PCI DSS
Payment Card Industry Data Security Standard
Стандарт защиты информации в области платежных карт
Payment Card Industry (PCI) Security Council — серия стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт. Включает услуги по сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS.
Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими. Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International. Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.). В России соответствие стандарту PCI DSS стало обязательным к применению в соответствующих организациях с 2007 года.
Согласно результатам исследования Analysys Mason, примерно 42% поставщиков облачных сервисов соблюдают стандарты безопасности данных отрасли платежных карточек (PCI DSS, Payment Card Industry Data Security Standard). Они действуют во всем мире и касаются всех организаций, которые обрабатывают кредитные карты, а также хранят или передают информацию об их держателях. Этот стандарт был введен, чтобы дать отрасли платежных карт больше контроля за конфиденциальными данными и исключить возможность их утечки. Также, он призван гарантировать защиту потребителей от мошенничества или кражи идентификационной информации при использовании ими кредитных карт.
Как по классификации Visa, так и по классификации MasterCard, системы, обрабатывающие, хранящие или передающие данные о более чем 6млн транзакций в год, относятся к первому уровню (Level 1) и обязаны ежегодно проходить аудит.
2022: Публикация стандарта PCI DSS 4.0
5 апреля 2022 года стало известно, что Совет по стандартам безопасности данных индустрии платежных карт (PCI Security Standards Council, PCI SSC) опубликовал вариант 4.0 стандарта безопасности PCI Data Security Standard (PCI DSS).
Версия стандарта 4.0 предлагает базовый уровень операционных и технических потребностей, предназначенных для повышения безопасности платежей, и заменяет версию 3.2.1. Кроме того, данная версия предназначена для использования инновационных методов борьбы с угрозами.
Как пояснили специалисты PCI SCC, изменения были внесены на основе отзывов и пожеланий мировой отрасли платежных систем за последние три года.
Изменения в PCI DSS 4.0 включают:
- «Расширенные требования 8» (Expansion of Requirement 8), обязывающие использовать многофакторную аутентификацию для доступа к данным держателей карт;
- Обновленную терминологию межсетевых экранов для элементов управления сетевой безопасностью, поддерживающую более широкий спектр технологий, используемых для выполнения задач по обеспечению безопасности, которые ранее выполнялись межсетевыми экранами;
- Повышенную гибкость для предприятий, чтобы они могли демонстрировать использование различных методов обеспечения безопасности;
- Целевой анализ угроз, позволяющий организациям решать, как часто они будут выполнять определенные действия, наиболее подходящие для устранения рисков и потребностей организации.
Текущая версия стандарта 3.2.1 будет действительной online в течение двух лет до 31 марта 2024 года. Таким образом у организаций будет достаточно времени на изучение и реализацию версии 4.0.[1]
2016
Стандарт PCI DSS версии 3.2 обновлён
28 апреля 2016 года Совет PCI SSC на официальном сайте опубликовал пресс-релиз о выходе версии стандарта безопасности данных индустрии платежных карт PCI DSS 3.2. Версия внеплановая (обычно новые версии Совет публикует осенью), но при этом изменения в ней считаются минорными[2].
Помимо корректорских правок, сделанных для исправления опечаток, ошибок форматирования, пунктуации и т. д., в новой версии стандарта появился ряд уточнений и дополнений, ряд требований. Эти требования пока носят рекомендательный характер, но с 1 февраля 2018 года станут обязательными к исполнению. К ним относятся следующие (применимо ко всем организациям):
- для всех изменений в информационной инфраструктуре необходимо дополнительно проверять, что все применимые требования стандарта PCI DSS выполнены для изменяемых компонентов. Иными словами, если вы внесли какое-либо изменение в информационную инфраструктуру, нужно убедиться, что соответствие стандарту не нарушилось (например, обновить схемы сети и потоков данных, провести сканирование на уязвимости и иные подобные мероприятия);
- для удаленного неконсольного административного доступа в область применимости стандарта PCI DSS нужно реализовать мультифакторную аутентификацию.
