Банки 

Правила пентеста: аудит по стандарту PCI DSS. Сертификация PCI DSS: все, что нужно знать Данные защищены стандарту pci dss

Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, American Express, Discover, JCB), обязаны выполнять требования стандарта PCI DSS. Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для помощи организациям в выполнении требований стандарта компания «Информзащита» предлагает различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиента. В их числе:

  • PCI DSS Compliance. Услуга предполагает приведение уровня информационной безопасности компании в соответствие требованиям стандарта PCI DSS c «нуля». Включает в себя:
    • Предварительный аудит с разработкой плана приведения в соответствие;
    • Непосредственно этап приведения;
    • Финальный сертификационный аудит.
  • Поддержание соответствия требованиям PCI DSS. Услуга предполагает помощь организациям, уже имеющим сертификат соответствия PCI DSS и заинтересованным в его очередном подтверждении.
  • Сертификационный аудит PCI DSS. Услуга предназначена для организаций, самостоятельно реализовавших требуемые PCI DSS меры защиты и заинтересованных только в итоговой оценке соответствия.
  • Сертификация программного обеспечения по требованиям стандарта PA-DSS. В 2008 году Советом по безопасности индустрии платежных карт (PCI SSC) принят стандарт безопасности платежных приложений – Payment Application Data Security Standard (PA-DSS), направленный на поддержку выполнения требований стандарта PCI DSS. По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS.
    Платежными системами VISA и MasterСard определен срок по завершению перехода агентов и предприятий торгово-сервисной сети на использование сертифицированных приложений – 1 июля 2012 г.
    Сертификацию приложений на соответствие стандарту PA-DSS может проводить только аудитор, имеющий статус PA-QSA. «Информзащита» – первая в России компания, имеющая данный статус.
    Специалисты «Информзащиты» с 2009 года проводят аудиты на соответствие стандарту PA-DSS. За время проведения работ нами сертифицировано более 10 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.
  • Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS. Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависит от типа изменений.
    Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта и реалий вендора, проведения повторной сертификации для всех определенных стандартом типов изменений, согласовании итоговых документов с PCI SSC.
    Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.
  • Сканирование PCI ASV, сканирование WEB приложений. Компания «Информзащита» является сертифицированным (сертификат №4159-01-08) поставщиком сканирований PCI ASV. Сканирование PCI ASV обеспечивает выполнение пункта 11.2.2 стандарта PCI DSS. Помимо формального соответствия стандарту, сканирование PCI ASV позволяет оценить защищенность Вашего внешнего сетевого периметра, выявить уязвимости и некорректные конфигурации.
  • Комплексный тест на проникновение по требованиям PCI DSS. Услуга включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS).
  • Разработка для банков-эквайеров программы соответствия мерчантов требованиям PCI DSS. Согласно требованиям международных платежных систем, банки-эквайеры несут ответственность за выполнение своими мерчантами требований стандарта PCI DSS. В рамках услуги осуществляется разработка программы контроля соответствия мерчантов требованиям стандарта PCI DSS на основе программ безопасности международных платежных систем Account Information Security и Site Data Protection.
  • Помощь в заполнении листа самооценки PCI DSS. Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги компания «Информзащита» оказывает помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS.

Проведение работ позволит выполнить предъявляемые стандартом требования, снизить риски компрометации данных платежных карт и избежать санкций со стороны международных платежных систем.

Компания «Информзащита» первой в РФ получила статусы QSA и ASV, дающие право выполнять сертификационные аудиты PCI DSS и внешние ASV-сканирования. По количеству сертифицированных QSA-аудиторов «Информзащита» превосходит другие российские компании. Таким образом, с каждым клиентом работает персональный специалист. Компания успешно прошла контроль качества отчетов со стороны PCI SSC, подтвердивший высокое качество предоставляемых клиентам услуг. С 2006-го года компания выполнила для банков, независимых процессинговых центров, сервис-провайдеров, дата-центров и мерчантов более 90 проектов по приведению к соответствию и сертификации PCI DSS.

#PCI

Внимание! Эта статья о шине PCI и её производных PCI64 и PCI-X("Пи-си-ай Икс")! Не путайте её с более новой шиной ("Пи-си-ай Экспресс"), которая полностью несовместима с шинами, описанными в данном FAQ.


PCI 2.0 - первая версия базового стандарта, получившая широкое распространение, использовались как карты, так и слоты с сигнальным напряжением только 5В.

