Стандарт PCI DSS
В последние годы по всему миру участились случаи взлома банковских информационных систем, а также факты мошенничества и кражи данных держателей карт. Подобная нездоровая тенденция послужила одной из главных причин, побудивших международные платежные системы объединить свои усилия и принять дополнительные меры для защиты своих клиентов. В этих целях в 2004 году был разработан единый набор требований к безопасности данных — Payment Card Industry Data Security Standard, объединивший в себе требования ряда программ по безопасности таких платежных систем как Visa Int., MasterCard, American Express, Discover Card и JCB. Впоследствии, в сентябре 2006 года, для развития и продвижения стандарта PCI DSS, был создан специальный Совет по безопасности – PCI Security Standards Council (www.pcisecuritystandards.com). Основными функции Совета по безопасности являются разработка и публикация стандартов PCI и всей сопутствующей документации, определение требований к компаниям, планирующим получить сертификацию для проведения аудитов по PCI DSS («QSA») и сканирований («ASV»), осуществление непосредственно самой сертификации, проведение обучающих тренингов для будущих QSA-аудиторов, а также осуществляют контроль качества проведенных аудиторами работ. В свою очередь международные платежные системы принимают отчетность по результатам аудитов и оценивают работу QSA.
Сферы применения PCI DSS
Действие стандарта PCI DSS распространяется на все торгово-сервисные предприятия (merchants ) и поставщиков услуг (service providers), работающих с международными платежными системами, т.е. на всех тех, кто передает, обрабатывает и хранит данные держателей карт. В таблице ниже проиллюстрированы различные типы данных и требования к ним, которые выдвигает PCI DSS.
| Данные | Хранение разрешено? | Требуется защита? |
Требование 3.4 стандарта PCI DSS | |
|
Данные держателей карт |
Номер PAN | Да | Да | Да |
| Имя держателя карты* | Да | Да* | Нет | |
| Код обслуживания* | Да | Да* | Нет | |
| Дата истечения срока действия* | Да | Да* | Нет | |
|
Критичные данные авторизации (sensitive authentication data)** |
Полное содержание магнитной полосы | Нет | - | - |
| Коды CVC2/CVV2/CID | Нет | - | - | |
| ПИН / ПИН-блок | Нет | - | - |
* — Эти данные должны защищаться, если они хранятся вместе с номером PAN.
** — Критичные данные авторизации (sensitive authentication data) не должны храниться после прохождения процедуры авторизации (даже если они зашифрованы).
Также в зависимости от количества обрабатываемых транзакций каждой платежной системой компании присваивается определенный уровень с соответствующим набором требований, которые должны выполняться в обязательном порядке. Это может быть ежегодное прохождение аудита, ежеквартальные сканирования сети или ежегодное заполнение листа самооценки (Self Assessment Questionnaire – специальная анкета, разработанная PCI SSC для самооценки компаний).
Компания «Visa» разработала программу получения соответствия стандарту PCI DSS для участников платежной системы — Visa Account Information Security.
Аналогичная программа была разработана и компанией MasterCard — MasterCard Site Data Protection
Полный текст стандарта PCI DSS можно получить:
- на русском — на сайте pcisecurity.ru
- на других языках — на сайте Консула PCI
Официальным источник информации является сайт Консула PCI, там можно найти:
- ответы на частые вопросы — FAQ
- описание рисков, связанных с каждым требованием стандарта — Navigating PCI DSS Document (на русском — на сайте pcisecurity.ru)
Стандарт PCI PA-DSS
Требования Стандарта безопасности данных платежных приложений (PA-DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures). Эти документы, с которыми можно ознакомиться на сайте Консула PCI, содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (а следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту).
Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт. Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их.
Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются:
- хранение данных магнитной полосы карты в сети клиента после авторизации;
- использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS, например, антивирусных программ или межсетевых экранов;
- использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента.
При использовании в среде, соответствующей требованиям стандарта PCI DSS, защищенных приложений платежных систем уменьшается вероятность нарушения безопасности, приводящего к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), PIN-кодов и PIN-блоков и, в результате, к осуществлению хакерами мошеннических операций.
Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA-DSS можно получить на сайте Консула PCI: https://pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html
PCI PED
Организации индустрии платежных карт разрабатывают общий стандарт, регулирующий в том числе аспекты безопасности устройств ввода PIN-кодов (PIN entry devices, PEDs). Требования к таким устройствам регламентируют методологию тестирования устройств и процесс утверждения сертифицированных устройств и включают требования по защите PIN-кодов.
Задача PCI PED — удостовериться в том, что устройство, принимающее PIN-код, обеспечивает защиту чувствительной информации, такой как резидентные ключи, PIN владельца пластиковой карты и др.
Цель требований заключается в обеспечении единого, последовательного и точного стандарта для всех устройств ввода PIN-кодов по всему миру.
Программа тестирования и утверждения устройств ввода PIN-кодов отражает стандартный набор:
- требования безопасности к устройствам,
- методология тестирования,
- процесс сертификации и утверждения.
Более подробно со стандартом можно ознакомиться на сайте Консула PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtml
