Взгляд на аудит сквозь призму стандарта PCI DSS / Хабр

Что выбрать

Аналитики компании Cognizant

, что требования PCI DSS сложно соблюдать крупным организациям: банкам, сетям розничных магазинов. Поэтому им больше подойдет размещение IaaS Basic или Advanced. Всем остальным компаниям, работающим с данными платежных карт, может подойти услуга co-location.

Наш опрос показал, что 77% компаний, работающих с электронными платежами, пользуются услугами облачных вендоров. При этом опрошенные организации чаще всего выбирают услугу сo-location (42%). Тем не менее услуги IaaS Basic и IaaS Advanced постепенно набирают обороты — их выбирают 32 и 21% респондентов.

Что такое хостинг pci dss

Стандарт PCI DSS

собой набор требований, которые нужно соблюдать компаниям, работающим с данными владельцев карт Visa и MasterCard. Хостинг

— это сервис, который позволяет клиентам переложить часть ответственности за выполнение требований стандарта на плечи провайдера. Эта услуга позволяет участникам рынка электронных платежных систем упростить процесс сертификации и соблюдения норм PCI DSS.

PCI DSS хостинг-провайдер использует различные способы защиты сведений о держателях карт. Зоны ответственности за выполнение каждого из 12 требований PCI DSS распределяются между клиентом и провайдером, в зависимости от заключенного между ними договора. Однако часто оператор берет на себя ответственность за защиту сети, данных и контроль физического доступа к информации.

Для построения надёжной сети провайдер использует набор инструментов безопасности исходя из требований PCI DSS. В этот набор входят файрвол, решения для мониторинга сети и WAF. Кроме того, провайдер ограничивает FTP/SSH-подключения для каждого пользователя ко всем машинам и использует скрипты (например, sshd_sentry) для блокировки IP-адресов, с которых совершили несколько неудачных попыток входа в систему.

Провайдер также защищает данные держателей карт с помощью антивирусного ПО, двухфакторной аутентификации, шифрования трафика, и резервного копирования. Также провайдер отвечает за «физическую защиту» оборудования (если у него свой ЦОД). Но часто эта обязанность ложится на сотрудников дата-центра, в котором провайдер размещает стойки.

/ фото Blue Coat PhotosCC

Что такое pci dss?

PCI DSS

– это сокращение от Payment Card Industry Data Security Standard, что означает – стандарт безопасности данных индустрии платёжных карт.

Стандарт PCI DSS был разработан советом PCI SSC (Payment Card Industry Security Standards Council, что в переводе означает Совет по стандартам безопасности индустрии платежных карт). Члены-основатели совета PCI SSC – международные платёжные системы Visa, MasterCard, American Express, JCB International и Discover Financial Services – согласились принять общий стандарт безопасности в качестве части технических требований для каждой из их программ соответствия безопасности данных.

Кроме того каждый член-основатель признает квалифицированных советом PCI SSC аудиторов систем безопасности (Qualified Security Assessors, QSA) и утверждённых поставщиков услуг сканирования (Approved Scanning Vendors, ASV). К последним относится наш партнер Comodo (Sectigo), чей лицензированный сервис сканирования HackerGuardian PCI Scanning Service в ближайшее время будет доступен для заказа на нашем сайте.

Основные этапы проведения аудита

Нижеперечисленные пункты представляют собой совокупность этапов работ, на основе которых построены аудиторские практики ведущих российских консалтинговых компаний.

1) Этап первый. Анализ и систематизация.Исходные данные

а) информация о компонентах системы Заказчика, в которой хранится или обрабатывается критичная информация о держателях платежных карт;

б) нормативно-распорядительная документация Заказчика, связанная с информационной безопасностью (политика информационной безопасности, регламенты, инструкции и другая документация, необходимая в соответствии с требованиями PCI DSS);

в) состав и характеристика аппаратных и программных средств передачи информации, топология сети;

г) характер внутренней и внешней связи информационной системы, принципы обработки критичной информации в информационной системе.

Состав работ:

а) анализ исходных данных;

б) выделение области аудита на основе анализа исходных данных.

