Соответствие стандарту PCI DSS (часть 1)

Опубликовано: 10 Апреля, 2023
Соответствие стандарту PCI DSS (часть 1)

 

В недавнем опросе, проведенном ведущим веб-сайтом PCI, было обнаружено, что основной причиной достижения соответствия PCI было соответствие отраслевым стандартам, вторым по значимости фактором было то, что соответствие требовалось процессором кредитных карт, третьей причиной была защита сеть. Данные говорят сами за себя; организации защищают себя, потому что должны, а не потому, что хотят.

Для пользователей кредитных карт PCI DSS является хорошей новостью, поскольку стандарт обеспечивает более высокий уровень безопасности в индустрии кредитных карт.

Ниже приведен список требований, установленных стандартом PCI DSS для целей аудита.

Создайте и поддерживайте безопасную сеть

Требование 1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
Это требование уточняется позже в стандарте и указывает на потребность в брандмауэре приложений, таком как ISA. Без таких брандмауэров возможны атаки на сеансовом уровне, и новый код нового поколения может быть запущен против веб-сайтов и систем, которые не могут быть защищены более слабыми решениями. С точки зрения клиента это является ключевым моментом, поскольку брандмауэры прикладного уровня значительно усложняют компрометацию размещенной среды. Эпоха межсетевых экранов прикладного уровня наступила. Защита данных кредитных карт имеет жизненно важное значение в этом стандарте; изоляция среды, в которой хранятся данные кредитных карт, является хорошим вариантом, так как это может свести на нет необходимость внедрения строгих методов безопасности во всей сети.

Документация

Стандарт направлен на определение ключевых процедур управления изменениями, которые регистрируют изменения в брандмауэрах, охраняющих сеть, в которой размещены данные кредитных карт. Я рекомендую отделить систему данных кредитных карт от внутренней производственной сети. Другие документы, такие как сетевые диаграммы, должны создаваться и поддерживаться. Если брандмауэр используется для доступа в Интернет организацией, необходимо указать исходящие и входящие порты. Это помогает организации понять, почему порты открыты, но о некоторых опасных портах не сообщается. При проверках, которые я выполняю, я настоятельно рекомендую блокировать все исходящие порты и открывать для веб-службы только служебные порты, например порт 80. Решение обратного прокси, подобное тому, которое предлагает Microsoft ISA, является идеальным решением в этом случае. Таким образом, порт IIS не подвергается прямому доступу в Интернет.

Разглашение данных кредитных карт также необходимо тщательно контролировать, и в стандарте подчеркивается, что данные кредитных карт не должны подвергаться открытому доступу в Интернете в любое время. При просмотре существующего программного обеспечения для хранения кредитных карт для крупной коммунальной компании в регионе, в котором я консультирую, было обнаружено, что все данные кредитных карт не хранятся в зашифрованном виде и что если пользователь знает, где искать, подробности можно загрузить на по локальной сети или удаленно через веб-сайт. Этого не должно происходить ни при каких обстоятельствах, и благодаря изоляции данных кредитной карты, их шифрованию и применению надежных решений для контроля доступа к базе данных все было эффективно защищено.

Другие сети

Во избежание осложнений и обширной работы по обеспечению безопасности настоятельно рекомендуется, чтобы система, содержащая данные кредитной карты, не была подключена к какой-либо другой сети, включая беспроводную сеть. К системам, которые содержат конфиденциальную информацию о клиентах, следует применять строгие методы защиты, а дополнительные службы и протоколы следует удалить из машины, содержащей конфиденциальные данные, чтобы лучше защитить среду.

Любая клиентская машина, которая подключается к теперь защищенной сети, должна иметь брандмауэр на основе хоста или персональный брандмауэр, чтобы предотвратить заражение или компрометацию при выходе из защищенной сети или при перемещении.

Требование 2. Не используйте значения по умолчанию, предоставленные поставщиком для системных паролей и других параметров безопасности.
Это требование не вызывает затруднений, но вы будете удивлены тем, сколько организаций не справляются с этой простой задачей и, что еще хуже, сколько сторонних поставщиков услуг устанавливают и управляют решениями с паролями по умолчанию. Первый шаг — всегда менять учетные данные по умолчанию. Эти учетные данные должны храниться в зашифрованном виде, и только авторизованный персонал должен иметь доступ к этой информации. Недавний аудит, который я провел, показал, что более 60% организаций имеют пароли по умолчанию на критически важном сетевом оборудовании.

