Перевод pci dss на русский язык: технология и «подводные...

Перевод PCI DSS на русский язык: технология и «подводные камни»

Евгений Бартов

Докладчик

• Перевожу с 1998 г., редактирую с 2006 г.

• Вступил в Союз переводчиков России в 2011 г.

• Тренирую переводчиков с 2011 г.

• Руковожу ГК «Альянс ПРО»(бюро технических переводов, Школа отраслевых переводчиков)

ПРЕДЫСТОРИЯ


• 2010 год. В наше бюро присылают на перевод первые Отчеты о соответствии.

Выявляется острая нехватка переводчиков по информационной безопасности. Многие переводчики вообще не видят разницы между ИТ и ИБ.

В том же году я принимаю решение углубиться в эту тему и начать изучать ИБ вообще, и PCI DSS в частности.


• 2011 год. Начинаю пробовать делать первые переводы информационных приложений от Совета PCI SSC, публикую их, принимаю критические замечания.

Несмотря на то, что я в среде ИБшников чужой, в целом сообщество меня и мое начинание принимает приветливо.


• 2013 год. Проанализировав имеющиеся в сети переводы PCI DSS 2.0, я принял решение, что надо учесть их ошибки и попробовать сделать независимую версию от моего бюро.

Вскоре выяснилось, что параллельно подобную работу вел и Евгений Безгодов, руководитель Deiteriy.

С тех пор мы по стандартам работаем вместе, в т.ч. и по PCI DSS 3.0, и сейчас представляем вам результат нашей совместной работы.

СТАТИСТИКА

Статистика

Пока переработаны нами и одобрены Советом PCI SSC:

– Глоссарий. Основные определения, аббревиатуры и сокращения стандартов PCI DSS и PA-DSS

– Стандарт безопасности данных индустрии платежных карт (PCI DSS)

Статистика

• Проверено: – 203 страницы;– 3 170 предложений; – 50 610 слов.

• Исправлено:– Глоссарий: ок. 80% предложений. – Стандарт: ок. 95% предложений

ПАРАД ПРАВОК

Самая частая правка

Requirements and Security Assessment Procedures

Требования и процедуры аудита безопасности

Требования и процедуры оценки безопасности

Правка с самой длинной историей

To introduce PCI DSS v1.2 as "PCI DSS Requirements and Security Assessment Procedures," eliminating redundancy between documents, and make both general and specific changes from PCI DSS Security Audit Procedures v1.1.

В документе "Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры аудита безопасности" версии 1.2 содержатся общие и конкретные изменения по сравнению с версией 1.1 под названием "Процедуры аудита безопасности".


Дело в том, что в стандарте версии 1.1 были только требования, а проверочные процедуры были описаны в отдельном документе. При переходе на версию 1.2 была устранена избыточность документов – требования и проверочные процедуры были сведены в одну таблицу в одном документе.


В документе "PCI DSS Requirements and Security Assessment Procedures" ("Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности") версии 1.2 устранена избыточность документов, а также в него внесены общие и частные изменения в сравнении с версией 1.1 под названием "PCI DSS Security Audit Procedures" ("Процедуры оценки безопасности").

Самые экономичные правки

PCI DSS applies to all entities involved in payment card processing-including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data (CHD) and/or sensitive authentication data (SAD)

Данный стандарт применяется для всех организаций сферы обработки платежных данных: торгово-сервисных предприятий, процессинговых центров, банков-эквайеров, организаций, выпускающих платежные карты, и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные

PCI DSS applies to all entities involved in payment card processing-including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data (CHD) and/or sensitive authentication data (SAD)

торгово-сервисное предприятие —> ТСП

организация, выпускающая платежные карты —> эмитент

данные держателей карт —> ДДК

критичные аутентификационные данные —> КАД

PCI DSS applies to all entities involved in payment card processing-including merchants, processors, acquirers, issuers, and service providers, as well as all other entities that store, process or transmit cardholder data (CHD) and/or sensitive authentication data (SAD) Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт: ТСП, процессинговых центров, эквайреров, эмитентов и поставщиков услуг, а также всех прочих организаций, которые хранят, обрабатывают или передают ДДК и (или) критичные аутентификационные данные (КАД).

Самая творческая правка

This document, PCI Data Security Standard Requirements and Security Assessment Procedures, combines the 12 PCI DSS requirements and corresponding testing procedures into a security assessment tool.

В данном документе, "Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры аудита безопасности", приведены 12 требований стандарта и описаны соответствующие процедуры проведения оценки соответствия данному стандарту.


В данном документе, "Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры оценки безопасности", 12 требований стандарта и соответствующие им проверочные процедуры … (ваши версии?)


В данном документе, "Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры оценки безопасности", 12 требований стандарта и соответствующие им проверочные процедуры скомбинированы в единый инструмент оценки безопасности.

Самая спорная правка

Full track data (magnetic-stripe data or equivalent on a chip)

Полные данные дорожки магнитной полосы или ее эквивалент на чипе


Опросили аудиторов.

Мнения разошлись:

— одни были за дорожку

— другие за треки.


