Блог

Управление соответствием PCI DSS. Часть вторая – инфраструктура и область применимости

Автор: Сергей Шустиков

По материалам статьи автора, опубликованной в журнале «ПЛАС» № 7 (183) ’2012

Представляю вниманию читателей вторую статью цикла, посвященного обзору индустрии платежных карт и системе сертификации PCI DSS. В ней пойдет речь об определении области применимости требовании стандарта в инфраструктуре компании, а также о методах ее сужения — с целью минимизации затрат на приведение инфраструктуры в соответствие требованиям стандарта PCI DSS.

Область применимости требований стандарта PCI DSS

В предыдущей статье цикла мы рассмотрели структуру индустрии платежных карт и выяснили, для каких именно ее участников обязательно соответствие требованиям международного стандарта безопасности данных индустрии платежных карт — PCI DSS. Кроме того, там же были описаны способы подтверждения соответствия и методика их выбора.

В сегодняшнем материале мы сосредоточимся на отдельно взятой компании и рассмотрим ее информационную инфраструктуру, вовлеченную в процесс обработки карточных данных.

Прежде всего, согласимся со вполне очевидным тезисом о том, что информационная инфраструктура по своей природе гетерогенна и многослойна. Существует уровень бизнес-приложений, которые для работы используют файлы и базы данных. Последние — вместе с приложениями — работают на серверах, которые, в свою очередь, опираются на уровень сетевого взаимодействия. Сегодня все чаще к такой структуре добавляется еще один уровень — уровень среды виртуализации.

Обеспечение информационной безопасности — процесс комплексный и многофакторный. Когда стоит задача защитить определенный вид данных, в нашем случае — данных о держателях платежных карт, нельзя ограничиться применением защитных мер лишь на каком-то одном отдельном уровне. Так, если мы внедрим межсетевые экраны и забудем о безопасности web-приложений, то злоумышленник непременно воспользуется такой оплошностью. Точно также, если будут защищены приложения и сетевая инфраструктура, но возможность прямого взаимодействия с базой данных останется, то смысла в наших действиях все равно не будет.

Таким образом, если мы действительно хотим защитить данные — мы должны действовать на всех уровнях: безопасно обрабатывать данные в приложениях, безопасно хранить их в базах данных на безопасно настроенных серверах, взаимодействующих в безопасной сети. Естественно, не должна быть забыта и физическая защита, особенно в том случае, если инфраструктура расположена в стенах подконтрольного нам здания.

Важно помнить, что соответствовать требованиям стандарта PCI DSS должна не вся информационная инфраструктура компании, а только та ее часть, в которой обрабатываются карточные данные, а если быть точным — все компоненты информационной инфраструктуры, хранящие, обрабатывающие и передающие данные о держателях платежных карт, плюс смежные информационные системы. Под смежными в данном случае понимаются те системы, соединения с которыми не защищены корректно настроенными межсетевыми экранами.

Эквайринг или эмиссия?

Следует также различать области QSA-аудита от области применимости требований стандарта PCI DSS. Заметим, что для многих организаций эти области совпадают, однако исключением из этого правила являются банки, которые осуществляют в своей информационной инфраструктуре как процесс эквайринга платежных карт, так и процесс их эмиссии, обрабатывая при этом карточные данные. Поэтому область применимости требований стандарта PCI DSS для банков — это компоненты как из эквайринговой части инфраструктуры, так и из эмиссионной. Таким образом, везде, где есть хотя бы один номер карты (PAN) — неважно, «своей» карты, или карты, эмитированной другим банком, — применимы требования стандарта PCI DSS.

С областью же QSA-аудита ситуация не так однозначна. На сегодня порядок таков: эквайринговая часть инфраструктуры, то есть те компоненты, где хотя бы теоретически может быть обработан, передан или сохранен номер карты, эмитированной другим банком, обязательно входит в область QSA-аудита. Эмиссионная же часть — т. е. все компоненты, где обрабатываются только номера «своих» карт, включается в область QSA-аудита по желанию аудируемого банка. Эта информация была получена автором статьи на ежегодном мероприятии PCI Security Standards Council European Community Meeting от представителей топ-менеджмента международных платежных систем — Майкла Грина (Michael Green), вице-президента MasterCard Worldwide, и Шейна Болфе (Shain Balfe), менеджера по безопасности Visa Europe. Тем не менее, и тут есть исключение: по прямому требованию международной платежной системы эмиссионная часть информационной инфраструктуры банка также может быть включена в область QSA-аудита.

На практике это выглядит следующим образом. QSA-аудиторы компании Deiteriy на этапе предварительного аудита проводят полное обследование банка. Затем, основываясь на полученных результатах и комментариях аудиторов к ним, специалисты банка принимают решение о том, включать ли всю инфраструктуру банка в процесс внедрения PCI DSS или же, если объемы планируемых работ существенно различаются, заняться на первом этапе проекта только эквайринговой частью, а эмиссионную часть оставить на более поздний этап доработки. Такой подход позволяет банку поэтапно расходовать средства на достижение соответствия стандарту PCI DSS, и больше соответствует духу риск-ориентированного подхода к обеспечению информационной безопасности.

