Payment Card Industry Data Security Standard (PCI DSS) – это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Стандарт разработан крупнейшими международными платёжными системами Visa и MasterCard. На сегодняшний день это самый полный комплекс мер по обеспечению безопасного хранения и передачи платежных данных.

Игорь Горин

Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Межбанковская система доставки и оплаты счетов Portmone.com стала первой украинской компанией, которая успешно прошла данную сертификацию еще в 2008 году. Мы попросили рассказать подробнее о стандарте безопасности и нюансах, связанных с его работой директора Portmone.com, Игоря Горина.

— Господин Горин, какие еще существуют стандарты безопасности при работе с картами и в чем их отличие от PCI DSS?

— Особо ничего нового. PCI — это объединение существующий стандартов. Его совершенствование (сейчас уже версия 2.1) – радикально не изменила ничего, а лишь усовершенствовала существующие нормы и требования стали жестче.

— Какие требования предъявляются к компаниям, прошедшим проверку на соответствие стандарту?

— Набор требований отличается в зависимости от “крупности” компаний. Так например для мелких компаний (делающих менее 300 тыс. транзакций в год) достаточно только ежеквартального сканирования, а заполние формы требований стандарта производится компанией самостоятельно, “под честное” слово, и внешними аудиторами не проверяется.

Для остальных существуют три самые главные проверки: ежеквартальное внешнее сканирование, один раз год – тест на проникновение, и один раз в год полный аудит всей системы аудиторами внутри компании. Но проверки это всего лишь проверки. Это как экзамены, но если к безопасности относится как к знаниям, то заниматься ею нужно непрерыно, как и учится.

— С чем связана сложность прохождения компаниями проверки на соответствие стандарту?

— Стандарт достаточно сложный, требований очень много. Даже элементарный пункт с одного предложения может стоит 2-3 месяцев подготовки, чтобы его выполнить.

— Что такое уровни соответствия стандарту PCI DSS и в чем между ними различие?

— Первоначально уровней было 3, теперь сократили градации до двух. Подробнее об этом можно прочесть на сайте MasterCard.

— PCI DSS был разработан МПС VISA и MasterCard. А насколько эффективно его применение для работы с картами других платежных систем?

— Конечно, Visa и Mastercard это не ограничилось. В Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) вошли еще и JCB, American Express и Discovery.

— Как обеспечивается хранение данных и доступ к ним? Как осуществляется передача данных?

— Требования к технологии обработки и хранения данных являются хоть и основными, но далеко не единственными. Другое дело, что с точки зрения бытовой эрудиции дилетантов в области безопасности, только этими вопросами все и ограничивается.

Что касается хранения – стандарт, конечно не говорит какие решения и каких производителей использовать. Но ряд требований прописан достаточно четко:

  • ни под каким предлогом нельзя хранить CVV2-код карты;
  • номер карты должен хранится в зашифрованном состоянии и четко указан перечень допустимых алгоритмов шифрования и используемой длины ключа.

Кроме того, стандартом определяется методика самого доступа к зашифрованным данным. Вот несколько моментов:

  • доступа к паролю сисадмина, DBA, хранилищу ключей и к самим криптографическим ключам ключам не имеет никто. Все пароли разбиваются как минимум на две части и каждую часть знает только отдельный сотрудник. Для доступа к данным необходимо что бы каждый сотрудник ввел свою часть.
  • даже зная DBA (сисадмин базы данных) пароль, нельзя получить доступ к файлам базы данных и к ключам.
  • зная пароль админа операционной системы, нельзя получить доступ к содержимому базы данных и к ключам.

И того, получается что в случае пробоя одной из систем (сетевого проникновения, доступа к базе данных и т.д.), расшифровка базы с реквизитами карт становится невозможной.

Аналогично происходит и защита от “уволенных сотрудников”, т.е. в случае компрометации данных изнутри – никто в компании не имеет единоличного доступа к данным. Для получения данных по карте необходим ввод ключей как минимум 8-ми сотрудников.

— Кто осуществляет проверку компаний на соответствие требованиям PCI DSS?

— Конечно, любая IT-компнания, пусть даже и специализирующуюся на IT-безопасности, заниматься аудитом не имеет права. Для этого будущий аудитор должен пройти специальную подготовку и сертификацию. Компаний имеющих соответствующий статус QSA — достаточно ограниченный список. В нашей стране недавно такие компании тоже появились, их буквально 2-3.

— Существует ли опасность обхода хакерами или кардерами степеней защиты стандарта?

— Опасность есть всегда!

Есть два подхода к безопасности. Первый – непрофессиональный. Он заключается в том, что все что касается безопасности нужно или замалчивать или говорить что все абсолютно безопасно. Отсюда иногда делается делитанский вывод – зачем вообще заниматься стандартами безопасности, если абсолютной гарантии дать никто не может. Но это похоже на утверждение – зачем закрывать дверь в дом, если воры все равно замки взламывают.

Существует и второй, профессиональный подход – безопасность должна быть комплексной. Применение только одного или нескольких методов никакой защиты не дает. И самое главное “система безопасности” это не состояние когда нет никакой опасности, это — “управление рисками”. Т.е. это то, чем заниматься и что совершенствовать нужно ежедневно и непрерывно.

Подробнее со списками компаний, прошедших сертификацию по стандарту PCI DSS можно ознакомиться на сайтах VISA и Mastercard. Также много полезной информации можно почерпнуть в сообществе профессионалов PCI DSS.

Источник

Добавить комментарий