Соответствие требованиям индустрии платежных карт — защита данных как продавца, так и клиента

1. Что такое соответствие PCI?

Снова и снова нарушения безопасности и системные эксплойты приводили к краже данных кредитных карт и личных документов на миллионы долларов. На протяжении многих лет крупные предприятия, включая банки, сталкивались с нарушениями безопасности, которые приводили к краже личных данных клиентов. В 2004 году совместными усилиями крупных компаний-эмитентов кредитных карт American Express, Visa, MasterCard и Discover был создан стандарт безопасности данных индустрии платежных карт, при этом каждая из компаний-эмитентов кредитных карт имеет отдельные стандартные данные. 30 июня 2005 года правила PCI DSS были стандартизированы и введены в действие.

Каждая компания, выпускающая кредитные карты, создала собственную политику безопасности следующим образом:

• American Express: Операционная политика безопасности данных (DSOP)
  
• Visa: Программа информационной безопасности держателей карт (CISP)
  
• Откройте для себя: Откройте для себя информационную безопасность и соответствие требованиям (DISC)
  
• MasterCard: Защита данных сайта MasterCard (SDP)

Регламент PCI Compliance предназначен для внедрения организациями, которые обрабатывают транзакции, совершенные с помощью этих типов кредитных или дебетовых карт, и суровые штрафы могут быть наложены на предприятия, которые пострадали от нарушения безопасности в результате несоблюдения стандарта PCI. Кроме того, компаниям, которые не соблюдают требования должным образом или предпочитают их не соблюдать, может быть вообще отказано в праве на обработку карточных транзакций. Поскольку правила соответствия постоянно развиваются и совершенствуются, участвующие компании должны внимательно следить за изменениями в любых требованиях карточных систем, которые они обрабатывают.

В сентябре 2006 года пять основных брендов карт (American Express, Discover, JCB, MasterCard и Visa) объединились для создания Совета по стандартам безопасности PCI, который является независимым органом, созданным для мониторинга и развития стандарта PCI. Объявление о создании этого совета также выдвинуло версию 1.1 стандарта. В то время как совет управляет детализацией и внедрением нормативного стандарта, именно компании, выпускающие карты, диктуют свои отдельные спецификации требований и способ их реализации в зависимости от размера организации.

Обязанности Совета по стандартам безопасности PCI: (http://www.pcicomplianceguide.org)

• Разработать и поддерживать глобальный общеотраслевой технический стандарт безопасности данных для защиты информации об учетной записи владельца счета.
  
• Сокращение затрат и времени на внедрение и соблюдение Стандарта безопасности данных за счет создания общих технических стандартов и процедур аудита для использования всеми платежными системами.
  
• Разместите на своем веб-сайте список глобально доступных квалифицированных поставщиков решений для обеспечения безопасности, чтобы помочь отрасли добиться соответствия требованиям.
  
• Руководство обучением, обучением и оптимизированным процессом сертификации квалифицированных специалистов по оценке безопасности (QSA) и утвержденных поставщиков сканирования (ASV), обеспечивая единый источник утверждения, признанный всеми пятью членами-учредителями.
  
• Обеспечьте прозрачный форум, на котором все заинтересованные стороны могут внести свой вклад в текущую разработку, совершенствование и распространение стандартов безопасности данных.

Каждый бренд карты должен управлять своей собственной структурой требований и налагать свои собственные санкции на предприятия, которые не соблюдают требования.

2. Регламент соответствия

Спецификация соответствия PCI описывает набор требований, которые участвующие компании должны соблюдать, чтобы обеспечить принятие правильных мер для защиты всех данных, как внутренних, так и внешних.

Участвующие финансовые учреждения должны обеспечить 6 следующих категорий

1. Проектирование и обслуживание безопасной сети
   
   
   
   • Установка и обслуживание реализации брандмауэра для защиты данных держателей карт
     
   • Учетные данные оборудования и программного обеспечения по умолчанию, а также конфигурация безопасности должны быть изменены.
   
   
2. Защита данных держателей карт
   
   
   
   • Данные о держателях карт должны тщательно охраняться и защищаться.
     
   • Данные о держателях карт, передаваемые по общедоступным сетям, должны быть закодированы.
   
   
3. Обслуживание программы управления уязвимостями
   
   
   
   • Постоянно должно использоваться обновленное антивирусное решение.
     
   • Необходимо разрабатывать и поддерживать безопасные системы и приложения
   
   
4. Внедрение строгих мер контроля доступа
   
   
   
   • Доступ к данным держателей карт должен быть ограничен деловыми кругами.
     
   • Каждый человек, имеющий доступ к компьютеру, должен иметь уникальный идентификатор
     
   • Физический доступ к данным держателей карт должен быть ограничен
   
   
5. Регулярное тестирование и мониторинг сети
   
   
   
   • Весь доступ к сетевым ресурсам и данным держателей карт должен отслеживаться и контролироваться.
     
   • Системы и процессы безопасности должны регулярно тестироваться
   
   
6. Сопровождение политики информационной безопасности
   
   
   
   • Должна быть реализована и поддерживаться политика, касающаяся информационной безопасности.

Эти 6 руководящих принципов должны тщательно выполняться при внедрении участвующих бизнес-систем, и необходимо проводить регулярное тестирование, чтобы гарантировать, что все эти стандартные требования действуют в любой момент времени. Легкость, с которой продавцы могут добиться соответствия PCI, зависит от годового количества транзакций, обрабатываемых компанией. По этой причине продавцы, которые требуют соблюдения PCI, делятся на 4 отдельные группы следующим образом:

1-й уровень:

• Предприятия, которые обрабатывают более 6 000 000 транзакций в год
  
• Компании, которые уже пострадали от атаки, в результате которой были скомпрометированы данные
  
• Компании, которые уже были отнесены к Уровню 1 другой карточной компанией.

Уровень 2:

• Компании, которые обрабатывают от 150 000 до 6 000 000 транзакций в год

Уровень 3:

• Компании, которые обрабатывают от 20 000 до 150 000 транзакций в год

Уровень 4:

• Компании, которые обрабатывают менее 20 000 транзакций в год

3. Защита потребителя

Потребители, которые используют кредитные/дебетовые карты в Интернете для покупки продуктов или услуг, рискуют понести финансовые потери, когда компании обрабатывают свои транзакции через незащищенные системы. Было бесконечное количество случаев кражи данных кредитных карт из баз эксплуатируемых веб-приложений. Чаще всего эти детали продаются на черном рынке по незаконным сделкам. В этих случаях и организация, и потребитель могут понести большие убытки.

Однако другой проблемой, которая освещается меньше, чем финансовые потери, является проблема кражи личных данных. Кража личных данных — это использование чужих личных данных, таких как имя, адрес, номер социального страхования или история покупок, без разрешения в мошеннических целях. Исследовано, что только в США более 9 миллионов граждан становятся жертвами кражи личных данных и сталкиваются с повторяющимся злоупотреблением их личными данными для нескольких незаконных транзакций, совершенных от их имени. Эти жертвы обычно не подозревают о том, что их данные используются злонамеренно, пока коллекторы не появятся у их дверей или пока шокирующие счета не будут найдены по почте.

Недавний случай, потрясший профессионалов в области безопасности по всему миру, — серьезный эксплойт TJX. Владелец розничной торговли одеждой TJ Maxx, Marshall's Inc., пострадал от крупнейшей из известных на сегодняшний день краж данных. Хакеры вторглись в системы TJX, в результате чего за 18 месяцев было украдено не менее 45,7 миллионов номеров кредитных и дебетовых карт. А также украденные личные данные, в том числе номера водительских прав еще 455 000 покупателей, вернувших товар без чеков. TJX впервые узнала о подозрительном программном обеспечении в своей компьютерной системе 18 декабря 2006 года, однако украденные данные касались транзакций, датированных еще декабрем 2002 года.

Стандарт соответствия PCI направлен на то, чтобы остановить кражу финансов и личных данных из источника в Интернете, обеспечив безопасность систем, которые обрабатывают и хранят данные клиентов и информацию о транзакциях. Веб-атаки и технологические недостатки в сетевой безопасности всегда будут держать в напряжении предприятия и экспертов по безопасности, и как только уязвимости будут устранены, будут обнаружены новые. Вот почему стандарт соответствия PCI — это непрерывный процесс, который необходимо поддерживать на всех этапах онлайн-бизнеса — от проектирования системы до ее внедрения и эксплуатации в реальном мире.

