PCI DSS (Payment Card Industry Data Security Standard) – стандарт безпеки даних індустрії платіжних карток, розроблений Радою зі стандартів безпеки індустрії платіжних карток (Payment Card Industry Security Standards Council, PCI SSC), яку заснували Visa, MasterCard, American Express, JCB та Discover.
Вимоги стандарту поширюються на всі компанії, що працюють із міжнародними платіжними системами: банки, торгово-сервісні підприємства, постачальників технологічних послуг та інші організації, діяльність яких пов'язана з обробкою, передачею та зберіганням даних про власників платіжних карток.
Стандарт PCI DSS висуває вимоги до захищеності компонентів інфраструктури, в якій передається, обробляється або зберігається інформація про платіжні картки. Перевірка платіжної інфраструктури на відповідність цим вимогам виявляє причини, які суттєво знижують рівень її захищеності. Тести на проникнення, які входять до списку обов'язкових заходів, регламентованих стандартом PCI DSS, показують реальний рівень захищеності інформаційних ресурсів компанії як з позиції зловмисника, що знаходиться за межами периметра, що досліджується, так і з позиції співробітника компанії, що має доступ «зсередини».
Рада PCI DSS сформулювала ключові вимоги щодо організації захисту даних у документі «Стандарт безпеки даних індустрії платіжних карток (PCI DSS). Вимоги та процедури оцінки безпеки. Версія 3.0». Ці вимоги згруповані таким чином, щоб спростити процедуру аудиту безпеки.
Завантажити PCI DSS російською мовою.
Побудувати та підтримувати захищені мережі та системи
Захищати дані про власників карток
Підтримувати програму управління вразливістю
Впроваджувати суворі заходи контролю доступу
Здійснювати регулярний моніторинг та тестування мереж
Підтримувати політику інформаційної безпеки
«Перспективний моніторинг» допомагає банкам, торговельно-сервісним підприємствам, розробникам фінансових сервісів підготується до аудиту на відповідність PCI DSS та надає експертну підтримку для виконання вимог стандарту.
Стандарт безпеки даних індустрії платіжних карток PCI DSS визначає вимоги щодо захисту інформації та застосовується до всіх організацій, що обробляє, зберігає та передає дані про власників платіжних карток Visa, MasterCard, JCB, Discover, American Express. До таких організацій належать банки, роздрібні магазини, системи електронної комерції, постачальники платіжних рішень, центри обробки даних та інші.
Схема сертифікації тієї чи іншої організації за стандартом PCI DSS залежить від її ролі в платіжному процесі та кількості даних про власників карток. Наприклад розглянемо сертифікацію постачальників послуг, яких ставляться банки, платіжні шлюзи і дата-центры. При обсязі оброблюваних карткових даних, що перевищує 300 000 транзакцій на рік, такі організації повинні проходити щорічний сертифікаційний QSA-аудит і виконати автоматизоване ASV-сканування вразливостей мережі. При меншій кількості транзакцій достатньо заповнити аркуш самооцінки (SAQ) та виконати ASV-сканування.
Однак, незалежно від способу підтвердження відповідності, вимоги стандарту необхідно виконати в повному обсязіу сегменті мережі, відведеному під платіжну інфраструктуру. Для вирішення цього завдання ми пропонуємо спеціалізований набір консультаційних послуг, об'єднаних метою впровадження PCI DSS в організації та подальшої її сертифікації за цим стандартом.
Друзі, ми розширюємо асортимент послуг, що надаються, і найближчим часом додамо на наш сайт можливість замовляти сервіси зі сканування сайтів на наявність шкідливого коду (ASV-сканування), які вимагає сертифікація PCI DSS. У зв'язку з цим ми розпочинаємо нову рубрику публікацій, пов'язаних зі стандартами та вимогами безпеки даних. І насамперед ми хочемо поговорити про сертифікацію PCI DSS. Використання оплати кредитними та дебетовими картамипередбачає можливу передачу, зберігання та обробку даних платіжних карток, що підвищує ризики кіберзлочинності. У зв'язку з цим MasterCard, Visa, American Express та інші платіжні системи висувають певні вимоги щодо безпеки до торгових підприємств та постачальників послуг, які працюють із даними платіжних карток. Ці вимоги описані у стандарті PCI DSS. Давайте розберемося, що таке сертифікація PCI DSS та які основні положення потрібно знати.