Таблица. Виды данных о держателях карт
Вид Обозначение Определение
Номер карты PAN Номер, идентифицирующий платежную карту, наносится на ее лицевую сторону.
Имя держателя карты CHNAME Имя и фамилия человека, которому банк предоставил право распоряжения платежной картой, наносится на ее лицевую сторону.
Дата окончания срока действия карты EXPDATE Дата, при наступлении которой платежная карта становится недействительна, наносится на ее лицевую сторону.
Сервисный код SCODE Служебное значение, содержащееся на магнитной полосе (чипе) карты.
Содержимое магнитной полосы или чипа TRACK Вся информация, содержащаяся на магнитной полосе (чипе) карты.
Проверочное значение CVV2 / CVC2 Значение, используемое для авторизации платежной транзакции без считывания магнитной полосы (чипа) карты, наносится на ее оборотную сторону.
ПИН-код и его шифрограмма PIN и PINBLOCK Значение, используемое для авторизации платежной транзакции на банкоматах и POS-терминалах, и его шифрограмма (ПИН-блок).

 

Описание информационной инфраструктуры

Описание области информационной инфраструктуры, на которую распространяются требования стандарта PCI DSS, состоит из трех компонентов — схемы сетевого уровня, схемы потоков данных о держателях карт и перечня компонентов информационной инфраструктуры. Согласно правилам проведения QSA-аудита, все эти три компонента в обязательном порядке должны присутствовать в отчете о соответствии (Report on Compliance, ROC), подготовленном QSA-аудитором.

Таким образом, наличие в отчете подробной схемы сети, детального описания потоков данных о держателях карт, а также перечня компонентов, входящих в область аудита — это признаки качественной работы QSA-аудитора в соответствии с официальной процедурой. Заказчику мы советуем обращать внимание на это в первую очередь, поскольку полнота и точность описания области, в которой был выполнен аудит, является предметом проверки процедуры контроля качества (Quality Assurance, QA), выборочно выполняемой регулятором отрасли — Советом PCI SSC.

Пример упрощенной схемы информационной инфраструктуры банка на сетевом уровнеУправление соответствием PCI DSS. Часть вторая – инфраструктура и область применимости

Рис. 1. Пример упрощенной схемы информационной инфраструктуры банка на сетевом уровне

Пример упрощенной схемы потоков карточных данных в сети банкаУправление соответствием PCI DSS. Часть вторая – инфраструктура и область применимости

Рис. 2. Пример упрощенной схемы потоков карточных данных в сети банка

Сужение области применимости требований стандарта PCI DSS

Для чего необходимо сужать область применимости стандарта PCI DSS? Формальный и буквальный подход к внедрению стандарта PCI DSS — гарантированный способ сделать проект бесконечным, и по срокам, и по деньгам. Никто, разумеется, не запрещает организации привести в соответствие лучшим мировым практикам всю сеть компании, включая те ее сегменты, где критичных данных никогда не было, нет и не предвидится. Однако такой вариант «внедрения стандартов PCI DSS» не отвечает духу риск-ориентированного подхода к обеспечению информационной безопасности: избыточные меры защиты вредны для организации, — и не только по причине заметных расходов. В процессе снижения рисков, связанных с безопасностью данных, следует искать не «абсолютной защиты», а компромисса между защищенностью и функциональностью бизнес-процессов, иначе можно необратимо снизить эффективность ежедневной работы сотрудников, а процедуру их доступа к рабочей информации сделать неприятной рутиной. Поэтому очевидно, что защитные меры нужно применять точечно — именно там, где они действительно нужны.

Лучшим способом сужения области применимости PCI DSS, исходя из самого ее определения, является модернизация бизнес-процессов, ведущая к упорядочению потоков карточных данных внутри организации и к снижению количества компонентов, которые задействованы в обработке, передаче или хранении этих данных. Когда потоки данных упорядочены, их можно компактно разместить внутри ограниченного сегмента информационной инфраструктуры.

Там, где нет прямой необходимости использовать номер карты в открытом виде — скажем, если он используется лишь как уникальный идентификатор клиента, — его лучше заменить на что-то другое. Например, вместо номера карты можно использовать уникальное значение — токен, который может эффективно выполнять функцию идентификации, но при этом не будет так критичен с точки зрения конфиденциальности, как номер карты. Можно использовать и хэш-значение от номера карты, или его маскированное значение вида 1234 56** **** 7890. Эти данные уже не являются карточными, и на них не распространяются требования PCI DSS.

Следствием минимизации количества компонентов, обрабатывающих карточные данные, будет также повышение уровня безопасности, поскольку в инфраструктуре уменьшится количество потенциально уязвимых мест.

Для изоляции компактного сегмента обработки данных о держателях карт от остальной информационной инфраструктуры организации применяются два основных метода: это межсетевое экранирование и шифрование передаваемых данных. Идеологию их применения понять несложно: серверы, на которых работают карточные приложения и базы данных, следует собрать в один сегмент, который будет отделен от остальной сети корректно настроенными межсетевыми экранами. Все выходящие за пределы изолированного сегмента потоки карточных данных следует шифровать: это может быть VPN, SSL, пересылка зашифрованного архива или любой другой механизм безопасной передачи данных. При наличии описанной конфигурации, за локализацию проблемы защиты карточных данных в изолированном сегменте можно не беспокоиться.

Рабочие станции пользователей лучше всего оставить вне области применимости требований стандарта PCI DSS, применяя для них различные механизмы удаленного и терминального доступа. Естественно, при этом канал связи с выделенным сегментом обработки карточных данных должен быть зашифрован, а для доступа пользователей следует применять надежные механизмы аутентификации.

Следующая, третья, статья нашего цикла, посвященного управлению соответствием PCI DSS, будет посвящена тому, как выполнить требования стандарта PCI DSS в изолированном сегменте и о том, как успешно пройти сертификационный QSA-аудит.

1