4. Сертификация соответствия

Соответствие PCI реализуется как в технологической, так и в административной части бизнес-процесса. Когда речь идет о сотрудниках компании, обрабатывающих данные клиентов и обрабатывающих транзакции, необходимо внедрить четкое руководство. Многие эксплойты на самом деле выполняются изнутри, и несколько раз сотрудники были осуждены за кражу или действия, которые привели к незаконному получению данных. Компании также должны отслеживать любые изменения, внесенные в технические или бизнес-процессы, чтобы гарантировать, что за каждым изменением следуют соответствующие контрмеры безопасности, разработанные для успешного аудита безопасности. Защита и сохранение данных также должны применяться к элементам, которые не влекут за собой последствий, вызванных участием человека. Необходимо учитывать технические сбои и выполнять своевременное резервное копирование всех ценных данных. Эти резервные копии должны быть зашифрованы и храниться в определенных областях, доступ к которым имеют только авторизованные администраторы или руководство.

Все предприятия, применяющие процедуру соответствия PCI, должны пользоваться услугами утвержденных компаний для выполнения проверок безопасности на соответствие. Результаты этих сканирований публикуются в подробных отчетах о соответствии, которые затем используются для утверждения в соответствии с конкретными требованиями компании-эмитента. Совет по стандартам безопасности PCI управляет процессом, согласно которому компании, занимающиеся безопасностью, становятся утвержденными поставщиками сканирования (ASV), и отчеты о соответствии PCI могут выпускаться только этими утвержденными организациями.

5. Инструменты оценки безопасности

Спецификация PCI Compliance — это больше, чем просто набор правил, которым должны следовать организации. Это также руководство, которое предоставляет метод для отслеживания и защиты всех потенциальных недостатков безопасности, которые могут быть использованы. Обнаружение этих потенциальных эксплойтов упрощается благодаря использованию таких инструментов, как веб-сканеры уязвимостей и сетевые сканеры.

Сканер веб-уязвимостей — это программный продукт, который выполняет углубленную оценку веб-приложения или веб-службы. Он обнаруживает все недостатки безопасности, которыми может воспользоваться хакер, намеревающийся получить доступ к веб-серверам, внутренним сетям и внутренним базам данных. Веб-приложение часто упускают из виду, когда организации выделяют средства на покупку высокотехнологичных систем обнаружения вторжений и систем сетевой безопасности. Однако распространенной ошибкой является забывание того, что если веб-сайт открыт для всех, то он также обеспечивает точку входа, которая открыта 24 часа в сутки. Сканеры веб-уязвимостей помогают разработчикам определить эти возможные точки входа и защитить веб-приложение, чтобы этого не произошло.

С другой стороны, сетевые сканеры — это инструменты, которые сканируют сетевые узлы на наличие открытых портов, отсутствующих исправлений безопасности в операционных системах и серверных технологиях, потенциальных эксплойтов, обнаруженных в приложениях, установленных в сети, уязвимостей сетевых устройств и неправильно настроенных прав пользователей. Эти риски безопасности устраняются с помощью различных конфигураций и применения исправлений и обновлений программного обеспечения безопасности. Любые изменения в сетевой инфраструктуре могут открыть потенциальные бреши в системе безопасности, поэтому регулярные проверки должны быть включены в график технического обслуживания любого системного администратора.

6. Резюме и выводы

Целью бизнеса, который работает в Интернете, является предоставление клиенту приобретенных товаров или услуг в более короткие сроки и с большей эффективностью. Интернет медленно, но верно превращает идею физических денег в абстрактное понятие, которое в теории звучит чрезвычайно практично, однако цифровизация денежных средств и платежных систем также подвергает большие опасности. Многие люди видят в этом способ избавиться от необходимости охранять свои физические деньги, однако именно эта цифровизация подвергает большему риску деньги и личность людей.

Информацию о рисках, связанных с обменом и переводом средств в Интернете, можно изучить и найти в различных публикациях и на веб-сайтах, однако эта информация предназначена не для запугивания, а для повышения осведомленности потребителей и предприятий. Продавцы, соответствующие стандарту PCI, могут извлечь выгоду из стандартизированного подхода к защите своих онлайн-систем, а также доказать свою надежность потребителям.

Утвержденные поставщики услуг сканирования, проводящие аудит соответствия требованиям PCI, могут использовать Acunetix Web Vulnerability Scanner для выявления уязвимостей в торговых веб-приложениях, а также помочь им устранить любые потенциальные эксплойты. Полное соответствие PCI расширяет возможности Acunetix WVS для сертификации защищенных веб-приложений в соответствии со спецификациями, подробно изложенными в руководстве по безопасности индустрии платежных карт.