воскресенье, 6 апреля 2014 г.

Обзор PCI DSS 3.0

Представляю вашему вниманию краткий обзор стандарта безопасности данных индустрии платежных карт PCI DSS 3.0 (Payment Card Industry Data Security Standard).







В начале необходимо рассказать, какие именно данные призван защищать данный стандарт.

Данные платежный карт (Account Data), согласно PCI DSS, делятся на данные держателя карты и критичные аутентификационные данные.


К данным держателя карты относятся:

1. Основной номер держателя карты (Primary Account Number, PAN) - 16 цифр, эмбоссированных или выгравированных на лицевой стороны пластиковой карты.

PAN идентифицирует платежную систему банк-эмитент (банк, который выпустил данную пластиковую карту) и держателя (владельца) карты.

2. Имя держателя карты. Указывается, как правило, в нижней части лицевой стороны пластиковой карты.

3. Данные истечения срока действия карты. Указывается непосредственно под основным номером держателя карты.

4. Сервисный код. Информация о возможностях карты (является ли она международной, встроены ли дополнительные технологии, такие как чип, а также для каких операций предназначена карта и для каких операций запрашивать PIN-код). 

Данная информация находится на магнитной полосе и в чипе (при его наличии).

К критичным аутентификационным данным относятся:

1. Полные данные дорожки магнитной полосы или ее эквивалент на чипе.

2. CAV2/CVC2/CVV2/CID.


CVC2 - трехзначный код подтверждения подлинности карты Visa, расположенный под магнитной полосой с оборотной стороны пластиковой карты и используемый для проведения операций "Card not present" (покупка через интернет/телефон).

CVV2 - аналогичный код для MasterCard.

CAV2 - аналогичный код для японской платежной системы JCB Cards.

CID - аналогичный код для платежных систем American Express и Discover.

3. PIN/PIN-блоки. PIN - код (как правило, 4 цифры), аутентифицирующий владельца карты. PIN-блок - то, во что он преобразуется после ввода на пин-паде (зашифрованное значение).


Эту информацию и призван защищать стандарт PCI DSS.



Теперь расскажу более подробно о самом стандарте.

PCI DSS разработан организацией PCI SSC (Security Standards Council), учрежденной платежными системами Visa, MasterCard, JCB Cards, American Express и Discover.

Стандарт является обязательным для организаций, обрабатывающих данные платежных карт этих платежных систем.

Все организации делятся на торгово-сервисные предприятия (ТСП, merchants) и поставщиков услуг (service providers). К торгово-сервисным предприятиям относятся те организации, которые принимают оплату своих товаров или услуг посредством платежных карт (магазины, кафе, автозаправки и т.д.). К поставщикам услуг относятся организации, которые обеспечивают процесс осуществления платежа (банки-эмитенты, банки-эквайреры, процессинговые центры, сами платежные системы, хостинг-провайдеры и т.д.).

Для сертификации на соответствие PCI DSS существует три вида проверок:

1. Самое простое - самооценка с заполнением листа самооценки (Self-Assesment Questionnaire - SAQ). Причем бывает 4 вида листов самооценки (в зависимости от числа проверок)

2. ASV-сканирование - сканирование проверенными вендорами (Approved Scanning Vendors). Список компаний ASV

3. QSA-аудит - полноценный аудит на соответствие PCI DSS, проведенный организацией со статусом Qualified Security Assessor. Список компаний QSA

В зависимости от того, является организация ТСП или поставщиком услуг, а также от числа обрабатываемых транзакций, необходимо проходить те или иные проверки.



В самом стандарте 12 требований, разбитых по 6 доменам безопасности:

домен "Построение и обслуживание защищенной сети и систем"
1. Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт.
2. Не использовать пароли и другие системные параметры, заданные производителем по умолчанию.

домен "Защита данных держателей карт"
3. Обеспечить безопасное хранение данных держателей карт.
4. Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования.

домен "Программа управления уязвимостями"
5. Использовать и регулярно обновлять антивирусное программное обеспечение.
6. Разрабатывать и поддерживать безопасные системы и приложения.

домен "Внедрение строгих мер контроля доступа"
7. Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью.
8. Определять и подтверждать доступ к системным компонентам.
9. Ограничить физический доступ к данным держателей карт.

домен "Регулярный мониторинг и тестирование сети"
10. Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт.
11. Регулярно выполнять тестирование систем и процессов обеспечения безопасности.

домен "Поддержание политики информационной безопасности"
12. Разработать и поддерживать политику информационной безопасности для всего персонала организации.


Требования разбиты на подпункты. К каждому подпункту дан комментарий и перечень действий, которые должен предпринимать аудитор.

Для хостинг-провайдеров выдвигаются дополнительные требования.

Если организация не может выполнить какое-либо требование по объективным ограничениям, то после проведения оценки рисков она может внедрить компенсационные меры, с помощью которых достигнут цели изначального требования другим способом.



Необходимо отметить, что стандарт очень полно покрывает все аспекты обеспечения информационной безопасности. Требования детальны, понятны. Возможно, даже чересчур детальны и понятны :)

Вместо того, чтобы давать более гибкий и системный подход к обеспечению информационной безопасности, как это делают его коллеги ISO 27001 или ISM3, PCI DSS выставляет жесткие четкие требования, и их надо выполнить. Возможно, в сфере платежей с использованием пластиковых карт это оправдано.

Также необходимо отметить, что существует родственный стандарт PA DSS (Payment Application Data Security Standard), посвященный безопасности платежных приложений.

Комментариев нет:

Отправить комментарий