Banke 

Pentest pravila: revizija prema PCI DSS standardu. PCI DSS certifikat: Sve što trebate znati Podaci zaštićeni PCI DSS standardom

Organizacije koje čuvaju, obrađuju i prenose podatke o platnim karticama međunarodnih platnih sistema (Visa, MasterCard, American Express, Discover, JCB) dužne su da se pridržavaju zahtjeva PCI DSS standarda. Platni sistemi su utvrdili učestalost i oblik potvrđivanja usklađenosti sa zahtjevima standarda, kao i sankcije za neusklađenost i kompromitaciju podataka o platnim karticama.

Kako bi pomogli organizacijama da ispune zahtjeve standarda, Informzashita nudi različite opcije za usluge usklađenosti sa PCI DSS, uzimajući u obzir zadatke i specifičnosti klijenta. Među njima:

  • PCI DSS usklađenost. Usluga uključuje usklađivanje nivoa sigurnosti informacija kompanije sa zahtjevima PCI DSS standarda od nule. Uključuje:
    • Preliminarna revizija sa izradom plana usklađenosti;
    • Direktno faza redukcije;
    • Završni certifikacijski audit.
  • Održavanje PCI DSS usklađenosti. Usluga uključuje pomoć organizacijama koje već imaju PCI DSS sertifikat o usklađenosti i koje su zainteresovane za njegovu sledeću potvrdu.
  • PCI DSS certifikacijski audit. Usluga je namenjena organizacijama koje su samostalno primenile potrebne PCI DSS mere zaštite i zainteresovane su samo za konačnu procenu usklađenosti.
  • Certifikacija softvera prema zahtjevima PA-DSS standarda. Vijeće za sigurnost industrije platnih kartica (PCI SSC) je 2008. godine usvojilo sigurnosni standard aplikacija za plaćanje - Payment Application Data Security Standard (PA-DSS), čiji je cilj podržavanje usklađenosti sa zahtjevima PCI DSS standarda. Prema zahtjevima platnih sistema VISA i MasterCard, sve “boxed” aplikacije koje se bave obradom autorizacijskih transakcija ili plaćanjem platnim karticama moraju biti certificirane prema PA-DSS standardu.
    VISA i MasterCard platni sistemi postavili su rok za završetak prelaska agenata i preduzeća trgovinske i uslužne mreže na korišćenje sertifikovanih aplikacija - 1. jul 2012. godine.
    PA-DSS certifikaciju aplikacija može izvršiti samo revizor koji ima PA-QSA oznaku. Informzashita je prva kompanija u Rusiji koja ima ovaj status.
    Stručnjaci Informzashita sprovode revizije usklađenosti sa PA-DSS standardom od 2009. godine. Tokom našeg rada certificirali smo više od 10 aplikacija: softver za obradu, aplikacije na terminalima za plaćanje i e-trgovinu. Akumulirano iskustvo nam omogućava da odredimo optimalnu šemu za programera da izvrši pripremne radove i certifikaciju. Implementacija zahtjeva za obezbjeđivanje sigurnog razvoja i održavanja softvera vrši se uzimajući u obzir postojeće procese. Nivo završne dokumentacije i uspostavljena praksa osiguravaju minimalni rok za prolazak obavezne procedure kontrole kvaliteta od strane PCI SSC.
  • Održavajte softversku usklađenost sa zahtjevima PA-DSS. Promjene unesene u PA-DSS certificirane aplikacije za plaćanje podliježu reviziji i, u nekim slučajevima, rezultiraju obaveznom ponovnom sertifikacijom. Obim i izvještajni dokumenti izvršene certifikacije zavise od vrste promjena.
    Sertifikovani revizori Informzashita imaju iskustvo u razvoju politika izdavanja uzimajući u obzir zahteve standarda i realnosti dobavljača, sprovode ponovnu sertifikaciju za sve vrste promena definisanih standardom i koordiniraju finalne dokumente sa PCI SSC.
    Pristup osiguravanju ponovne certifikacije formiran je na osnovu želja programera i vođen je postojećom praksom izdavanja ažuriranja od strane programera aplikacije.
  • PCI ASV skeniranje, skeniranje WEB aplikacija. Kompanija Informzashita je sertifikovani (sertifikat br. 4159-01-08) dobavljač PCI ASV skeniranja. PCI ASV skeniranje osigurava usklađenost sa klauzulom 11.2.2 PCI DSS standarda. Pored formalne usklađenosti sa standardom, PCI ASV skeniranje vam omogućava da procijenite sigurnost vašeg vanjskog mrežnog perimetra, identifikujete ranjivosti i neispravne konfiguracije.
  • Sveobuhvatan test penetracije prema zahtjevima PCI DSS. Usluga uključuje praktična procjena mogućnost neovlašćenog pristupa podacima o platnim karticama ili mrežnim resursima koji obrađuju podatke platnih kartica (zahtev klauzule 11.3 PCI DSS).
  • Izrada programa za usklađivanje trgovaca sa zahtevima PCI DSS za banke preuzimajuće. U skladu sa zahtevima međunarodnih platnih sistema, banke akvajeri su odgovorne da obezbede da njihovi trgovci budu u skladu sa zahtevima PCI DSS standarda. U sklopu usluge razvija se program za praćenje usklađenosti trgovaca sa zahtjevima PCI DSS standarda na osnovu sigurnosnih programa međunarodnih platnih sistema Sigurnost informacija o računu i Zaštita podataka o web stranicama.
  • Pomoć u popunjavanju PCI DSS lista za samoocenjivanje. Usluga je namijenjena trgovcima i pružaocima usluga sa malim obimom transakcija. U okviru usluge, Informzashita pruža pomoć u sprovođenju procene usklađenosti sa popunjavanjem PCI DSS lista samoocenjivanja.

