Что такое pci dss
Безопасность платежей. Часть 1: Стандарт PCI DSS
Любая отрасль в своем развитии проходит путь от свободы творчества к той или иной форме регулирования, осуществляемого государством или негосударственными организациями. Целью регулирования обычно становится защита интересов, находящихся в противоречии с извлечением прибыли, и по этой причине не являющихся предметом заботы со стороны бизнеса.
Не является исключением и платежная индустрия. Интерес бизнеса заключается в максимально быстром и комфортном осуществлении покупателями платежей в пользу торгово-сервисных предприятий и предложении всем участникам рынка сопутствующих услуг. К сожалению, удобная оплата в один клик на сайте магазина может обернуться неприятными последствиями для держателя банковской карты, если кто-то из участников платежной цепочки — магазин, банк или процессинговый центр не предприняли необходимых мер безопасности при обработке данных. Безопасность денег на картах клиентов хоть и является для бизнеса вопросом репутации, но прямой выгоды, скажем честно, не несет. Вот и вступают в игру государственные регуляторы и международные сообщества, устанавливающие требования к защите. Если ранее термин «безналичный платеж» в основном ассоциировался только с банками и квитанциями, то популяризация кредитных карт, розничных безналичных расчетов и электронных денег вовлекло в платежную индустрию малый бизнес, в основном представленный предприятиями электронной коммерции и платежными агентами.
За прошедшие несколько лет появился целый ряд нормативных документов по безопасности платежей, и судя по активности регуляторов — появятся еще. В настоящее время в России наиболее актуальными являются международные стандарты PCI DSS и PA-DSS, а также Федеральный Закон № 161-ФЗ «О национальной платежной системе» и сопутствующие ему подзаконные акты в области безопасности. Именно с ними в основном приходится сталкиваться российским компаниям, решившим связать свой бизнес с безналичными платежами. Рассмотрим их по порядку.
Стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) пришел к нам с Запада и исторически стал первым популярным набором требований к обеспечению безопасности платежей. Стандарт разработан сообществом международных платежных систем Visa, MasterCard, American Express, JCB и Discover, создавшим для его развития регулирующий орган — Совет PCI SSC.
Объектом применения этого стандарта является каждая организация, хранящая, обрабатывающая или передающая в своих информационных системах номера платежных карт, выпущенных под брендом любой из вышеуказанных международных платежных систем. То есть его требования распространяются на обычные и Интернет-магазины, банки, платежные шлюзы, процессинговые центры и прочие сопутствующие структуры. Все организации, так или иначе вовлеченные в процесс обработки платежной транзакции, согласно идеологии регулятора делятся на две категории — торгово-сервисные предприятия (merchants) и поставщики услуг (service providers). К первым относятся все, кто продает товары или услуги и принимает в оплату от покупателей банковские карты — магазины, рестораны, отели, автозаправочные станции, парковки. Ко вторым — все те, кто обеспечивает процесс оплаты — банки, платежные шлюзы, сами международные платежные системы, хостинг-провайдеры, и прочие.
Стандарт PCI DSS содержит перечень достаточно конкретных технических и организационных требований к обеспечению информационной безопасности карточных данных, разделенных на 12 разделов. Требования организованы по принципу контрольной карты, по которой можно перемещаться от одного требования к другому и ставить галочки: «выполнено» или «не выполнено». Такой подход имеет свои недостатки, профессионалы в информационной безопасности периодически ругают стандарт за негибкость и отсутствие риск-ориентированного подхода. Однако, в оправдание PCI DSS стоит сказать, что стандарт разработан для массового внедрения торгово-сервисными предприятиями, в штате которых редко присутствуют специалисты по защите информации, способные профессионально управлять рисками в стиле ISO 27001.
Требования стандарта сфокусированы на обеспечении безопасности информационной инфраструктуры на всех уровнях. В защищенных помещениях размещаются корректно настроенные сетевые устройства и серверы, используемые безопасно разработанными приложениями и базами данных. Актуальность защиты обеспечивается непрерывным мониторингом и регулярным аудитом. Обученный персонал администрирует информационные системы в соответствии с установленными процедурами. Примерно так выглядит на практике информационная безопасность с точки зрения международных платежных систем.
