آموزش آنلاین استاندارد PCI DSS و انطباق

سرفصل ها و درس ها

معرفی Introduction

• ساختار و جریان دوره Course Structure and Flow

• پس زمینه - استاندارد PCI DSS BackGround - PCI DSS Standard

• تاریخچه - استاندارد PCI DSS History - PCI DSS Standard

• منظور از PCI DSS چیست؟ What do mean by PCI DSS

• چرا باید PCI Compliant دریافت کنید Why you should get PCI Compliant

• سردرگمی در مورد PCI DSS Confusion around PCI DSS

• تکلیف 1: انطباق با PCI Assignment 1: PCI Compliance

معرفی Introduction

بخش 2 - PCI DSS (اصطلاحات رایج) Section 2 - PCI DSS (Common Terminologies)

• منظور از بازرگانان، ارائه دهندگان یا صادرکنندگان چیست؟ What do Merchants, Provider or Issuers Mean ?

• ارزیاب امنیتی واجد شرایط (QSA) چیست؟ What is a Qualified Security Assessor (QSA)?

• ISA (ارزیابی کننده امنیت داخلی) کیست؟ Who is ISA (Internal Security Assessor) ?

• پرسشنامه خود ارزیابی (SAQ) چیست؟ What is (SAQ) Self-Assessment Questionnaire ?

• گواهی انطباق (AOC) چیست؟ What is (AOC ) Attestation of Compliance ?

• گزارش (RoC) در مورد انطباق چیست؟ What is (RoC) Report on Compliance ?

• تکلیف 2 Assignment 2

بخش 2 - PCI DSS (اصطلاحات رایج) Section 2 - PCI DSS (Common Terminologies)

محدوده PCI DSS و الزامات آن PCI DSS Scope and Its Requirements

• نحوه کار تراکنش کارت (در 8 مرحله توضیح داده شده است) How Card transaction work (Explained in 8 Steps)

• قابلیت کاربرد PCI DSS PCI DSS Applicability

• سیستم های در محدوده PCI DSS Systems In Scope of PCI DSS

• 6 هدف و 12 مورد نیاز 6 Goals and 12 requirements

• ساختار استاندارد PCI DSS Imp- Structure of PCI DSS Standard

محدوده PCI DSS و الزامات آن PCI DSS Scope and Its Requirements

هدف-1: ایجاد و حفظ یک شبکه امن Goal-1 : Build and Maintain a Secure Network

• درخواست 1: یک پیکربندی فایروال را برای محافظت از داده های دارنده کارت نصب و نگهداری کنید Req 1: Install and maintain a firewall configuration to protect cardholder data

• درخواست 2: از پیش فرض های ارائه شده توسط فروشنده برای رمزهای عبور سیستم استفاده نکنید Req 2: Don’t use vendor-supplied defaults for system passwords

هدف-1: ایجاد و حفظ یک شبکه امن Goal-1 : Build and Maintain a Secure Network

هدف-2: حفاظت از داده های دارنده کارت Goal-2 : Protect Cardholder Data

• درخواست 3: از داده های ذخیره شده دارنده کارت محافظت کنید Req 3: Protect stored cardholder data

• درخواست 4: رمزگذاری انتقال داده های دارنده کارت در شبکه های باز و عمومی Req 4 : Encrypt transmission of cardholder data across open, public networks

هدف-2: حفاظت از داده های دارنده کارت Goal-2 : Protect Cardholder Data

هدف-3: یک برنامه مدیریت آسیب پذیری را حفظ کنید Goal-3 : Maintain a Vulnerability Management Program

• Req-5: از نرم افزارها یا برنامه های آنتی ویروس استفاده کرده و به طور منظم آن را به روز کنید Req-5: Use and regularly update antivirus software or programs

• Req-6 : توسعه و نگهداری سیستم ها و برنامه های کاربردی ایمن Req-6 : Develop and maintain secure systems and applications

هدف-3: یک برنامه مدیریت آسیب پذیری را حفظ کنید Goal-3 : Maintain a Vulnerability Management Program

هدف-4: اجرای اقدامات کنترل دسترسی قوی Goal-4 : Implement Strong Access Control Measures

• Req-7 : محدود کردن دسترسی به داده های دارنده کارت توسط کسب و کار نیاز به دانستن Req-7 : Restrict access to cardholder data by business need to know

• Req-8: به هر شخصی که به رایانه دسترسی دارد یک شناسه منحصر به فرد اختصاص دهید Req-8 : Assign a unique ID to each person with computer access

• Req-9: دسترسی فیزیکی به داده های دارنده کارت را محدود کنید Req-9 : Restrict physical access to cardholder data

هدف-4: اجرای اقدامات کنترل دسترسی قوی Goal-4 : Implement Strong Access Control Measures

هدف-5: نظارت و آزمایش منظم شبکه ها Goal-5 : Regularly Monitor and Test Networks

• Req-10: تمام دسترسی ها به منابع شبکه و داده های دارنده کارت را ردیابی و نظارت کنید Req-10 : Track and monitor all access to network resources and cardholder data

• Req-11: سیستم ها و فرآیندهای امنیتی را به طور منظم آزمایش کنید Req-11 : Regularly test security systems and processes

هدف-5: نظارت و آزمایش منظم شبکه ها Goal-5 : Regularly Monitor and Test Networks

هدف-6: حفظ خط مشی امنیت اطلاعات Goal-6 : Maintain an Information Security Policy

• Req-12: سیاستی را حفظ کنید که به امنیت اطلاعات برای همه پرسنل می پردازد Req-12 : Maintain a policy that addresses information security for all personnel

هدف-6: حفظ خط مشی امنیت اطلاعات Goal-6 : Maintain an Information Security Policy

تأیید انطباق با PCI Verification of PCI Compliance

• سطوح انطباق با PCI/سطوح تاجر Levels of PCI Compliance/Merchant Levels

• اسکن توسط ASV (فروشنده اسکن تایید شده) Scanning by ASV (APPROVED SCANNING VENDOR)

• بررسی انطباق با PCI Verifying Compliance with PCI

• اعتبار سنجی یک نیاز در محل است Validating a Requirement is in Place

• برآورده کردن الزامات گزارش دهی PCI DSS Meeting the reporting requirement of PCI DSS

تأیید انطباق با PCI Verification of PCI Compliance

نظارت مستمر - هوشیار باقی بماند Continuous Monitoring - Remaining vigilant

• هوشیار ماندن Remaining vigilant

نظارت مستمر - هوشیار باقی بماند Continuous Monitoring - Remaining vigilant

6 مرحله ممیزی PCI 6 Steps of PCI Audit

• PCI Audit چیست؟ What is PCI Audit ?

• حسابرسی PCI چگونه کار می کند؟ How Does a PCI Audit Work?

6 مرحله ممیزی PCI 6 Steps of PCI Audit

پاداش - PCI DSS در محیط ابری Bonus - PCI DSS In Cloud Environment

• امنیت ابری - مدل مسئولیت مشترک Cloud Security - Shared Responsibility model

• گزارش های حسابرسی AWS و Azure Cloud PCI DSS را بررسی کنید Check AWS and Azure Cloud PCI DSS Audit Reports

پاداش - PCI DSS در محیط ابری Bonus - PCI DSS In Cloud Environment

نتیجه گیری و آزمون Conclusion and Quiz

• آزمون دوره Course Quiz

• بهترین روش ها برای پیاده سازی PCI DSS Best Practices for Implementing PCI DSS

• پیوندهای مفید + مطالعه موردی Useful Links + Case Study

• نتیجه Conclusion

نتیجه گیری و آزمون Conclusion and Quiz