Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Стандарт безопасности данных индустрии платежных карт

Стандарт безопасности данных индустрии платежных карт

ГлавнаяБлог Управление соответствием PCI DSS. Часть вторая – инфраструктура и область применимости

Управление соответствием PCI DSS. Часть вторая – инфраструктура и область применимости

Автор: Сергей Шустиков

По материалам статьи автора, опубликованной в журнале «ПЛАС» № 7 (183) ’2012

Представляю вниманию читателей вторую статью цикла, посвященного обзору индустрии платежных карт и системе сертификации PCI DSS. В ней пойдет речь об определении области применимости требовании стандарта в инфраструктуре компании, а также о методах ее сужения — с целью минимизации затрат на приведение инфраструктуры в соответствие требованиям стандарта PCI DSS.

Область применимости требований стандарта PCI DSS

В предыдущей статье цикла мы рассмотрели структуру индустрии платежных карт и выяснили, для каких именно ее участников обязательно соответствие требованиям международного стандарта безопасности данных индустрии платежных карт — PCI DSS. Кроме того, там же были описаны способы подтверждения соответствия и методика их выбора.

В сегодняшнем материале мы сосредоточимся на отдельно взятой компании и рассмотрим ее информационную инфраструктуру, вовлеченную в процесс обработки карточных данных.

Прежде всего, согласимся со вполне очевидным тезисом о том, что информационная инфраструктура по своей природе гетерогенна и многослойна. Существует уровень бизнес-приложений, которые для работы используют файлы и базы данных. Последние — вместе с приложениями — работают на серверах, которые, в свою очередь, опираются на уровень сетевого взаимодействия. Сегодня все чаще к такой структуре добавляется еще один уровень — уровень среды виртуализации.

Обеспечение информационной безопасности — процесс комплексный и многофакторный. Когда стоит задача защитить определенный вид данных, в нашем случае — данных о держателях платежных карт, нельзя ограничиться применением защитных мер лишь на каком-то одном отдельном уровне. Так, если мы внедрим межсетевые экраны и забудем о безопасности web-приложений, то злоумышленник непременно воспользуется такой оплошностью. Точно также, если будут защищены приложения и сетевая инфраструктура, но возможность прямого взаимодействия с базой данных останется, то смысла в наших действиях все равно не будет.

Таким образом, если мы действительно хотим защитить данные — мы должны действовать на всех уровнях: безопасно обрабатывать данные в приложениях, безопасно хранить их в базах данных на безопасно настроенных серверах, взаимодействующих в безопасной сети. Естественно, не должна быть забыта и физическая защита, особенно в том случае, если инфраструктура расположена в стенах подконтрольного нам здания.

Важно помнить, что соответствовать требованиям стандарта PCI DSS должна не вся информационная инфраструктура компании, а только та ее часть, в которой обрабатываются карточные данные, а если быть точным — все компоненты информационной инфраструктуры, хранящие, обрабатывающие и передающие данные о держателях платежных карт, плюс смежные информационные системы. Под смежными в данном случае понимаются те системы, соединения с которыми не защищены корректно настроенными межсетевыми экранами.

Эквайринг или эмиссия?

Следует также различать области QSA-аудита от области применимости требований стандарта PCI DSS. Заметим, что для многих организаций эти области совпадают, однако исключением из этого правила являются банки, которые осуществляют в своей информационной инфраструктуре как процесс эквайринга платежных карт, так и процесс их эмиссии, обрабатывая при этом карточные данные. Поэтому область применимости требований стандарта PCI DSS для банков — это компоненты как из эквайринговой части инфраструктуры, так и из эмиссионной. Таким образом, везде, где есть хотя бы один номер карты (PAN) — неважно, «своей» карты, или карты, эмитированной другим банком, — применимы требования стандарта PCI DSS.

С областью же QSA-аудита ситуация не так однозначна. На сегодня порядок таков: эквайринговая часть инфраструктуры, то есть те компоненты, где хотя бы теоретически может быть обработан, передан или сохранен номер карты, эмитированной другим банком, обязательно входит в область QSA-аудита. Эмиссионная же часть — т. е. все компоненты, где обрабатываются только номера «своих» карт, включается в область QSA-аудита по желанию аудируемого банка. Эта информация была получена автором статьи на ежегодном мероприятии PCI Security Standards Council European Community Meeting от представителей топ-менеджмента международных платежных систем — Майкла Грина (Michael Green), вице-президента MasterCard Worldwide, и Шейна Болфе (Shain Balfe), менеджера по безопасности Visa Europe. Тем не менее, и тут есть исключение: по прямому требованию международной платежной системы эмиссионная часть информационной инфраструктуры банка также может быть включена в область QSA-аудита.