Реальные данные

В ходе недавнего аудита беспроводных сетей за полчаса было обнаружено 1300 беспроводных точек доступа, более 400 из них имели небезопасные настройки безопасности по умолчанию и были уязвимы. Было подтверждено, что более 18 из них связаны с известными коммерческими организациями, в сети которых хранятся ценные данные.

Закалить все, включая TCB

TCB, Trusted Computing Base, вот что это такое! TCB — это все аппаратное, программное и микропрограммное обеспечение. Это, в свою очередь, означает все операционные системы, приложения, микропрограммы и аппаратные компоненты. Операционные системы и приложения обычно обслуживаются программным обеспечением автоматического обновления, таким как WSUS. Опять же удивительно, как много организаций не воспринимают это всерьез и не обновляют свои решения с момента установки. Обычно программное обеспечение и приложения обновляются. Настоящей проблемой в более чем 80% сред является прошивка: однажды установленные продукты на основе прошивки остаются в работе на долгие годы, ими часто пренебрегают и никогда не обновляют. Хакеры знают это, и это одна из их первых точек атаки.

Еще один момент, который делает стандарт типичным для пренебрежения, и тем не менее многим организациям все еще приходится реализовывать, это… шифрование административного доступа к среде, особенно удаленного административного доступа. Такие технологии, как IPSec, SSTP, SSL, SSH, SSL/TLS, помогают поддерживать безопасность соединения.

Защитите данные держателей карт

Требование 3. Защитите сохраненные данные о держателях карт.
Это требование определяет, как должна храниться сохраненная информация о держателе карты. Для сохранения конфиденциальности данных необходимо использовать шифрование; моя рекомендация заключается в том, что в момент записи любых данных они должны быть записаны в зашифрованном состоянии и сохранены в зашифрованном виде. Технические решения для контроля доступа помогают защитить эти учетные данные. В стандарте четко указано: «НИКОГДА не сохраняйте элементы данных с кодом подтверждения карты или значением или значением подтверждения PIN-кода». Опять же, это то, что заявлено, но, по моему опыту, это не то, что практикуется.

Конфиденциальные данные аутентификации не должны храниться, включая копию магнитной полосы, информацию о чипе или где-либо еще. Чтобы снизить риск для клиента, необходимо использовать и хранить только минимальную информацию, необходимую для ведения бизнеса. Если данные хранятся, они должны быть в зашифрованном виде, а любая читаемая форма данных должна быть замаскирована, например 5412**************1345. Что-то, что я заметил, что нужно будет изменить, это то, что информация теперь отображается таким образом, но когда пакет передается в банк или на сайт обработки карт, информация отправляется в незамаскированном состоянии.

Требование 4. Зашифруйте передачу данных о держателях карт через открытые общедоступные сети.
Это требование вытекает из моего предыдущего открытия и очень необходимо в сегодняшней торговой среде, поскольку организации торгуют в виртуальной сфере в режиме реального времени. Стандарт очень четко определяет, как необходимо управлять шифрованием и как необходимо генерировать, распространять, защищать, хранить, заменять, обменивать и утилизировать ключи шифрования. Для получения дополнительной информации по этой теме я написал статью об управлении ключами шифрования. Существуют сторонние службы, которые управляют информацией о ключах для вас, и мы очень рекомендуем их, чтобы избежать неприятных ситуаций.

Во второй части этой серии мы рассмотрим следующие требования.

Поддерживать программу управления уязвимостями

Требование 5. Используйте и регулярно обновляйте антивирусное программное обеспечение.

Требование 6. Разработка и поддержка безопасных систем и приложений

Внедрите строгие меры контроля доступа

Требование 7. Ограничьте доступ к данным о держателях карт по служебной необходимости

Требование 8. Назначьте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру.

Требование 9. Ограничьте физический доступ к данным о держателях карт

Регулярный мониторинг и тестирование сетей

Требование 10. Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт.

Требование 11. Регулярно тестируйте системы и процессы безопасности.

Поддерживать политику информационной безопасности

Требование 12. Поддерживайте политику, касающуюся информационной безопасности.

Резюме

Слишком долго данные клиентов были скомпрометированы, этот стандарт давно назрел, и теперь, когда стандарт стал требованием большинства процессоров кредитных карт и банков, у поставщиков нет другого выбора, кроме как внедрить строгие решения безопасности, которые они должны были использовать. Потребители теперь начинают получать необходимую защиту благодаря этому стандарту.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023