PCI 2.1 - отличалась от 2.0 возможностью одновременной работы нескольких bus-master устройств (т.н. конкурентный режим), а также появлением универсальных карт расширения, способных работать как в 5В, так и в 3.3В слотах. Способность работать с 3.3В картами и наличие соответствующих линий питания в версии 2.1 являлась опциональной.Появились расширения PCI66 и PCI64.

PCI 2.2 - версия базового стандарта шины, допускающая подключение карт расширения с сигнальным напряжением как 5В, так и 3.3В. 32-битные версии этих стандартов являлись наиболее распространённым типом слотов на на момент написания FAQ. Используются слоты типа 32-бита, 5В.
Cделанные в соответствии с этими стандартами карты расширения имеют универсальный разъём и способны работать практически во всех более поздних разновидностях слотов шины PCI, а также, в некоторых случаях, и в слотах 2.1.

PCI 2.3 - следующая версия общего стандарта на шину PCI, слоты расширения, соответствующие этому стандарту, несовместимы с картами PCI 5В, несмотря на продолжающееся использование 32-битных слотов с 5В-ключом. Карты расширения имеют универсальный разъём, но не способны работать в 5В-слотах ранних версий (до 2.1 включительно).
Напоминаем, что напряжение питания (не сигнальное!) 5В сохраняется абсолютно на всех версиях разъёмов шины PCI.

PCI 64 - расширение базового стандарта PCI, появившееся в версии 2.1, удваивающее число линий данных, и, следовательно, пропускную способность. Cлот PCI64 является удлинённой версией обычного PCI-слота. Формально совместимость 32-битных карт с 64-битным слотами (при условии наличия общего поддерживаемого сигнального напряжения) полная, а совместимость 64-битной карты с 32-битным слотами является ограниченной (в любом случае произойдёт потеря производительности), точные данные в каждом конкретном случае можно узнать из спецификаций устройства.
Первые версии PCI64 (производные от PCI 2.1)использовали слот PCI 64-бита 5В и работали на тактовой частоте 33МГц.

PCI 66 - появившееся в версии 2.1 расширение стандарта PCI с поддержкой тактовой частоты 66МГц, также, как и PCI64 позволяет удвоить пропускную способность. Начиная с версии 2.2 использует 3.3В-слоты (32-битный вариант на ПК практически не встречается), карты имеют универсальный либо 3.3В форм-фактор. (Имелись и основанные на версии 2.1 казуистически редкие на рынке ПК 5В 66МГц решения, подобные слоты и платы были совместимы только между собой)

PCI 64/66 - комбинация двух вышеописанных технологий, позволяет учетверить скорость передачи данных по сравнению с базовым стандартом PCI, и использует 64 бита 3.3В слоты, совместимые только с универсальными и 3.3В 32-битными картами расширения. Карты стандарта PCI64/66 имеют универсальный (имеющий ограниченную совместимость с 32-битными слотами) либо 3.3В форм-фактор(последний вариант принципиально не совместим с 32-битными 33МГц слотами популярных стандартов)
В настоящее время под термином PCI64 подразумевается именно PCI64/66, поскольку 33МГц 5В 64-битные слоты не применяются уже достаточно давно.

PCI-X 1.0 - Расширение PCI64 с добавлением двух новых частот работы, 100 и 133МГц, а также механизма раздельных транзакций для улучшения производительности при одновременной работе нескольких устройств. Как правило, обратно совместима со всеми 3.3В и универсальными PCI-картами.
PCI-X карты обычно выполняются в 64-бит 3.3В формате и имеют ограниченную обратную совместимость со слотами PCI64/66, а некоторые PCI-X карты - в универсальном формате и способны работать (хотя практической ценности это почти не имеет) в обычном PCI 2.2/2.3.
В сложных случаях для того, чтобы быть полностью уверенным в работоспособности выбранной вами комбинации из мат.платы и карты расширения, случае надо посмотреть таблицы совместимости (compatibility lists) производителей обоих устройств.

PCI-X 2.0 - дальнейшее расширение возможностей PCI-X 1.0, добавлены скорости в 266 и 533МГц, а также коррекция ошибок чётности при передаче данных.(ECC). Допускает расщепление на 4 независимых 16-битных шины, что применяется исключительно во встраиваемых и промышленных системах, сигнальное напряжение снижено до 1.5В, но сохранена обратная совместимость разъёмов со всеми картами, использующими сигнальное напряжение 3.3В.

PCI-X 1066/PCI-X 2133 - проектируемые будущие варианты шины PCI-X, c результирующими частотами работы 1066 и 2133МГц соответственно, изначально предназначенные для подключения 10 и 40Гбит Ethernet адаптеров.

Для всех вариантов шины PCI-X существуют следующие ограничения по количеству подключаемых к каждой шине устройств:
66МГц - 4
100МГц - 2
133МГц - 1 (2, если одно или оба устройства не находятся на платах расширения, а уже интегрированы на одну плату вместе с контроллером)
266,533МГц и выше -1.

Вот почему в некоторых ситуациях для обеспечения стабильности работы нескольких установленных устройств необходимо ограничивать максимальную частоту работы использованной шины PCI-X (обычно это делается джамперами)

СompactPCI - стандарт для разъёмов и карт расширения, применяемый в промышленных и встраиваемых компьютерах. Механически не совместим ни с одним из "общих" стандартов.

MiniPCI - стандарт для плат и разъёмов для интеграции в ноутбуки (обычно используется для адаптеров беспроводной сети) и непосредственно на поверхность . Также механически ни с чем кроме себя не совместим.

Типы PCI-карт расширения:

Сводная таблица конструктивов карт и слотов в зависимости от версии стандарта:

Cводная таблица совместимости карт и слотов в зависимости от версии и конструктива:

Карты
Слоты PCI 2.0/2.1 5B PCI 2.1 универсальный PCI 2.2/2.3 универсальный PCI64/5B
(33МГц) 		PCI64/универсальный PCI64/3.3B PCI-X/3.3B PCI-X универсальный
PCI 2.0 Совместимы Совместимы Несовместимы Ограниченно совместимы с потерей производительности Несовместимы
PCI 2.1 Совместимы Совместимы Ограниченно совместимы Ограниченно совместимы с потерей производительности Ограниченно совместимы с потерей производительности Несовместимы
PCI 2.2 Совместимы Ограниченно совместимы с потерей производительности Ограниченно совместимы с потерей производительности Несовместимы Несовместимы Ограниченно совместимы с потерей производительности
PCI 2.3 Несовместимы Ограниченно совместимы Совместимы Несовместимы Ограниченно совместимы с потерей производительности Несовместимы Несовместимы Ограниченно совместимы с потерей производительности
PCIБ
64/5B(33МГц) 		Совместимы Совместимы Ограниченно совместимы Совместимы Ограниченно совместимы с потерей производительности Несовместимы Несовместимы Ограниченно совместимы с потерей производительности
PCI64/3.3B Несовместимы Ограниченно совместимы Совместимы Несовместимы Совместимы Совместимы Ограниченно совместимы с потерей производительности Ограниченно совместимы с потерей производительности
PCI-X Несовместимы Ограниченно совместимы Совместимы Несовместимы Совместимы

Мобильные платежные решения еще недостаточно широко представлены на мировом рынке и в нашей стране в частности. Тем не менее, интерес к подобным решениям со стороны fintech-разработчиков, бизнеса и торгово-сервисных предприятий с каждым годом растет.

Андрей Гайко
Сертифицированный QSA-аудитор Digital Security

Что такое mPOS

Мобильное платежное решение (mPOS) состоит из следующих основных компонентов:

  • мобильное устройство – смартфон или планшет, к которому подключается считывающее устройство;
  • платежное приложение для мобильного устройства – программное обеспечение, через интерфейс которого продавец производит ввод данных для оплаты и обмен данными с процессингом. Также через данное ПО возможна верификация владельца карты с использованием подписи;
  • считывающее устройство – выделяются два вида считывающих устройств: Pin Entry Device (PED), устройство считывания карты и ввода PIN-кода. Подключается к мобильному устройству посредством Bluetooth, через аудиоразъем или mini-USB; Secure Card Reader (SCR), устройство считывания карты. Обычно подключается к мобильному устройству через аудиоразъем.

Под мобильным платежным решением будем понимать программно-аппаратную платформу для торгово-сервисных предприятий (далее – ТСП), позволяющую принимать платежи от физических лиц посредством смартфона/планшета и подключенного к нему считывающего устройства. Посредством mPOS возможно принимать оплату как бесконтактным способом (банковской картой, загруженной в мобильный телефон клиента с поддержкой NFC (далее – NFC-карта), или бесконтактной банковской картой), так и по обычным пластиковым картам (с магнитной полосой и/или EMV-чипом).

Кроме функций защищенного чтения карты и ввода PIN-кода у mPOS должна быть поддержка всех основных способов верификации владельца карты, шифрования данных при передаче между компонентами и процессинговой частью системы, а также возможность печати чеков или их отправки по SMS и электронной почте.

На стороне сервис-провайдера или банка-эквайера, которые занимаются приемом и дальнейшей обработкой данных при mPOS-платежах, используется back-end система (платежный шлюз), схожая с теми, что используются при интернет- или обычном POS-эквайринге.

Для того, чтобы понять, какие требования по безопасности должны предъявляться, на техническом уровне необходимо определить основные компоненты экосистемы mPOS и существующие информационные потоки. Для понимания ответственности субъектов экосистемы mPOS за безопасность платежей на бизнес-уровне необходимо определить существующие бизнес-модели участников платежного процесса.

Схема информационных потоков содержит 8 основных этапов (см. рис. 1):

  • этап 1. Сотрудник ТСП подключает считывающее устройство к мобильному устройству (смартфону или планшету), имеющему интернет-соединение. Запускает специальное мобильное приложение и в нем вводит сведения о покупке и сумму платежа;
  • этап 2. Клиент вставляет, прокатывает или подносит банковскую карту к считывающему устройству. В случае NFC-карты клиент на своем смартфоне открывает приложение "Кошелек" (Walet), выбирает действующую банковскую карту и подносит смартфон к считывающему устройству. В зависимости от параметров, заданных в карте, запрашивается ввод PIN-кода. В этом случае клиент вводит PIN-код посредством PIN-pad, который может быть встроен в считывающее устройство;
  • этап 3. Считывающее устройство считывает карточные данные, шифрует их и передает в мобильное устройство сотрудника ТСП;
  • этап 4. Мобильное устройство сотрудника отправляет зашифрованные данные в платежный шлюз, и из платежного шлюза данные передаются в эквайринговую систему. Кроме карточных данных, в зависимости от настроек, дополнительно могут быть переданы сведения о mPOS, транзакции, покупаемом товаре или услуге;
  • этап 5. Авторизационный запрос из эквайринговой системы передается в МПС. После обработки запроса результат (принято или отклонено) возвращается в эквайринговую систему. Если карта, по которой происходит оплата, выпущена тем же банком, через который осуществляется эквайринг, то запрос в МПС не передается;
  • этап 6. Результат авторизационного запроса передается в мобильное устройство;
  • этап 7. Если для карты требуется подпись ее владельца, то в мобильном приложении выводится соответствующая форма, и клиент расписывается (стилусом или пальцем);
  • этап 8. Сотрудник ТСП в мобильном платежном приложении выбирает метод отправки чека клиенту. Возможна отправка по SMS, электронной почте или на печать на локальное кассовое устройство.

В реализации описанного выше процесса могут участвовать следующие компании:

  • разработчики mPOS-устройств – осуществляют разработку и выпуск аппаратных средств, которые безопасно считывают карточные данные и PIN-код;
  • разработчики платежного ПО для мобильного устройства и/или платежного шлюза – разрабатывают клиентское ПО для ТСП и, возможно, ПО платежного шлюза;
  • разработчики платформы – компании-разработчики, создающие единую аппаратную и программную часть mPOS-решения для ее дальнейшей продажи сервис-провайдерам mPOS-решений или эквайерам;
  • сервис-провайдеры mPOS-решений – компании, выпускающие конечный продукт для ТСП. Компаниями данного типа являются банки-эквайеры или так называемые платежные посредники (payment facilitators). Эти компании могут либо самостоятельно разрабатывать все компоненты мобильного платежного решения, либо лицензировать отдельные компоненты разных производителей и интегрировать их между собой. Платежные посредники, за исключением банков-эквайеров, являются чем-то средним между сервис-провайдером и ТСП. Их клиентами являются ТСП, для которых взаимодействие с банком-эквайером становится прозрачным процессом, так как ответственность за расчеты с ТСП ложится на платежного посредника;
  • дистрибьюторы – компании, продвигающие на рынке те или иные mPOS-решения различных производителей и выполняющие функцию перепродажи mPOS-решения ТСП;
  • платежный сервис-провайдер (процессинговая компания, платежный шлюз) – компания, которая является посредником между сервис-провайдером mPOS-решений и банком-эквайером. Он обеспечивает информационное взаимодействие между мобильным устройством ТСП и эквайером;
  • эквайер – банк-эквайер или процессинговый центр, подключенный к МПС, обеспечивающий авторизацию платежей. Банки-эквайеры, с которыми сотрудничают сервис-провайдеры mPOS-решений, могут использоваться для расчетов с ТСП.