На практике это выглядит следующим образом. QSA-аудиторы компании Deiteriy на этапе предварительного аудита проводят полное обследование банка. Затем, основываясь на полученных результатах и комментариях аудиторов к ним, специалисты банка принимают решение о том, включать ли всю инфраструктуру банка в процесс внедрения PCI DSS или же, если объемы планируемых работ существенно различаются, заняться на первом этапе проекта только эквайринговой частью, а эмиссионную часть оставить на более поздний этап доработки. Такой подход позволяет банку поэтапно расходовать средства на достижение соответствия стандарту PCI DSS, и больше соответствует духу риск-ориентированного подхода к обеспечению информационной безопасности.

Сертификация PCI DSS: часто задаваемые вопросы

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB, Discover. Стандарт регламентирует предопределенный перечень требований, как с технической, так и с организационной стороны, подразумевая комплексный подход с высокой степенью требовательности к обеспечению безопасности данных платежных карт (ДПК).

FAQ по PCI DSS для тех, кто интересуется сертификацией

# На кого распространяются требования стандарта PCI DSS?

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.

Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.

  • Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
  • Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?

При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.

# Каковы требования стандарта PCI DSS?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

# Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.

Таблица 2. Способы подтверждения соответствия стандарту PCI DSS

Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.

# В какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

Торговосервисноепредприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).

Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций (дата-центры, хостинг-провайдеры, платежные шлюзы, международные платежные системы и т. д.).

В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

Читать еще:  Курсы программирования c

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

Стоит отметить, что банк, участвующий в процессе приёма платёжных карт к оплате за товары или услуги, так называемый банк-эквайер, а также международные платежные системы (МПС) могут переопределить уровень подключённого к ним торгово-сервисного предприятия или используемого поставщика услуг согласно своей собственной оценке рисков. Присвоенный уровень будет иметь приоритет перед классификацией международной платёжной системы, указанной на рисунке 2.

Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS

# Представляет ли однократное нарушение сроков ASV-сканирования серьёзный риск с точки зрения соответствия PCI DSS?

Организация, получившая статус PCI DSS, должна регулярно выполнять ряд требований, например проводить ежеквартальное ASV-сканирование. При первичном прохождении аудита достаточно иметь документированную процедуру ASV-сканирования и результаты хотя бы однократного её успешного выполнения за последние три месяца. Все последующие сканирования должны быть ежеквартальными, отрезок времени не должен превышать трёх месяцев.

Нарушение расписания внешнего сканирования на уязвимости влечет за собой наложение дополнительных требований к системе менеджмента информационной безопасности в организации. Во-первых, необходимо будет все же провести ASV-сканирование на уязвимости, добиться «зеленого» отчета. А во-вторых, потребуется разработать дополнительную процедуру, которая не будет допускать подобных нарушений расписания в будущем.

В заключение

Основные выводы можно выразить цитатой Петра Шаповалова, инженера по защите информации ООО «Дейтерий»:

«Несмотря на то, что на территории Российской Федерации уже начала функционировать своя Национальная система платежных карт (НСПК), требования международных платежных систем не упразднили. Наоборот, в последнее время от Visa и MasterCard участились письма банкам-эквайерам о том, чтобы последние требовали соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий.

Актуальной для российского рынка сейчас является услуга по управляемым сервисам. Заключается она в том, что поставщик услуг предоставляет клиентам не только оборудование или виртуальную информационную инфраструктуру в аренду, но и услуги по ее администрированию в соответствии с требованиями стандарта PCI DSS. Особенно полезно это для небольших торгово-сервисных предприятий, которые не имеют своих подразделений информационных технологий и информационной безопасности. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации по стандарту PCI DSS для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне».

В качестве примера компании, предоставляющей услуги по управляемым сервисам PCI DSS (не только аренда инфраструктуры PCI DSS, но и её администрирование в соответствии с требованиями стандарта), можно привести IaaS-провайдера «ИТ-ГРАД».

