Monday, July 24th, 2017

Совместимость в индустрии карт оплаты (Payment Card Industry Compliance) – Безопасность данных продавцов и потребителей

Published on Февраль 2, 2009 by   ·   Комментариев нет

Что такое PCI совместимость?

Некоторое время назад, бреши в безопасности и уязвимости в системе стали причиной кражи миллионов долларов с кредитных карт, а также информации о личных документах. По прошествии нескольких лет, крупные компании, включая банки, также пострадали от дыр в безопасности, в результате которых были украдены частные данные потребителей. В 2004 году был создан стандарт безопасности данных для карт оплаты (Payment Card Industry Data Security Standard) благодаря усилиям крупнейших компаний, занимающимися кредитными картами American Express, Visa, MasterCard и Discover, при этом у каждой из этих компаний было свой отдельный стандарт. 30 го июня 2005 года правила PCI DSS были стандартизованы и реализованы.

Каждая из компаний, занимающаяся кредитными картами создала свою политику безопасности (security policy):

  • American Express: Data Security Operating Policy (DSOP)
  • Visa: Cardholder Information Security Program (CISP)
  • Discover: Discover Information Security and Compliance (DISC)
  • MasterCard: MasterCard Site Data Protection (SDP)

Правила совместимости PCI Compliance regulation были разработаны для реализации компаниями, которые обрабатывают транзакции, проходящие через эти кредитные или дебетные карты, и серьезные санкции могут быть применены к компаниями, у которых присутствует брешь в безопасности в результате несовместимости со стандартом PCI standard. Также компаниям, которые неверно реализуют совместимость, или вовсе не поддерживают ее, может быть вовсе отказано в праве обрабатывать транзакции. Т.к. правила совместимости являются предметом постоянной доработки и улучшения, то компаниям, принимающим в этом участие необходимо постоянно следить за изменениями в требованиях к картам, которые они обрабатывают.

В сентябре 2006 пять основных компаний, занимающихся пластиковыми картами (American Express, Discover, JCB, MasterCard и Visa) объединились для создания совета стандартов безопасности PCI Security Standards Council, который является независимой единицей, призванной для контроля и разработки стандарта PCI standard. Анонс создания этого совета совпал с появлением версии version 1.1 стандарта. В то время, как совет занимается созданием и реализацией стабильного стандарта, компании, занимающиеся пластиковыми картами диктуют свои различные требования к спецификациям, а также способы их реализации в соответствии с размерами организации.

Обязанности совета PCI Security Standards Council: (http://www.pcicomplianceguide.org/)

  • Разработка и поддержка глобального повсеместного стандарта безопасности технических данных для защиты информации о счете владельца карты.
  • Снижение денежных затрат, а также затрат времени на реализацию и совместимость стандарта безопасности данных (Data Security Standard) благодаря созданию общих технических стандартов и процедур по аудиту для использования всеми компаниями, занимающимися оплатой с помощью пластиковых карт.
  • Предоставление списка повсеместно доступных квалифицированных поставщиков решений для безопасности с помощью их веб сайта для помощи в достижении совместимости в отрасли.
  • Проведение тренингов, обучения и постоянного процесса сертификации Qualified Security Assessors (QSAs) и Approved Scanning Vendors (ASVs), обеспечение единого источника утверждения, признанного всеми пятью членами.
  • Проведение прозрачного форума, на котором каждый участник может внести предложения в дальнейшую разработку, улучшение и облагораживание стандартов безопасности данных (data security standard).

Каждая компания, занимающаяся картами, должна управлять своими собственными требованиями к структуре и возлагать свои собственные штрафные санкции на те компании, которые им не удовлетворяют.

Правила совместимости (Compliance Regulation)

Спецификация совместимости PCI compliance specification задает набор правил, которые должны соблюдаться компаниями, принимающими в этом участие, чтобы гарантировать, что приняты правильные меры для обеспечения безопасности всех данных.

