účelem naplnění ustanovení Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob
VíceVzdálené připojení do sítě ČEZ VPN Cisco AnyConnect
Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect Návod pro instalaci klienta pro vzdálené připojení do sítě ČEZ a. s., pomocí sítě Internet pro externí uživatele Verze 1.02 Verze Stručný popis změn
VícePovinné zásady leden Kodex informační bezpečnosti pro dodavatele Nestlé
Povinné zásady leden 2016 Kodex informační bezpečnosti pro dodavatele Nestlé Povinné zásady leden 2016 Vydal Nestlé Information Security Cílová skupina Dodavatelé a subdodavatelé Nestlé Česko s.r.o. (dále
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
VícePROGRAM AUDITU SYSTÉMU
Ministerstvo financí Auditní orgán PROGRAM AUDITU SYSTÉMU Č. XXXX NÁZEV Zpracoval Schválil Koordinace * Ověření koordinace * Vedoucí Vedoucí oddělení Vedoucí oddělení Koordinátor OP auditorského týmu 52xx
VíceSYSTÉM FINANČNÍ KONTROLY OBCE
SYSTÉM FINANČNÍ KONTROLY OBCE Obec: Brnířov Adresa: Brnířov 41, 345 06 Kdyně Identifikační číslo obce: 00572608 1) Předmět úpravy a právní rámec Tento vnitřní předpis vymezuje v souladu se zákonem č. 320/2001
VíceServisní telefon: 724008007 Internet: www.ktvprerov.cz email: internet@ktvprerov.cz
Kabelová televize Přerov, a.s. Servisní telefon: 724008007 Internet: www.ktvprerov.cz email: internet@ktvprerov.cz Vážení uživatelé služby MediaLINE v této příručce předkládáme návod na konfiguraci počítače
Více[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv
[ 1 ] [ 2 ] VYR-32 verze 4 kapitola 1 Farmaceutický systém jakosti The Rules Governing Medicinal Products in EU, EU Guidelines to GMP, Chapter 1 Platnost od 31.1.2013 Právní základ: čl.47 Směrnice Evropského
VíceNastavení tabletu Apple ipad
Nastavení tabletu Apple ipad Tablet Apple ipad, zakoupený v prodejní síti společnosti T-Mobile Czech Republic a.s., má potřebné parametry pro použití T-Mobile služeb již přednastaveny. Pokud je potřeba
VíceHardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.
Hardening ICT platforem: teorie nebo praxe Pavel Hejduk ČEZ ICT Services, a. s. Agenda ICT prostředí ČEZ ICT Services a. s. Hardening ICT platforem - definice Obvyklý přístup a jeho omezení zhodnocení
VíceZdravotnické laboratoře. MUDr. Marcela Šimečková
Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy
VícePříručka rychlého nastavení snímání do e-mailu
Xerox WorkCentre M118i Příručka rychlého nastavení snímání do e-mailu 701P42710 Tato příručka představuje pohotovou referenci k nastavení funkce snímání do e-mailu na přístroji. Naleznete v ní tyto postupy:
Více