Реклама на портале

Pci dss v3 опросные листы. PCI DSS - Международный стандарт защиты информации в области платежных карт

Стандарт безопасности данных индустрии платёжных карт PCI DSS описывает требования по защите информации и применим ко всем организациям, обрабатывающим, хранящим и передающим данные о держателях платёжных карт Visa, MasterCard, JCB, Discover, American Express. К таким организациям относятся банки, розничные магазины, системы электронной коммерции, поставщики платёжных решений, центры обработки данных и другие.

Схема сертификации той или иной организации по стандарту PCI DSS зависит от её роли в платёжном процессе и количества обрабатываемых данных о держателях карт. Для примера рассмотрим сертификацию поставщиков услуг, к которым относятся банки, платёжные шлюзы и дата-центры. При объеме обрабатываемых карточных данных, превышающем 300 000 транзакций в год, такие организации должны проходить ежегодный сертификационный QSA-аудит и выполнить автоматизированное ASV-сканирование уязвимостей сети. При меньшем количестве транзакций достаточно заполнить лист самооценки (SAQ) и выполнить ASV-сканирование.

Однако, независимо от способа подтверждения соответствия, требования стандарта необходимо выполнить в полном объеме в сегменте сети, отведенном под платёжную инфраструктуру. Для решения этой задачи мы предлагаем специализированный набор консультационных услуг, объединенных целью внедрения PCI DSS в организации и последующей её сертификации по этому стандарту.

О стандарте

PCI DSS (Payment Card Industry Data Security Standard) - стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платёжных карт (Payment Card Industry Security Standards Council, PCI SSC), который учредили Visa, MasterCard, American Express, JCB и Discover.

Требования стандарта распространяются на все компании, работающие с международными платёжными системами: банки, торгово-сервисные предприятия, поставщиков технологических услуг и другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.

PCI DSS - комплексное руководство по безопасности

Стандарт PCI DSS выдвигает требования к защищённости компонентов инфраструктуры, в которой передаётся, обрабатывается или хранится информация о платёжных картах. Проверка платёжной инфраструктуры на соответствие этим требованиям выявляет причины, которые значительно снижают уровень её защищённости. Тесты на проникновение , которые входят в список обязательных мероприятий, регламентированных стандартом PCI DSS, показывают реальный уровень защищённости информационных ресурсов компании как с позиции злоумышленника, находящегося за пределами исследуемого периметра, так и с позиции сотрудника компании, имеющего доступ «изнутри».

Совет PCI DSS сформулировал ключевые требования по организации защиты данных в документе «Стандарт безопасности данных индустрии платёжных карт (PCI DSS). Требования и процедуры оценки безопасности. Версия 3.0». Эти требования сгруппированы таким образом, чтобы упростить процедуру аудита безопасности.

Скачать PCI DSS на русском языке.

Требования и процедуры оценки безопасности PCI DSS

Построить и поддерживать защищённые сети и системы

  • Требование 1. «Установить и поддерживать конфигурацию межсетевых экранов для защиты данных о держателях карт».
  • Требование 2. «Не использовать пароли к системам и другие параметры безопасности, заданные производителем по умолчанию».

Защищать данные о держателях карт

  • Требование 3. «Защищать хранимые данные о держателях карт».
  • Требование 4. «Шифровать данные о держателях карт при их передаче через общедоступные сети».

Поддерживать программу управления уязвимостями

  • Требование 5. «Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО».
  • Требование 6. «Разрабатывать и поддерживать безопасные системы и приложения ».

Внедрять строгие меры контроля доступа

  • Требование 7. «Ограничивать доступ к данным о держателях карт в соответствии со служебной необходимостью».
  • Требование 8. «Идентифицировать и аутентифицировать доступ к системным компонентам».
  • Требование 9. «Ограничивать физический доступ к данным о держателях карт».

Осуществлять регулярный мониторинг и тестирование сетей

  • Требование 10. «Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным о держателях карт».
  • Требование 11. «Регулярно тестировать системы и процессы безопасности»

Поддерживать политику информационной безопасности

  • Требование 12. «Поддерживать политику информационной безопасности для всех работников».

«Перспективный мониторинг» помогает банкам, торгово-сервисным предприятиям, разработчикам финансовых сервисов подготовится к аудиту на соответствие PCI DSS и оказывает экспертную поддержку по выполнению требований стандарта.

Payment Card Industry Data Security Standard (PCI DSS) - стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Требования PCI DSS обязательны для соблюдения любыми компаниями, работающими с крупнейшими платежными системами. Они гарантируют защиту от кражи клиентской информации и других мошеннических действий при транзакциях. Анализ инфраструктуры, осуществляемый в рамках сертификации, отражает степень защиты процессов системы, где хранятся, обрабатываются и передаются сведения о держателях платежных карт.

PCI DSS VERSION 3.2, 2018

Максим Сапронов, технический директор Avito: «Avito – одна из крупнейших IT-компаний, наша деятельность предполагает хранение и обработку и большого объема данных. Мы стремимся предоставлять своим клиентам непрерывный сервис высокого уровня, для чего необходима качественная ИТ-инфраструктура. Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное – безопасности. Успешное прохождение сертификации на соответствие стандарту безопасности данных в очередной раз подчеркивает высокую квалификацию центра и подтверждает наш правильный выбор DataSpace как надежного партнера».

PCI DSS VERSION 3.1

Арсен Кондахчан, руководитель IT департамента компании БПЦ Банковские технологии , отметил: «Для нас, как для процессингового центра, данная сертификация очень важна, так как упрощает нашу собственную сертификацию, а также подтверждает, что DataSpace является серьезным и ответственным партнером, который думает о нуждах клиентов».

№ 4 (180) ’2012

Годы внедрения стандарта PCI DSS в России уже принесла свои плоды в виде наличия сертифицированных инфраструктур компаний — участников платежного процесса. Однако, как и любая другая предметная область, за прошедшие годы тематика PCI DSS обросла большим количеством нетривиальных вопросов. Представляю Вашему вниманию первую статью цикла, посвященную обзору индустрии платежных карт и системе сертификации PCI DSS. Для профессионалов отрасли некоторые моменты покажутся очевидными, однако моей целью является представление читателю целостного описания.

Индустрия платежных карт

Для приведения к общему знаменателю терминологии и основных понятий, о которых пойдет речь в цикле статей, посвященном управлению соответствием требованиям стандарта PCI DSS, предлагаю краткий обзор платежной индустрии. Большая часть информации в этом обзоре, без сомнения, является очевидной для многих читателей. Известно, что международные платежные системы Visa и MasterCard представляют собой сообщества банков-эмитентов, выпускающих платежные карты, и банков-эквайеров, принимающих платежные транзакции по этим картам. Банки имеют различные уровни участия в платежных системах и делятся на принципалов и аффилированных членов. Платежные транзакции из магазинов и других торговых точек могут идти к банкам-эквайерам напрямую, либо через платежные шлюзы. Все участники индустрии платежных карт с точки зрения международных платежных систем делятся на две категории — торгово-сервисные предприятия, они же мерчанты (от англ. merchant — торговец), и поставщики услуг. Мерчанты — это все компании, которые принимают платежные карты в оплату за свои товары или услуги. Примерами таких компаний являются розничные и Интернет-магазины, рестораны, парикмахерские, автозаправочные станции и т. д. Поставщики услуг — это компании, которые предоставляют сервис, чаще всего в сфере информационных технологий, способствующий выполнению платежных транзакций. Это банки, платежные шлюзы, дата-центры, поставщики услуг эмиссии карт, и прочие организации, обслуживающие платежный процесс. Структура индустрии наглядно представлена на рисунке 1.

Следует помнить о том, что международные платежные системы возлагают всю ответственность за обеспечение безопасности данных в индустрии платежных карт на банки-эквайеры. Они ответственны за безопасность карточных данных, поступающих к ним от нижестоящих организаций — мерчантов и поставщиков услуг. То есть за утечку перечня номеров карт в информационной инфраструктуре магазина ответственность перед международными платежными системами понесет банк-эквайер. Существуют механизмы переноса ответственности в индустрии платежных карт, например применение технологии 3-D Secure, однако здесь следует различать ответственность за мошеннические транзакции и ответственность за утечку карточных данных.

Рис. 1. Торгово-сервисные предприятия и поставщики услуг

Стандарты PCI DSS и PCI PA-DSS

Объединив однажды усилия в борьбе с нарушениями безопасности платежных транзакций, международные платежные системы создали в 2006 году общий международный регулирующий орган в сфере безопасности платежных карт — Совет PCI SSC. На эту организацию возложены задачи развития стандартов PCI DSS, PCI PA-DSS и PCI PTS, а также обучения, сертификации и контроля качества работы аудиторов безопасности — QSA-аудиторов.

Все годы существования стандартов ведется дискуссия на тему того, является ли стандартизация правил обеспечения информационной безопасности по принципу контрольной карты, то есть перечня конкретных мер, оптимальным способом защиты карточных данных, или же это излишня формальность. Ведь существует положительно зарекомендовавший себя риск-ориентированный подход, при котором нет предустановленного заранее перечня мер, а есть правило регулярного выполнения оценки актуальных угроз и выявления уязвимостей защищаемой системы. Решение этой дилеммы состоит в том, что стандартизация перечня конкретных мер по примеру PCI DSS полезна на том уровне зрелости системы обеспечения информационной безопасности, когда риск-ориентированная система менеджмента еще не выполнила достаточное количество итераций цикла «анализ рисков — внедрение контрмер — оценка — корректировка», чтобы сформировать эффективную защиту. Примером может служить то, как мама учит малыша не трогать горячую поверхность утюга. Пока утюг еще недостаточно изучен ребенком, или не получен болезненный опыт прикосновения, единственным способом попробовать избежать ожога могут быть только слова взрослой мамы, гласящие: «не трогай утюг, будет больно!».

Стандарт PCI DSS применим к организациям, обрабатывающим, хранящим и передающим данные о держателях карт. Забегая вперед, необходимо уточнить, что Интернет магазины, не обрабатывающие номера карт на своем сайте, а пересылающие клиента на сайт аутсорсного платежного шлюза для выполнения оплаты, тоже попадают под сертификацию по PCI DSS. Однако с точки зрения способа подтверждения соответствия, к ним применим наиболее простой опросный лист (SAQ) типа «А», содержащий в себе всего тринадцать проверочных процедур из двухсот восьмидесяти восьми имеющихся в стандарте PCI DSS версии 2.0.

Объектом применения родственного стандарта PA-DSS, в отличие от PCI DSS, является конкретное платежное приложение, разрабатываемое для продажи неограниченному кругу конечных пользователей — участников индустрии платежных карт. Примерами таких приложений являются программные модули POS-теминалов, авторизационные приложения, а также иные коробочные решения для обработки карточных транзакций. С июля 2012 года согласно требованиям международных платежных систем Visa и MasterCard мерчанты обязаны использовать только сертифицированные по стандарту PA-DSS платежные приложения. Контроль над выполнением этого требования возложен на банки-эквайеры. Существует перечень из тринадцати вопросов, которые позволяет более точно сказать, попадает приложение под программу сертификации по PA-DSS или нет. Этот документ доступен на официальном сайте Совета PCI SSC.

Внедрение PCI DSS

Классический проект по внедрению стандарта PCI DSS в организации обычно состоит из следующих этапов:

  • Анализ исходного уровня соответствия
  • Приведение к требуемому уровню соответствия
  • Подтверждение соответствия
  • Поддержка соответствия

Любой из этих этапов может быть выполнен как самостоятельно организацией, так и привлеченным консультантом. Единственное действие, которое не может быть выполнено самостоятельно — внешний сертификационный аудит, если таковой требуется для организации.
Оптимальным и наиболее часто применяемым на практике вариантом является такой, когда часть работ выполняется самой организацией, а часть отдается на аутсорсинг внешнему консультанту.

Схема такого проекта приведена на рисунке 2. Работы по исходной оценке соответствия и разработке рекомендаций по выполнению требований стандарта осуществляются привлеченным консультантом, а непосредственное внедрение изменений в информационные системы осуществляется системными администраторами организации-заказчика. При этом консультант оказывает поддержку и подготавливает сопроводительную документацию, необходимую для сертификации. Затем следуют итоговые проверки защищенности информационной инфраструктуры и процедура подтверждения соответствия стандарту.

Рис. 2. Типовой проект по внедрению PCI DSS

Отдельно следует сказать про варианты подтверждения соответствия стандарту PCI DSS. Для участников индустрии платежных карт существуют три способа подтвердить соответствие — это внешний аудит, внутренний аудит, и заполнение листа самооценки. Внешний аудит выполняется сотрудником внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Внутренний аудит проводится прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Третий вариант подтверждения выполняется самостоятельно сотрудниками организации путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). Правила, регулирующие, каким именно способом подтверждается соответствие стандарту, определяются международными платежными системами индивидуально для разных видов мерчантов и поставщиков услуг, но могут быть переопределены банками-эквайерами. Актуальная версия правил в общем виде всегда доступна на официальных сайтах международных платежных систем.

Следует отметить, что форма листа самооценки SAQ бывает нескольких типов (A, B, C, C-VT, D), а выбор типа листа зависит от специфики обработки карточных данных в организации. Схема применимости различных вариантов подтверждения соответствия приведена в таблице.

В следующей статье цикла «Управление соответствием PCI DSS» я расскажу про определение области применимости PCI DSS в информационной инфраструктуре организации, методы ее уменьшения с целью снижения расходов на внедрение стандарта, а также отвечу на вопрос, подлежит ли сертификационному аудиту процесс эмиссии платежных карт.

Таблица. Варианты подтверждения соответствия PCI DSS

Вариант Применимость Количество проверочных процедур
SAQ A Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по электронной обработке, хранению и передаче карточных данных поставщику услуг, подтвердившему соответствие PCI DSS. 13
SAQ B Мерчанты, использующие POS-терминалы, использующие телефонную линию, не передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных. 29
SAQ C Мерчанты, использующие POS-терминалы или платежные приложения, передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных. 40
SAQ C-VT Мерчанты, использующие через Интернет виртуальные веб-терминалы от поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных. 51
SAQ D Все мерчанты и все поставщики услуг, кроме тех, кому согласно требованиям МПС или эквайера необходим ISA- или QSA-аудит. 288
ISA-аудит Все мерчанты, кроме тех, кому согласно требованиям МПС или эквайера необходим QSA-аудит. 288
QSA-аудит Все мерчанты и все поставщики услуг. 288

Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, American Express, Discover, JCB), обязаны выполнять требования стандарта PCI DSS. Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для помощи организациям в выполнении требований стандарта компания «Информзащита» предлагает различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиента. В их числе:

  • PCI DSS Compliance. Услуга предполагает приведение уровня информационной безопасности компании в соответствие требованиям стандарта PCI DSS c «нуля». Включает в себя:
    • Предварительный аудит с разработкой плана приведения в соответствие;
    • Непосредственно этап приведения;
    • Финальный сертификационный аудит.
  • Поддержание соответствия требованиям PCI DSS. Услуга предполагает помощь организациям, уже имеющим сертификат соответствия PCI DSS и заинтересованным в его очередном подтверждении.
  • Сертификационный аудит PCI DSS. Услуга предназначена для организаций, самостоятельно реализовавших требуемые PCI DSS меры защиты и заинтересованных только в итоговой оценке соответствия.
  • Сертификация программного обеспечения по требованиям стандарта PA-DSS. В 2008 году Советом по безопасности индустрии платежных карт (PCI SSC) принят стандарт безопасности платежных приложений – Payment Application Data Security Standard (PA-DSS), направленный на поддержку выполнения требований стандарта PCI DSS. По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS.
    Платежными системами VISA и MasterСard определен срок по завершению перехода агентов и предприятий торгово-сервисной сети на использование сертифицированных приложений – 1 июля 2012 г.
    Сертификацию приложений на соответствие стандарту PA-DSS может проводить только аудитор, имеющий статус PA-QSA. «Информзащита» – первая в России компания, имеющая данный статус.
    Специалисты «Информзащиты» с 2009 года проводят аудиты на соответствие стандарту PA-DSS. За время проведения работ нами сертифицировано более 10 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.
  • Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS. Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависит от типа изменений.
    Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта и реалий вендора, проведения повторной сертификации для всех определенных стандартом типов изменений, согласовании итоговых документов с PCI SSC.
    Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.
  • Сканирование PCI ASV, сканирование WEB приложений. Компания «Информзащита» является сертифицированным (сертификат №4159-01-08) поставщиком сканирований PCI ASV. Сканирование PCI ASV обеспечивает выполнение пункта 11.2.2 стандарта PCI DSS. Помимо формального соответствия стандарту, сканирование PCI ASV позволяет оценить защищенность Вашего внешнего сетевого периметра, выявить уязвимости и некорректные конфигурации.
  • Комплексный тест на проникновение по требованиям PCI DSS. Услуга включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS).
  • Разработка для банков-эквайеров программы соответствия мерчантов требованиям PCI DSS. Согласно требованиям международных платежных систем, банки-эквайеры несут ответственность за выполнение своими мерчантами требований стандарта PCI DSS. В рамках услуги осуществляется разработка программы контроля соответствия мерчантов требованиям стандарта PCI DSS на основе программ безопасности международных платежных систем Account Information Security и Site Data Protection.
  • Помощь в заполнении листа самооценки PCI DSS. Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги компания «Информзащита» оказывает помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS.

Проведение работ позволит выполнить предъявляемые стандартом требования, снизить риски компрометации данных платежных карт и избежать санкций со стороны международных платежных систем.

Компания «Информзащита» первой в РФ получила статусы QSA и ASV, дающие право выполнять сертификационные аудиты PCI DSS и внешние ASV-сканирования. По количеству сертифицированных QSA-аудиторов «Информзащита» превосходит другие российские компании. Таким образом, с каждым клиентом работает персональный специалист. Компания успешно прошла контроль качества отчетов со стороны PCI SSC, подтвердивший высокое качество предоставляемых клиентам услуг. С 2006-го года компания выполнила для банков, независимых процессинговых центров, сервис-провайдеров, дата-центров и мерчантов более 90 проектов по приведению к соответствию и сертификации PCI DSS.