Стандарт безопасности данных индустрии платежных карт - Payment Card Industry Data Security Standard


В Стандарт безопасности данных индустрии платежных карт (PCI DSS) является информационной безопасности стандарт для организаций, занимающихся брендированными кредитные карты от главного карточные схемы.

Стандарт PCI требуется брендами карт, но администрируется Совет по стандартам безопасности индустрии платежных карт. Стандарт был создан для усиления контроля над данными держателей карт, чтобы уменьшить мошенничество с кредитными картами.

Подтверждение соответствия выполняется ежегодно или ежеквартально,[1][нужен лучший источник ] методом, подходящим для объема обработанных транзакций:[2][нужен лучший источник ][3]

История

Карточные компании запустили пять различных программ:

У каждого из них были примерно одинаковые намерения: создать дополнительный уровень защиты для эмитентов карт, гарантируя, что продавцы соблюдают минимальные уровни безопасности при хранении, обработке и передаче данных о держателях карт. Чтобы решить проблемы совместимости между существующими стандартами, объединенные усилия, предпринятые основными организациями, выпускающими кредитные карты, привели к выпуску версии 1.0 стандарта PCI DSS в декабре 2004 года. Стандарт PCI DSS внедрен и соблюдается во всем мире.[2][рекламный источник? ]

Затем был сформирован Совет по стандартам безопасности индустрии платежных карт (PCI SSC), и эти компании согласовали свои индивидуальные политики для создания PCI DSS.[4] MasterCard, American Express, Visa, JCB International и Discover Financial Services учредили PCI SSC в сентябре 2006 года в качестве административного / руководящего органа, отвечающего за развитие и развитие PCI DSS. Независимые / частные организации могут участвовать в разработке PCI после соответствующей регистрации. Каждая участвующая организация присоединяется к определенной группе SIG (Special Interest Group) и вносит свой вклад в деятельность, предусмотренную SIG.[2][рекламный источник? ]

Доступны следующие версии PCI DSS:[5]

ВерсияДатаЗаметки
1.015 декабря 2004 г.
1.1Сентябрь 2006 г.уточнения и незначительные исправления
1.2Октябрь 2008 г.повышенная ясность, повышенная гибкость и устранение возникающих рисков и угроз
1.2.1Июль 2009 г.незначительные исправления, направленные на обеспечение большей ясности и согласованности между стандартами и сопроводительными документами
2.0Октябрь 2010 г.
3.0Ноябрь 2013активен с 1 января 2014 г. по 30 июня 2015 г.
3.1Апрель 2015 г.на пенсии с 31 октября 2016 г.
3.2Апрель 2016 г.на пенсии с 31 декабря 2018 г.
3.2.1Май 2018

Требования

Стандарт безопасности данных PCI определяет двенадцать требований для соответствия, организованных в шесть логически связанных групп, называемых «цели контроля». Шесть групп:[6]

  1. Создание и обслуживание безопасной сети и систем
  2. Защитить данные держателей карт
  3. Поддерживайте программу управления уязвимостями
  4. Реализуйте строгие меры контроля доступа
  5. Регулярно отслеживайте и тестируйте сети
  6. Поддерживать политику информационной безопасности

Каждая версия PCI DSS (Стандарт безопасности данных индустрии платежных карт) разделила эти шесть требований на ряд под-требований по-разному, но двенадцать требований высокого уровня не изменились с момента появления стандарта. Каждое требование / дополнительное требование дополнительно разбито на три раздела.[2][рекламный источник? ]

  1. Объявление требования: оно определяет основное описание требования. Подтверждение PCI DSS осуществляется при правильном выполнении требований.
  2. Процессы тестирования: процессы и методологии, выполняемые оценщиком для подтверждения надлежащего выполнения.
  3. Руководство: объясняет основную цель требования и соответствующее содержание, которое может помочь в правильном определении требования.

Двенадцать требований для построения и поддержки безопасной сети и систем можно резюмировать следующим образом:[7][рекламный источник? ]

  1. Установка и поддержка конфигурации брандмауэра для защиты данных держателей карт. Назначение брандмауэра - сканировать весь сетевой трафик, блокировать доступ к системе из ненадежных сетей.
  2. Изменение установленных поставщиком значений по умолчанию для системных паролей и других параметров безопасности. Эти пароли легко обнаруживаются через общедоступную информацию и могут использоваться злоумышленниками для получения несанкционированного доступа к системам.
  3. Защита сохраненных данных о держателях карт. Шифрование, хеширование, маскирование и усечение - это методы, используемые для защиты данных держателя карты.
  4. Шифрование передачи данных о держателях карт по открытым общедоступным сетям. Надежное шифрование, включая использование только доверенных ключей и сертификатов, снижает риск взлома злоумышленниками.
  5. Защита всех систем от вредоносных программ и регулярное обновление антивирусного ПО. Вредоносное ПО может проникать в сеть множеством способов, включая использование Интернета, электронную почту сотрудников, мобильные устройства или устройства хранения. Современное антивирусное программное обеспечение или дополнительное программное обеспечение для защиты от вредоносных программ снизят риск использования вредоносных программ.
  6. Разработка и поддержка безопасных систем и приложений. Уязвимости в системах и приложениях позволяют недобросовестным лицам получить привилегированный доступ. Необходимо немедленно установить исправления безопасности, чтобы исправить уязвимость и предотвратить использование и компрометацию данных держателей карт.
  7. Ограничение доступа к данным держателей карт только уполномоченному персоналу. Необходимо использовать системы и процессы для ограничения доступа к данным о держателях карт по принципу «служебной необходимости».
  8. Выявление и аутентификация доступа к системным компонентам. Каждому человеку, имеющему доступ к компонентам системы, должен быть присвоен уникальный идентификатор (ID), который позволяет контролировать доступ к критически важным системам данных.
  9. Ограничение физического доступа к данным держателей карт. Физический доступ к данным держателей карт или системам, которые хранят эти данные, должен быть безопасным, чтобы предотвратить несанкционированный доступ или удаление данных.
  10. Отслеживание и мониторинг любого доступа к данным держателей карт и сетевым ресурсам. Должны быть предусмотрены механизмы регистрации для отслеживания действий пользователей, критически важных для предотвращения, обнаружения или минимизации воздействия компрометации данных.
  11. Регулярное тестирование систем и процессов безопасности. Постоянно обнаруживаются новые уязвимости. Системы, процессы и программное обеспечение необходимо часто тестировать, чтобы выявить уязвимости, которые могут быть использованы злоумышленниками.
  12. Ведение политики информационной безопасности для всего персонала. Сильная политика безопасности включает в себя понимание персоналом конфиденциальности данных и их ответственности за их защиту.

Обновления и дополнительная информация

PCI SSC (Совет по стандартам безопасности индустрии платежных карт) опубликовал несколько дополнительных сведений, разъясняющих различные требования. Эти документы включают следующие [2][рекламный источник? ]

  • Информационное дополнение: Требование 11.3 Тестирование на проникновение
  • Информационное дополнение: Требование 6.6 Обзоры кода и пояснения к брандмауэрам приложений
  • Навигация по стандарту PCI DSS - понимание содержания требований
  • «Информационное приложение: правила беспроводной связи PCI DSS» (PDF). 26 августа 2011 г.
  • Применимость PCI DSS в среде EMV [8][рекламный источник? ]
  • Приоритетный подход к PCI DSS
  • Инструмент приоритетного подхода
  • Краткое справочное руководство по PCI DSS
  • Рекомендации по виртуализации PCI DSS
  • Рекомендации по токенизации PCI DSS
  • Рекомендации PCI DSS 2.0 по оценке рисков
  • Жизненный цикл изменений в PCI DSS и PA-DSS
  • Руководство по определению объема и сегментации PCI DSS

Уровни соответствия

Все компании, подпадающие под действие стандартов PCI DSS, должны соответствовать требованиям PCI. Существует четыре уровня соответствия PCI, и они зависят от того, сколько вы обрабатываете в год, а также от других деталей об уровне риска, оцениваемых платежными брендами.[9]

На высоком уровне уровни следующие:

  • Уровень 1 - более 6 миллионов транзакций ежегодно
  • Уровень 2 - от 1 до 6 миллионов транзакций ежегодно
  • Уровень 3 - от 20 000 до 1 миллиона транзакций ежегодно
  • Уровень 4 - Менее 20 000 транзакций ежегодно

Каждый эмитент карты ведет свою собственную таблицу уровней соответствия.[10][11]

Подтверждение соответствия

Подтверждение соответствия включает в себя оценку и подтверждение того, что средства контроля и процедуры безопасности были должным образом реализованы в соответствии с политиками, рекомендованными PCI DSS. Короче говоря, PCI DSS, процедуры проверки / тестирования безопасности взаимно как инструмент проверки соответствия. Оценка PCI DSS имеет следующие сущности.[12][рекламный источник? ][13]

Квалифицированный эксперт по безопасности (QSA)

Квалифицированный оценщик безопасности - это лицо, имеющее сертификат, выданный Советом по стандартам безопасности PCI. Этот сертифицированный специалист может проверять продавцов на соответствие стандарту безопасности данных индустрии платежных карт (PCI DSS). QSA - это независимые группы / объекты, которые были сертифицированы PCI SSC для подтверждения соответствия процедурам организации. Подтверждение просто указывает, что QSA выполнило все отдельные предварительные требования, которые являются обязательными для проведения оценки PCI DSS.[12][рекламный источник? ][13]

Оценщик внутренней безопасности (ISA)

Оценщик внутренней безопасности - это человек, получивший сертификат от компании PCI Security Standards Company для своей спонсирующей организации. Этот сертифицированный специалист имеет возможность проводить самооценку PCI для своей организации. Эта программа ISA была разработана, чтобы помочь продавцам 2-го уровня соответствовать новым требованиям проверки соответствия Mastercard.[14] Сертификация ISA дает возможность работнику провести внутреннюю оценку своей ассоциации и предложить решения / меры безопасности для соответствия PCI DSS. Поскольку ISA поддерживаются организацией для подтверждения PCI SSC, они отвечают за сотрудничество и участие с QSA.[12][рекламный источник? ][13]

Отчет о соответствии (ROC)

Отчет о соответствии - это форма, которую должны заполнить все продавцы уровня 1 Visa, которые проходят аудит PCI DSS (стандарт безопасности данных индустрии платежных карт). Форма ROC используется для проверки того, что проверяемый продавец соответствует стандарту PCI DSS. ROC подтверждает, что политика, стратегии, подходы и рабочие процессы надлежащим образом реализуются / разрабатываются организацией для защиты держателей карт от мошенничества / мошенничества с бизнес-транзакциями, связанными с картами. Шаблон «Шаблон отчетности ROC», доступный на сайте PCI SSC, содержит подробные инструкции по ROC.[12][рекламный источник? ][13]

Анкета самооценки (SAQ)

Анкеты самооценки (SAQ) PCI DSS - это инструменты проверки, призванные помочь продавцам и поставщикам услуг сообщать результаты своей самооценки PCI DSS.

Анкета для самооценки - это набор документов анкет, которые торговцы должны заполнять каждый год и представлять в свой банк транзакций. Другой компонент SAQ - это подтверждение соответствия (AOC), где на каждый вопрос SAQ дается ответ на основе внутренней самооценки PCI DSS. На каждый вопрос SAQ должен быть дан ответ «да» или «нет». В случае, если на вопрос есть соответствующий ответ «нет», на этом этапе ассоциация должна выделить аспекты своей будущей реализации.[12][рекламный источник? ][13]

Соответствие или подтверждение соответствия

Хотя PCI DSS должен внедряться всеми организациями, которые обрабатывают, хранят или передают данные о держателях карт, формальная проверка соответствия PCI DSS не является обязательной для всех организаций. В настоящее время оба Visa и MasterCard требуют, чтобы продавцы и поставщики услуг проходили валидацию в соответствии с PCI DSS. Visa также предлагает альтернативную программу под названием Программа технологических инноваций (TIP), которая позволяет квалифицированным продавцам прекратить ежегодную валидационную оценку PCI DSS. Эти продавцы имеют право на участие, если они принимают альтернативные меры предосторожности против поддельного мошенничества, такие как использование EMV или Шифрование точка-точка.

Банки-эмитенты не обязаны проходить проверку PCI DSS, хотя они по-прежнему должны защищать конфиденциальные данные в соответствии с требованиями PCI DSS. Банки-эквайеры должны соблюдать PCI DSS, а также подтверждать свое соответствие с помощью аудита.

В случае нарушения безопасности любой скомпрометированный субъект, который не соответствовал требованиям PCI DSS на момент нарушения, будет подвергаться дополнительным штрафам по схеме карты, например штрафам.

Законодательство

Соответствие стандарту PCI DSS не требуется федеральным законом в Соединенные Штаты. Однако законы некоторых штатов США либо напрямую ссылаются на PCI DSS, либо содержат аналогичные положения. Ученые-правоведы Эдвард Морс и Васант Раваль утверждали, что, закрепив соответствие стандарту PCI DSS в законодательстве, карточные сети перераспределили внешние издержки мошенничества с эмитентов карт на продавцов.[15]

В 2007 году Миннесота приняла закон, запрещающий хранение некоторых типов данных платежных карт по истечении 48 часов после авторизации транзакции.[16][17]

В 2009 году Невада включила стандарт в закон штата, требуя от продавцов, ведущих бизнес в этом штате, соблюдения действующего стандарта PCI DSS, и ограждает соответствующие организации от ответственности. Закон Невады также позволяет продавцам избегать ответственности по другим утвержденным стандартам безопасности.[18][15]

В 2010 году Вашингтон также включил стандарт в закон штата. В отличие от закона Невады, организации не обязаны соответствовать требованиям PCI DSS, но соответствующие организации защищены от ответственности в случае утечки данных.[19][15]

Управление рисками для защиты данных держателей карт

Согласно требованию 3 стандарта PCI DSS, продавцы и финансовые учреждения умоляют защищать конфиденциальные данные своих клиентов с помощью надежной криптографии. Несоответствующие решения не пройдут аудит.[3] Типичный управление рисками Программа может быть разбита на 3 этапа:[20][рекламный источник? ]

  1. Определите все известные риски и запишите / опишите их в реестре рисков. Например, аппаратные модули безопасности (HSM), которые используются в криптографических ключевой менеджмент В случае физического или логического компрометации процесс потенциально может представлять свои собственные риски. HSM создают основу доверия внутри системы. Однако, хотя это маловероятно, если HSM скомпрометирован, это может поставить под угрозу всю систему.
  2. Разработка программы управления рисками заключается в анализе всех выявленных рисков. В этот анализ следует включить сочетание качественных и количественных методов, чтобы определить, какой риск методы лечения следует использовать, чтобы снизить вероятность рисков. Например, организация может проанализировать риск использования облачного HSM по сравнению с физическим устройством, которое они используют на месте.
  3. Обработайте риски в соответствии с ранее проведенным анализом рисков. Например, использование различных методов защиты информации о клиенте, хранящейся в облачном HSM, по сравнению с обеспечением физической и логической безопасности для локального HSM, что может включать в себя внедрение средств контроля или получение страховки для поддержания приемлемого уровня риска.

Непрерывный мониторинг и проверка являются частью процесса снижения рисков криптографии PCI DSS. Сюда входят графики обслуживания и заранее определенные процедуры эскалации и восстановления при обнаружении слабых мест в системе безопасности.[20]

Споры и критика

Visa и Mastercard налагают штрафы за несоблюдение.[21][рекламный источник? ]

Стивен и Теодора «Сисси» Маккомб, владельцы ресторана и ночного клуба Cisero's в Парк-Сити, штат Юта, якобы были оштрафованы за нарушение, по которому две судебно-медицинские фирмы не смогли найти доказательств того, что это произошло:

«Система PCI - это не столько система защиты данных карт клиентов, сколько система для получения прибыли для компаний, выпускающих карты, с помощью штрафов и пеней. Visa и MasterCard налагают штрафы на продавцов, даже если нет никаких потерь от мошенничества, просто потому, что штрафы "выгодны им" ".[22]

Майкл Джонс, ИТ-директор Michaels 'Stores, дал показания перед подкомитетом Конгресса США относительно PCI DSS:

«(... требования PCI DSS ...) очень дороги в реализации, затрудняют соблюдение и, в конечном счете, субъективны как в их интерпретации, так и в их применении. Часто утверждается, что существует только двенадцать« требований »для Соответствие PCI. На самом деле существует более 220 дополнительных требований, некоторые из которых могут содержать невероятная нагрузка на продавца и многие из которых подлежат интерпретации."[23]

Другие считают, что PCI DSS - это шаг к тому, чтобы все компании уделяли больше внимания ИТ-безопасности, даже если минимальных стандартов недостаточно для полного устранения проблем безопасности. Например, Брюс Шнайер высказался в пользу PCI DSS:

"Регулирование - SOX, HIPAA GLBA, PCI индустрии кредитных карт, различные законы о раскрытии информации, Европейский закон о защите данных, что угодно - все это было лучшей палкой, которую эта отрасль обнаружила, чтобы победить компании по голове. И это работает. Регулирование вынуждает компании более серьезно относиться к безопасности и продавать больше товаров и услуг ».[24]

Генеральный директор Совета PCI Боб Руссо ответил на возражения Национальная федерация розничной торговли:

"[PCI - это структурированная] смесь ... [] специфичности и высокоуровневых концепций, [которая позволяет] заинтересованным сторонам возможность и гибкость работать с квалифицированными специалистами по оценке безопасности (QSA), чтобы определять соответствующие меры безопасности в своей среде, которые соответствуют цели стандартов PCI ».[25]

Соблюдение и компромиссы

По словам директора Visa по корпоративным рискам Эллен Ричи (2018 г.):

«… ни один скомпрометированный объект еще не соответствовал требованиям PCI DSS на момент нарушения».[26]

В 2008 году нарушение Платежные системы Heartland, организация, признанная соответствующей стандарту PCI DSS, привела к компрометации ста миллионов номеров карт. Примерно в это же время Hannaford Brothers и Компании TJX, также подтвержденные как соответствующие требованиям PCI DSS, также были нарушены в результате предполагаемых скоординированных усилий Альберт "Segvec" Гонсалес и два неназванных русских хакера.[27]

При оценке проверяется соответствие продавцов и поставщиков услуг стандарту PCI DSS в определенный момент времени и часто используется методология выборки, позволяющая продемонстрировать соответствие с помощью репрезентативных систем и процессов. Торговец и поставщик услуг несут ответственность за достижение, демонстрацию и поддержание их соответствия в любое время как в течение годового цикла валидации / оценки, так и во всех системах и процессах в целом. Хотя могло случиться так, что причиной нарушений было несоблюдение продавцом и поставщиком услуг письменного стандарта, компания Hannaford Brothers получила подтверждение соответствия PCI DSS через день после того, как ей стало известно о двухмесячном компромиссе его внутренние системы. Неспособность определить это оценщиком предполагает, что некомпетентная проверка соответствия подрывает безопасность стандарта.[нужна цитата ]

Другая критика заключается в том, что проверка соответствия требуется только для продавцов уровня 1-3 и может быть необязательной для уровня 4 в зависимости от бренда карты и эквайера. В деталях проверки соответствия Visa для продавцов указано, что требования к проверке соответствия продавцов уровня 4 устанавливаются эквайером, продавцы уровня 4 Visa - это «продавцы, обрабатывающие менее 20 000 транзакций электронной коммерции Visa ежегодно, а все другие продавцы обрабатывают до 1 миллиона транзакций Visa ежегодно». . В то же время более 80% компрометации платежных карт в период с 2005 по 2007 год касались торговцев уровня 4; они обрабатывают 32% транзакций.[28]

Смотрите также

использованная литература

  1. ^ «Что нужно знать о соответствии PCI DSS: стоимость и контрольный список для Великобритании». Получено 18 декабря, 2018.
  2. ^ а б c d е Мехмуд, Асим. «Введение в PCI DSS». Криптоматический. Получено 4 сентября, 2018.
  3. ^ а б Совет по стандартам безопасности PCI. «Стандартные требования к безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF). Совет по стандартам безопасности PCI, LLC.
  4. ^ Лю, Цзин; Сяо, Ян; Чен, Хуэй; Оздемир, Суат; Додле, Шринивас; Сингх, Викас (2010). «Обзор стандарта безопасности данных индустрии платежных карт». Обзоры и учебные пособия по коммуникациям IEEE. 12: 287–303.
  5. ^ «Библиотека документов». Совет по стандартам безопасности PCI. Получено 12 ноября, 2020.
  6. ^ «Краткое справочное руководство по PCI DSS» (PDF). Получено 12 ноября, 2020.
  7. ^ Тернер, Рассвет. «Требования PCI DSS для построения и поддержания безопасности сети и систем». Utimaco. Получено 19 октября, 2018.
  8. ^ Мехмуд, Асим. «PKI для карт EMV, соответствующих PCI DSS». Криптоматический. Получено 4 сентября, 2018.
  9. ^ "Официальный сайт Совета по стандартам безопасности PCI - проверка соответствия требованиям PCI, безопасности загрузки данных и стандартов безопасности кредитных карт". www.pcisecuritystandards.org.
  10. ^ «Виза в Европу».
  11. ^ "Что нужно знать продавцам | Обработка платежных данных и защищенные транзакции | Mastercard". www.mastercard.us.
  12. ^ а б c d е Мехмуд, Асим. «Подтверждение соответствия PCI DSS». Криптоматический. Получено 4 сентября, 2018.
  13. ^ а б c d е Совет по стандартам безопасности PCI. «Стандартные требования к безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2» (PDF). Совет по стандартам безопасности PCI, LLC. Получено 4 сентября, 2018.
  14. ^ «Не платите за сертификацию PCI, которая вам не нужна». FierceRetail. 12 мая 2010 г.. Получено 26 марта, 2018.
  15. ^ а б c Эдвард А. Морс; Васант Раваль, Частный заказ в свете закона: обеспечение защиты потребителей с помощью мер безопасности платежных карт DePaul Business & Commercial Law Journal 10, no. 2 (зима 2012 г.): 213-266
  16. ^ Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности по обеспечению безопасности данных Обзор закона Уильяма Митчелла 34, вып. 3 (2008): 1115-1146
  17. ^ MINN. СТАТ. Статья 325E.64
  18. ^ NEV. REV. СТАТ. § 603A.215
  19. ^ Мытье 2010 года. Закон 1055, § 3.
  20. ^ а б Мхембере, Сайлас. «Как снизить криптографические риски, связанные с PCI DSS». Криптоматический. Получено 1 октября, 2018.
  21. ^ «Штрафы за несоблюдение». Соответствие PCI DSS. 25 февраля 2015 г.. Получено 9 ноября, 2018.
  22. ^ Зеттер, Ким (11 января 2012 г.). «Редкая судебная тяжба касается стандартов безопасности и штрафов компаний, выпускающих кредитные карты». Проводной. Получено 30 марта, 2019.
  23. ^ «Уменьшают ли стандарты данных индустрии платежных карт киберпреступность? Слушание в Подкомитете по возникающим угрозам, кибербезопасности, науке и технологиям Комитета внутренней безопасности Палаты представителей Сто одиннадцатого Конгресса, первая сессия, 31 марта 2009 г.». GPO. 31 марта 2009 г.. Получено 30 марта, 2019. Цитировать журнал требует | журнал = (Помогите)
  24. ^ «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности». Шнайер о безопасности. 15 января 2008 г.. Получено 8 Марта, 2019.
  25. ^ «Может ли соблюдение требований PCI нанести вред вашей инициативе в области безопасности?». www.brighttalk.com. Получено 9 октября, 2020.
  26. ^ Виджаян, Джайкумар (19 марта 2009 г.). «Критика стандарта безопасности PCI после взлома неуместна, - говорит исполнительный директор Visa». Computerworld. Получено 4 сентября, 2018.
  27. ^ Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (Дипломная работа). Массачусетский Институт Технологий.
  28. ^ «Платежные системы Heartland заключают третье соглашение об урегулировании споров в связи с утечкой данных в 2008 году». Блог о законе о конфиденциальности. 24 мая 2010 г.. Получено 10 октября, 2020.

внешние ссылки