Подтверждать соответствие стандарту PCI DSS организации необходимо ежегодно, при этом способов подтверждения существует несколько. Это заполнение листа самооценки SAQ, выполнение внутреннего ISA-аудита и прохождение внешнего QSA-аудита. Какой способ выбрать? Ответ на этот вопрос не так очевиден, как может показаться на первый взгляд. Для начала следует вспомнить, к какому из двух основных типов относится организация — торгово-сервисное предприятие или поставщик услуг.
Если речь идет о поставщике услуг, то нужно вспомнить цифру 300 000. Это граница между первым и вторым уровнем (Level 1 и Level2), установленная как Visa, так и MasterCard для поставщиков услуг. Если ежегодное количество транзакций или общее количество хранимых в базе данных номеров карт превышает границу в 300 000, то это первый уровень, и надо звать аудиторскую компанию, обладающую статусом PCI QSA для прохождения внешнего QSA-аудита. Если количество транзакций меньше-то достаточно заполнить лист самооценки SAQ типа D и предоставить обслуживающему банку-эквайеру. Про типы листов самооценки мы поговорим позже.
Если организация является торгово-сервисным предприятием, то для неё существует целых четыре уровня. Но для простоты опять же надо помнить всего лишь одну цифру — один миллион. Если магазин обрабатывает более одного миллиона транзакций в год-то он относится к первому или второму уровню и должен ежегодно проходить внешний QSA- или внутренний ISA-аудит. Если годовое суммарное количество транзакций меньше одного миллиона, то это третий или четвертый уровень, для них будет достаточно заполнить лист самооценки SAQ, тип которого выбирается исходя из способа обработки карт. Определяющим критерием здесь является хранение номеров карт в информационных системах магазина. Если магазин хранит карточные данные, то это SAQ D. Если только передает через свои системы и не хранит — SAQ C. Если передает поставщику услуг исключительно по телефонной линии — SAQ B. Ну, а если торгово-сервисное предприятие полностью отдало обработку карточных данных на аутсорсинг сертифицированному поставщику услуг и не принимает участия даже в их передаче, то тогда к нему применим самый маленький по размеру лист самооценки SAQ A. Сводная таблица вариантов подтверждения соответствия приведена ниже.
Нужно помнить, что определения уровней торгово-сервисных предприятий и поставщиков услуг даны международными платежными системами только для общего ориентирования. Самое главное правило заключается в том, что за соблюдение поставщиком услуг или магазином требований PCI DSS ответственность в первую очередь несет его обслуживающий банк-эквайер, и только банк-эквайер вправе однозначно определить для организации способ подтверждения соответствия.
Таблица. Варианты подтверждения соответствия PCI DSS
Стандарт PCI DSS – российские реалии внедрения
Александр Суханов – эксперт по информационной безопасности «Гарда Технологии».
Петр Шаповалов — инженер по защите информации отдела консультирования и аудита Deiteriy
Стандарт PCI DSS особенности внедрения
Основная цель стандарта – консолидировать все требования по информационной безопасности, которые бы удовлетворяли все эти пять платежных систем.
Главное правило стандарта: если организация хранит и обрабатывает, передает или влияет на безопасность платежных карт этих пяти платежных систем, то соответствие требованиям PCI DSS для компании является обязательным.
Основные положения PCI DSS делятся на две составляющие:
Причем технических требований в PCI DSS значительно больше. Весь стандарт можно поделить на 12 разделов, они посвящены сети, настройкам, защите хранимых данных, передаваемых данных, антивирусной защите, разработке и поддержке систем, управлению учетными записями, средствами аутентификации, физической безопасности, протоколированию событий, контролю защищенности. Все это касается технических требований.
Есть еще один раздел, посвященный системе менеджмента информационной безопасности – это двенадцатый раздел.
Исполнение требование PCI DSS является обязательным, так как при заключении договора на обслуживание с любой из пяти платежных систем, любой банк, (принципал или аффилированный банк), обязан выполнять требования стандарта.
Платежные системы в зависимости от типа организации предъявляют различные требования к подтверждению соответствия PCI DSS.
Всего существует три типа подтверждения соответствия стандарту, но мы рассмотрим 2 основных:
QSA – внешний аудит;
ISA – внутренний аудит с заполнением листа самооценки;
Они применяются для всех типов организаций, но для разных организаций их проводят разные специалисты. Либо это внутренний и внешний аудит, выполняемый компанией-аудитором, либо заполнение листа самооценки.