Контрольні об'єкти | Вимоги PCI DSS |
---|---|
Створення та підтримка безпечної мережі | 1. Встановлення та підтримка конфігурації фаєрволу для захисту даних власників платіжних карток |
2. Відмова від використання, параметрів за промовчанням для систем паролів та інших параметрів безпеки | |
Захист даних власників платіжних карток | 3. Захист отриманих даних власників платіжних карток |
4. Шифрування передачі даних власників платіжних карток за відкритими публічними мережами | |
Підтримка програми з управління вразливістю | 5. Використання та регулярне оновлення антивірусного ПЗ на всіх системах, які зазвичай піддаються дії шкідливих програм |
6. Розробка та підтримка захищених систем та додатків | |
Впровадження суворого контролю доступу | 7. Обмеження доступу до даних власників платіжних карток за принципом службової необхідності |
8. Присвоєння унікального ідентифікаційного номера кожній людині з доступом до ЕОМ | |
9. Обмеження фізичного доступу до даних власників платіжних карток | |
Регулярний моніторинг та перевірка мереж | 10. Відстеження та моніторинг доступу до ресурсів мереж та даних власників платіжних карток |
11. Регулярна перевірка систем та процесів безпеки | |
Підтримка політики безпеки інформації | 12. Підтримка політики, адресованої забезпечення безпеки даних |
Рівень | Опис | Сертифікація PCI DSS включає: |
---|---|---|
4 | Торгово-сервісні підприємства, що обробляють менше 20 тис. транзакцій на рік у сфері електронної торгівлі, і навіть інші торгово-сервисные підприємства, не перелічені інших рівнях, які обробляють до 1 млн. транзакцій на рік, незалежно від каналу їх отримання. | Щорічно: рекомендовано заповнення анкети самооцінки безпеки (SAQ); Щоквартально: рекомендовано ASV-сканування; Банк-екваєр визначає вимоги відповідності. |
3 | Торгово-сервісні підприємства, що обробляють 20 тис. – 1 млн. транзакцій у галузі електронної торгівлі на рік. | |
2 | Торгово-сервісні підприємства, що обробляють 1-6 млн. транзакцій на рік, незалежно від каналу їх одержання. | Щорічно: заповнення анкети самооцінки безпеки (SAQ); Щоквартально: рекомендовано ASV-сканування. |
1 | Торгово-сервісні підприємства, що обробляють понад 6 млн. транзакцій на рік, незалежно від каналу їх отримання. | Щорічно: аудит, який виконує затверджений аудитор систем безпеки (QSA-аудит); Щоквартально: ASV-сканування на наявність уразливостей. |
Мобільні платіжні рішення ще недостатньо широко представлені на світовому ринку та в нашій країні зокрема. Тим не менш, інтерес до подібних рішень з боку fintech-розробників, бізнесу та торгово-сервісних підприємств з кожним роком зростає.
Андрій Гайко
Сертифікований QSA-аудитор Digital Security
Мобільне платіжне рішення (mPOS) складається з наступних основних компонентів:
Під мобільним платіжним рішенням розумітимемо програмно-апаратну платформу для торгово-сервісних підприємств (далі – ТСП), що дозволяє приймати платежі від фізичних осібза допомогою смартфона/планшета і підключеного до нього пристрою, що зчитує. За допомогою mPOS можна приймати оплату як безконтактним способом (банківською карткою, завантаженою в мобільний телефонклієнта з підтримкою NFC (далі – NFC-картка), або безконтактною банківською картою), так і за звичайними пластиковим карткам(з магнітною смугою та/або EMV-чіпом).
Крім функцій захищеного читання карти та введення PIN-коду у mPOS має бути підтримка всіх основних способів верифікації власника картки, шифрування даних при передачі між компонентами та процесинговою частиною системи, а також можливість друку чеків або їх надсилання по SMS та електронній пошті.
На стороні сервіс-провайдера або банку-еквайєра, які займаються прийомом та подальшою обробкою даних при mPOS-платежах, використовується back-end система (платіжний шлюз), схожа на ті, що використовуються при інтернет- або звичайному POS-еквайрингу.
Для того, щоб зрозуміти, які вимоги безпеки повинні пред'являтися, технічно необхідно визначити основні компоненти екосистеми mPOS та існуючі інформаційні потоки. Для розуміння відповідальності суб'єктів екосистеми mPOS за безпеку платежів на бізнес-рівні необхідно визначити існуючі бізнес-моделі учасників платіжного процесу.
Схема інформаційних потоків містить 8 основних етапів (див. рис. 1):
У реалізації описаного вище процесу можуть брати участь такі компанії:
Слід зазначити, що компанія може виконувати не лише одну із зазначених ролей. Можлива ситуація, коли компанія може повністю розробити всі програмні та апаратні компоненти mPOS-рішення. Залежно від того, які функції будуть виконуватися компанією, залежить, які вимоги щодо безпеки нею дотримуватимуться.
Переліки основних компонентів та типів бізнес-моделей наведені для того, щоб зрозуміти, як повинна розмежовуватись відповідальність за виконання вимог безпеки між усіма учасниками екосистеми mPOS.
Перші рекомендації щодо безпеки мобільних платіжних рішень були випущені Visa у 2011 р. загальні рекомендаціїдля розробників та ТСП щодо безпеки використання мобільних платіжних рішень. У 2012 р. Радою PCI SSC було випущено більш детальні рекомендації для розробників. На сьогоднішній день МПС та PCI SSC майже щороку випускають оновлені рекомендації щодо безпеки mPOS.
Окрім рекомендацій Visa та MasterCard розробили програми сертифікації постачальників мобільних платіжних рішень. По суті, обидві програми досить схожі, і з ймовірністю можна стверджувати, що розробка рішення відповідно до вимог однієї з МПС може бути сертифікована в іншої. Обидві МПС ведуть реєстри сертифікованих компаній та mPOS-рішень.
PCI DSS
У нової версіїстандарту з'явилися нові вимоги, які дуже доречно ставляться до безпеки mPOS. Зокрема, у розділі 9 додався пункт 9.9, згідно з яким необхідно вести облік пристроїв зчитування карток, а також проводити періодичне навчання співробітників/користувачів, які обслуговують пристрої, щоб вони вміли визначати заміну mPOS або інші ознаки скіммінгу. У випадку з сервіс-провайдерами mPOS-рішень або еквайрингами при наданні клієнтам пристроїв для зчитування вони повинні будуть розробити рекомендації та інструкції щодо захисту від скіммінгу і довести їх до відома співробітників ТСП. У рамках виконання вимоги 12.8 сервіс-провайдери та еквайєри на рівні договірних відносин можуть зобов'язати ТСП виконувати відповідні вимоги щодо безпеки mPOS.
Незважаючи на те, що виконання більшості вимог безпеки лягає на різних сервіс-провайдерів та банки, банки-еквайєри мають право вимагати від ТСП заповнення листів самооцінки (SAQ) відповідного типу (SAQ P2PE-HW у разі використання ТСП P2PE-рішення, SAQ B-IP у разі використання mPOS зі зчитувачем, сертифікованим PCI PTS). У таблиці наведено компоненти mPOS-рішень, відповідний стандарт, якому компонент повинен відповідати, та компанія, відповідальна за реалізацію вимог.
Вимога 12.8 також актуальна для тих випадків, коли програмне забезпечення mPOS-рішень для сервіс-провайдера розробляється сторонньою організацією. У цьому випадку виконання вимоги 6.5 повністю лягає на плечі компанії-розробника. При цьому якщо компанія-розробник не виконуватиме вимог, сервіс-провайдер не зможе пройти аудит на відповідність PCI DSS. У договорах між сервіс-провайдерами (еквайєрами) та розробниками слід передбачити питання проведення аудиту певних бізнес-процесів компанії-розробника у разі проходження сервіс-провайдером щорічної сертифікації PCI DSS, т.к. процес розробки буде включений до області аудиту сервіс-провайдера. Те саме актуально і у разі аутсорсингу інших послуг. У загальному випадку підтвердження третьою стороною відповідності вимогам PCI DSS у частині, що її стосується, може бути забезпечене шляхом самостійної сертифікації PCI DSS необхідних бізнес-процесів з подальшим наданням свідоцтв про успішно пройдену перевірку або шляхом надання можливості аудиту бізнес-процесу в рамках аудиту сервіс- провайдера (еквайєра).
Зазначимо, що в нашій країні аудит розробників у рамках аудиту компанії-замовника відбувається досить рідко. Розробники на словах можуть гарантувати знання та застосування методів безпечної розробки, але за фактом не володіти потрібними знаннямита не виконувати відповідних процедур. З виходом нової версії PCI DSS стан речей має змінитися, так як вимоги стали детальними, і вказані в тексті стандарту процедури перевірки зобов'язують QSA-аудитора проводити більш глибокі перевірки.
PCI PTS
Стандарт PCI PTS регламентує вимоги до безпеки для Point of interaction devices (POI) та Hardware Security Modules (HSM). Зчитувальний пристрій, що підключається до мобільного пристрою, є POI. Як згадувалося вище, в mPOS-рішеннях використовується два класи POI: PIN Entry Device (PED) та Secure Card Reader (SCR). Залежно від того, до якого типу POI відноситься зчитуючий пристрій, визначаються групи вимог PCI PTS, яким пристрій повинен відповідати.
На даний момент у деяких пропонованих на вітчизняному ринку mPOS-рішеннях використовуються зчитувачі no-name-виробників. Використання таких зчитувачів не гарантує безпечної передачі даних між пристроями і уможливлює передачу в мобільний пристрій номера картки у відкритому вигляді. Тому, вибираючи mPOS-рішення, необхідно переконатися, що сервіс-провайдер пропонує сертифікований PCI PTS зчитуючий пристрій.
Існують дві бізнес-моделі розробки клієнтського програмного забезпечення: розробка для власного проекту, коли розробник створює mPOS-рішення та виводить його на ринок під власним брендом: у цьому випадку розробник буде сервіс-провайдером mPOS-рішення; – та розробка кінцевого рішення для подальшого ліцензування компаніями, які інтегрують компоненти різних виробників між собою та на їх основі створюють свої mPOS-рішення.
PA-DSS
Для mPOS-рішень PA-DSS в обов'язковому порядкузастосуємо до прошивок пристроїв, які зчитують карткові дані. Для програмного забезпечення, яке встановлюється на мобільний пристрій співробітника ТСП, цей стандарт є рекомендаційним. Це пов'язано з тим, що мобільний пристрій є недовіреним і слабоконтрольованим середовищем. Наприклад, на пристрої може бути виконаний jailbreak, який на порядок знижує безпеку пристрою та не гарантує безпеки встановленої платіжної програми. Саме тому МПС забороняють використовувати мобільні пристрої для введення PIN-коду і вимагають, щоб дані від пристрою зчитування приходили в мобільне ПЗ в зашифрованому вигляді і далі в тому ж вигляді передавалися в еквайринг. У цьому випадку дані платіжних карток не будуть у відкритому вигляді оброблятися і зберігатися в мобільному пристрої, а значить, і вимоги PA-DSS не застосовуються.
У версії 3.0 стандарту з'явилися нові вимоги, на які розробникам прошивок для пристроїв зчитування і коробкових платіжних додатків слід звернути увагу в першу чергу. По-перше, кожне оновлення, що випускається, має проходити окрему сертифікацію. По-друге, тепер клієнти повинні використовувати лише ті версії (оновлення) ПЗ, які є сертифікованими та наведені на сайті Ради PCI.
PCI P2PE
Порівняно недавно вийшов у світ новий стандартбезпеки PCI P2PE. Стандарт призначений для рішень, що забезпечують криптографічний захист даних під час їх передачі між усіма компонентами платіжного рішення. У разі застосування шифрування досягається звуження області дії стандарту ТСП до мінімального рівня, так як ТСП немає можливості отримання даних про власників карт у відкритому вигляді.
До переліку всіх основних компонентів екосистеми mPOS входить:
На відміну від PCI DSS, який поширюється тільки на інформаційну інфраструктуру, PCI P2PE є більш комплексним і поширюється не тільки на інфраструктуру, але і на пристрої для зчитування і програмне забезпечення POI-терміналів (у додатку до mPOS – це зчитувальні пристрої). Стандарт складається з 6 доменів, вимоги яких засновані на діючих стандартах PCI: пристрої для зчитування повинні задовольняти вимогам PCI PTS SRED; програмне забезпечення зчитувальних пристроїв – PA-DSS; керування ключами шифрування – PCI PIN Security Requirements; платіжна інформаційна інфраструктура ТСП – PCI DSS. Якщо рішення сертифіковано PCI P2PE, це означає, що дані між усіма підсистемами (від зчитувача до мобільного пристрою в ПЗ, від ПЗ в процесинг і далі) передаються в шифрованому вигляді, і всі підсистеми виконують вимоги відповідних стандартів PCI.
За вимогами P2PE можуть бути сертифіковані окремі компоненти, так і готові рішення.
МПС рекомендують використовувати P2PE-рішення для прийому mPOS-платежів. Однак складність полягає в тому, що на даний момент на ринку існує небагато рішень такого типу, тому МПС не вимагають, а рекомендують використовувати PCI P2PE-рішення та при розробці керуватися ними. Тим не менш, сервіс-провайдерам платіжного mPOS-рішення потрібно бути готовими до того, що МПС незабаром вимагатимуть обов'язкової сертифікації їх mPOS-рішень за вимогами PCI P2PE.