Безопасность банковских карт

 

Зона контроля может  быть довольно обширной, особенно в  том случае, если внутри сеть компании не сегментирована и (в случае, если речь идет о кредитной организации) для отделения процессингового центра от остальной сети банка не используются внутренние межсетевые экраны. Используя специальную методику, аудитор делает репрезентативную выборку тех устройств, которые непосредственно будут подлежать проверке в ходе аудита. 

 

Этап  № 2: Оценка соответствия на месте. После того как решен вопрос с выборкой и завершена проверка необходимых документов, начинается этап On-site audit, т. е. этап проверки реализации требований стандарта PCI DSS непосредственно на месте, т. е. На территории клиента. Аудиторы проверяют реализацию методов защиты и их соответствие требованиям PCI DSS согласно процедурам аудита, насчитывающим более 230 проверок.  

 

Этап  № 3: Подготовка и распространение отчета. После окончания процедуры проверки на месте начинается работа над подготовкой отчета. Если компания соответствует по всем пунктам требованиям стандарта, то в международную платежную систему, с которой она работает, посылается соответствующий отчет (ROC для Visa Int. и COV для MasterCard Worldwide).  

 

Этап  № 4: Подготовка плана по устранению несоответствий. Если в ходе проверки было найдено хотя бы одно несоответствие, проверяемая компания составляет план по устранению несоответствий (action plan). В этом плане должны быть указаны конкретные даты исправления обнаруженных несоответствий, а также те способы и меры, с помощью которых каждое из них планируется исправить.

 

Основные  несоответствия и их причины

Теперь приведем немного статистики, касающейся наиболее проблемных, с точки зрения соответствия PCI DSS, требований стандарта, несоответствия которым наиболее часто обнаруживаются в ходе аудиторской проверки. Как  наглядно демонстрирует Диаграмма 1, наиболее «проблемными» для компаний по количеству несоответствий являются следующие требования стандарта PCI DSS:

Диаграмма 1.

 

 

Требование 11: Необходимо проводить регулярное тестирование систем и процессов обеспечения безопасности.

Требование 2: Необходимо запретить использование параметров безопасности и системных паролей, задаваемых производителями по умолчанию.

Требование 3: Необходимо защищать хранимые данные держателей карт.

Требование 10: Необходимо отслеживать и проводить мониторинг всех попыток доступа к сетевым ресурсам и данным держателей карт.

Требование 8: Необходимо назначать уникальный идентификатор каждому, кто имеет доступ к компьютеру.

Требование 12: Необходимо поддерживать и совершенствовать политику информационной безопасности. 

 

Несоответствия  перечисленным выше требованиям  выявляются чаще всего.

В то же время выполнение следующих требований стандарта  обычно не вызывает больших трудностей:

Требование 9: Необходимо ограничивать физический доступ к данным держателей карт

Требование 4: Необходимо шифровать данные держателей карт при их передаче по открытым, публичным сетям.

Требование 7: Необходимо ограничивать доступ к данным держателей карт по принципу необходимого знания.

 

Этапы по внедрению PCI-DSS

Этап 1: Обследование инфраструктуры

Перед заключением договора рекомендуется обсудить с исполнителем:

• Необходимость предоставления заказчику анкет для сбора предварительной информации об инфраструктуре
• Форму и степень детализации отчёта об обследовании;
• Участие сертифицированного QSA-аудитора в выполнении обследования. Такое участие не обязательно, но, несомненно, даёт большую уверенность в качестве результата;
• Сроки исполнения работ.

В процессе выполнения:

• Предупредите сотрудников, что они будут общаться с консультантом, а не с аудитором, его не надо бояться и ему следует предоставить максимум информации, особенно касающейся недостатков в защите карточных данных;
• Чтобы оценить качество работы исполнителя на этом этапе, обратите внимание на то, как проводятся интервью с сотрудниками. Если отвечая на вопросы аудитора, сотрудники вдруг открывают для себя что-то новое в своей собственной работе — это очень хорошее интервью;
• Получив отчёт об обследовании, проверьте качество его оформления и наличие всех наблюдений о системе, которые вы считаете важными.

Этап 2: Разработка решений по выполнению требований стандарта

Перед заключением договора обсудите с исполнителем:

• Необходимость предоставления на выбор возможных вариантов решения для каждого требования стандарта;
• Необходимость включения в перечень предлагаемых вариантов как коммерческого и бесплатного (Open Source) программного обеспечения;
• Промежуточные контрольные точки — моменты времени, когда вам могут быть представлены для согласования и корректирования промежуточные результаты разработки.

В процессе выполнения:

• Заранее обсудите с исполнителем ваши предпочтения по выбору программного и аппаратного обеспечения, сохранению или изменению бизнес-процессов, связанных с обработкой карточных данных, и прочие важные аспекты внедрения PCI DSS;
• Обсудите и при необходимости попросите скорректировать промежуточные результаты разработки;
• Выясните возможные альтернативы предложенным решениям.

Этап 3: Разработка компенсационных мер

В случае, если существуют технические или бизнес ограничения, не позволяющие напрямую выполнить какое-либо из требований стандарта, стоит еще на этапе выбора исполнителя обсудить возможность разработки компенсационных мер.

В процессе выполнения проекта подробно расскажите консультанту о технических ограничениях и требованиях бизнеса. Если они препятствуют прямому выполнению какого-либо из требований стандарта, рассмотрите возможные компенсационные меры.

Следует иметь в виду, что компенсационные меры часто оказываются дороже прямого выполнения требования, хотя бывают и обратные ситуации.

Главный критерий при выборе компенсационной меры: нужна эффективная  защита данных о держателях карт, а не просто формальное выполнение требования стандарта.

Этап 4: Внедрение

При планировании и внедрении мер по защите данных о держателях платёжных карт стоит подумать о возможности их применения и для защиты других активов организации. При правильной организации можно извлечь из проекта по внедрению PCI DSS существенную пользу для защиты всего бизнеса. Например, можно выполнить тестирование на проникновение других критичных информационных систем. Также можно совместить с внедрением PCI DSS проект по выполнению требований законодательства или стандартов, необходимых для ведения бизнеса — Закона «О персональных данных», стандартов ISO 27001 и СТО БР ИББС-1.0.

Этап 5: Разработка нормативных документов

Перед заключением договора обсудите с исполнителем, какой набор документов будет им разработан. В идеале, исполнитель должен предоставить все документы, необходимые и достаточные для достижения и поддержания соответствия стандарту — от Политики информационной безопасности, до частных инструкций для сотрудников, форм журналов и заявок на предоставление прав доступа. Соответствующий пункт следует предусмотреть в договоре.

Однако, не стоит прописывать в договоре конкретный перечень разрабатываемых документов, так как он индивидуален для каждого заказчика и может быть определен только в ходе исполнения проекта после предварительного обследования организации.

Заранее обсудите удобный  формат документации и определите, как она будет интегрирована с уже существующими в компании документами.

Этап 6: Испытания — ASV-сканирование и тестирование на проникновение

В случае выявления уязвимостей в ходе тестирования на проникновение, их необходимо устранить. Устранение должно быть подтверждено повторным тестированием. Поэтому, стоит заранее узнать, на каких условиях исполнитель будет выполнять повторное тестирование.

После успешного прохождения  сертификации нужно обязательно  строго соблюдать график ежеквартальных автоматизированных ASV-сканирований уязвимостей  периметра сети — это позволит избежать трудностей при повторном прохождении сертификации на следующий год.

Этап 7: Сертификационный аудит

Для выполнения сертификационного  аудита не только компания, но и конкретные её сотрудники, выполняющие проверки, должны обладать статусом сертифицированного аудитора — QSA. Проверить наличие такого статуса, как у компании, так и у её сотрудников можно на сайте регулятора отрасли — международного Совета PCI SSC —www.pcisecuritystandards.org.

Выполнение описанных  рекомендаций позволит сделать проект по внедрению и сертификации по стандарту PCI DSS более управляемым и приблизит его результат к ожиданиям заказчика.