Особенности стандарта безопасности данных индустрии платежных карт PCI DSS Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Косенко М.А., Миронова В.Г.

Основной задачей в настоящее время являются исследования и поиск решений в области развития технологий защиты информации в индустрии платежных карт. Необходимость защиты информации обусловлена значительным объемом хранимой информации, несанкционированное использование которой приводит к финансовым потерям и рискам как для держателя платежной карты, так и для банка.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Косенко М.А., Миронова В.Г.

FEATURES OF DATA SECURITY STANDARD OF PAYMENT CARD INDUSTRY PCI DSS

The main task now is to research and solve problems in the field of technology in securing the payment card industry. The need to protect the information is caused by storing a considerable amount of data, the unauthorized use of which results in financial losses and risks for both the cardholder and the bank.

Текст научной работы на тему «Особенности стандарта безопасности данных индустрии платежных карт PCI DSS»

М. А. Косенко, В. Г. Миронова Томский государственный университет систем управления и радиоэлектроники, Россия, Томск

ОСОБЕННОСТИ СТАНДАРТА БЕЗОПАСНОСТИ ДАННЫХ ИНДУСТРИИ ПЛАТЕЖНЫХ КАРТ PCI DSS

Основной задачей в настоящее время являются исследования и поиск решений в области развития технологий защиты информации в индустрии платежных карт. Необходимость защиты информации обусловлена значительным объемом хранимой информации, несанкционированное использование которой приводит к финансовым потерям и рискам как для держателя платежной карты, так и для банка.

Самым популярным способом оплаты товаров и услуг физическими лицами, как в Российской Федерации (РФ), так и за рубежом, являются платежные карты. Они предоставляют своим держателям максимальное удобство, но вместе с этим использование платежных карт сопряжено с дополнительными рисками (см. аннотация к новому документу «DeviceLock® для соответствия стандарту Payment Card Industry Data Security Standard»). На платежной карте хранится информация о физическом лице, его финансовом положении, банковском счете и т. д., поэтому в случае, когда информация, содержащаяся на платежной карте, попадает в руки злоумышленников, владелец карты рискует потерять деньги со своего банковского счета.

Безусловно, в случае возникновения утечки информации страдает не только держатель платежной карты, но и банк. В случае компрометации платежных сведений банки вынуждены выпускать новые карты, а этот процесс сопровождается дополнительными расходами. В некоторых случаях банкам приходится восстанавливать материальный ущерб, который был нанесен держателю карты. Обеспечение безопасности платежных банковских систем и платежных карт является необходимым. Основные требования в индустрии платежных карт продиктованы «Стандартом безопасности данных индустрии платежных карт PCI DSS» (Стандарт PCI DSS).

В настоящее время требования Стандарта PCI DSS распространяются на все компании, осуществляющие обработку, хранение или передачу данных о держателях платежных карт (URL: http://devicelock.com/ru/news/979.html). На рисунке представлена схема области применения Стандарта PCI DSS.

В структуру Стандарта PCI DSS входят:

— 12 общих требований;

— 239 процедур оценки.

В Стандарте PCI DSS представлена совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационной инфраструктуре торгово-сервисных предприятий, сервис-провайдеров и других организаций, а именно:

— требование 1. «Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт»;

— требование 2. «Не использовать пароли и другие системные параметры, заданные производителем по умолчанию»;

— требование 3. «Обеспечить безопасное хранение данных о держателях карт»;

— требование 4. «Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования»;

— требование 5. «Использовать и регулярно обновлять антивирусное программное обеспечение»;

— требование 6. «Разрабатывать и поддерживать безопасные системы и приложения»;

— требование 7. «Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью»;

— требование 8. «Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре»;

— требование 9. «Ограничить физический доступ к данным о держателях карт»;

— требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт»;

— требование 11. «Регулярно выполнять тестирование систем и процессов обеспечения безопасности»;

— требование 12. «Разработать и поддерживать политику информационной безопасности».

Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности (ИБ) данных платежных карт.

Ключевые требования по организации защиты данных о держателях платежных карт сформулированы в документе «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0» («Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0») и сгруппированы таким образом, чтобы упростить процедуру аудита безопасности [1].