Участвующие финансовые организации должны гарантировать 6 следующих категорий

  1. Secure Network Design and Maintenance (обеспечение безопасности дизайна и поддержки сети)
    • Установка и поддержка брандмауэра для защиты данных о владельце карты
    • Изменение настроек безопасности установленных по умолчанию для аппаратного и программного обеспечения
  2. Cardholder Data Protection (Защиты данных о владельце карты)
    • Данные владельца карты должны усердно защищаться и охраняться
    • Данные владельца карты, которые передаются по общедоступным сетям, должны быть закодированы
  3. Поддержка программы управления уязвимостями
    • Постоянно необходимо использовать обновляемое антивирусное решение
    • Необходимо разрабатывать и поддерживать безопасные системы и приложения
  4. Реализация мер по мощному контролю за доступом Strong Access Control Measures Implementation
    • Доступ к данным о владельце карты должен быть сведен к необходимому минимуму
    • Каждый, у кого есть доступ к компьютеру, должен иметь уникальный номер ID
    • Должен быть ограничен физический доступ к данным о владельце карты
  5. Регулярное тестирование и проверка сети
    • Весь доступ к ресурсам сети и данным о владельце карты должен контролироваться и отслеживаться
    • Необходимо регулярно проверять системы и процессы безопасности
  6. Поддержка информационной политики безопасности
    • Необходимо реализовать и осуществлять поддержку политики, отвечающей за информационную безопасность

Эти 6 пунктов должны тщательно выполняться в реализациях бизнес систем. Необходимо также проводить регулярные проверки, чтобы убедиться, что все эти требования к стандарту выполняются в любой момент. Легкость, с которой коммерсанты могут достигнуть совместимости с PCI, зависит от количества транзакций, которые компания обрабатывает за год. По этой причине, коммерсанты, которые должны соблюдать совместимость с PCI, разделены на 4 различных группы:

Уровень 1:

  • Компании, которые обрабатывают свыше 6,000,000 транзакций в год
  • Компании, которые уже пострадали от атак, результатом которых стало похищение данных
  • Компании, которые уже попадали в уровень 1 у другой компании

Уровень 2:

  • Компании, которые обрабатывают от 150,000 до 6,000,000 транзакций в год

Уровень 3:

  • Компании, которые обрабатывают от 20,000 до 150,000 транзакций в год

Уровень 4:

  • Компании, которые обрабатывают менее 20,000 транзакций в год

Защита потребителя

Потребители, которые используют кредитные/дебитные карты в режиме реального времени для заказа продуктов или услуг рискуют потерять свои деньги, если транзакции проходят через небезопасные системы. Было огромное количество случаев краж данных о кредитных картах из баз данных веб приложений с уязвимостями. Чаще всего эта информация продается на черном рынке незаконных транзакций. В таких случаях терпят огромные убытки не только организации, но и потребители.

Однако, другая проблема, которая менее распространена, чем финансовые потери — это кража личности (identity theft). Кража личности, это когда кто-то действует от чужого имени, используя его имя, адрес, номер карты социального страхования или историю заказов, без авторизации в жульнических целях. Было выяснено, что только в одних USA, свыше 9 миллионов граждан стали жертвами кражи личности, когда от их имени были сделаны незаконные транзакции. Эти люди не имеют понятия о том, что стали жертвами до тех пор, пока к ним не приходят кредиторы, или пока не получают по почте шокирующие счета.

Недавний случай, который потряс специалистов по безопасности во всем мире, касался уязвимости TJX exploit. Владелец розничных магазинов одежды T.J. Maxx, Marshall’s Inc. стал жертвой самой крупной кражи данных на сегодняшний день. Хакеры атаковали систему TJX, в результате чего было украдено по крайней мере 45.7 миллионов номеров кредитных и дебитных карт за 18-месячный период. Кроме того, были украдены личные данные, включая номера водительских прав еще 455,000 покупателей. TJX впервые узнал, что на его компьютерной системе установлено подозрительное программное обеспечение 18 декабря 2006 года, однако, украденные данные прикрывались транзакциями за декабрь 2002.

Стандарт совместимости PCI нацелен остановить случаи финансовых краж, а также краж личности, путем усиления безопасности систем, которые обрабатывают и хранят информацию о пользователе и информацию о транзакциях. Веб атаки и технологические дыры в сетевой безопасности никогда не оставят без работы специалистов по безопасности. И, несмотря на то, что закрываются старые дыры, все время обнаруживаются новые. Именно поэтому стандарт совместимости PCI — это постоянно развивающийся процесс, который необходимо поддерживать на всех этапах бизнес операций – от проектирования системы до ее реализации и запуска в промышленную эксплуатацию.