Следует отметить, что компания может выполнять не только одну из указанных ролей. Возможна ситуация, когда компания может полностью разработать все программные и аппаратные компоненты mPOS-решения. В зависимости от того, какие функции будут выполняться компанией, зависит, какие требования по безопасности ею должны соблюдаться.

Перечни основных компонентов и типов бизнес-моделей приведены для того, чтобы понять, как должна разграничиваться ответственность за выполнение требований безопасности между всеми участниками экосистемы mPOS.

Виды сертификации

Первые рекомендации по безопасности мобильных платежных решений были выпущены Visa в 2011 г. В них содержались общие рекомендации для разработчиков и ТСП в части безопасности использования мобильных платежных решений. В 2012 г. Советом PCI SSC были выпущены более детальные рекомендации для разработчиков. На сегодняшний день МПС и PCI SSC почти каждый год выпускают обновленные рекомендации по безопасности mPOS.

Кроме рекомендаций Visa и MasterCard разработали программы сертификации поставщиков мобильных платежных решений. По сути, обе программы достаточно похожи, и с большой вероятностью можно утверждать, что разработка решения согласно требованиям одной из МПС может быть сертифицирована у другой. Обе МПС ведут реестры сертифицированных компаний и mPOS-решений.

Стандарты PCI SSC

PCI DSS
В новой версии стандарта появились новые требования, которые как нельзя кстати относятся к безопасности mPOS. В частности, в разделе 9 добавился пункт 9.9, согласно которому необходимо вести учет устройств считывания карт, а также проводить периодическое обучение сотрудников/пользователей, обслуживающих устройства, для того чтобы они умели определять подмену mPOS или иные признаки скимминга. В случае с сервис-провайдерами mPOS-решений или эквайрингами при предоставлении клиентам считывающих устройств они должны будут разработать рекомендации и инструкции по защите от скимминга и довести их до сведения сотрудников ТСП. В рамках выполнения требования 12.8 сервис-провайдеры и эквайеры на уровне договорных отношений могут обязать ТСП выполнять соответствующие требования по безопасности mPOS.

Несмотря на то, что выполнение большинства требований безопасности ложится на различных сервис-провайдеров и банки, банки-эквайеры вправе потребовать от ТСП заполнения листов самооценки (SAQ) соответствующего типа (SAQ P2PE-HW в случае использования ТСП P2PE-решения, SAQ B-IP в случае использования mPOS со считывателем, сертифицированным по PCI PTS). В таблице указаны компоненты mPOS-решений, соответствующий стандарт, которому компонент должен соответствовать, и компания, ответственная за реализацию требований.

Требование 12.8 также актуально для тех случаев, когда ПО mPOS-решений для сервис-провайдера разрабатывается сторонней организацией. В этом случае выполнение требования 6.5 полностью ложится на плечи компании-разработчика. При этом если компания-разработчик не будет выполнять требования, сервис-провайдер не сможет пройти аудит на соответствие PCI DSS. В договорах между сервис-провайдерами (эквайерами) и разработчиками следует предусмотреть вопрос проведения аудита определенных бизнес-процессов компании-разработчика в случае прохождения сервис-провайдером ежегодной сертификации по PCI DSS, т.к. процесс разработки будет включен в область аудита сервис-провайдера. То же актуально и в случае аутсорсинга иных услуг. В общем случае подтверждение третьей стороной соответствия требованиям PCI DSS в части, ее касающейся, может быть обеспечено путем самостоятельной сертификации по PCI DSS необходимых бизнес-процессов с последующим предоставлением свидетельств об успешно пройденой проверке либо путем предоставления возможности аудита бизнес-процесса в рамках аудита сервис-провайдера (эквайера).

Отметим, что в нашей стране аудит разработчиков в рамках аудита компании-заказчика происходит довольно редко. Разработчики на словах могут гарантировать знание и применение методов безопасной разработки, но по факту не владеть нужными знаниями и не выполнять соответствующих процедур. С выходом новой версии PCI DSS положение вещей должно измениться, так как требования стали детальными, и указанные в тексте стандарта проверочные процедуры обязывают QSA-аудитора проводить более глубокие проверки.