В России соответствие стандарту PCI DSS стало обязательно с 2007 г. Компании, которые обрабатывают и хранят данные о держателях платежных карт и работают с международными платежными системами,

Читать еще:  Среда для программирования на python

Методы и средства защиты информации

обязаны ежегодно проходить сертификацию на соответствие требованиям стандарта PCI DSS.

Поэтому основной задачей в настоящее время являются исследования и поиск решений в области развития технологий защиты в индустрии платежных карт.

1. Взгляд на аудит сквозь призму стандарта PCI DSS [Электронный ресурс]. URL:

Область применения стандарта PCI DSS

М. А. Kosenko, V. G. Mironova Tomsk state university of control systems and radioelectronics (TUSUR), Russia, Tomsk

FEATURES OF DATA SECURITY STANDARD OF PAYMENT CARD INDUSTRY PCI DSS

The main task now is to research and solve problems in the field of technology in securing the payment card industry. The need to protect the information is caused by storing a considerable amount of data, the unauthorized use of which results in financial losses and risks for both the cardholder and the bank.

© Косенко М. А., Миронова В. Г., 2012

ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева», Россия, Железногорск

МЕТОДИКА ФОРМИРОВАНИЯ ИСХОДНЫХ ДАННЫХ ДЛЯ МОДЕЛИРОВАНИЯ СЕТЕВЫХ АТАК

Решение задачи моделирования сетевых атак предполагает наличие знаний о структуре изучаемой сети и уяз-вимостях ее объектов, которые способен использовать потенциальный злоумышленник. В докладе приведен метод автоматизированного поиска и формирования перечня уязвимостей оконечных узлов вычислительной сети.

Защита информационных активов на сегодняшний день является одной из ключевых задач в обеспечении безопасности современного бизнеса. Классическим в решении этой задачи, безусловно, является экспертный подход, позволяющий обезопасить наиболее важные ресурсы информационной системы (ИС) на этапе ее проектирования и в дальнейшем -посредством правильной организации информационных потоков внутри нее. Однако глубокая интеграция

информационных технологий практически во все бизнес-процессы, а также увеличение размеров ИС, их структурной и топологической сложности затрудняет применение экспертного подхода и усиливает воздействие факторов расплаты: вероятности совершения ошибок в конфигурации технических средств, трудности в оценке информационных рисков.

Решение задачи автоматизации оценки рисков ИС, в свою очередь, требует попутного решения ряда

Информационная безопасность в индустрии платежных карт

В банковских и платежных системах широко применяются пластиковые карточки с магнитной полосой, они позволяют осуществлять оплату товаров и услуг, а кроме того, являются одним из средств аутентификации клиентов. Для их безопасного использования принят комп

  • Ключевые слова :
  • Защита информации

В банковских и платежных системах широко применяются пластиковые карточки с магнитной полосой, они позволяют осуществлять оплату товаров и услуг, а кроме того, являются одним из средств аутентификации клиентов. Для их безопасного использования принят комплекс мер, сформулированных в виде специального стандарта по информационной безопасности (Payment Card Industry Data Security Standard, PCI DSS).

Действие PCI DSS распространяется на торгово-сервисные предприятия и поставщиков услуг, работающих с международными платежными системами, т. е. на всех, кто передает, обрабатывает и хранит данные держателей карт. Это касается как общих данных — номер карты (Primary Account Number, PAN), имя держателя карты, код обслуживания, дата выдачи и истечения срока действия, так и критичных данных авторизации (sensitive authentication data) — полное содержание магнитной полосы, коды CVC2/CVV2/CID и PIN-блок. Элементы данных необходимо защищать, если они хранятся совместно с номером карты, а по завершении процедуры авторизации критичные данные не должны сохраняться даже в зашифрованном виде. Требования стандарта PCI DSS не применяются, если не выполняется хранение, обработка или передача номера карты (PAN).

Требования PCI DSS распространяются на все системные компоненты, в том числе на сетевое оборудование, серверы и приложения, входящие в состав среды данных платежных карт (часть сети, в которой обрабатываются данные платежных карт или критичные данные авторизации) или непосредственно к ней подключенные. К сетевым компонентам относятся (но не ограничиваются ими) межсетевые экраны, коммутаторы, маршрутизаторы, беспроводные точки доступа, устройства защиты информации и другое сетевое оборудование. Среди типов серверов — серверы Web, серверы баз данных, аутентификационные и почтовые серверы, proxy-, NTP-, DNS- и другие серверы. В перечень приложений входят все приобретенные и разработанные приложения, как внутренние, так и внешние.