Рассмотрим торгово-сервисное предприятие, которое обрабатывает до 20 тыс. транзакций в год по электронным платежам (e-commerce) по картам платежных систем, например, VISA и MasterCard, либо до 1 млн card no presence транзакций — по приему через посттерминалы. Для этой организации заполнение листа самооценки является необязательным, а рекомендованным по требованиям VISA, но обязательным по требованиям MasterCard. Это касается мерчантов четвертого уровня.
Следующий уровень – третий. Он делится на составляющие — от 20 тысяч транзакций до одного миллиона по e-commerce. В этом случае заполнение листа самооценки и обеих платежных систем является обязательным.
Выше уровень – от 1 до 6 млн транзакций по электронным платежам – будет иметь отличия. Система VISA на втором уровне требует заполнять лист самооценки, а MasterCard требует выполнять полный QSA аудит. Если торгово-сервисное предприятие обрабатывает оба вида карт, им рекомендуется проходить полный QSA-аудит.
Первый уровень подразумевает свыше 6 млн транзакций по электронной коммерции среди карт VISA и MasterCard, либо когда платежные системы сами назначают этот уровень. У них есть такое право. Эквайер платежной системы может предопределить уровень и назначить его первым. Здесь безоговорочно предусмотрен QSA-аудит.
Главный критерий, который нужно запомнить всем торгово-сервисным предприятиям, обрабатывающим карточные платежи, — до 1 млн транзакций – это заполнение листа самооценки, больше 1 млн – QSA-аудит.
С поставщиками услуг дело обстоит гораздо строже. Здесь граница по количеству транзакций – 300 тысяч в год, Если меньше 300 тыс. – это заполнение листа самооценки, если больше – QSA-аудит. Здесь критерий настолько жесткий, так как поставщики услуг могут обслуживать не одного мерчанта, а сразу нескольких. Их инфраструктура более критична, поэтому и требования стандарта строже.
Александр Суханов:- А если не выполнять требования стандарта, что будет?
У каждой платежной системы есть свой compliance. Программа по соответствию, которая предусматривает критерии, которые подтверждают следование требования стандарта PCI DSS и обуславливает санкции, которые может применить платежная система. В основном они обладают статусом финансового характера, либо с ограничениями, связанными с бизнес-процессами.
Но даже после выставления штрафа при прохождении аудита и подаче соответствующего заявления – есть шанс, что саму сумму взыскивать не будут.
В лучшем случае сертификацию можно пройти за 1,5-2 месяца, если это, к примеру, лист самооценки для мерчантов. Для тех торгово-сервисных компаний, которые сами не хранят и не обрабатывают карточные данные, а лишь передают эти данные сертифицированному поставщику услуг. По объему требований лист самооценки включает сканирование на уязвимости, pen-тест и настройку информационной инфраструктуры вместе с сетью. Эти действия занимают не так много времени.
Однако, бывают организации достаточно крупные, это могут быть банки, причем сертифицировать у себя как эмиссионные процессы, так и эквайеринговые. По времени это может занимать полгода, год и даже больше.
Александр Суханов:- Это хорошо, что можно уложиться в короткие сроки. Если, например, проходить аудит по российским документам ФСТЭК, время прохождения сертификации может растягиваться до бесконечности.
Кстати, сравнивал требования российских стандартов и PCI DSS, все же в PCI больше упор на практическую часть, чтобы было выполнено, в отличие от наших, где даны указания установить оборудование, но не указано его применение.
Есть мотивация действительно выполнять требование стандарта, а не просто закрывать галки в compliance.
Подробнее о стандарте расскажем на вебинаре по PCI DSS в российских реалиях
PCI DSS в версии 3.2 – что нового и как реагировать?
Когда у американского гангстера Вилли Хортона спросили, почему он грабил банки, тот ответил: «Потому что там есть деньги». Современные мошенники, специализирующиеся на высоких технологиях, руководствуются примерно теми же соображениями, и именно по этой причине нынешние коммерческие организации становятся мишенью для финансовых аферистов.
Проиллюстрировать сложившуюся ситуацию можно следующими цифрами: по данным PrivacyRights.org, за период с января 2005 по апрель 2016 в общей сложности было зафиксировано 4823 утечки данных, в результате которых было скомпрометировано 898 миллионов записей конфиденциальных данных.
