Эта статья является продолжением начатой темы про соответствие стандарту (PCI compliance) и проверкой соответствия (PCI Validation).

Итак, начнем с области применения стандарта PCI DSS. Несмотря на то, что исходно стандарт PCI DSS  разрабатывался в основном для крупных торгово-сервисных организаций (миллионы транзакций в год) и сервис-провайдеров и нацелен на снижение рисков утечки данных «чужих» платежных карт в рамках, в основном, процессов авторизации, его требования должны выполнять любые компании, в которых происходит обработка, хранение или передача как минимум PAN.

Данную позицию PCI SSC (организация, ответственная за разработку стандарта PCI DSS) изложила в ответе на один из вопросов аудиторов Информзащиты в своем FAQ.

Сложности при выполнении требований стандарта испытывают банки, которые занимаются выпуском платежных карт, их системы, обеспечивающие выпуск карт, особенно если они интегрированы с АБС, в большинстве случаев разрабатывались без оглядки на требования PCI DSS такие, как шифрование PAN, протоколирование доступа к PAN и т.п. Доработка существующих систем (или замена, что может быть даже дешевле) под выполнение требований по безопасности — задача затратная и по времени, и по ресурсам и для бизнеса не совсем очевидная особенно сейчас, в условиях мирового финансового кризиса. 

С другой стороны, если вспомнить, что контроль применения стандарта PCI DSS лежит на ответственности самих платежных систем, то первоочередная задача по достижению и демонстрации PCI Compliance может быть ограничена. Рассмотрим требования наиболее распространенных платежных систем VISA и MasterCard к области проверки выполнения требований стандарта PCI DSS в регионе CEMEA, которые они доводят до аудиторов QSA:

• VISA — в область проверки в ходе ежегодного аудита должны входить как минимум все системы, поддерживающие процессы авторизации платежей, клиринга и сеттелмента, а также фрод-мониторинга, разрешения диспутов и поддержки клиентов (колл-центры).
• MasterCard — в область проверки в ходе ежегодного аудита должны входить как минимум все системы, поддерживающие процессы авторизации платежей, клиринга и сеттелмента. Таким образом, в ходе ежегодного аудита проверять выполнение требований стандарта PCI в остальных ИТ-системах банка, не связанных с вышеуказанными процессами, таких, как системы, поддерживающие выпуск карт, обеспечивающие аналитику по использованию карт и т.п. не требуется. При этом должны быть выполнены одновременно следующие условия (т.к. такие системы классифицируются как Connected Systems, т.е. подключенные системы):

1. Исключаемые из области проверки ИТ системы должны быть отделены межсетевым экраном (разумеется, правильно сконфигурированным в соответствии с требованиями стандарта),
2. Интерфейс взаимодействия между ИТ-системами, исключаемыми из области проверки, и ИТ-системами, включенными в область проверки, должен обеспечивать достаточный уровень защищенности последних.

Должны применятся защитные меры, позволяющие при компрометации любой ИТ-системы, обрабатывающей данные платежных карт и исключенной из области проверки, понизить риск компрометации подключенных к ним ИТ-систем, включенных в область проверки. Примерам обеспечения безопасности интерфейса взаимодействия будет посвящена отдельная статья.

Особенно интересен тот факт, что не требуется проверять и сети банкоматов (что выглядит странным, т.к. они участвуют в авторизации непосредственным образом). Стоит заметить, что с учетом опыта последних инцидентов с вирусами на банкоматах МПС (в частности VISA) рекомендует для снижения подобных рисков реализовать для банкоматов те же защитные меры, что вошли в стандарт PCI DSS, но это именно рекомендации. То есть члены платежной системы вправе рассмотреть их эффективность, вправе даже привлечь QSA-аудиторов для оценки их выполнения, но невыполнение ряда требований PCI DSS на банкоматах не может быть классифицировано аудиторами как несоответствие стандарту PCI DSS, препятствующее получению сертификата соответствия в рамках определенной самими платежными системами области проведения сертификационного аудита (PCI Validation Scope). Для сравнения, на Западе аудиторы проверяют и банкоматы тоже.

Таким образом, для того чтобы снизить затраты на выполнение требований платежных систем по достижению PCI Compliance, рекомендуется в первую очередь уменьшить область проверки путем правильной сегментации сети и внедрением защитных мер, обеспечивающих безопасность взаимодействия с подключенными системами.

При этом необходимо осознавать, что риск компрометации данных платежных карт из систем, исключенных из области проверки, будет несомненно выше, и его необходимо учитывать при планировании и внедрении системы защиты. Вполне разумным шагом выглядит планирование достижения PCI Compliance и в этих системах следующим этапом.

Максим Эмм,
QSA, CISA, CISSP, MBA