НЕМНОГО ИСТОРИИ

Первая редакция стандарта PCI DSS (1.0) была разработана в 2004 г. на основе требований к безопасности данных платежных систем Visa, Master Card, American Express, Discover Card и JCB. В сентябре 2006 г. вышла новая редакция PCI DSS 1.1, а для развития и продвижения стандарта был создан специальный совет по стандартам безопасности — PCI Security Standards Council (PCI SSC), в который вошли представители перечисленных платежных систем.

Поначалу международные платежные системы требовали от участников программы и торгово-сервисных предприятий обеспечить соответствие стандарту только на территории США и Западной Европы, причем нарушители подвергались штрафам. Для других регионов никаких санкций предусмотрено не было. Однако с сентября 2006 г. жесткие правила выполнения аудита по стандарту были распространены на регион CEMEA, в который входит и Россия, что послужило стимулом для внедрения PCI DSS российскими банками, процессинговыми центрами и торгово-сервисными организациями. В ноябре 2008 г. планируется выход новой редакции стандарта PCI DSS — 1.2, где будут учтены лучшие практики по безопасности, замечания организаций-членов PCI SSC и ряд других новшеств (см. врезку «Ожидаемые изменения в стандарте PCI DSS»).

В зависимости от числа обрабатываемых за год транзакций (до 120 тыс., до 600 тыс., до 6 млн, более 6 млн) компании присваивается определенный уровень с обязательным набором требований по безопасности. Процедуры подтверждения соответствия стандарту включают ежегодный аудит, ежеквартальное сканирование сети на наличие уязвимостей и, в некоторых случаях, заполнение листа самооценки (Self Assessment Questionauire). Для выполнения аудита и сканирования сетей компании должны привлекать стороннюю организацию, имеющую статус Qualified Security Assessor (QSA, для аудита) и Approved Scanning Vendor (ASV, для сканирования сети). Упомянутые статусы присваиваются советом PCI Security Standards Council, и их список размещен на сайте https://www.pcisecuritystandards.org. Там же можно найти официальный текст стандарта PCI DSS на английском языке (https://www.pcisecuritystandards.org/pdfs/pci%20dss%20v1-1.pdf).

В данный момент в этом списке присутствуют три российские компании: московские «Информзащита» и «Инфосистемы Джет», а также Digital Security из Санкт-Петербурга (см. врезку «Аудит по-российски»). На сайте компании «Информзащита» опубликованы неофициальный перевод стандарта PCI DSS на русский язык (http://www.infosec.ru/files/articles/2284/Стандарт%20PCI%20DSS%201_1.pdf) и три сопутствующих документа на русском языке: «Процедуры аудита безопасности PCI DSS», «Ориентирование в PCI DSS: понимание требований» и «Процедуры сканирования безопасности».

АУДИТ СЕТИ

Помимо проведения аудитов в соответствии с процедурами PCI SSC, компании, обладающие статусом QSA, отвечают за интерпретацию требований стандарта и адекватность компенсационных требований, а также предоставляют отчетность в платежные системы и PCI SSC.

Процедура аудита реализуется поэтапно: (1) проверка документов и определение зоны контроля, (2) оценка соответствия на месте, (3) подготовка и распространение отчета и (4) подготовка плана по устранению несоответствий. Зона контроля охватывает все устройства и сетевые сегменты, в которых производится обработка или передача данных о держателях платежных карт, а также все сетевые сегменты и устройства, подключенные к перечисленным сегментам (в том числе активное сетевое оборудование). Таким образом, зона контроля может быть довольно обширной, особенно если внутренняя сеть компании не сегментирована и для отделения процессингового центра от остальной сети банка не используются внутренние межсетевые экраны.

Продуманная сегментация сети для изоляции систем хранения, обработки или передачи данных карт от других систем, применяемых в организации, позволяет значительно ограничить область оценки среды данных платежных карт. Компания QSA помогает определить соответствующую область и объясняет, как ее уменьшить посредством правильной сегментации сети.