Кроме того, в результате необдуманных действий организаций возможна компрометация персональных данных держателей карт. В ходе опроса, проведенного среди компаний в США и Европе, были выявлены следующие действия, которые подвергают риску персональные данные держателей карт:
Чтобы не допустить финансового мошенничества и предотвратить возможные серьезные последствия, важно повысить безопасность данных о владельцах карт, и обеспечить полную защиту платежных данных. Для этой цели был создан стандарт PCI DSS.
Что представляет собой стандарт PCI DSS?
Аббревиатура PCI DSS образована от наименования Payment Card Industry Data Security Standard (PCI DSS). Так называется стандарт информационной безопасности, который регламентирует деятельность организаций, работающих с кредитными картами основных платежных систем, включая Visa, MasterCard, American Express, Discover и JCB.
Изначально этот стандарт появился в результате сотрудничества между платежными системами Visa и MasterCard, однако позднее другие компании по выпуску кредитных карт, представленные в США, поддержали развитие стандарта PCI DSS в рамках своих собственных программ.
Этот стандарт устанавливает общеотраслевые требования к обеспечению безопасности. Он состоит из 12 основных требований, которые разбиты более чем на 200 подтребований.
Некоторые факты о стандарте PCI DSS
Данный стандарт был разработан с целью способствовать повышению безопасности данных держателей банковских карт, а также с целью ускорить принятие согласованных мер по обеспечению безопасности таких данных на глобальном уровне.
Отдельные бренды платежных систем самостоятельно определяют необходимость соблюдения требований PCI DSS и устанавливают штрафные санкции за несоблюдение этих требований.
Компании, желающие получить сертификат соответствия требованиям PCI DSS, должны пройти аудит безопасности, который проводится независимым органом.
Требования стандарта PCI DSS распространяются на все организации, принимающие участие в обработке платежных карт, в том числе на торговые организации, процессинговые компании, финансовые учреждения и поставщиков услуг, а также на прочие организации, которые хранят, обрабатывают или передают данные держателей платежных карт и/или аутентификационные данные.
Какие нововведения появились в восьмом требовании стандарта PCI DSS в версии 3.2?
«Одним из важных изменений в стандарте PCI DSS 3 стало добавление многофакторной аутентификации в качестве обязательного требования для любых сотрудников, которые имеют административный доступ к окружению, используемому для работы с данными держателей карт. Таким образом, одного лишь пароля уже не достаточно для удостоверения личности пользователя и предоставления доступа к конфиденциальной информации, даже если этот пользователь обращается к данным, находясь в защищенной сети», – говорит технический директор PCI Security Standards Council Трой Лич (Troy Leach).
Под многофакторной аутентификацией (MFA) понимается концепция аутентификации, при которой для авторизации доступа к системе пользователю необходимо подтвердить свою личность двумя или более способами. Обычно под этим понимается, что пользователь готов предоставить:
Давайте подробнее остановимся на 8-м требовании стандарта, которое регламентирует защищенный доступ к данным держателей банковских карт.
В параграфе 8.1.5 уточняется, что какими бы ни были взаимоотношения с организацией, ВСЕ третьи стороны, имеющие удаленный доступ к информационной среде держателей карт (CDE), должны использовать средства многофакторной аутентификации. Ранее это требование предъявлялось только к вендорам.
Значительно более важное изменение представлено в требовании 8.3, которое теперь разбито на два подтребования. В частности, была добавлена новая часть параграфа, в которой заметно расширяются требования к использованию многофакторной аутентификации для индивидуальных пользователей, которые обращаются к информационной среде держателей карт, находясь в офисе.
Требование 8.3.1 – Новое требование, которое предусматривает использование многофакторной аутентификации всеми сотрудниками, имеющими доступ к данным держателей карт, то есть имеющими локальный доступ к информационной среде держателей карт и базам данных, содержащих информацию о держателях карт. Требование 8.3.1 вступает в силу с 1 февраля 2018 года.
Требование 8.3.2 – предусматривает использование многофакторной аутентификации всеми сотрудниками, имеющими удаленный доступ к информационной среде держателей карт.