PCI PTS
Стандарт PCI PTS регламентирует требования к безопасности для Point of interaction devices (POI) и Hardware Security Modules (HSM). Считывающее устройство, подключаемое к мобильному устройству, является POI. Как упоминалось выше, в mPOS-решениях используется два класса POI: PIN Entry Device (PED) и Secure Card Reader (SCR). В зависимости от того, к POI какого типа относится считывающее устройство, определяются группы требований PCI PTS, которым устройство должно соответствовать.


В настоящий момент в некоторых предлагаемых на отечественном рынке mPOS-решениях используются считыватели no-name-производителей. Использование таких считывателей не гарантирует безопасной передачи данных между устройствами и делает возможным передачу в мобильное устройство номера карты в открытом виде. Поэтому, выбирая mPOS-решение, необходимо убедиться, что сервис-провайдер предлагает сертифицированное по PCI PTS считывающее устройство.

Существуют две бизнес-модели разработки клиентского ПО: разработка для собственного проекта, когда разработчик создает mPOS-решение и выводит его на рынок под собственным брендом: в этом случае разработчик будет являться сервис-провайдером mPOS-решения; – и разработка конечного решения для дальнейшего лицензирования компаниями, которые интегрируют компоненты разных производителей между собой и на их основе создают свои mPOS-решения.

PA-DSS
Для mPOS-решений PA-DSS в обязательном порядке применим к прошивкам устройств, считывающим карточные данные. Для программного обеспечения, устанавливаемого на мобильное устройство сотрудника ТСП, данный стандарт является рекомендательным. Это связано с тем, что мобильное устройство является недоверенной и слабоконтролируемой средой. Например, на устройстве может быть выполнен jailbreak, который на порядок снижает безопасность устройства и не гарантирует безопасности установленного платежного приложения. Именно поэтому МПС запрещают использовать мобильные устройства для ввода PIN-кода и требуют, чтобы данные от считывающего устройства приходили в мобильное ПО в зашифрованном виде и далее в том же виде передавались в эквайринг. В этом случае данные платежных карт не будут в открытом виде обрабатываться и храниться в мобильном устройстве, а значит, и требования PA-DSS не применимы.

В версии 3.0 стандарта появились новые требования, на которые разработчикам прошивок для считывающих устройств и коробочных платежных приложений следует обратить внимание в первую очередь. Во-первых, каждое выпускаемое обновление должно проходить отдельную сертификацию. Во-вторых, теперь клиенты должны использовать только те версии (обновления) ПО, которые являются сертифицированными и приведены на сайте Совета PCI.


PCI P2PE
Сравнительно недавно вышел в свет новый стандарт безопасности PCI P2PE. Стандарт предназначен для решений, обеспечивающих криптографическую защиту данных при их передаче между всеми компонентами платежного решения. В случае применения шифрования достигается сужение области действия стандарта в ТСП до минимального уровня, так как у ТСП нет возможности получения данных о держателях карт в открытом виде.

В перечень всех основных компонентов экосистемы mPOS входит:

  • считывающее устройство;
  • платежное приложение для мобильного устройства;
  • платежный шлюз;
  • эквайринговая система, подключенная к МПС.

В отличие от PCI DSS, который распространяется только на информационную инфраструктуру, PCI P2PE является более комплексным и распространяется не только на инфраструктуру, но и на считывающие устройства и программное обеспечение POI-терминалов (в приложении к mPOS – это считывающие устройства). Стандарт состоит из 6 доменов, требования которых основаны на действующих стандартах PCI: считывающие устройства должны удовлетворять требованиям PCI PTS SRED; программное обеспечение считывающих устройств – PA-DSS; управление ключами шифрования – PCI PIN Security Requirements; платежная информационная инфраструктура ТСП – PCI DSS. Если решение сертифицировано по PCI P2PE, это значит, что данные между всеми подсистемами (от считывателя к мобильному устройству в ПО, от ПО в процессинг и далее) передаются в шифрованном виде, и все подсистемы выполняют требования соответствующих стандартов PCI.

По требованиям P2PE могут быть сертифицированы как отдельные компоненты, так и готовые решения.

МПС рекомендуют использовать P2PE-решения для приема mPOS-платежей. Однако сложность состоит в том, что на текущий момент на рынке существует немного решений подобного типа, поэтому МПС не требуют, а рекомендуют использовать PCI P2PE-решения и при разработке руководствоваться ими. Тем не менее, сервис-провайдерам платежного mPOS-решения нужно быть готовыми к тому, что МПС в скором времени будут требовать обязательной сертификации их mPOS-решений по требованиям PCI P2PE.


PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) - это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении.

Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами - Visa, MasterCard, American Express, JCB, Discover. Информацию о своей деятельности PCI SSC публикует на своем сайте .

Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).

Приведя информационную инфраструктуру в соответствие требованиям PCI DSS, вы повысите уровень защищенности среды обработки карточных данных. Тем самым вы снизите риски финансовых потерь от инцидентов информационной безопасности и выполните требование международных платежных систем о необходимости соответствия данному стандарту.

Основная цель соответствия требованиям стандарта PCI DSS - повышение уровня защищенности информационной инфраструктуры, именно для этого стандарт и был разработан. Отсюда можно сделать вывод, что стандарт будет полезен всем, кто задумывается о безопасности своей информации.

Стандарт PCI DSS содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов:

  • применение межсетевых экранов;
  • правила настройки оборудования;
  • защита хранимых данных о владельцах платежных карт;
  • применение криптографических средств защиты при передаче данных;
  • применение антивирусных средств;
  • безопасная разработка и поддержка приложений и систем;
  • управление доступом пользователей к данным;
  • управление учетными записями;
  • обеспечение физической безопасности;
  • мониторинг безопасности данных;
  • регулярное тестирование систем;
  • разработка и поддержка политики информационной безопасности.

Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения. PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений.

Актуальную на сегодняшний день версию 1.2 стандарта PCI DSS вы можете скачать .

Все требования стандарта PCI DSS являются обязательными. Некоторые требования могут быть неприменимы к вашей организации по причине отсутствия тех или иных компонентов информационной инфраструктуры, например, если вы не используете беспроводные сети, то на вашу компанию не распространяются требования по обеспечению безопасности беспроводных сетей. Если вы не можете выполнить то или иное требование стандарта из-за ограничений, накладываемых законодательством, бизнес-процессами или применяемыми технологиями, то вы можете использовать компенсирующие меры. Основным правилом выбора компенсирующих мер является то, что компенсирующая мера должна снижать тот же риск, что и требование стандарта, которое невозможно выполнить из-за ограничений.

Требования стандарта PCI DSS распространяются на системы, используемые для обработки, хранения и передачи данных о владельцах платежных карт, а также системы, имеющие с ними сетевую связь (системы, соединения с которыми не защищены межсетевым экраном).

Да, отдельные подсистемы банкомата, участвующие в обработке, хранении и передаче данных о владельцах платежных карт, входят в область применения стандарта PCI DSS.

По мере развития стандарта PCI SSC вносит в его текст изменения и публикует новые версии документа на сайте www.pcisecuritystandards.org . С 1 октября 2008 года по настоящее время актуальна версия 1.2 стандарта PCI DSS.

Согласно установленным международными платежными системами программам проверки соответствия требованиям PCI DSS ряду организаций необходимо проходить ежегодный аудит. Программы проверки соответствия различаются для торгово-сервисных предприятий (merchants) и поставщиков услуг (service providers).

Ежегодный аудит необходимо проходить торгово-сервисным предприятиям, проводящим более шести миллионов карточных транзакций в год. Касаемо поставщиков услуг, международная платежная система VISA требует прохождение ежегодного аудита от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более 300 000 транзакций в год, а MasterCard – от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более одного миллиона транзакций в год. Подробное описание процедур проверки соответствия PCI DSS вы можете найти .

Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.

Время проведения аудита зависит от размера области применения стандарта PCI DSS, а также от особенностей инфраструктуры компании. В среднем аудит на объекте компании длится три дня.

По результатам аудита соответствия вашей информационной инфраструктуры требованиям стандарта QSA-аудитор подготовит Отчет о Соответствии (Report on Compliance), содержащий детальную информацию о выполнении каждого из требований PCI DSS. Результаты аудита дадут представление о том, куда в первую очередь необходимо направить ресурсы на повышение защищенности среды обработки платежных карт.

Согласно требованиям международных платежных систем, в случае выявления несоответствий информационной инфраструктуры требованиям стандарта PCI DSS вам необходимо подготовить План мероприятий по их устранению. В подготовке Плана мероприятий помогут рекомендации QSA-аудитора, выполнившего проверку соответствия.

Международные платежные системы предусматривают наложение штрафных санкций на организации, которые обязаны проходить ежегодный внешний аудит соответствия PCI DSS, но не проходят его.

