Payment Card Industry Data Security Standard (PCI DSS) – это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Стандарт разработан крупнейшими международными платёжными системами Visa и MasterCard. На сегодняшний день это самый полный комплекс мер по обеспечению безопасного хранения и передачи платежных данных.
Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.
Межбанковская система доставки и оплаты счетов Portmone.com стала первой украинской компанией, которая успешно прошла данную сертификацию еще в 2008 году. Мы попросили рассказать подробнее о стандарте безопасности и нюансах, связанных с его работой директора Portmone.com, Игоря Горина.
— Господин Горин, какие еще существуют стандарты безопасности при работе с картами и в чем их отличие от PCI DSS?
— Особо ничего нового. PCI — это объединение существующий стандартов. Его совершенствование (сейчас уже версия 2.1) – радикально не изменила ничего, а лишь усовершенствовала существующие нормы и требования стали жестче.
— Какие требования предъявляются к компаниям, прошедшим проверку на соответствие стандарту?
— Набор требований отличается в зависимости от “крупности” компаний. Так например для мелких компаний (делающих менее 300 тыс. транзакций в год) достаточно только ежеквартального сканирования, а заполние формы требований стандарта производится компанией самостоятельно, “под честное” слово, и внешними аудиторами не проверяется.
Для остальных существуют три самые главные проверки: ежеквартальное внешнее сканирование, один раз год – тест на проникновение, и один раз в год полный аудит всей системы аудиторами внутри компании. Но проверки это всего лишь проверки. Это как экзамены, но если к безопасности относится как к знаниям, то заниматься ею нужно непрерыно, как и учится.
— С чем связана сложность прохождения компаниями проверки на соответствие стандарту?
— Стандарт достаточно сложный, требований очень много. Даже элементарный пункт с одного предложения может стоит 2-3 месяцев подготовки, чтобы его выполнить.
— Что такое уровни соответствия стандарту PCI DSS и в чем между ними различие?
— Первоначально уровней было 3, теперь сократили градации до двух. Подробнее об этом можно прочесть на сайте MasterCard.
— PCI DSS был разработан МПС VISA и MasterCard. А насколько эффективно его применение для работы с картами других платежных систем?
— Конечно, Visa и Mastercard это не ограничилось. В Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) вошли еще и JCB, American Express и Discovery.
— Как обеспечивается хранение данных и доступ к ним? Как осуществляется передача данных?
— Требования к технологии обработки и хранения данных являются хоть и основными, но далеко не единственными. Другое дело, что с точки зрения бытовой эрудиции дилетантов в области безопасности, только этими вопросами все и ограничивается.
Что касается хранения – стандарт, конечно не говорит какие решения и каких производителей использовать. Но ряд требований прописан достаточно четко:
- ни под каким предлогом нельзя хранить CVV2-код карты;
- номер карты должен хранится в зашифрованном состоянии и четко указан перечень допустимых алгоритмов шифрования и используемой длины ключа.
Кроме того, стандартом определяется методика самого доступа к зашифрованным данным. Вот несколько моментов:
- доступа к паролю сисадмина, DBA, хранилищу ключей и к самим криптографическим ключам ключам не имеет никто. Все пароли разбиваются как минимум на две части и каждую часть знает только отдельный сотрудник. Для доступа к данным необходимо что бы каждый сотрудник ввел свою часть.
- даже зная DBA (сисадмин базы данных) пароль, нельзя получить доступ к файлам базы данных и к ключам.
- зная пароль админа операционной системы, нельзя получить доступ к содержимому базы данных и к ключам.
И того, получается что в случае пробоя одной из систем (сетевого проникновения, доступа к базе данных и т.д.), расшифровка базы с реквизитами карт становится невозможной.
Аналогично происходит и защита от “уволенных сотрудников”, т.е. в случае компрометации данных изнутри – никто в компании не имеет единоличного доступа к данным. Для получения данных по карте необходим ввод ключей как минимум 8-ми сотрудников.
— Кто осуществляет проверку компаний на соответствие требованиям PCI DSS?
— Конечно, любая IT-компнания, пусть даже и специализирующуюся на IT-безопасности, заниматься аудитом не имеет права. Для этого будущий аудитор должен пройти специальную подготовку и сертификацию. Компаний имеющих соответствующий статус QSA — достаточно ограниченный список. В нашей стране недавно такие компании тоже появились, их буквально 2-3.
— Существует ли опасность обхода хакерами или кардерами степеней защиты стандарта?
— Опасность есть всегда!
Есть два подхода к безопасности. Первый – непрофессиональный. Он заключается в том, что все что касается безопасности нужно или замалчивать или говорить что все абсолютно безопасно. Отсюда иногда делается делитанский вывод – зачем вообще заниматься стандартами безопасности, если абсолютной гарантии дать никто не может. Но это похоже на утверждение – зачем закрывать дверь в дом, если воры все равно замки взламывают.
Существует и второй, профессиональный подход – безопасность должна быть комплексной. Применение только одного или нескольких методов никакой защиты не дает. И самое главное “система безопасности” это не состояние когда нет никакой опасности, это — “управление рисками”. Т.е. это то, чем заниматься и что совершенствовать нужно ежедневно и непрерывно.
Подробнее со списками компаний, прошедших сертификацию по стандарту PCI DSS можно ознакомиться на сайтах VISA и Mastercard. Также много полезной информации можно почерпнуть в сообществе профессионалов PCI DSS.