Таким образом, в новейшей версии стандарта PCI в требовании 8.3 регламентируется необходимость использования многофакторной аутентификации для всех пользователей, вне зависимости от того, находятся ли они в офисе, или получают удаленный доступ к системе, а также для администраторов с привилегированным доступом.
Поэтому даже если в организации уже применяется двухфакторная аутентификация для удаленных пользователей, этой организации придется теперь применять многофакторную аутентификацию в отношении всех пользователей, имеющих доступ к системам, в том числе когда пользователи находятся в офисе.
Сертификация PCI DSS: Что это и с чем её едят
Последнее время Visa и MasterCard начали требовать от торговых предприятий и поставщиков услуг, работающих с карточными данными, соответствия стандарту PCI DSS. В этой связи вопрос требований этого стандарта становится важным не только для крупных игроков на рынке, но и для небольших торгово-сервисных предприятий.
Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council) и регламентирует определенный перечень требований к обеспечению безопасности данных платежных карт (ДПК), которые затрагивают как техническую, так и организационную сторону организаций.
В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Начиная с середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям, определяемым PCI DSS, и компании на территории Российской Федерации не являются исключением.
Чтобы понять, необходимо ли вашей компании соблюдать требования стандарта PCI DSS, следует ответить на два главных вопроса: хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации? И могут ли бизнес-процессы вашей организации повлиять на безопасность этих платежных карт? Если ответ на оба вопроса отрицательный, то сертифицироваться по PCI DSS нет нужды.
Очевидно, что для соответствия стандарту необходимо выполнение определенных требований, вот некоторые из них: защита вычислительной сети, управление доступом к данным о держателях карт, конфигурация компонентов информационной инфраструктуры, механизмы аутентификации, физическая защита информационной инфраструктуры, защита передаваемых данных о держателях карт и так далее. В общем, стандарт требует прохождения порядка 440 проверочных процедур.
Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или проведении организацией самооценки (SAQ).
Внешний аудит QSA выполняется внешней аудиторской организацией, сертифицированной Советом PCI SSС. В ходе проверки аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их на период длительностью в три года.
Внутренний аудит ISA выполняется внутренним, прошедшим обучение и сертифицированным по программе Совета PCI SSC, аудитором. Что касается самооценки SAQ, то она выполняется самостоятельно путём заполнения листа самооценки. В этом случае сбор свидетельств выполнения требований стандарта не требуется.
Чтобы ответить на вопрос, в какой ситуации необходимо проводить внешний аудит, а в какой – внутренний, и стоит ли это вообще делать, нужно взглянуть на тип организации и оценить количество обрабатываемых транзакций в год. Существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия и поставщики услуг.
Торгово-сервисное предприятие является организацией, принимающей для оплаты товаров и услуг платежные карты (магазины, рестораны, интернет-магазины и другие).
Поставщик услуг же, в свою очередь, является организацией, оказывающей услуги в индустрии платежных карт, связанные с обработкой транзакций (это дата-центры, хостинг-провайдеры, международные платежные системы и другие).
В зависимости от количества обрабатываемых в год транзакций, торгово-сервисные предприятия и поставщики услуг могут быть отнесены к различным уровням. Например, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции.
По классификации Visa и MasterCard организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS нужно проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодной самооценки SAQ.
Что касается поставщиков услуг, то количество сервисов, предлагаемых облачными провайдерами, растет ежегодно. Потому для организаций, использующих облачную инфраструктуру, становится актуальным вопрос PCI DSS-хостинга.
PCI DSS-хостинг – это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт.
Выбрав такую услугу, организация автоматически закрывает значительную часть требований стандарта PCI DSS – это означает, что провайдер берет на себя выполнение части требований, например, физическую защиту размещаемых северов и администрирование операционных систем.
Как известно, аутсорсинг решает множество задач, облегчая и упрощая жизнь организациям. Если раньше многие компании разворачивали информационную инфраструктуру в собственном серверном помещении и выполняли все требования соответствия стандартам самостоятельно, то сейчас многие отдают эти задачи на откуп сертифицированным поставщикам услуг, тем самым повышая уровень защищенности среды обработки карточных данных и снижая риски финансовых потерь от возможных инцидентов информационной безопасности.
Любая организация, использующая собственный карточный процессинг, рано или поздно сталкивается с необходимостью сертификации по стандарту PCI DSS. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне.