cтандарт pci dss изменения в новой версии

© ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

Стандарт PCI DSS: изменения и нововведения в версии 3.0

Сергей Шустиков Генеральный директор Deiteriy

CISA, PCI QSA, PCI PA-QSA

22 ноября 2013 года, семинар RISSPA

2 PCI DSS – стандарт информационной безопасности


Payment Card Industry Data Security Standard (PCI DSS) – стандарт безопасности данных индустрии платежных карт. Обязателен для всех организаций, обрабатывающих, хранящих и/или передающих данные платежных карт Visa, MasterCard, American Express, JCB, Discover.

Факты о версии 2.0:

• 288 проверочных процедур • 12 тематических разделов • соответствие = 100% внедрение • ежегодное подтверждение • вариант подтверждения зависит от бизнес-процесса

3 Стандарты безопасности данных индустрии платежных карт

Совет PCI SSC (Payment Card Industry Security Standards Council) – Совет по стандартам безопасности индустрии платежных карт – международный регулирующий орган в сфере безопасности обращения платежных карт, был создан коллективным решением пяти международными платежными системами – Visa, MasterCard, American Express, JCB и Discover. Советом были разработаны и поддерживаются стандарты обеспечения безопасности данных индустрии платежных карт PCI DSS, PCI PA-DSS и PCI PTS.

Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.

Стандарт PCI PA-DSS (Payment Card Industry Payment Application Data Security Standard) – стандарт безопасности данных в платежных приложениях индустрии платежных карт – документ, определяющий требования к приложениям, обрабатывающим данные о держателях карт и процессу их разработки.

Руководства PCI PTS (Payment Card Industry PIN Transaction Security) – набор руководящих документов, содержащих требования к устройствам, обрабатывающим персональный идентификационный номер – PIN. К таким устройствам относятся POS-терминалы, шифрующие PIN-клавиатуры (EPP), аппаратные модули безопасности (HSM).


4 Статус на конец 2013 года

Текущее положение дел


5 Экскурс в историю

Пятью международными платежными системами – Visa Inc., MasterCard Worldwide, American Express, JCB International и Discover Financial Services были предприняты усилия по объединению собственных программ международных платежных систем по обеспечению безопасности карточных данных, таких как Visa Account Information Security (AIS) и MasterCard Site Data Protection (SDP).

В результате этих усилий в январе 2005 года вышел в свет стандарт безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS), который привел к общему знаменателю требования разных международных платежных систем.

Также был создан международный регулирующий орган в сфере безопасности обращения платежных карт – Совет по стандартам безопасности индустрии платежных карт (PCI Security Standards Council, PCI SSC). Целью создания общего регулятора было развитие и продвижение стандарта в сообществе членов индустрии платежных карт, обучение и сертификация аудиторов.

Международные платежные системы разработали программы внедрения PCI DSS среди своих торгово-сервисных предприятий и поставщиков услуг. Для этого они установили правила подтверждения соответствия стандарту для разных типов организаций, а также определили крайние сроки внедрения PCI DSS и санкции за их нарушение.

На текущий момент все крайние сроки всех платежных систем истекли, и все организации, обрабатывающие, хранящие и передающие карточные данные должны соответствовать PCI DSS.


6 Способы подтверждения соответствия стандарту PCI DSS

Внешний аудит (QSA) Внутренний аудит (ISA) Самооценка (SAQ)

Выполняется внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC.

Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA).

Выполняется самостоятельно путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ).

В ходе проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет.

В ходе проверки ISA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трех лет.

Сбор свидетельств выполнения требований стандарта не требуется.

По результатам QSA подготавливает Отчет о Соответствии (Report on Compliance, ROC).

По результатам ISA подготавливает Отчет о Соответствии (Report on Compliance, ROC).

Отчетным документом является самостоятельно заполненный лист самооценки SAQ.


7 Уровень проникновения PCI DSS в США*

Категория Количество Доля транзакций Visa Доля подтвердивших соответствие PCI DSS

Мерчанты 1 уровня 404 50% 98%

Мерчанты 2 уровня 1 066 13% 91%

Мерчанты 3 уровня 3 149 5% 58%

Мерчанты 4 уровня ~ 5 000 000 32% средний**

Процессинги VNP 60 100% 98%

Иные поставщики услуг 1 367 не применимо 93%

* - по данным Visa USA

** - доля подтвердивших соответствие PCI DSS среди ТСП 4 уровня, использующих только выделенные эквайером POS-терминалы, – средний, а среди ТСП 4 уровня, использующих платежные приложения – низкий.


8 Адаптация PCI DSS в России

PCI DSS в России:

• Под эгидой Банка России некоммерческое партнерство АБИСС осуществляет официальный перевод стандартов на русский язык

• Есть идеи включить перевод стандарта в перечень официальных нормативных актов Банка России в рамках регулирования НПС

• Осуществляется перевод на русский язык и перенос в Россию официальных учебных курсов Совета PCI SSC


9 Проблема №1

Проблема №1:

Стандарт представляет собой контрольную карту или «поваренную книгу», одну на всех...


…one size fits all?

…управление рисками?

…модель угроз?

10 Проблема №1 (продолжение)

«Мы не хотим ваш ISO, у нас узкоспециализированный стандарт! Все его требования должны быть выполнены!»

(с) Лорен Холлоуэй, PCI SSC, 30.10.2013




Подход PCI DSS: «Всё или ничего!»...


...ура, я выполнил 100% требований стандарта!

…теперь я на 100% безопасен!



Причина 1, идеологическая: Ложная исходная цель – получить соответствие, а не защищенную инфраструктуру

Причина 2, организационная: Снижение приоритета процессов ИБ от максимального почти до нуля

Причина 3, психологическая:

Отсутствие постоянного объективного ориентира – ложное чувство защищенности

безопасность перестает существовать в тот момент, когда ей перестают заниматься




Выполнение стандарта часто снижает защиту!

• 10.2 – собирать и читать логи!

...купим хранилище под терабайты ненужного текста?

• 11.1 – раз в квартал проверять Wi-Fi в серверной!

...а в остальное время злоумышленники впадают в спячку?

• 1.3.6 – включить stateful inspection!

...и пусть нас за-DDOS-ят!

• ...и это далеко не все...




Возрастает регуляторное давление на QSA...

State of art Monkey work

16 Статус на конец 2013 года

Версия 3.0


17 Версия 3.0: встречайте!


7 ноября 2013 года трехлетний цикл обновления стандартов PCI DSS и PCI PA-DSS завершился выходом версии 3.0

Новость хорошая:

-уточнения привнесли определенность в отдельные требования

-Новость плохая:

-все методологические проблемы не только остались на месте, но и усугубились

18 Каковы изменения?


Категория Было в версии 2.0 Стало в версии 3.0

Уточнение -

Критичные аутентификационные данные после авторизации нельзя сохранять, даже если в системе нет номера карты, к которой они относятся

Изменение

Компоненты, хранящие, передающие и обрабатывающие карточные данные, должны быть отделены корректно настроенным межсетевым экраном (L3, L2)

Корректность ограничения области применимости требований стандарта проверяется тестом на проникновение

Изменение Присутствовало неявно

Необходимо вести полный перечень компонентов информационной инфраструктуры с описанием их свойств и функций

Уточнение Расширен перечень способов хранения криптографических ключей, в том числе добавлены HSM

19 Каковы изменения? (продолжение)



Уточнение - Документированные процедуры SDLC распространяются на приложения, разрабатываемые на заказ

Уточнение Присутствовало неявно

Следует организовать обучение разработчиков ПО безопасным методам программирования с акцентом на обработку карточных данных

Изменение Отдельные требования о длине и сложности пароля

Увеличена гибкость путем объединения в одно требование о длине и/или сложности пароля

Изменение (активно с 1 июля 2015 года)

-

Поставщики услуг, имеющие доступ к системам своих клиентов, обязаны использовать уникальные учетные записи для доступа к каждому клиенту

Изменение - Добавлено требование о необходимости борьбы со скиммингом и подделкой карт

20 Каковы изменения? (продолжение)



Уточнение Следует ежедневно читать и анализировать все журналы протоколирования событий

Следует ежедневно читать и анализировать журналы протоколирования событий систем обеспечения безопасности и критичных системных журналов. Добавлена гибкость путем предоставления возможности администратору самому принимать решение о критичности того или иного журнала на основе оценки рисков

Изменение (активно с 1 июля 2015 года)

- Определены требования к методике теста на проникновение и необходимость её документирования

21 Выводы


Вывод:

Несмотря на недостатки, для компаний с низким уровнем зрелости процессов ИБ, к которым относится подавляющее большинство участников индустрии платежных карт, PCI DSS – хорошее начало пути, а для компаний с высоким уровнем зрелости процессов ИБ – это метод внешнего контроля.

22 Спасибо!


Спасибо за внимание!

Вопросы?

[email protected]

www.pcidsstraining.ru

cтандарт pci dss изменения в новой версии

Technology