Выходные данные:

а) топология (список и характеристика устройств обработки информации) области аудита;

б) информация об объеме работ по проведению и определение необходимых технических средств аудита.

2) Этап второй. Оценка соответствия требованиям стандарта.Исходные данные: выходные данные, полученные на предыдущем этапе.Состав работ (определяется особенностями выделенной сертификационной области Заказчика): а) анализ корпоративной сети и проверка ее защищенности;б) анализ беспроводных сетей и проверка их защищенности; в) анализ конфигурации межсетевых экранов;г) анализ списков контроля доступа;д) анализ парольной политики;е) анализ технологий обработки критичной информации;ж) проверка наличия ПО мониторинга сети и логирования действий пользователя;з) проверка политик обновления ПО (в том числе защитного ПО).

Выходные данные: а) итоговый вывод о соответствии инфраструктуры заказчика требованиям стандарта PCI DSS;б) получение Заказчиком картины защищенности его инфраструктуры, имеющихся уязвимостей и ошибок в проектировании политики безопасности.

3) Этап третий. Формирование отчета.Исходные данные: выходные данные, полученные на предыдущем этапе.Состав работ: подготовка отчета о результатах сертификационного аудита.Выходные данные: отчет о результатах проведения сертификационного аудита на соответствие инфраструктуры Заказчика требованиям стандарта PCI DSS.

Co-location

В этом случае клиент размещает свое «железо» в ЦОД оператора. Провайдер несет ответственность за обеспечение безопасности оборудования: в центре обработки данных должно работать видеонаблюдение, сотрудники обязаны проходить идентификационный контроль, а железо — размещаться в защищенных стойках. Кроме того, поставщик услуги проводит регулярные осмотры и проверки оборудования на наличие неисправностей.

Iaas advanced

Услуга IaaS Advanced означает, что провайдер берет на себя ответственность за выполнение практически всех требований стандарта PCI DSS: сюда входит настройка компонентов инфраструктуры и сетей. Клиент занимается только написанием защищенных приложений.

Чтобы иметь возможность предоставлять услугу IaaS Advanced, вендор должен соблюдать несколько требований. Первое из них — наличие 2FA. Для этих целей у нас есть OTP-сервер, генерирующий одноразовые токены.

Другое требование — наличие файрвола. В сетевых вопросах мы всегда работаем по принципу «запрещать все, что не разрешено». Мы используем решение Palo Alto с поддержкой IPS/IDS, чтобы отслеживать неавторизованные подключения и оперативно реагировать на угрозы.

И, наконец, третьим требованием является наличие системы File Integrity Monitor, которая следит за соблюдением целостности файлов, в том числе файлов операционных систем Linux и Windows. Дополнительно мы каждый день создаем резервные копии ВМ, чтобы иметь возможность восстановить информацию в случае сбоя.

Iaas basic

Клиент отвечает за хранение данных владельцев карт, защиту от вредоносов и безопасность приложений. Провайдер несет ответственность за ограничение физического доступа к данным. Остальные требования PCI DSS распределяются между сторонами в зависимости от составленного договора.

Например, мы можем обеспечивать часть требований по защите приложений вместо клиента, так как у нас имеется WAF. При этом мы также можем отвечать за обновление систем и выявление рисков. Наши сотрудники круглосуточно следят за событиями ИС, чтобы оперативно среагировать.

Успешным примером размещения по схеме IaaS Basic может служить РФИ Банк. Компания работает в сфере e-commerce, поэтому ей нужно соблюдать все 12 требований стандарта PCI DSS. Наша команда полностью управляет облачной инфраструктурой банка.

Альтернативный подход

Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.

Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.

Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.

Виды хостинга pci dss

Согласно проведённому нами исследованию, наиболее популярными вариантами хостинга PCI DSS

услуги co-location, IaaS Basic и IaaS Advanced.

Ключевые требования по организации защиты данных

Ключевые требования по организации защиты данных о держателях платежных карт сформулированы в документе «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0» («Payment Card Industry Data Security Standard.