Применимо только к поставщикам услуг
- в случае использования шифрования архитектуру системы шифрования нужно документировать. Алгоритмы, протоколы и процедуры управления ключами необходимо описать и поддерживать в актуальном состоянии;
- требуется контролировать работоспособность систем безопасности. В случае возникновения сбоев в работе таких систем следует выполнить процедуры реагирования и зарегистрировать факт сбоя;
- тестирование на проникновение в части сегментации сети необходимо проводить не реже одного раза в шесть месяцев, а также после внесения любых критичных изменений в информационную инфраструктуру;
- в организации должен быть внедрен высокоуровневый документ, в котором будет описана программа соответствия требованиям стандарта PCI DSS и назначен ответственный работник, который будет контролировать ее выполнение и держать в курсе руководство организации о статусе данной программы;
- не реже одного раза в квартал необходимо проверять, что работники организации корректно выполняют процедуры по ежедневному анализу журналов протоколирования событий, пересмотру правил межсетевого экранирования, применению стандартов конфигурации для новых систем, реагированию на сигналы систем безопасности, а также соблюдают процедуры управления изменениями.
Помимо дополнительных требований, в текст стандарта внесены уточнения:
- если в области применимости стандарта PCI DSS используется PA-DSS сертифицированное приложение, но его поддержка производителем прекратилась (например, у ПО появился статус «End-of-life»), то это приложение уже не сможет обеспечивать необходимый уровень безопасности. Поэтому стандарт рекомендует отслеживать статус поддержки при выборе PA-DSS сертифицированных приложений;
- при определении границ области применимости стандарта PCI DSS следует учитывать системы, обеспечивающие непрерывность работы компонентов информационной инфраструктуры: системы резервного копирования и восстановления, отказоустойчивые системы;
- перед переводом в производную среду компонента информационной инфраструктуры необходимо изменять все стандартные настройки и отключать стандартные учетные записи. Согласно пояснению, это требование касается и платежных приложений;
- добавлено примечание в проверочную процедуру по поиску полного номера карты PAN в логах компонентов информационной инфраструктуры. Уточнение заключается в том, что логи необходимо анализировать и для платежных приложений в том числе;
- добавлено примечание к требованию 3.4.1 по шифрованию дисков: это требование применимо в дополнение ко всем другим требованиям по шифрованию и управлению ключами в области применимости стандарта;
- разработчики должны как минимум ежегодно обучаться методам безопасного программирования;
- добавлено примечание к требованию по системе контроля доступа. Стандарт допускает, что таких систем в организации может быть несколько;
- уточнено, что в качестве системы контроля доступа можно использовать либо систему видеонаблюдения, либо СКУД, либо обе технологии одновременно;
- если в версии 3.1 стандарта PCI DSS должен был контролироваться лишь удаленный доступ вендоров в информационную инфраструктуру, в версии 3.2 внесено уточнение о том, что необходимо обеспечить контроль удаленного доступа любой третьей стороны.
В состав Приложения А2 вошли отдельные требования для организаций, использующих протокол SSL и ранние версии протокола TLS. Это Приложение содержит требования по использованию POS-терминалов (необходимо иметь доказательство того, что POS-устройства не подвержены атакам на небезопасные версии протоколов), а также требование по наличию Плана перехода на безопасные версии протоколов.
Подготовка PCI DSS версии 3.2
27 февраля 2016 года стало известно о предстоящем принятии стандарта PCI Data Security Standard версии 3.2. Совет по стандартам безопасности данных PCI должен принять стандарт в первой половине 2016 года, предположительно в марте-апреле[3].
Нововведения затронут всех участников финансового рынка, имеющих отношение к сетям передачи данных банковских карт. Согласно новым правилам, доступ к картам будет предоставляться только при соблюдении требований многофакторной аутентификации.
Трой Лич, представитель Совета PCI, ответственный за технологическую часть, отметил, что по его оценкам, стандарт 3.2 поможет в решении многих накопившихся проблем, связанных с защитой персональных данных. По мнению Лича, внедрение версии стандарта PCI DSS 3.2 не предусматривает одномоментный переход на многофакторную аутентификацию.
Совет PCI предусмотрел необходимость переходного периода, который продлится 18 месяцев. За это время участники рынка должны успеть подготовиться к работе в новых условиях. Им потребуется тщательное планирование инвестиций в этом периоде времени.
Стандарт расширит полномочия администраторов защищенных сетей. Они смогут вносить необходимые изменения в настройки, как сетевых систем, так и сопутствующих элементов сетевой инфраструктуры, если это необходимо для избежания возможной компрометации передающей среды. Ответственность за управление сетями может возлагаться, и на штатных сетевых администраторов, подконтрольных руководству управляющей компании, и на сторонние компании.
Выход нового стандарта PCI DSS произойдет с опережением традиционного графика. До сих пор Совет PCI строго придерживался следующего правила: новая версия стандарта выпускалась один раз в три года, а официальный анонс приходился на IV квартал завершающего года. Нынешний анонс состоится более чем на полгода раньше. Внеочередной выпуск новой версии стандарта PCI DSS — это сигнал для отрасли. В ней намечены серьезные изменения, связанные с переходом на новые стандарты шифрования, о чем было объявлено в конце прошлого года. Для их внедрения потребует много времени, но приступать к работе надо немедленно. Трой Лич
|
Речь идет об отказе от использования протоколов SSL-шифрования и TLS-представления данных. В течение некоторого периода времени стремительно нарастали сомнения в их полной надежности. Бреши в безопасности появились несколько лет назад. Но реальным ударом по их репутации стало публичное обнародование этой информации. Все это случилось за два прошедших года.
Первая из уязвимостей, о которой стало широко известно — Heartbleed. Она связана с возникновением ошибки при переполнении буфера в криптографическом компоненте OpenSSL. Используя эту брешь злоумышленники могут получить возможность несанкционированного чтения содержимого памяти на сервере или клиенте. При удачном стечении обстоятельств они могут извлечь закрытый ключ сервера и получить полный доступ к сохраненной информации.
Инициализация ошибки для проведения атаки Heartbleed может происходить через любой элемент сетевой инфраструктуры, в том числе через сетевые принтеры. Каждый из этих элементов может оказаться уязвимым для вторжения, потому что на подготовку и установку заплаток в драйверах требуется время.
Еще одна серьезная уязвимость, о которой стало известно в последние годы — это Poodle. Она позволяет злоумышленникам считывать пользовательские данные, защищенные средствами SSL 3.0. Самым неприятным оказалось то, что уязвимость затронула спецификацию протокола. Это позволило ей распространиться на все реализации SSL 3.0 — от свободной OpenSSL до всех коммерческих библиотек, поставляемых с ОС.
Эти события привели к тому, что специалисты по безопасности, в частности, Национальный институт стандартов и технологий США, сошлись во мнении, что необходимо срочно отказываться от применения протокола SSL как устаревшего. В результате ими была согласована дата полного отказа от SSL. Этой датой был назван июнь 2016 года.
Но оказалось, что выдержать намеченные сроки затруднительно. Это связано с рядом технических и организационных проблем, возникающих при внедрении новых систем в финансовой отрасли. Поэтому потребовалось скорректировать дату окончания поддержки SSL. Трой Лич
|
В соответствие со стандартом PCI DSS 3.2, SSL будет поддерживаться вплоть до 2018 года. Но поскольку многие участники рынка до сих пор не знают о переносе даты, решено выпустить новую версию стандарта раньше срока, не дожидаясь ноября 2016 года.
2015: PCI DSS, версия 3.0
`Новая версия PCI-DSS 3.0 превратит стандарт в органичную часть обычных бизнес-операций, — рассказал eWeek Боб Руссо, главный управляющий совета Payment Card Industry Security Standards Council (PCI SSC). — Мы хотим попытаться отучить людей считать, что PCI-DSS можно заняться раз в год, а потом про него не думать. В реальной обстановке нередко возникают бреши`.
PCI-DSS зачастую рассматривался лишь как основа для проверки компании на соответствие нормативам, когда можно поставить галочку, что в данный момент все в порядке, и спокойно переходить к другим делам. Руссо подчеркнул, что в новом стандарте PCI-DSS 3.0 сделан акцент на обучении и политике, делающий безопасность платежей повседневной задачей и элементом постоянно поддерживаемого порядка. Суть в том, что стандарт поможет вести более согласованный процесс-ориентированный контроль, что особенно важно для крупных организаций. И в нем также усилен акцент на постоянной ответственности, а не только на эпизодическом PCI-DSS-аудите.[4]
Один из аспектов критики стандарта PCI-DSS — отсутствие ясности в его положениях. Например, стандарт может потребовать, чтобы организация развернула Web Application Firewall (WAF) без детализации нужной конфигурации сетевого экрана или даже объяснения, почему он так необходим. Такую критику в четкой и резкой форме высказывали члены PCI SCC, и это потребовало разработки нового улучшенного стандарта.