Сертификация совместимости (Compliance Certification)

Совместимость PCI реализуется на технологической и на административной стороне бизнес процесса. Особое внимание необходимо уделить сотрудникам компании, которые обрабатывают данные пользователя и транзакции. Многие угрозы возникают изнутри, и в некоторых случаях сотрудники компании были уличены в краже или действиях, которые привели незаконному обладанию данными. Компания должна также отслеживать все изменения, производимые в техническом или бизнес процессе, чтобы убедиться, что каждое изменение следует за соответствующей контр мерой. Защита данных и сохранность данных должна осуществляться с помощью элементов, не требующих вмешательства человека. Необходимо рассматривать технические возможности, и выполнять резервные копии всех важных данных. Эти резервные копии необходимо зашифровать и хранить в определенных областях, к которым есть доступ только у авторизованных администраторов или менеджеров.

Все компании, которые применяют процедуры совместимости PCI compliance procedure должны использовать службы проверенных компаний для выполнения сканирования. Результатом этих сканирований является подробный отчет о совместимости, который затем используется для одобрения различными компаниями. Совет PCI Security Standards Council управляет процессом для безопасности компаний, которые собираются стать Approved Scanning Vendors (ASVs), а отчеты по совместимости с PCI могут быть выпущены лишь одобренными программами.

Инструменты оценки безопасности (Security Assessment Tools)

Спецификация совместимости PCI Compliance specification – это не просто набор правил, которые должна соблюдать организация. Это также руководство, которое предоставляет способы отслеживания и обеспечения безопасности всех потенциальных уязвимостей, которые могут использоваться злоумышленниками. Обнаружение этих потенциальных уязвимостей происходит гораздо проще благодаря использованию таких инструментов, как сканеры веб уязвимости (web vulnerability scanner), а также сетевые сканеры (network scanner).

Сканер веб уязвимости – это программный продукт, который осуществляет тщательное исследование веб приложения или веб службы. Он позволяет обнаружить все изъяны в безопасности, которые могут быть использованы хакерами, целью которых является получение доступа к веб серверам, внутренним сетям и базам данных. Очень часто веб приложению не уделяется достаточно внимания, когда организация производит вложения и не заказывает высокотехнологичные системы обнаружения атак, и систем безопасности. Однако, если веб сайт сделать общедоступным, то он становится точкой входа, которая открыта 24 часа в день. Сканеры веб уязвимостей помогают разработчикам в обнаружении этих возможных точек доступа, а также в обеспечении безопасности веб приложений.

С другой стороны сетевые сканеры (Network scanner) – это инструменты, которые позволяют сканировать сетевые компьютеры на наличие открытых портов, пропущенных обновлений для безопасности в операционных системах и серверных технологиях, потенциальных угроз, скрытых в приложениях, установленных в сети, слабостей в сетевых устройствах и неверно настроенных правах пользователя. Эти риски для безопасности устраняются различными конфигурациями, а также установкой обновлений для безопасности для приложений. Любые изменения в сетевой инфраструктуре могут стати причиной возникновения дыр в безопасности, поэтому в расписании любого системного администратора должно стоять регулярное сканирование.

Резюме

Цель компании, которая работает в режиме реального времени, заключается в том, чтобы обеспечить потребителя необходимыми товарами или службами за минимальный интервал времени с максимальной эффективностью. Интернет медленно, но верно превращает идею физических денег в абстрактную концепцию, что в теории звучит очень практично, однако, оцифровывание систем вложений и затрат также таит в себе большую угрозу. Многие люди видят в этом способ обеспечения безопасности своих наличных денег, однако, в то же самое время, оцифровывание несет в себе еще большую опасность для идентификации пользователя и его денег.

Информацию о рисках, связанных с обменом и передачей денег в режиме реального времени, можно найти в различных публикациях на веб сайтах, однако, эта информация не для запугивания, а создания полной картины у потребителей и продавцов. Коммерсанты, которые удовлетворяют требованиям PCI, могут получить выгоду от стандартизованного подхода в виде безопасности своих систем, а также доказав потребителями свою надежность.

Approved Scanning Vendor, которые проходят аудит на совместимость PCI Compliance могут воспользоваться сканером уязвимости Acunetix Web Vulnerability Scanner для идентификации уязвимостей в веб приложениях, а также обратиться к ним для обнаружения любых потенциальных уязвимостей. Полная совместимость PCI Compliance расширяет возможности Acunetix WVS для сертификации безопасных веб приложений в соответствии со спецификацией, описанной в руководстве по безопасности Payment Card Industry.

Источник www.windowsecurity.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]