полные данные треков (данные магнитной полосы или ее эквивалента на чипе)

Правка самых уродливых терминов

Systems that provide security services (for example, authentication servers), facilitate segmentation (for example, internal firewalls), or may impact the security of (for example, name resolution or web redirection servers) the CDE. системы, обеспечивающие безопасность (например, серверы аутентификации), способствующие сегментации (например, внутренние брандмауэры) или влияющие на безопасность информационной среды держателей карт;

Systems that provide security services (for example, authentication servers), facilitate segmentation (for example, internal firewalls), or may impact the security of (for example, name resolution or web redirection servers) the CDE.

брандмауэр —> межсетевой экран;

информационная среда держателей карт —> среда ДДК

Systems that provide security services (for example, authentication servers), facilitate segmentation (for example, internal firewalls), or may impact the security of (for example, name resolution or web redirection servers) the CDE.

системы, которые: - предоставляют службы безопасности (например, серверы аутентификации), - способствуют сегментации сети (например, внутренние межсетевые экраны), - могут влиять на безопасность среды ДДК (например, серверы разрешения имен или веб-переадресации);

Самый эффективный прием для

удобочитаемости

Network components including but not limited to firewalls, switches, routers, wireless access points, network appliances, and other security appliances.

сетевые компоненты, включая, помимо прочего, брандмауэры, коммутаторы, маршрутизаторы, беспроводные точки доступа, устройства сетевой безопасности и другие устройства безопасности

Network components including but not limited to firewalls, switches, routers, wireless access points, network appliances, and other security appliances.

сетевые компоненты, в том числе: - межсетевые экраны, - коммутаторы, - маршрутизаторы, - беспроводные точки доступа, - устройства сетевой безопасности, - прочие устройства безопасности;

Самая ювелирная

правка

Contact each payment brand or the acquirer to determine reporting requirements and instructions.

За подробностями следует обращаться к представителям соответствующей платежной системы или эквайеру


См. ПОЛОЖЕНИЕ О ПОРЯДКЕ ЭМИССИИ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ БАНКОВСКИХ КАРТ И ОСУЩЕСТВЛЕНИЯ РАСЧЕТОВ ПО ОПЕРАЦИЯМ, СОВЕРШАЕМЫМ С ИХ ИСПОЛЬЗОВАНИЕМ (ЦБ РФ от 9 апреля 1998 г. N 23-П):

Эквайрер — кредитная организация, осуществляющая эквайринг.


Для получения информации об инструкциях и требованиях по предоставлению подтверждения статуса соответствия следует обращаться к представителям каждой международной платежной системы или к эквайреру.

Самая весёлая правка

Optionally, those updates can be encrypted with a symmetric key, and access control lists can be created that specify the IP addresses of client machines that will be provided with the time updates (to prevent unauthorized use of internal time servers).

Данные обновления могут быть дополнительно зашифрованы симметричным ключом и списками контроля доступа, определяющими IP-адреса машин, которым разрешено получать обновления времени (чтобы предупредить неавторизованное использование внутренних серверов времени).

Optionally, those updates can be encrypted with a symmetric key, and access control lists can be created that specify the IP addresses of client machines that will be provided with the time updates (to prevent unauthorized use of internal time servers).

Как вариант, данные обновления можно зашифровать с помощью симметричного ключа, а также можно создать списки контроля доступа, определяющие IP-адреса клиентских машин, которым будут предоставляться обновления времени (чтобы предотвратить несанкционированное использование внутренних серверов времени).

Правка самых смелых фантазий

Organizations should contact their acquirer or the individual payment brands directly to understand whether SAD is permitted to be stored prior to authorization, for how long, and any related usage and protection requirements.

Организации должны напрямую связаться со своими эквайерами или отделениями, отвечающими за отдельные торговые марки, чтобы узнать, разрешается ли хранить критичные аутентификационные данные до авторизации и в течение какого срока, а также получить информацию о других требованиях к использованию и защите данных.

Organizations should contact their acquirer or the individual payment brands directly to understand whether SAD is permitted to be stored prior to authorization, for how long, and any related usage and protection requirements.

Организациям следует связаться со своими эквайрерами или напрямую с конкретными международными платежными системами, чтобы узнать, разрешается ли хранить КАД до авторизации, в течение какого срока, а также узнать о соответствующих требованиях к использованию и защите данных.

This requirement does not supersede stricter requirements in place for displays of cardholder data—for example, legal or payment card brand requirements for point-of-sale (POS) receipts.

Это требование не заменяет собой иные более строгие требования к отображению данных держателей карт (например, юридические требования или требования к брендированию платежных карт на чеках кассовых терминалов (в местах продаж).

This requirement does not supersede stricter requirements in place for displays of cardholder data—for example, legal or payment card brand requirements for point-of-sale (POS) receipts.

Это требование не заменяет собой существующие более строгие требования к отображению ДДК (например, требования законодательства или международных платежных систем к чекам POS-терминалов).

Правка самого мафиозного перевода

Access is revoked immediately upon [personnel] termination.

доступ должен быть отозван сразу после его прекращения

Access is revoked immediately upon [personnel] termination.

отзывать доступ сразу после увольнения работника

СПАСИБО ЗА ВНИМАНИЕ!

ВОПРОСЫ?

Эл. адрес: [email protected]Сайт: www.tran.suSkype: alpro.groupТелефоны: +7 (903) 955 04 66,

+7 (495) 662 48 80

mailto:[email protected]

http://www.tran.su/

Перевод pci dss на русский язык: технология и «подводные...

Technology