В таком случае для выполнения требования международных платежных систем о прохождении ежегодного внешнего аудита придется менять политику безопасности, которая, согласно PCI DSS, должна учитывать все требования стандарта.

Сертификат соответствия выдается после проведения аудита, в случае полного соответствия платежной инфраструктуры компании требованиям стандарта PCI DSS.

Проведение внешнего и внутреннего теста на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тест на проникновение должен выполняться ежегодно, а также после внесения значительных изменений в платежную инфраструктуру компании. Попытка проникновение, выполняемая специалистом, реализующим комплекс уязвимостей в соответствии с заданной моделью нарушителя, наглядно демонстрирует уровень защищенности платежной среды. Следует обратить внимание на то, что тест на проникновение, выполняемый специалистом, не имеет ничего общего с автоматизированным сканированием.

Ежеквартальное сканирование внешнего периметра платежной инфраструктуры компании, выполняемое сертифицированным поставщиком услуг сканирования (approved scanning vendor, ASV) является обязательной частью процедур проверки соответствия PCI DSS. Подробное описание процедур проверки соответствия PCI DSS вы можете найти .

В случае, если вы не нашли ответ на интересующий вас вопрос - не отчаивайтесь. Пришлите его нам и мы с радостью постараемся ответить на него в самые короткие сроки.

Фамилия и имя:

Электронная почта:

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.


FAQ по PCI DSS для тех, кто интересуется сертификацией


# На кого распространяются требования стандарта PCI DSS?

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна - обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.

Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.

Рисунок 1. Определение необходимости соответствия стандарту PCI DSS


Первым делом следует ответить на два вопроса:
  • Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
  • Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?
При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.

# Каковы требования стандарта PCI DSS?
Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

# Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.


Таблица 2. Способы подтверждения соответствия стандарту PCI DSS


Внешний аудит QSA (Qualified Security Assessor)
Внутренний аудит ISA
(Internal Security Assessor)
Самооценка SAQ
(Self Assessment Questionnaire)
Выполняется внешней аудиторской организацией QSA , сертифицированной Советом PCI SSС. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором .Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом. Выполняется самостоятельно путём заполнения листа самооценки.
В результате проверки QSA -аудиторы собирают свидетельства выполнения В результате проверки ISA -аудиторы , как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт. Сбор свидетельств выполнения требований стандарта не требуется.
По результатам проведённого аудита подготавливается отчёт о соответствии - ROC (Report on Compliance). Самостоятельно заполняется лист самооценки SAQ .
Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.

# В какой ситуации необходимо проводить внешний аудит, а в какой - внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS

# Представляет ли однократное нарушение сроков ASV-сканирования серьёзный риск с точки зрения соответствия PCI DSS?
Организация, получившая статус PCI DSS, должна регулярно выполнять ряд требований, например проводить ежеквартальное ASV-сканирование. При первичном прохождении аудита достаточно иметь документированную процедуру ASV-сканирования и результаты хотя бы однократного её успешного выполнения за последние три месяца. Все последующие сканирования должны быть ежеквартальными, отрезок времени не должен превышать трёх месяцев.
Нарушение расписания внешнего сканирования на уязвимости влечет за собой наложение дополнительных требований к системе менеджмента информационной безопасности в организации. Во-первых, необходимо будет все же провести ASV-сканирование на уязвимости, добиться «зеленого» отчета. А во-вторых, потребуется разработать дополнительную процедуру, которая не будет допускать подобных нарушений расписания в будущем.

В заключение

Основные выводы можно выразить цитатой Петра Шаповалова, инженера по защите информации ООО «Дейтерий» :

«Несмотря на то, что на территории Российской Федерации уже начала функционировать своя Национальная система платежных карт (НСПК), требования международных платежных систем не упразднили. Наоборот, в последнее время от Visa и MasterCard участились письма банкам-эквайерам о том, чтобы последние требовали соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий.

Актуальной для российского рынка сейчас является услуга по управляемым сервисам. Заключается она в том, что поставщик услуг предоставляет клиентам не только оборудование или виртуальную информационную инфраструктуру в аренду, но и услуги по ее администрированию в соответствии с требованиями стандарта PCI DSS. Особенно полезно это для небольших торгово-сервисных предприятий, которые не имеют своих подразделений информационных технологий и информационной безопасности. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации по стандарту PCI DSS для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне».


В качестве примера компании, предоставляющей услуги по управляемым сервисам PCI DSS (не только аренда инфраструктуры PCI DSS, но и её администрирование в соответствии с требованиями стандарта), можно привести