В прошлых версиях стандарта всегда присутствовали две колонки, объяснявшие то или иное требование по контролю безопасности. В первой колонке формулировалось требование, а во второй давались подробности процедуры тестирования. В стандарте PCI-DSS 3.0 должна появиться третья колонка, где, по словам Лича, будут содержаться жизненные примеры рисков, на уменьшение которых направлена данная мера контроля безопасности.
Так, в случае WAF новый стандарт будет объяснять, что умеет делать эта технология и какие типы рисков она поможет смягчить.
Одно из важных изменений в стандарте PCI-DSS 3.0 связано с использованием паролей. В последние три года PCI SCC провел ряд исследований по надежности паролей, которые помогли сформулировать новые требования.
В парольных фразах используют предложение с пробелами между словами (например, `джонни выгуливал собаку`), которое служит альтернативой обычному паролю. В новом стандарте сохраняется требование, чтобы пароли, как минимум, содержали семь символов из букв и цифр, но добавляется альтернативная опция использования парольных фраз.
Хотя PCI-DSS 3.0 начнет действовать с января 2013 года, предприятиям, соблюдающим PCI-DSS 2.0, будет дан годичный срок для перехода на новый стандарт.
Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить в 2013 г., является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.
В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами.
2010: PCI DSS, версия 2.0
28 октября 2010 года увидела свет новая версия стандарта PCI DSS, а именно – версия 2.0. Внесенные в регулирующий отрасль документ изменения радикальными назвать сложно, в основном они носят характер уточнений и разъяснений. Кроме того, некоторые проверочные процедуры были по-новому сгруппированы с целью упрощения их восприятия и выполнения при прохождении аудита.
Несмотря на то, что стандарт версии 2.0 вступил в силу с 1 января 2011 года, участники индустрии платежных карт могут использовать предыдущую версию до конца 2011 года. Подобная инициатива Совета PCI SSC позволяет выполнить постепенный переход на новую версию. Следующая версия будет подготовлена Советом PCI SSC в течение трехлетнего жизненного цикла.
Русская версия PCI DSS 2.0 доступна на сайте Сообщества PCIDSS.RU: http://pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf
На кого распространяются требования стандарта PCI DSS
В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением. Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой[5].
Первым делом следует ответить на два вопроса:
- Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
- Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?
При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.
Каковы требования стандарта PCI DSS?
Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже:
Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.
Как можно подтвердить соответствие стандарту PCI DSS?
Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.
Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.
В какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? Или же достаточно ограничиться самооценкой организации?
Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.
Торгово-сервисноепредприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее). Торгово-сервисноепредприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).
В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.
Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.
ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.
Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.
Стоит отметить, что банк, участвующий в процессе приёма платёжных карт к оплате за товары или услуги, так называемый банк-эквайер, а также международные платежные системы (МПС) могут переопределить уровень подключённого к ним торгово-сервисного предприятия или используемого поставщика услуг согласно своей собственной оценке рисков. Присвоенный уровень будет иметь приоритет перед классификацией международной платёжной системы, указанной на рисунке 2.
Представляет ли однократное нарушение сроков ASV-сканирования серьёзный риск с точки зрения соответствия PCI DSS?
Организация, получившая статус PCI DSS, должна регулярно выполнять ряд требований, например проводить ежеквартальное ASV-сканирование. При первичном прохождении аудита достаточно иметь документированную процедуру ASV-сканирования и результаты хотя бы однократного её успешного выполнения за последние три месяца. Все последующие сканирования должны быть ежеквартальными, отрезок времени не должен превышать трёх месяцев. Нарушение расписания внешнего сканирования на уязвимости влечет за собой наложение дополнительных требований к системе менеджмента информационной безопасности в организации. Во-первых, необходимо будет все же провести ASV-сканирование на уязвимости, добиться «зеленого» отчета. А во-вторых, потребуется разработать дополнительную процедуру, которая не будет допускать подобных нарушений расписания в будущем.
Исследование Cisco о соблюдении стандарта PCI DSS
После крупных взломов карточных платежных систем, произошедших в последние годы, организации, не желающие разделить печальную участь пострадавших, стали активно обсуждать вопросы внедрения и соблюдения стандартов информационной безопасности PCI DSS, PA DSS, PTS и т.п. По заказу Cisco аналитическая компания InsightExpress опросила 500 американских руководителей, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту PCI DSS (Data Security Standard - стандарт безопасности данных) через пять лет после его разработки и в момент выхода его новой, второй версии.
В опросе приняли участие ИТ-руководители, отвечающие за соблюдение спецификаций PCI в организациях из сферы образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли. Исследователи хотели точно оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и выявить проблемы, связанные с соблюдением этих нормативных требований, а также оценить распространение определенных технологий, чтобы лучше понять, чем организации руководствуются при выполнении спецификации PCI DSS. Выяснилось следующее:
- 70 процентов опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;
- 87 процентов опрошенных полагают, что требования стандарта PCI DSS необходимы для защиты данных держателей платежных карт;
- из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта;
- 67 процентов опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;
- кроме того, 60 процентов опрошенных предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать другие проекты, связанные с сетями и сетевой безопасностью.
Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт. По мнению 43 процентов опрошенных, в этой области существуют проблемы. Кроме того, 32 процента упомянули необходимость обновления устаревших систем.
По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37 процентов), разработке и поддержке безопасных систем и приложений (32 процента) и защите хранимых данных держателей карт (30 процентов).
С аудитом требований PCI DSS лучше всех справляются государственные организации. Впрочем, подавляющее большинство других организаций тоже стараются защитить конфиденциальные данные держателей карт.
- 85 процентов опрошенных считают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78 процентов успешно прошли такой аудит с первого раза;
- как ни удивительно, наиболее высокие результаты в данной области показали государственные организации: 85 процентов госучреждений прошли аудит PCI DSS с первого раза успешно. Хуже всего проходили такой аудит медицинские организации (72 процента);
- свыше 85 процентов опрошенных знакомы с разъяснениями и рекомендациями по недавно объявленной новой версии стандарта PCI DSS 2.0.
Самыми примечательными оказались ответы на вопросы о роли технологии в платежной среде. Открылся удивительный факт: организации внедряют новые технологии заранее, еще до выхода соответствующих директив Совета США по внедрению стандартов безопасности в платежной индустрии (PCI Security Standard Council).
Хотя совет дал рекомендации по технологиям, не включенным открыто в спецификации DSS, таким как шифрование каналов "точка-точка" и EMV (карточные системы Europay, MasterCard и Visa с микропроцессорами и PIN-кодами), точных стандартов для шифрования "точка-точка" до сих пор не существует. Тем не менее организации принимают эту технологию в надежде на "сжатие среды пользовательских данных", то есть уменьшение требований к компьютерным системам, обрабатывающим данные держателей платежных карт. Кроме того, хотя совет дал некоторые разъяснения по поводу виртуализации, мир ждет дополнительную информацию по этому вопросу. При этом многие организации не ждут разъяснений совета и внедряют передовой опыт в нужных областях самостоятельно.
- 57 процентов опрошенных удовлетворены текущим состоянием дел в области безопасности виртуальной среды в своих организациях;
- 36 процентов хотят увеличить число виртуальных устройств безопасности (межсетевых экранов и систем предотвращения вторжений), чтобы удовлетворить требования PCI 2.0;
- 30 процентов стремятся увеличить защищенность виртуализационного программного обеспечения с помощью методов, рекомендуемых производителями и стандартом PCI DSS;
- 60 процентов организаций используют шифрование "точка-точка", чтобы упростить соблюдение требований безопасности и по возможности уменьшить объем следующей аудиторской проверки PCI DSS;
- шифрованием "точка-точка" пользуется почти 70 процентов финансовых организаций;
- 45 процентов опрошенных заявили, что используют спецификации EMV, чтобы уменьшить вероятность мошенничества;
- еще 23 процента не используют EMV, но думают о внедрении этой технологии.
Перспективы развития стандарта PCI DSS
Основной угрозой для всех участников индустрии платежных карт, без сомнения, является мошенничество. Только в Великобритании ущерб от мошеннических операций с пластиковыми картами за 2011 год составил 341млн фунтов, по данным Британской ассоциации по предотвращению мошенничеств (FFA).К сожалению, статистика типична для многих стран.[6]
Основные три типа мошенничестваосновываются на краже персональных данных держателя карты.Если расположить их в порядке убывания популярности среди мошенников, то получится следующая картина.Сardnotpresentfraud – осуществление операций, для которых не требуется непосредственного присутствия держателя карты. Это позволяет мошенникам, которым удалось завладеть данными, напечатанными на карте клиента, производить от его имени покупки, например в интернет магазинах. Skimming– незаметное для клиента копирование данных его карты для последующего изготовления дубликата и осуществления с помощью него операций.И на третьем месте по распространенностиокажется кража или утеря карт.
Без гарантий
К счастью, с 2004 года ответственность за стандартизацию и консолидацию мер по защите данных держателей карт взяла на себя организация PaymentCardIndustrySecurityStandardsCouncil. Она разработала известный стандарт PCIDSS, которыйсегодня включает 12 требований. Их выполнение позволяет противостоять краже и недобросовестному использованию данных держателей карт, которые хранятся в системах процессингового центра или любой другой организации, которая тем или иным образом такие данные обрабатывает.
В России платежная система VISA даже сделала разработанный стандарт обязательным к сертификации для своих членов. Поэтому ежегодно перед большинством российских организаций, так и иначе занимающихся обработкой или хранением карточных данных, возникает задача подготовки своих систем кPCIDSS-аудиту. Но парадокс ситуации в том, что на задачи, связанные с подготовкой к аудиту, выделяется львиная доля ресурсов и средств. Однако при этом организация, получившая сертификат соответствия PCIDSS, необеспечивает себе должного уровня защиты от основных типов мошеннических действий.По статистике, основной ущерб приходится на операции электронной коммерции и изготовление поддельных карт. Текущие же требования PCIDSSв большинстве случаев не позволяют их предупредить.
Методы борьбы
Участники индустрии платежных карт самостоятельно разрабатывают механизмы защиты от подобного рода преступлений.Во-первых, создан протокол 3-DSecure, чтобы обеспечить дополнительный уровень безопасности при осуществлении online-операций по кредитным и дебитным картам.Использование этого протокола позволяет реализовать при осуществлении online-платежей принцип двухфакторной аутентификации "что-то имею и что-то знаю". Такой подход, в свою очередь,сильно уменьшает риски банка-эквайера, предлагающего услуги электронной коммерции. Во-вторых, все больше выпускается чиповых карт с поддержкой динамической аутентификацией данных (DDA). Изготовление на их основе поддельных карт –трудноосуществимая сегоднязадача.
Если рассмотреть пример все той же Великобритании, которая является наиболее активным участником сообщества государств, уделяющих противодействию преступлениям в индустрии платежных карт особое внимание, то начало перехода большинства банков этой страны на эмиссию чиповых карт в 2004 году позволило уменьшить потери, связанные с изготовлением поддельных карт, в четыре раза!
Также, говоря о современных средствах противодействия угрозам, нельзя не упомянуть активно развивающиеся сейчас системы фрод-мониторинга (Fraudpreventionsystems). Они призваны распознавать мошенническую операцию непосредственно в момент попытки ее осуществления за счет заранее определенных правил.
Таким образом, основной ценностью системыфрод-мониторинга является именно эффективный набор правил. Он может быть получен двумя путями. Во-первых, на основании накопленного опыта сотрудниками самого процессингового центра, который использует систему. Во-вторых, с помощью усвоения данных по уже пройденным транзакциямсамой системой, что является более автоматизированным подходом, в том числе исключающим возможные ошибки сотрудников.Хотя для того чтобы стать по-настоящему эффективными, подобным технологиям предстоит еще много развиваться, в долгосрочной перспективе экономический эффект от их использованияможет оказаться очень серьезным.
Грустная статистика
Но даже при наличии у организаций подобных инструментов защиты, случаев мошенничеств в России пока меньше не становится.Особенно острой данная проблема видится в связи с активным ростом рынка электронной коммерции. Очевидно, что если не предпринимать активных усилий, то объем мошеннических операций будет расти, в лучшем случае, теми же темпами. Пока так и происходит: по статистике, объем преступлений в 2010 году по сравнению с 2006 годом вырос в разы! Сохранение тенденции можетпоставить под угрозу дальнейшее развитиеэлектронной коммерции!