Для подтверждения соответствия стандарту необходимо выполнить каждое его требование, если таковое применимо (см. Рисунок 1 и врезку «Шесть задач и 12 основных требований стандарта PCI DSS»). Как показывает практика, наиболее проблемными для компаний оказываются требования 11, 2, 3, 10, 8 (в порядке убывания числа несоответствий), в то время как выполнение требований 9, 4 и 7 обычно не вызывает трудностей, а требование 6 имеет отношение только к тем компаниям, которые занимаются разработкой ПО.

В случае если проверяющая организация выявит несоответствия по отдельным требованиям, компания должна принять меры для их устранения, после чего аудитор проводит повторную проверку, чтобы убедиться в том, что соответствия достигнуты, и составляет новый отчет Report on Comliance, подтверждающий полное соответствие.

Необходимо отметить, что большинство требований стандарта можно реализовать по-другому, не так, как они описаны в тексте стандарта. Это достигается с помощью так называемых компенсационных мер, однако эти меры должны устранять риски более надежно и документироваться более тщательно и обоснованно. Кроме того, для обоснования их применения следует подробно указать ограничения, препятствующие исполнению исход-ного требования стандарта.

Далее подробнее рассмотрим цели и требования стандарта PCI DSS.

ПОСТРОЕНИЕ И ПОДДЕРЖАНИЕ ЗАЩИЩЕННОЙ СЕТИ

В соответствии с Требованием 1 в целях защиты платежных карт необходимо обеспечить разработку и управление конфигурацией межсетевых экранов (МСЭ). В терминологии PCI DSS межсетевые экраны — это вычислительные устройства, контролирующие входящий извне и исходящий за пределы корпоративной сети трафик, а также трафик к внутренним критичным подсетям.

Читать еще:  Язык программирования c си

Конфигурирование МСЭ должно удовлетворять следующим требованиям:

Payment Card Industry Data Security Standard

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Содержание

О стандарте безопасности данных индустрии платежных карт [ | ]

Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Стандарт объединяет в себе требования ряда программ международных платежных систем по защите информации, в частности:

  • у MasterCard — Site Data Protection (SDP);
  • у Visa в США — Cardholder Information Security (CISP);
  • у Visa в Европе — Account Information Security (AIS).

С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.

Сертификация по PCI DSS [ | ]

Разные международные платежные системы предъявляют разные требования к процессу сертификации по PCI DSS. Различают уровни сертификации для торгово-сервисных предприятий (англ. Merchant ) и поставщиков услуг.

Существуют следующие методы проверки соответствия требованиям стандарта PCI DSS:

  • внешний QSA-аудит (англ.), выполняемый PCI QSA-компанией на объекте проверяемой организации;
  • заполнение листа самооценки (SAQ);
  • автоматизированное ASV-сканирование уязвимостей периметра сети.

Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня сертификации торгово-сервисного предприятия или предприятия — поставщика услуг.

Уровни сертификации торгово-сервисных предприятий [ | ]

Торгово-сервисным предприятием (ТСП) является организация, принимающая платежные карты в оплату за продаваемые товары или услуги. Примерами торгово-сервисных предприятий являются магазины, рестораны, отели и интернет-магазины.

По классификации Visa:

  • ТСП, обрабатывающие более чем 6 млн транзакций в год.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.
  • ТСП, обрабатывающие от 1 до 6 млн транзакций в год.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.
  • ТСП, обрабатывающие от 20 000 до 1 млн транзакций в год с применением средств электронной коммерции.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.
  • ТСП, обрабатывающие до 20 000 транзакций в год с применением средств электронной коммерции, а также иные ТСП, обрабатывающие до 1 млн транзакций в год.

Требования к сертификации:

  • рекомендована ежегодная самооценка соответствия с заполнением опросного листа;
  • рекомендовано ежеквартальное ASV-сканирование;
  • требования определяются банком-эквайером.

По классификации MasterCard:

  • ТСП, обрабатывающие более чем 6 млн транзакций в год.
  • ТСП, через системы которых были скомпрометированы данные о держателях карт;
  • ТСП, отнесенные международной платёжной системой Visa к 1 уровню;
  • ТСП, напрямую отнесенные международной платёжной системой MasterCard к 1 уровню.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.
  • ТСП, обрабатывающие от 1 до 6 млн транзакций в год;
  • ТСП, отнесенные международной платёжной системой Visa ко 2 уровню.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.
  • ТСП, обрабатывающие от 20 000 до 1 млн транзакций в год с применением средств электронной коммерции.
  • ТСП, отнесенные международной платёжной системой Visa к 3 уровню.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

Требования к сертификации:

  • рекомендована ежегодная самооценка соответствия с заполнением опросного листа;
  • рекомендовано ежеквартальное ASV-сканирование;
  • требования определяются банком-эквайером.