Requirements and Security Assessment Procedures v2.0») и сгруппированы таким образом, чтобы упростить процедуру аудита безопасности. Ниже приведен список 12 требований, находящихся в основе стандарта PCI DSS и объединенных в группы по типам процедур аудита и и их краткий анализ.[4]

1) Требование 1. «Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт».2) Требование 2. «Не использовать пароли и другие системные параметры, заданные производителем по умолчанию».

Первая группа носит название «Построение и обслуживание защищенной сети» (требования 1 и 2). С первого требования становится понятно, насколько важен процесс сегментации целевой инфраструктуры и на основе каких средств строится этот процесс.

Межсетевой экран – основа обеспечения безопасности. Грамотное проектирование циркулируемого траффика приводит в порядок всю инфраструктуру в целом. Тем не менее, в последней версии стандарта все же делается некоторое смягчение формулировки первого требования и подразумевается факт фильтрации и блокировки траффика не только средствами межсетевого экрана.

Помимо осуществления блокирования и фильтрации сетевого траффика на основных компонентах рассматриваемой системы (что в контексте поддерживающих документов означает сервера в исследуемой сети), первое требование содержит пункт 1.4, который подразумевает персональные межсетевые экраны на рабочих станциях сотрудников компании с должной конфигурацией (пользователь не может изменять параметры работы файрволла) – это самая трудноконтролируемая процедура со стороны администратора организации.

3) Требование 3. «Обеспечить безопасное хранение данных о держателях карт».4) Требование 4. «Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования».

Группа требований «Защита данных о держателях карт» (требования 3 и 4) рассматривает критичные методы защиты данных (шифрование, политики ключей безопасности и т.п.) и область их применения, в то время как остальные методы защиты информации, описанные в других требованиях, позиционируются в качестве средств снижения рисков компрометации.

Данная совокупность требований описывает политику и жизненный цикл ключей безопасности. В связи с тем, что хранение данных о владельцах пластиковых карт в зашифрованном виде позволяет исключить факт их незаконного использования злоумышленником (если тот каким-либо образом он преодолел остальные рубежи защиты), пункты этой группы носят довольно жесткую формулировку, что позволяет однозначно ее интерпретировать объектом и субъектом аудита.

Полезной техникой при хранении данных о держателях пластиковых карт, относящихся к персональным данным (информация, относящаяся к определенному физическому лицу), является их «обезличивание» — процедура удаления или независимого хранения фрагментов этих данных, которые сами по себе не могут однозначно идентифицировать своего владельца.

5) Требование 5. «Использовать и регулярно обновлять антивирусное программное обеспечение».6) Требование 6. «Разрабатывать и поддерживать безопасные системы и приложения».

Группа, объединяющая в себе требования 5 и 6, называется «Управление уязвимостями». Под управлением уязвимостями понимается своевременная установка актуальных обновлений, в том числе и на антивирусное программное обеспечение, разработка, поддерживание и использование безопасных приложений, в том числе и веб-ориентированных.

7) Требование 7. «Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью».8) Требование 8. «Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре».9) Требование 9. «Ограничить физический доступ к данным о держателях карт».

Требования 7, 8, 9 объединены в группу «Внедрение строгих мер контроля доступа» и носят организационно-технический характер обеспечения защиты информации с использованием как организационных мер обеспечения безопасности, так и механизмов физического доступа и мониторинга.

10) Требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт».11) Требование 11. «Регулярно выполнять тестирование систем и процессов обеспечения безопасности».

Примечательной для аудитора является группа требований «Регулярные мониторинг и тестирование сети» (требования 10, 11). Не каждое торгово-сервисное предприятие может позволить себе содержание внутренней службы информационной безопасности и своими силами регулярно выполнять профилактические тесты на проникновение и мониторинг процессов обеспечения безопасности.

Потребность в осуществлении этих систематических процедур рождает на рынке информационной безопасности спектр услуг в виде внутренних и внешних тестов на проникновение, сканирования инфраструктуры на уязвимости от совершенно разных поставщиков. Аудитор в процессе оценки соответствия требованиям стандарта PCI DSS, должен ознакомиться с результатами последнего профилактического теста на проникновение и ASV-сканирования (подпункты 11.

