Добрый день!

При изучении требований PCI DSS возник вопрос касательно области применения требований раздела 4 (шифрования данных держателей карт при передаче по открытым сетям). Даже 2 вопроса.

1) Допустимо ли не шифровать данные при передачи данных между 2 приложениями внутри банковской сети? Передача идет напрямую, не через импорт/экспорт файлов. Вроде как это не открытая сеть, но один из специалистов высказал мнение, что возможно шифрование все равно требуется, аргументируя, что обмен данными выходит за пределы процессинговой подзоны сети банка (хотя ведь все равно весь обмен не выходит за пределы локальной сети банка и GPRS/интернет/GSM/wireless и т.п. не используются. Вся сеть от доступа снаружи естественно закрыта фаерволом.

2) Второй вопрос по поводу подпункта 4.2 о недопустимости передачи незашифрованного PAN по почте/системе обмена сообщениями. Распространяется ли это требования на внутри-корпоративные почту/систему обмена сообщениями? Т.е. где все пользователи и сервер находятся в сети банка и сообщения не выходят за их границы?

Спасибо заранее!

Здравствуйте.

1. PCI DSS определяет требование шифрования данных платежных карт при передаче их по сетям общего пользования (Интернет, Беспроводные сети, GSM, GPRS). Шифровать передачу данных внутри локальной сети не требуется стандартом, в данном случае решение принимается Вами исходя из требований бизнеса. Однако в Вашем случае, могут возникнуть другие вопросы связанные не с шифрованием, а с обработкой данных за пределами процессинга (требования стандарта распространяются на все ресурсы на которых хранятся или обрабатываются данные платежных карт).

2. Прямого нарушения стандарта в данном случае нет. Оценка необходимости передачи незашифрованных PAN по внутренней почте и оценка возникающих при этом рисков (как и в случае п.1) – зона ответственности компании.

С уважением,
Андрей Казимиров

Спасибо за ответ!

И да, мы понимаем, что требования PCI DSS будут распространяться на систему, с которой идет обмен данными, в частности планируется шифрование карточных данных в БД этой системы.

С учетом того, что вопросы про передачу данных карт по электронной почте и средствам мгновенного обмена сообщениями, поднимался многими аудиторами, Консул дает разъяснения по этому поводу в своем официальном FAQ:

Can unencrypted PANs be sent over end-user messaging technologies like instant messaging or chat?

PCI DSS requirement 4.2 prohibits the sending of primary account numbers (PANs) via unencrypted email, whether sent internally or over public networks. Instant messaging and chat should be considered an alternative mechanism of email and thus required to meet PCI DSS requirement 4.2 Per PCI DSS requirement 4.1, strong cryptography and security protocols should be used when cardholder data is sent over open, public networks As a reminder, under no circumstances should sensitive authentication data such as the card validation codes and values (CAV2, CID, CVC2, CVV2) be stored after obtaining authorization.

Таким образом, опираясь на официальое мнение консула мы обязаны рассматривать передачу номеров крат в открытом виде по ВНУТРЕННЕЙ почте таким же нарушением стандарта как и по внешней.

Можно спорить с логикой такого решения, ведь если обратиться к п. 4.1 – никаких возражений против нешифрованного трафика (между серверами и сетевыми устройствами) с PAN внутри сети организации, нет. И в этом отношении, риск перехвата во внутренней сети открытого трафика с полной информацией о транзакиции (включая критичные данные) на порядок выше, нежели возможный ущерб от перехвата почтового сообщения с номером карты. Тем не менее, мы как QSA обязаны в этом вопросе придерживаться мнения консула.