Не так давно в сети развернулась дискуссия относительно противоречивости мнений аудиторов различных компаний, толчком к которой явилось мнение о передаче номеров платежных карт в открытом виде во внутренней сети компании. Тема оказалось достаточно интересной и её подхватили авторитетные в области информационной безопасности специалисты, что ещё больше «подлило масла в огонь», а вместе с тем добавило замешательства специалистам относительно выполнений требований стандарта PCI DSS. Попробуем разобраться, опираясь на официальные документы консула, в ставшем «камнем преткновения» вопросе.

Обратимся к первоисточнику, стандарту PCI DSS v. 1.2.1, требование 4.2.

4.2 Запрещена передача номеров платежных карт в открытом виде в системах обмена сообщениями (электронной почтой, системами мгновенного обмена сообщениями, в чатах)
4.2 Never send unencrypted PANs by end-user messaging technologies (for example, e-mail, instant messaging, chat)

При этом стоит учитывать требование самого 4-го раздела: «Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользования» (Requirement 4: Encrypt transmission of cardholder data across open, public networks), из чего можно сделать вывод о применимости всех последующих подпунктов именно к открытым сетям, что и явилось разногласием в мнениях аудиторов.

Однако, обратимся к документу Navigating PCI DSS: Understanding the Intent of the Requirements v. 1.2.1.

4.2. Сообщения электронной почты, систем мгновенного обмена сообщениями и чатов, содержащие номера платежных карт, могут быть перехвачены анализаторами трафика (снифферами) при прохождении через внутренние и общедоступные сети. Запрещается использование данных систем для передачи номеров платежных карт в открытом виде.
4.2 E-mail, instant messaging, and chat can be easily intercepted by packet-sniffing during delivery traversal across internal and public networks. Do not utilize these messaging tools to send PAN unless they can provide encryption capabilities.

Видно, что требование 4.2. распространяется как на публичные, так и на внутренние сети, что ещё раз подчеркивает Совет на своем официальном сайте, отвечая на вопросы в разделе FAQ:

Возможна ли пересылка в открытом виде номеров платежных карт с помощью систем обмена сообщениями, либо в чате?
Требование 4.2 стандарта PCI DSS запрещает пересылку номеров платежных карт в открытом виде по электронной почте как по внутренним, так и по публичным сетям. Системы обмена сообщениями и чаты рассматриваются как альтернативы электронной почты и также попадают под действие требования 4.2. В соответствии с требованием 4.1 стандарта PCI DSS при отправке данных платежных карт через публичные, открытые сети должны использоваться безопасные протоколы и криптостойкие алгоритмы шифрования. В качестве напоминания — ни при каких обстоятельствах критичные данные аутентификации (такие, как CAV2, CID, CVC2, CVV2) не должны храниться после получения авторизации.

Следовательно, стандарт PCI DSS запрещает передавать номера платежных карт в открытом виде посредством электронной почты, систем мгновенной передачи сообщений (icq, jabber) и чатов как по внутренним, так и по публичным сетям.