2 «Ежеквартальное сканирование на уязвимости» и 11.3 «Ежегодные тесты на проникновение») и убедиться, что все выявленные уязвимости устранены. Тот факт, что результаты эти могут быть получены в результате услуг тестов на проникновение и сканирования на уязвимости, предоставленных третьей организацией и, как следствие, вывод аудитора строится на доверии к данным, полученным в ходе оказания этой услуги третьей стороной.

12) Требование 12. «Разработать и поддерживать политику информационной безопасности».

Требование 12 по масштабам своей реализации является одним из самых трудных в плане адаптации к инфраструктуре Заказчика. Пункт 12.1.1 требует создания такой политики, которая учитывает все требования PCI DSS. Торгово-сервисные предприятия и сервис-провайдеры, которые проходят сертификацию, должны разработать свою политику безопасности или пересмотреть текущую в соответствии с требованиями стандарта.

Кому нужна сертификация pci dss?

О безопасности данных платежных карт должны заботиться все, кто работает с платежными картами или каким-либо образом влияет на их безопасность, а это могут быть:

• Торгово-сервисные компании любого размера;
• Финансовые учреждения;
• Поставщики кассовых терминалов;
• Производители технических средств ЭВМ и программного обеспечения, словом, все кто создает и использует международную инфраструктуру для обработки платежей.

Таким образом, требования стандартов PCI DSS применяются ко всем организациям, независимо от их размера или количества проводимых транзакций, которые принимают, передают, обрабатывают или хранят любую информацию держателей кредитных карт, или же если бизнес-процессы в этих организациях могут влиять на безопасность платежных карт.

Можно ли не выполнять требования pci dss

Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности.

Общие сведения о стандарте pci dss

Стандарт безопасности данных индустрии платежных карт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационной инфраструктуре торгово-сервисных предприятий, сервис-провайдеров и других организаций.

Состав [3] и описание официальных поддерживающих документов стандарта PCI DSS:

1) Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0 (Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0).В документе детально описаны 12 требований стандарта, область их применимости, основные сведения по подготовке к аудиту соответствия требованиям стандарта и проведению аудита, а также сведения по написанию отчетных материалов.

2) Глоссарий. Версия 2.0 (Glossary v2.0).Перечень терминов и сокращений, используемых в нормативной документации PCI DSS. Предназначен для понимания терминов, используемых в других поддерживающих документах и поэтому рекомендуется Заказчику для ознакомления.

3) Ориентирование в PCI DSS. Версия 2.0 (Navigating the PCI DSS. Version 2.0).Документ, в котором описываются 12 требований стандарта с пояснением их значений в целях улучшения понимания требований стандарта предприятиями торгово-сервисной сети, сервис-провайдерами и другими финансовыми учреждениями.

4) Приоритезированный подход к достижению соответствия PCI DSS. Версия 1.2 (Prioritized Approach for PCI DSS v1.2).Правила работ для уменьшения рисков на ранних стадиях мероприятий по достижению соответствия стандарту. Приоритезированный подход состоит из 6 этапов, которые в порядке приоритета помогут распределить усилия по достижению соответствия, снизят риск компрометации данных о платежных картах в процессе выполнения. Подход не заменяет требования стандарта PCI DSS v2.0.

5) Требования, предъявляемые к квалифицированным экспертам безопасности (PCI DSS Validation Requirements for Qualified Security Assessors).Приложение, в котором содержатся требования, предъявляемые Советом по стандартам безопасности платежных карт экспертам безопасности, получающим или уже имеющим статус квалифицированного эксперта безопасности (QSA).

6) Требования, предъявляемые к поставщикам услуг сканирования (PCI DSS Validation Requirements for Approved Scanning Vendors).Приложение, в котором содержатся требования, предъявляемые Советом по стандартам безопасности платежных карт экспертам безопасности, получающим или уже имеющим поставщика услуг сканирования (ASV).

