Стандарт безопасности данных индустрии платежных карт

Набор требований безопасности для процессоров кредитных карт

Стандарт безопасности данных индустрии платежных карт ( PCI DSS ) — это стандарт информационной безопасности , используемый для обработки кредитных карт основных брендов . Стандарт администрируется Советом по стандартам безопасности индустрии платежных карт , и его использование предписано брендами карт. Он был создан для лучшего контроля данных держателей карт и предотвращения мошенничества с кредитными картами . Проверка соответствия осуществляется ежегодно или ежеквартально методом, подходящим для объема транзакций: ^[1]

• Анкета самооценки (SAQ)
• Оценщик внутренней безопасности (ISA) конкретной фирмы
• Внешний квалифицированный оценщик безопасности (QSA)

История

У основных брендов карточек было пять различных программ безопасности:

• Программа информационной безопасности держателей карт Visa
• Защита данных сайта Mastercard
• Операционная политика безопасности данных American Express
• Информационная безопасность и соответствие требованиям Discover
• Программа безопасности данных JCB

Намерения каждого из них были примерно одинаковыми: создать дополнительный уровень защиты эмитентов карт, гарантируя, что продавцы соблюдают минимальный уровень безопасности при хранении, обработке и передаче данных о держателях карт. Чтобы решить проблемы совместимости существующих стандартов, совместные усилия основных организаций, выпускающих кредитные карты, привели к выпуску версии 1.0 PCI DSS в декабре 2004 года. ^{PCI DSS} был внедрен и соблюдается во всем мире ^.

Затем был сформирован Совет по стандартам безопасности индустрии платежных карт (PCI SSC), и эти компании согласовали свою политику с созданием PCI DSS. ^[2] MasterCard, American Express, Visa, JCB International и Discover Financial Services учредили PCI SSC в сентябре 2006 года в качестве административного и управляющего органа, который отвечает за эволюцию и развитие PCI DSS. ^[3] Независимые частные организации могут участвовать в разработке PCI после регистрации. Каждая участвующая организация присоединяется к SIG (группе специальных интересов) и вносит свой вклад в деятельность, санкционированную этой группой. Доступны следующие версии PCI DSS: ^[4]

Требования

PCI DSS содержит двенадцать требований к соответствию, сгруппированных в шесть связанных групп, известных как цели контроля: ^[6]

1. Создавать и поддерживать безопасную сеть и системы
2. Защитите данные держателей карт
3. Поддерживать программу управления уязвимостями
4. Внедрить строгие меры контроля доступа
5. Регулярно отслеживайте и тестируйте сети
6. Поддерживать политику информационной безопасности

В каждой версии PCI DSS эти шесть групп требований разделены по-разному, но двенадцать требований не изменились с момента появления стандарта. Каждое требование и подтребование разделено на три раздела:

1. Требования PCI DSS: Определите требование. Одобрение PCI DSS осуществляется после реализации требования.
2. Тестирование: процессы и методологии, выполняемые оценщиком для подтверждения надлежащего внедрения.
3. Руководство: объясняет цель требования и соответствующее содержание, что может помочь в его правильном определении.

В версии 3.2.1 PCI DSS двенадцать требований:

1. Установите и поддерживайте систему межсетевого экрана для защиты данных держателей карт.
2. Избегайте использования настроек по умолчанию для системных паролей и других параметров безопасности, предоставленных поставщиком.
3. Защитите сохраненные данные держателей карт.
4. Шифруйте передачу данных о держателях карт в открытых общедоступных сетях.
5. Защитите все системы от вредоносного ПО и обновите антивирусное программное обеспечение или программы.
6. Разрабатывать и поддерживать безопасные системы и приложения.
7. Ограничьте доступ к данным о держателях карт в соответствии с потребностями бизнеса .
8. Идентификация и аутентификация доступа к компонентам системы.
9. Ограничьте физический доступ к данным держателей карт.
10. Отслеживайте и контролируйте доступ к сетевым ресурсам и данным держателей карт.
11. Регулярно тестируйте системы и процессы безопасности.
12. Поддерживать политику информационной безопасности, которая обеспечивает информационную безопасность для всего персонала.

Обновления и дополнительная информация

PCI SSC (Совет по стандартам безопасности индустрии платежных карт) опубликовал дополнительную информацию для разъяснения требований, которая включает в себя:

• Информационное дополнение: Требование 11.3 Тестирование на проникновение
• Информационное дополнение: разъяснено требование 6.6 «Проверки кода и брандмауэры приложений»
• Навигация по PCI DSS: понимание сути требований
• Рекомендации PCI DSS по беспроводной связи ^[7]
• Применимость PCI DSS в среде EMV
• Приоритетный подход к PCI DSS
• Инструмент приоритетного подхода
• Краткое справочное руководство PCI DSS
• Рекомендации по виртуализации PCI DSS
• Рекомендации по токенизации PCI DSS
• Рекомендации по оценке рисков PCI DSS 2.0
• Жизненный цикл изменений в PCI DSS и PA-DSS
• Руководство по определению объема и сегментации PCI DSS
• Ресурсный центр PCI DSS v4.0 ^[8]

Уровни отчетности

Компании, на которых распространяются стандарты PCI DSS, должны соответствовать требованиям PCI; то, как они доказывают и сообщают о своем соблюдении, зависит от годового количества транзакций и способа их обработки. Эквайер или платежный бренд может вручную перевести организацию на уровень отчетности по своему усмотрению . ^[9] Уровни торговца:

• Уровень 1 – Более шести миллионов транзакций ежегодно.
• Уровень 2 – От одного до шести миллионов транзакций.
• Уровень 3 – от 20 000 до одного миллиона транзакций и все продавцы электронной коммерции.
• Уровень 4 – Менее 20 000 транзакций

Каждый эмитент карт ведет таблицу уровней соответствия и таблицу поставщиков услуг. ^{[10] [11]}

Проверка соответствия

Проверка соответствия включает оценку и подтверждение того, что меры и процедуры безопасности реализованы в соответствии с PCI DSS. Валидация происходит посредством ежегодной оценки, проводимой либо внешней организацией, либо путем самооценки. ^[12]

Отчет о соответствии

Отчет о соответствии (ROC) составляется квалифицированным оценщиком безопасности PCI (QSA) и предназначен для обеспечения независимой проверки соответствия организации стандарту PCI DSS. В результате завершения ROC выдается два документа: шаблон отчета ROC, содержащий подробное объяснение проведенного тестирования, и Свидетельство о соответствии (AOC), подтверждающее прохождение ROC, а также общее заключение ROC.

Анкета для самооценки

Анкета для самооценки PCI DSS (SAQ) — это инструмент проверки, предназначенный для малых и средних торговцев и поставщиков услуг для оценки их собственного статуса соответствия PCI DSS. Существует несколько типов опросных листов, каждый из которых имеет разную длину в зависимости от типа организации и используемой модели оплаты. На каждый вопрос опросного листа можно дать ответ «да» или «нет», а любой ответ «нет» требует от организации указать его будущую реализацию. Как и в случае с ROC, также проводится аттестация соответствия (AOC) на основе опросного листа SAQ.

Эксперты по безопасности

Совет по стандартам безопасности PCI поддерживает программу сертификации компаний и частных лиц для выполнения оценочной деятельности.

Квалифицированный оценщик безопасности

Квалифицированный оценщик безопасности (QSA) — это лицо, сертифицированное Советом по стандартам безопасности PCI для подтверждения соответствия другой организации PCI DSS. QSA должны наниматься и спонсироваться компанией QSA, которая также должна быть сертифицирована Советом по стандартам безопасности PCI. ^{[13] [14]}

Эксперт внутренней безопасности

Оценщик внутренней безопасности (ISA) — это человек, который получил сертификат Совета по стандартам безопасности PCI для своей организации-спонсора и может проводить самооценку PCI для своей организации. Программа ISA была разработана, чтобы помочь продавцам уровня 2 соответствовать требованиям проверки соответствия Mastercard. ^[15] Сертификация ISA дает человеку право проводить оценку своей ассоциации и предлагать решения по обеспечению безопасности и средства контроля для соответствия PCI DSS. ISA отвечают за сотрудничество и участие с QSA. ^[12]

Соответствие и проверка соответствия

Хотя PCI DSS должен быть внедрен всеми организациями, которые обрабатывают, хранят или передают данные о держателях карт, формальная проверка соответствия PCI DSS не является обязательной для всех организаций. Visa и Mastercard требуют, чтобы торговцы и поставщики услуг прошли проверку в соответствии с PCI DSS; Visa также предлагает Программу технологических инноваций (TIP), альтернативную программу, которая позволяет квалифицированным продавцам прекратить ежегодную проверку соответствия PCI DSS. Продавцы имеют право на участие в программе, если они принимают альтернативные меры предосторожности против мошенничества, такие как использование EMV или двухточечного шифрования .

Банки-эмитенты не обязаны проходить проверку PCI DSS, хотя они должны защищать конфиденциальные данные в соответствии с требованиями PCI DSS. Банки-эквайеры должны соблюдать требования PCI DSS и подтверждать свое соответствие в ходе аудита . В случае нарушения безопасности любая скомпрометированная организация, которая не соответствовала стандарту PCI DSS на момент нарушения, может быть подвергнута дополнительным штрафам (например, штрафам) со стороны брендов карт или банков-эквайеров.

Законодательство в США

Соответствие PCI DSS не требуется федеральным законодательством США , однако законы некоторых штатов напрямую ссылаются на PCI DSS или содержат аналогичные положения. Ученые-правоведы Эдвард Морс и Васант Раваль заявили, что, закрепив соответствие PCI DSS в законодательстве, карточные сети перераспределили издержки мошенничества с эмитентов карт на торговцев. ^[16] В 2007 году Миннесота приняла закон, запрещающий хранить некоторые типы данных платежных карт более 48 часов после авторизации транзакции. ^{[17] [18]} Два года спустя Невада включила этот стандарт в закон штата, требуя от торговцев, ведущих бизнес в этом штате, соблюдения действующего стандарта PCI DSS и защищая соответствующие организации от ответственности. Закон штата Невада также позволяет торговцам избегать ответственности по другим утвержденным стандартам безопасности. ^{[19] [16]} В 2010 году Вашингтон также включил этот стандарт в закон штата. В отличие от закона штата Невада, организации не обязаны соответствовать требованиям PCI DSS; однако соответствующие организации защищены от ответственности в случае утечки данных. ^{[20] [16]}

Споры и критика

Visa и Mastercard налагают штрафы за несоблюдение требований. Стивен и Теодора «Сисси» МакКомб, владельцы ресторана и ночного клуба Cisero's Ristorante и ночного клуба в Парк-Сити, штат Юта , были оштрафованы за нарушение, по которому две криминалистические фирмы не смогли найти доказательств:

МакКомбы утверждают, что система PCI — это не столько система защиты данных карт клиентов, сколько система извлечения прибыли для карточных компаний посредством штрафов и пеней. Visa и MasterCard налагают штрафы на торговцев даже тогда, когда потерь от мошенничества вообще нет, просто потому, что штрафы «им выгодны», говорят Маккомбы. ^[21]

Майкл Джонс, ИТ-директор компании Michaels , дал показания перед подкомитетом Конгресса США по поводу PCI DSS:

[Требования PCI DSS] очень дороги в реализации, их соблюдение запутанно и в конечном итоге субъективно как в их интерпретации, так и в их исполнении. Часто утверждается, что существует только двенадцать «Требований» для соответствия PCI. Фактически существует более 220 подтребований; некоторые из них могут стать непомерным бременем для розничного продавца , а многие из них подлежат интерпретации . ^[22]

PCI DSS может заставить компании уделять больше внимания ИТ-безопасности, даже если минимальных стандартов недостаточно для устранения проблем безопасности. Брюс Шнайер высказался в пользу стандарта:

Регулирование — SOX, HIPAA , GLBA, PCI индустрии кредитных карт, различные законы о раскрытии информации, Европейский закон о защите данных и т. д. — было лучшим оружием, которым отрасль нашла способ бить компании по голове. И это работает. Регулирование заставляет компании более серьезно относиться к безопасности и продавать больше продуктов и услуг. ^[23]

Генеральный менеджер Совета PCI Боб Руссо ответил на возражения Национальной федерации розничной торговли :

[PCI представляет собой структурированное] сочетание... [] специфики и концепций высокого уровня, [что дает] заинтересованным сторонам возможность и гибкость работать с квалифицированными оценщиками безопасности (QSA) для определения соответствующих мер безопасности в своей среде, которые соответствуют целям стандарты PCI. ^[24]

Директор по корпоративным рискам Visa Эллен Ричи заявила в 2018 году: «На момент взлома ни одна скомпрометированная организация не была признана соответствующей PCI DSS». ^[25] Однако в 2008 году взлом Heartland Payment Systems (подтвержденной как PCI DSS) привел к компрометации ста миллионов номеров карт. Примерно в то же время компании Hannaford Brothers и TJX (также сертифицированные как соответствующие стандарту PCI DSS) подверглись аналогичному взлому в результате предположительно скоординированных усилий Альберта Гонсалеса и двух неназванных российских хакеров. ^[26]

В ходе оценок проверяется соответствие продавцов и поставщиков услуг требованиям PCI DSS в определенный момент времени, часто с использованием выборки , чтобы продемонстрировать соответствие репрезентативным системам и процессам. В обязанности продавца и поставщика услуг входит достижение, демонстрация и поддержание соответствия требованиям на протяжении всего ежегодного цикла проверки и оценки всех систем и процессов. Нарушения могли быть вызваны нарушением соблюдения продавцом и поставщиком услуг письменного стандарта; Hannaford Brothers получила подтверждение соответствия PCI DSS через день после того, как ей стало известно о двухмесячной компрометации ее внутренних систем.

Проверка соответствия требуется только для продавцов уровней с 1 по 3 и может быть необязательной для уровня 4, в зависимости от марки карты и эквайера. В соответствии с деталями проверки соответствия Visa для продавцов, требования проверки соответствия продавцам уровня 4 («Продавцы обрабатывают менее 20 000 транзакций электронной коммерции Visa в год, а все остальные продавцы обрабатывают до 1 миллиона транзакций Visa в год») устанавливаются эквайером . Более 80 процентов компрометаций платежных карт в период с 2005 по 2007 год затронуло торговцев 4-го уровня, которые обработали 32 процента всех таких транзакций. ^{[ нужна цитата ]}

Смотрите также

• Тест на проникновение
• Управление уязвимостями
• Беспроводная сеть
• Беспроводная безопасность

Рекомендации

1. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано (PDF) оригинала 1 сентября 2018 г. Проверено 4 сентября 2018 г.
2. Лю, Цзин; Сяо, Ян; Чен, Хуэй; Оздемир, Суат; Додл, Шринивас; Сингх, Викас (2010). «Обзор стандартов безопасности данных индустрии платежных карт». Опросы и учебные пособия IEEE по коммуникациям . 12 (3): 287–303. doi :10.1109/SURV.2010.031810.00083. S2CID  18117838.
3. «О нас». Совет по стандартам безопасности PCI . Архивировано из оригинала 2 апреля 2022 года . Проверено 15 декабря 2022 г.
4. «Библиотека документов». Совет по стандартам безопасности PCI. Архивировано из оригинала 7 ноября 2020 года . Проверено 12 ноября 2020 г.
5. «Обеспечение будущего платежей: PCI SSC публикует стандарт безопасности данных PCI v4.0» . Совет по стандартам безопасности PCI. 31 марта 2022 года. Архивировано из оригинала 9 апреля 2022 года . Проверено 8 апреля 2022 г.
6. «Краткое справочное руководство PCI DSS» (PDF) . Архивировано (PDF) из оригинала 12 ноября 2020 г. Проверено 12 ноября 2020 г.
7. «Информационное приложение: Рекомендации PCI DSS по беспроводной связи» (PDF) . 26 августа 2011 г. Архивировано (PDF) из оригинала 31 октября 2018 г. . Проверено 8 августа 2018 г.
8. «Центр ресурсов PCI DSS v4.0» . Архивировано из оригинала 23 марта 2023 года . Проверено 24 марта 2023 г.
9. «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Архивировано из оригинала 2 сентября 2019 года . Проверено 21 февраля 2007 г.
10. «Виза в Европу». Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
11. «Что нужно знать продавцам | Обработка платежных данных и защищенные транзакции | Mastercard» . www.mastercard.us . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
12. Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано из оригинала 19 июля 2023 года . Проверено 4 сентября 2018 г.
13. «Квалифицированные оценщики безопасности». Совет по стандартам безопасности PCI. Архивировано из оригинала 18 мая 2023 года . Проверено 18 мая 2023 г.
14. «Квалификационные требования для квалифицированных оценщиков безопасности (QSA)» (PDF) . Совет по стандартам безопасности PCI.
15. «Избегайте платить за сертификацию PCI, которая вам не нужна» . FierceRetail . 12 мая 2010 г. Архивировано из оригинала 17 мая 2022 г. Проверено 26 марта 2018 г.
16. Эдвард А. Морс; Васант Раваль, Частные заказы в свете закона: достижение защиты потребителей посредством мер безопасности платежных карт. Архивировано 6 августа 2020 г., в журнале Wayback Machine DePaul Business & Commercial Law Journal 10, вып. 2 (зима 2012 г.): 213–266.
17. Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности обеспечивать должную заботу о безопасности данных. Архивировано 6 августа 2020 г., в Wayback Machine. Обзор закона Уильяма Митчелла 34, вып. 3 (2008): 1115-1146.
18. "МИНН. СТАТ. § 325E.64" . Архивировано из оригинала 10 октября 2019 года . Проверено 10 октября 2019 г.
19. "NEV. REV. STAT. § 603A.215" . Архивировано из оригинала 1 октября 2019 года . Проверено 10 октября 2019 г.
20. «Законы Вашингтонской сессии 2010 г., 1055, § 3» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г. Проверено 10 октября 2019 г.
21. Зеттер, Ким (11 января 2012 г.). «Редкая судебная тяжба касается стандартов безопасности и штрафов компаний, выпускающих кредитные карты». Проводной . Проверено 30 марта 2019 г.
22. «Снижают ли стандарты данных индустрии платежных карт киберпреступность? Слушания в подкомитете по возникающим угрозам, кибербезопасности, науке и технологиям Комитета внутренней безопасности Палаты представителей, Сто одиннадцатый Конгресс, первая сессия, 31 марта 2009 г. ". ГПО. 31 марта 2009 года. Архивировано из оригинала 30 марта 2019 года . Проверено 30 марта 2019 г. {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
23. «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности». Шнайер по безопасности. 15 января 2008 года. Архивировано из оригинала 3 марта 2019 года . Проверено 8 марта 2019 г.
24. «Может ли соответствие PCI нанести вред вашей инициативе в области безопасности?» www.brighttalk.com . Архивировано из оригинала 18 апреля 2021 года . Проверено 9 октября 2020 г.
25. Виджаян, Джайкумар (19 марта 2009 г.). «Критика стандарта безопасности PCI после взлома неуместна, - говорит руководитель Visa». Компьютерный мир . Архивировано из оригинала 4 сентября 2018 года . Проверено 4 сентября 2018 г.
26. Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (дипломная работа). Массачусетский Институт Технологий. hdl : 1721.1/90804. Архивировано из оригинала 18 апреля 2021 года . Проверено 8 октября 2020 г.

Внешние ссылки

• Официальный сайт Совета по стандартам безопасности PCI