Уровни сертификации поставщиков услуг [ | ]

Поставщиками услуг являются организации, оказывающие различные услуги, в основном в сфере информационных технологий, торгово-сервисным предприятиям, банкам-эквайерам и эмитентам, и непосредственно международным платежным системам. При этом, организация — поставщик услуг получает доступ к данным о держателях карт. Примерами поставщиков услуг является процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования «точка-точка» (P2PE).

По классификации Visa:

  • Все процессинговые центры, подключенные к VisaNet;
  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о более чем 300 000 транзакций в год.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.
  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о менее чем 300 000 транзакций в год.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

По классификации MasterCard:

  • Все процессинговые центры.
  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о более чем 300 000 транзакций в год.
  • Все процессинговые центры и поставщики услуг, через системы которых были скомпрометированы данные о держателях карт.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.
  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о менее чем 300 000 транзакций в год.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

Аудиторские компании PCI QSA [ | ]

Как видно из классификации, сертификация по высшим уровням должна проводиться аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги для прохождения сертификации по любому уровню [ источник не указан 2727 дней ] .

Аудиторские компании PCI PA-QSA [ | ]

Существует родственный PCI DSS стандарт безопасности платежных приложений — Payment Card Industry Payment Application — Data Security Standard (PCI PA-DSS). Производители программного обеспечения, участвующего в обработке платежных транзакций, должны сертифицировать приложения по стандарту PA-DSS. По требованиям международных платежных систем Visa и MasterCard все торгово-сервисные предприятия (англ. Merchant ) и поставщики услуг начиная с 1 июля 2012 года должны использовать только сертифицированные по стандарту PA-DSS платёжные приложения. Контроль выполнения этого требования возложен на банки-эквайеры. Сертификацию платёжных приложений по стандарту PA-DSS могут выполнять компании, обладающие статусом PCI PA-QSA [ источник не указан 2727 дней ] .

Требования стандарта PCI DSS [ | ]

PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

Построение и сопровождение защищённой сети [ | ]

  • Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
  • Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Защита данных держателей карт [ | ]

  • Требование 3: обеспечение защиты данных держателей карт в ходе их хранения.
  • Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

Поддержка программы управления уязвимостями [ | ]

  • Требование 5: использование и регулярное обновление антивирусного программного обеспечения.
  • Требование 6: разработка и поддержка безопасных систем и приложений.

Реализация мер по строгому контролю доступа [ | ]

  • Требование 7: ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
  • Требование 8: присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
  • Требование 9: ограничение физического доступа к данным держателей карт.

Регулярный мониторинг и тестирование сети [ | ]

  • Требование 10: контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
  • Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

Поддержка политики информационной безопасности [ | ]

  • Требование 12: разработка, поддержка и исполнение политики информационной безопасности.

Версии стандарта PCI DSS [ | ]

Совет PCI SSC следует трехлетнему циклу обновления стандарта. Первый год — внедрение стандарта в индустрии, второй год — сбор обратной связи в виде комментариев и пожеланий от участников индустрии платежных карт, третий год — подготовка новой версии стандарта. Между этапами проводятся конференции PCI SSC Community Meeting, которые состоят из американской и европейской сессий. В ходе конференций организации-участники, международные платежные системы, консультанты и QSA-аудиторы, а также торгово-сервисные предприятия и поставщики услуг обсуждают будущее стандарта и сопутствующих документов.

История изменений стандарта:

  • 1.0 — первоначальная версия стандарта.
  • 1.1 — принята в сентябре 2006 года.
  • 1.2 — принята в октябре 2008 года.
  • 1.2.1, малая редакция — принята в июле 2009 года; содержит незначительные технические поправки.
  • 2.0 — принята в октябре 2010 года.
  • 3.0 — принята в ноябре 2013 года.
  • 3.1 — принята в апреле 2015 года.
  • 3.2 — принята в апреле 2016 года.
Ссылка на основную публикацию
Adblock
detector