7) Листы самооценки. Версия 2.0 (PCI DSS Self-Assessment Questionnaire v2.0).Листы самооценки предназначены для организации проведения самооценки торгово-сервисными предприятиями и сервис-провайдерами их соответствия стандарту и представляют собой средства проверки соответствия финансовой организации стандарту PCI DSS согласно документу «Стандарт безопасности данных индустрии платежных карт.

Требования и процедуры аудита безопасности. Версия 2.0» («Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0»). Существуют несколько вариантов листа самоооценки, которые используются в том или ином случае.

8) Аттестация соответствия PCI DSS – торговые организации. Версия 2.0 (PCI DSS Attestation of Compliance – Merchants v2.0).Шаблон документа, который заполняется QSA или торговой организацией (в случае, если торговая организация осуществляет внутренний аудит), и в результате является официальным документом о соответствии данной организации стандарту PCI DSS.

9) Аттестация соответствия PCI DSS – сервис-провайдеры. Версия 2.0 (PCI DSS Attestation of Compliance – Service Providers v2.0).Шаблон документа, который должны заполнить QSA и сервис-провайдер в качестве официального документа о соответствии данного сервис-провайдера стандарту PCI DSS.

Дополнительная документация:

1) Дополнительные документы – ASV (Additional Documents — ASV).Набор документации для поставщиков услуг сканирования (ASV): руководство по программе ASV, список требований ASV, проверка соответствия статусу ASV.

2) Дополнительные документы – QSA (Additional Documents — QSA).Набор документации для квалифицированных экспертов безопасности (QSA): соглашение QSA, список требований QSA.

3) Дополнительные документы – PFI (Additional Documents — PFI).Набор документации для экспертов-криминалистов в индустрии платежных карт (PFI): руководство по программе PFI, список требований PFI, проверка соответствия статусу PFI. Статус эксперта-криминалиста в платежной индустрии введен Советом PCI SSC со второй версией стандарта PCI DSS.

4) Требование 11.3 Тестирование на проникновение (Requirement 11.3 Penetration Testing).Подробное описание требования 11.3 стандарта PCI DSS к проведению тестирований на проникновение.

5) Требование 6.6 Защита веб-приложений (Requirement 6.6 Application Reviews and Web Application Firewalls Clarified).Уточнение к требованию 6.6 стандарта PCI DSS к обеспечению защиты веб-приложений.

6) Руководство по беспроводным сетям. Версия 1.2 (Wireless Guidelines v1.2)Документ содержит предложения и рекомендации для развертывания и тестирования беспроводных сетей в контексте требований стандарта PCI DSS.

Разработчик стандарта не уделяет внимание процедуре структуризации своей документационной базы. Консультант должен определить взаимосвязь официальных документов с целью разработки методологической базы проведения аудита. Рисунок 1 содержит схему, отражающую подчиненность официальных документов стандарта PCI DSS.

Рисунок 1 – Подчиненность официальных документов стандарта PCI DSS

Общий подход к проведению аудита соответствия

Среди общего перечня услуг, которые могут быть предоставлены в рамках стандарта PCI DSS, получение общей картины защищенности инфраструктуры Заказчика и выдачу ему сертификата соответствия может обеспечить услуга аудита на соответствие его требованиям, которая проводится компанией, получившей статус QSA.

Среди подходов к проведению аудитов ИБ различают два принципиально разных методики:

1) тесты на проникновение;2) технологический аудит информационной безопасности.

На первых стадиях процедуры проверки соответствия аудитор выделяет область аудита – набор компонент, проверка которых, по его мнению, достаточна для получения полной информации о степени защищенности данных платежных карт.

В процесс проведения аудита на соответствие требованиям стандарта PCI DSS выполняется анализ требований и принятие соответствующих мер, описанных в официальном документе «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности» («Payment Card Industry Data Security Standard.

Requirements and Security Assessment Procedures»). Результаты определения области аудита и выборок подтверждаются аудитором и заносятся в Отчет. Далее аудитор определяет общее количество компонентов (офисы компании, ТСП, действующие лица компании и другое) [6]. Полученные данные используются в качестве исходных на этапе оценки соответствия.

Согласно разработанной методике проведения оценки соответствия аудитор производит анализ полученной информации на этапе сбора исходных данных. Результаты заносит в таблицу требований. В случае выявления несоответствия требований составляется перечень компенсирующих мер [6], если невыполненные требования подразумевают такие меры. По окончанию процедуры оценки соответствия аудитором заполняет Отчет (AOC, Свидетельство о соответствии).

Ответственность за нарушение

Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.

Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13.

Ответственность за неисполнение требований мпс

Уровень ТСП определяется непосредственно эквайером, к которому подключено ТСП. В свою очередь, МПС два раза в год требует от эквайеров предоставление отчетов о соответствии ТСП уровней 1, 2 и 3 требованиям стандарта PCI DSS. Таким образом, эквайер выполняет роль посредника между торгово-сервисными предприятиями и МПС.

Сервис-провайдеры, которые удовлетворяют критерию Уровня 1 проходят необходимые процедуры соответствия и включаются в список PCI DSS Compliant Service Providers. Сервис-провайдеры Уровня 2 не включаются в указанный список и контролируются соответствующими эквайерами (контроль представляет собой мониторинг результатов самоопросника).

Рисунок 2 – Схема взаимодействия МПС с финансовыми организациями

Поле битвы — сегмент

Если оптимистично смотреть на область применения PCI DSS, то по своей сути требования распространяются на систему, в которой происходит манипуляция с номером карты (PAN). Однако понятие «система» на практике довольно растяжимое и номера карт могут обрабатываться во множестве компонентов, которые и определяют систему.

Рисунок 3 — Таблица, иллюстрирующая элементы данных и соответствующие им меры

Если взглянуть на таблицу, которая иллюстрирует элементы данных пластиковых карт и соответствующие им меры защиты, то можно заметить, что такие элементы как CVV2 (Card Verification Value 2 — код проверки подлинности карты платёжной системы Visa)

и CVC2 (аналогичный код платежной системы MasterCard) относятся к критичным аутентификационным данным, а значит не подлежат хранению. Тем не менее, в пользовательской практике встречаются случаи, когда торгово-сервисное предприятие с целью упрощения жизни своим клиентам не требует повторного ввода этого кода на своем веб-ресурсе.

Таким организациям приходится выбирать между сертификатом PCI DSS (и, как следствие, безопасностью своих бизнес-процессов) и излишней псевдозаботой о своих пользователях, ведь CVC2 и CVV2 являются одним из ключевых звеньев при совершении финансовых online-операций.

Оптимизация структуры целевой системы с последующим выделением среды, в которой происходит манипуляция с данными о держателях карт, позволяет сузить область влияния PCI DSS, сфокусировать внимание аудитора на более конкретном объекте и, как следствие, сократить затраты на проведение оценки соответствия.

Только вот процесс сегментации требует понимания и, возможно, реструктуризации бизнес-процессов рассматриваемой организации, что может оказаться куда дороже, чем неоптимизированный аудит. В таком случае под область аудита попадает вся сеть. Тут уже каждая организация должна сама решить, стоит ли ей пересматривать свою текущую практику ведения бизнеса или проще подвергнуться проверке в режиме «как есть».

Если каким-либо образом беспроводные сети используются в качестве среды передачи данных о держателях карт, то этот факт является следствием некорректной сегментации или ее отсутствием. В данном случае в силу вступают требования PCI DSS для беспроводных сетей, что нехорошо ни для проверяемой стороны (в силу «дотошности» требований) ни для стороны проверяющей (специалисты по безопасности беспроводных сетей «на дороге валяются»).

Еще одним «паразитом» в исследуемом сегменте выступают сторонние организации, которые предоставляют услуги обработки, хранения или передачи данных о держателях карт исследуемой организации. Каждой из третьих сторон необходимо представить аудитору сертификат соответствия PCI DSS или, в противном случае, пройти процедуру оценки соответствия.

Делаем выводы:

1) грамотная сегментация способна сократить временные и, в некоторых случаях, финансовые расходы на проведение оценки соответствия; 2) наличие в системе беспроводных сетей, как средств обработки данных о держателях – результат некорректной процедуры сегментации или же ее отсутствия;3) привлечение третьих сторон в бизнес-процесс влечет к дополнительным временным затратам на проверку этих сторон аудитором, который должен отчетливо понимать роль исследуемой компании и ее поставщиков услуг (третьих сторон) в платежной индустрии.

Программа mastercard sdp

Программа MasterCard Site Data Protection (SDP), утвержденная MasterCard, предназначена для обеспечения безопасного хранения ТСП и сервис-провайдерами данных учетных записей MasterCard в соответствии со стандартом PCI DSS. Ниже представлен список требований программы для торгово-сервисных предприятий и сервис провайдеров.

Требования, предъявляемые MasterCard торгово-сервисным предприятиям (merchants):

а) ТСП уровня 1 (все ТСП, с ежегодным оборотом более 6 миллионов транзакций ежегодно по картам MasterCard и Maestro; все ТСП, пострадавшие от взлома или атаки, результатом которого была утечка данных; любое ТСП, которое было отнесено к уровню 1, по усмотрению MasterCard) должны выполнять следующие требования:

1) ежегодный аудит, выполняемый QSA;2) ежеквартальное сканирование сети, выполняемое ASV;3) обязательное выполнение процедур подтверждения соответствия.

б) ТСП уровня 2 (все ТСП с оборотом более 1 миллиона, но менее либо равным 6 миллионам транзакций ежегодно по картам MasterCard и Maestro; все ТСП, соответствующие уровню 2 другой платежной системы) должны выполнять следующие требования:

1) ежегодный аудит, проводимый QSA;2) ежегодное заполнение опросного листа SAQ (до 31 декабря 2021 года);3) ежеквартальное сканирование сети, проводимое ASV;4) выполнение начальных процедур проверки соответствия (до 31 декабря 2021 года).

в) ТСП уровня 3 (все ТСП, количество транзакций электронной торговли по MasterCard и Maestro превышает 20 000 в год, но общее количество транзакций электронной торговли по MasterCard и Maestro не превышает 1 миллиона; все ТСП, соответствующие уровню 3 другой платежной системы) должны выполнять следующие требования:

1) ежегодное заполнение опросного листа SAQ;2) ежеквартальное сканирование сети, проводимое ASV;3) обязательное выполнение процедур подтверждения соответствия.

г) ТСП уровня 4 (все ТСП, не относящиеся к первым трем уровням) должны выполнять следующие требования:

1) ежегодное заполнение опросного листа SAQ;2) ежеквартальное сканирование сети, проводимое ASV;3) консультация с эквайером о дате выполнения процедур проверки соответствия.

Требования, предъявляемые MasterCard сервис-провайдерам (Service Providers):

а) Сервис-провайдеры уровня 1 (все сторонние процессинги; все организации хранения данных, которые хранят, передают или обрабатывают ежегодно более 300 000 транзакций MasterCard и Maestro) должны выполнять следующие требования:

1) ежегодный аудит, проводимый QSA;2) ежеквартальное сканирование сети, проводимое ASV.

б) Сервис-провайдеры уровня 2 (все организации хранения данных, которые хранят, передают или обрабатывают ежегодно менее 300 000 транзакций MasterCard и Maestro) должны выполнять следующие требования:

1) ежегодное заполнение опросного листа SAQ;2) ежеквартальное сканирование сети, проводимое ASV.

Программа visa ais

Программа безопасности учетной записи (Visa Account Information Security, AIS) разработана Visa для Европы (аналогичная программа Visa для США — Cardholder Information Security Program) с целью помочь торгово-сервисным предприятиям и сервис-провайдерам улучшить свои меры обеспечения безопасности данных держателей платежных карт Visa и информации о транзакциях.

Требования программы Visa AIS, которые должны быть выполнены организацией, зависят от числа ежегодно хранимых, обрабатываемых и передаваемых ею учетных данных Visa.В соответствии с этими данными эквайер присваивает определенный уровень торгово-сервисному предприятию. Ниже представлен список требований программы для торгово-сервисных предприятий и сервис провайдеров.