Причина удручающей статистики, скорее всего, кроется в том, что многие операторы услуг электронной коммерции не используют современные средства защиты от мошенничества. На рынке велика доля карт с магнитной полосой, наиболее уязвимых для клонирования. Множество банков позволяют своим клиентам (интернет-магазинам) осуществлять операции электронной коммерции, аутентифицируя покупателя только по CVV2/CVC2. в результате процент "защищенных" операций остается очень низким. Пути решения
Думается, что стандартизацию и консолидацию усилий всех участников индустрии платежных карт по разработке и внедрению подобных средств защиты все же целесообразно также возложить на PCIDSS-сообщество. Ведь задачи их внедрения полностью соответствуют идеологии стандарта. Что еще более важно, в таком виде сертификация PCIDSS получит статус процедуры, которая действительно позволит банкам и другим участникам сообщества значительно уменьшить собственные издержки и повысить доверие клиентов.Пока затраты на доработку процессинговых систем, которые требуются для прохождения сертификации (например, в части шифрования данных), позволяют эффективно бороться все же с меньшей по масштабам проблемой внутреннего фрода и хакерских атак извне.
Конечно, внедрение современных мер защиты потребует еще больших затрат на их реализацию по сравнению с подготовкой к PCI DSS-аудиту. В первую очередь новый подход "ударит" по небольшим организациям. Но если в стандарте выделить особый уровень соответствия, включив в него требованияиспользовать основные из описанных выше технологий, то, безусловно, из популярность возрастет. Фактически начнется процесс стандартизации этих технологий, что позволит более эффективно противостоять возникающим вызовам. А значит, повысится безопасность платежей с использованием пластиковых карт.
К тому же законодательство развивается в сторону усиления ответственности поставщиков карточных сервисов. Инвестиции в защиту от мошенничества помогут банкам принять превентивные меры и тем самым минимизировать потери.
9 проблем соответствия стандарту PCI DSS
Результаты исследования показали, что 32% компаний, имеющих дело с данными о владельцах банковских карт, не имеются четкой политики информационной безопасности, 12,6% - используют простые пароли для доступа к ИС, 15,3% передают данные о держателях платежных карт в незашифрованном виде по электронной почте.
Компании, которые обрабатывают, передают или хранят данные о владельцах банковских карт, обязательно должны обладать средствами контроля и управления безопасностью в соответствии с требованиями стандарта PCI DSS. Специалисты компании WatchGuard Technologies провели исследование, в котором участвовали1000 компаний России, стран СНГ и Восточной Европы. По результатам этого исследования определились 9 основных проблем реализации требований стандарта. И рекомендовали, как этих проблем можно избежать.
Отсутствие четкой политики по информационной безопасности
Чтобы соответствовать требованиям стандарта PCI DSS, компании обязаны создать четкую политику информационной безопасности, которая должна включать правила по операционной безопасности, использованию систем, управлению безопасностью и многое другое. У 32% респондентов она полностью отсутствует.
Обезьяна или дракон?
12,6% респондентов указали, что при доступе к информационным ресурсам очень часто используются простые пароли, которые система имеет по умолчанию. Они легко могут быть скомпрометированы. При начальной настройке межсетевого экрана необходимо все эти пароли изменить. Согласно недавно опубликованным данным, наиболее распространенными паролями являются: слова "Пароль", "Обезьяна", "Дракон"; простые наборы цифр и букв 123456, 1234567, 12345678, abc123; стандартное расположение букв на клавиатуре, такое как "QWERTY"; жаргонизмы Letmein, trustno1.
Попытки защитить данные о владельцах банковских карт при отключенной IPS-системе или ее отсутствии
8,1% из опрошенных отметили, что одной из главных проблем является отсутствие системы предотвращения сетевых вторжений (IPS – Intrusion Prevention System). Существует несколько способов обеспечения безопасности данных владельцев банковских карт. Система IPS является одной из ключевых технологий защиты, про которую часто забывают. Для хакеров IPS то же, что антивирус для вирусов. Система блокирует попытки хакеров проникнуть в систему и помогает надежно защитить данные о владельцах банковских карт. Для обеспечения максимальной защиты конфиденциальной информации систему IPS необходимо всегда держать в активном режиме.
Передача данных о владельцах банковских карт в незашифрованном виде через открытые сети общего пользования
15,3% компаний сказали, что зачастую данные о держателях платежных карт передаются в незашифрованном виде через обычную электронную почту. Подобные действия могут привести к краже и нарушению конфиденциальности ценной информации. Для того чтобы этого не произошло, при передаче данных рекомендуется всегда использовать шифрование, в особенности шифрование электронной почты, что является ключевым компонентом для соответствия требованиям стандарта PCI DSS.