Требования к торгово-сервисным предприятиям (merchants):

1) ежегодный аудит на соответствие требованиям PCI DSS (любое ТСП, обрабатывающее более 6 млн. транзакций по Visa в год или интернациональные ТСП, которым был присвоен 1 уровень Visa в другом регионе или стране);

2) ежегодное самостоятельное заполнение опросного листа (SAQ) (ТСП, обрабатывающие от 1 млн. до 6 млн. транзакций по Visa в год по всем платежным каналам или ТСП, обрабатывающие от 20 000 до 1 млн. транзакций электронной торговли по Visa в год);

3) ежеквартальное сканирование сети поставщиком услуг сканирования (ASV);

4) наличие аттестата соответствия (для всех уровне ТСП);

5) проверка соответствия требованиям, выполняемая эквайером (ТСП, обрабатывающие менее 20 000 транзакций электронной торговли по Visa в год, или все другие ТСП, обрабатывающие до 1 млн. транзакций в год).

Требования, предъявляемые Visa к сервис-провайдерам (Service Providers):

1) ежегодный аудит на соответствие требованиям PCI DSS;

2) ежегодное заполнение SAQ (любой поставщик услуг, обрабатывающий менее 300 000 транзакций по Visa в год);

3) ежеквартальное сканирование сети в соответствии со стандартом PCI DSS;

4) наличие аттестата соответствия.

Процесс сертификации

Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:

1. Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.

2. Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.

3. Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.

Сертификация pci dss

Требования pci dss

Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.

Конкретно это выражено в шести официальных пунктах:

• Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
• Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
• В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
• Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
• Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
• Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.

Требования стандарта

PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:

Уровни сертификации pci dss

Сертификация PCI DSS определяет

четыре уровня торгово-сервисных предприятийдва уровня поставщиков услуг

в зависимости от количества проводимых транзакций с платежными картами Visa (включая кредитные, дебетовые и предоплаченные карты) в течение 12 месяцев.

Услуги в рамках стандарта pci dss

Ниже перечислен спектр услуг, которые могут быть предоставлены в рамках стандарта PCI DSS.

1) Аудит на соответствие требованиям стандарта PCI DSS

Проводится аудиторами, имеющими статус QSA (Qualified Security Assessor) и включает в себя следующие общие этапы: а) работы по подготовке и планированию аудита на соответствие стандарту PCI DSS; б) проведение мероприятий согласно процедуре аудита;в) анализ полученных результатов;г) формирование Отчета о проведении аудита на соответствие стандарту PCI DSS.

2) Подготовка инфраструктуры Заказчика для проведения аудита на соответствие требованиям стандарта PCI DSSПроводится с целью подготовить инфраструктуру Заказчика к мероприятиям по сертификации на соответствие стандарту PCI DSS и представляет собой предварительный аудит на соответствие требованиям стандарта.

3) Сканирование уязвимостей в соответствии с требованиями стандарта PCI DSSПроводится компанией, имеющий статус ASV (Approved Scanning Vendor) и, в соответствии с требованием 11.3 стандарта PCI DSS, является обязательной процедурой, которая подробно отражена в официальном документе PCI DSS Security Scanning Procedures.

4) Тест на проникновение в соответствии с требованиями стандарта PCI DSSТест на проникновения является обязательной процедурой для достижения соответствия стандарту, которая проводится минимум раз в год (требование 11.3 стандарта PCI DSS) и включает в себя:

а) внешний тест на проникновение;б) внутренний аудит.

5) Курсы повышения квалификации в области информационной безопасности сотрудников организации-заказчикаПроводится с целью повышения уровня осведомленности сотрудников Заказчика и опционально включает в себя:

а) тренинги и семинары, посвященные тем или иным аспектам информационной безопасности;б) демонстрация тематических презентаций;г) проведение вебинаров.

Стандарт PCI DSS объединяет требования программ по защите информации, разработанных Visa и MasterCard (Visa AIS, MasterCard SDP), которые распространяется на все организации, работающие с указанными платежными системами.

Действия стандарта обязательны для региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка), где стандарт PCI DSS является обязательным, поэтому все ТСП и сервис-провайдеры, входящие в этот регион, должны в обязательном порядке пройти процедуру соответствия требованиям стандарта.