Открытый доступ к данным о владельцах банковских карт
По мнению 10,2% компаний, приблизительно 80% всех нарушений правил безопасности происходят по вине сотрудников компании. Имея беспрепятственный доступ к конфиденциальной информации, они могут спокойно использовать ее в личных целях, что подвергает данные о держателях пластиковых карт высокому риску. Чтобы уменьшить количество нарушений, компании должны использовать "правило наименьшего количества привилегий". Пользователям необходимо предоставлять доступ к минимальному числу ресурсов, необходимых для работы. Если же доступ к данным не ограничен, это может привести к утечке данных о держателях банковских карт. В таких случаях рекомендуется использовать модель RBAC (контроль доступа на основе "ролей"), разделение обязанностей и другие формы "правила наименьшего количества привилегий". Выполнение правил даст компании уверенность в том, что пользователи имеют доступ только к тем данным, которые им действительно необходимы.
Нарушение правил установки и конфигурирования межсетевого экрана
6,3% опрошенных отметили, что большинство нарушений правил безопасности – результат неправильной настройки межсетевого экрана. Вывод – настройку должны осуществлять только сертифицированные технические специалисты. Кроме того, необходимо регулярно проводить аудит настройки межсетевых экранов, поскольку ИТ-ресурсы и информационная среда компании постоянно меняются.
Отсутствие антивирусных систем или нерегулярное обновление антивирусных баз
6,9% опрошенных отметили, что отсутствие шлюзового антивируса мешает им полностью соответствовать требованиям PCI DSS. В отличие от антивирусного программного обеспечения, которое используется на пользовательских рабочих станциях, шлюзовой антивирус блокирует угрозы на периметре сети. Шлюзовой антивирус – это дополнительный уровень защиты информационных ресурсов и конфиденциальных данных. Его важным преимуществом является то, что антивирус работает на периметре сети, а не на рабочей станции. Таким образом, производительность локальных компьютеров пользователей не снижается. Чтобы добиться максимального уровня защиты, нужно использовать шлюзовой антивирус вместе с дополнительным антивирусным программным обеспечением, установленным на пользовательских станциях.
Отсутствие системы контроля и управления приложениями
5,1% респондентов используют устаревшие межсетевые экраны, которые не способны отличить web-приложения от web-сайтов. В ответ злоумышленники часто создают специальные web-приложения, которые позволяют им "обойти" межсетевой экран и украсть данные о владельцах банковских карт. В связи с этим подходить к задаче защиты информационных ресурсов компании нужно комплексно и использовать для этого межсетевые экраны нового поколения, которые обладают функционалом контроля и управления приложениями.
Отсутствие системы контроля и управления доступом к сетевым ресурсам и данным о владельцах банковских карт
Некоторые компании (3,5%) не совсем правильно понимают принцип сетевой безопасности "Установил и забыл" (Set it and Forget it). После того как межсетевой экран установлен в сеть, сотрудники компании забывают о нем и перестают проверять отчеты системы безопасности, что совершенно неверно. Многие нарушения политик безопасности можно достаточно легко блокировать, для этого достаточно на регулярной основе проверять отчеты и журналы системы безопасности.
Соблюдение требований PCI DSS не гарантирует защиты компаний от вторжений
Отчет Verizon конца 2014 года о безопасности мобильных устройств и розничной торговли и о соблюдении требований Payment Card Industry Data Security Standard (PCI DSS) показывает, что многие компании по завершении соответствующих проектов перестают соответствовать этим требованиям. В результате у них появляются пробелы в защите, чреватые в будущем хищением данных и их утратой, что можно было бы предотвратить.
«Большинство клиентов по-прежнему рассматривают обеспечение соответствия стандарту как проект продолжительностью два-три месяца», — заявил директор Verizon по профессиональным услугам в области выполнения требований регуляторов и управлению Родольфи Симонетти. Где клиенты терпят провал, так это, по его словам, в поддержании соответствия нормативным требованиям по завершении проектов, поскольку не продолжают работу с системами.
Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ)
PA-DSS — стандарт безопасности платежных приложений (Payment Application Data Security Standard)
Примечания
- ↑ Совет PCI SSC опубликовал новый вариант стандарта безопасности для платежных карт
- ↑ PCI DSS 3.2: что изменилось и к чему готовиться
- ↑ PCI DSS: готовится выпуск обновленной версии 3.2
- ↑ Требования стандарта PCI-DSS 3.0 ужесточатся
- ↑ Сертификация PCI DSS: часто задаваемые вопросы
- ↑ CNews:Перспективы развития стандарта PCI DSS