Rad će nam omogućiti da ispunimo zahtjeve standarda, smanjimo rizike od kompromitiranja podataka o platnim karticama i izbjegnemo sankcije međunarodnih platnih sistema.

Kompanija Informzashchita je prva u Ruskoj Federaciji koja je dobila QSA i ASV statuse, dajući pravo obavljanja PCI DSS sertifikacijskih audita i eksternih ASV skeniranja. Informzashita je superiorna u odnosu na druge po broju sertifikovanih QSA revizora ruske kompanije. Dakle, sa svakim klijentom radi lični specijalista. Kompanija je uspješno prošla kontrolu kvaliteta izvještaja PCI SSC, čime je potvrđen visok kvalitet usluga koje pruža klijentima. Od 2006. godine, kompanija je završila više od 90 projekata za banke, nezavisne procesne centre, provajdere usluga, centre podataka i trgovce kako bi postigli PCI DSS usklađenost i sertifikaciju.

#PCI

Pažnja! Ovaj članak je o PCI magistrali i njenim derivatima PCI64 i PCI-X! Nemojte ovo brkati s novijom gumom (PCI Express), koja je potpuno nekompatibilna s gumama opisanim u ovom FAQ-u.


PCI 2.0- prva verzija osnovnog standarda koja je postala široko rasprostranjena, korištene su i kartice i slotovi sa naponom signala od samo 5V.

PCI 2.1- razlikuje se od 2.0 mogućnošću istovremenog rada više bus-master uređaja (tzv. kompetitivni režim), kao i pojavom univerzalnih kartica za proširenje koje mogu raditi i u 5V i 3.3V slotovima. Mogućnost rada sa 3.3V karticama i prisustvo odgovarajućih strujnih vodova u verziji 2.1 je bilo opciono.Pojavile su se PCI66 i PCI64 ekstenzije.

PCI 2.2- verzija osnovnog standarda sabirnice koja omogućava povezivanje kartica za proširenje sa signalnim naponima od 5V i 3.3V. 32-bitne verzije ovih standarda bile su najčešći tip slotova u vrijeme pisanja FAQ. Korišteni slotovi su 32-bitni, 5V.
Kartice za proširenje napravljene u skladu sa ovim standardima imaju univerzalni konektor i sposobne su za rad u gotovo svim kasnijim tipovima slotova PCI magistrale, au nekim slučajevima iu 2.1 slotovima.

PCI 2.3- sledeća verzija opšteg standarda PCI magistrale, utori za proširenje koji su u skladu sa ovim standardom su nekompatibilni sa PCI 5V karticama, uprkos kontinuiranoj upotrebi 32-bitnih slotova sa 5V ključem. Kartice za proširenje imaju univerzalni konektor, ali ne mogu raditi u 5V utorima ranijih verzija (do 2.1 uključujući).
Podsjećamo da se napon napajanja (ne signal!) 5V održava na apsolutno svim verzijama PCI bus konektora.

PCI 64- proširenje osnovnog PCI standarda, uvedeno u verziji 2.1, udvostručavajući broj linija podataka, a time i propusnost. PCI64 slot je proširena verzija običnog PCI slota. Formalno, kompatibilnost 32-bitnih kartica sa 64-bitnim slotovima (u zavisnosti od prisustva uobičajenog podržanog napona signala) je puna, a kompatibilnost 64-bitne kartice sa 32-bitnim slotovima je ograničena (u svakom slučaju postoji će doći do gubitka performansi), tačni podaci u svakom konkretnom slučaju mogu se naći u specifikacijama uređaja.
Prve verzije PCI64 (izvedene iz PCI 2.1) koristile su 64-bitni 5V PCI slot i radile su na taktu od 33 MHz.

PCI 66- proširenje PCI standarda koje se pojavilo u verziji 2.1 s podrškom za frekvenciju takta od 66 MHz, baš kao i PCI64, omogućava vam da udvostručite propusni opseg. Počevši od verzije 2.2, koristi 3.3V utore (32-bitna verzija se praktički ne nalazi na PC-ima), kartice imaju univerzalni ili 3.3V faktor oblika. (Postojala su i rješenja zasnovana na verziji 2.1 koja su bila retkost na tržištu računara od 5V 66MHz; takvi slotovi i ploče su bili kompatibilni samo jedni s drugima)

PCI 64/66- kombinacija dvije gore opisane tehnologije, omogućava četverostruko povećanje brzine prijenosa podataka u odnosu na osnovni PCI standard i koristi 64-bitne 3.3V slotove, kompatibilne samo sa univerzalnim i 3.3V 32-bitnim karticama za proširenje. Kartice standarda PCI64/66 imaju univerzalni (sa ograničenom kompatibilnošću sa 32-bitnim slotovima) ili 3.3V faktor oblika (posljednja opcija je u osnovi nekompatibilna sa 32-bitnim 33MHz utorima popularnih standarda)
Trenutno, pojam PCI64 znači PCI64/66, budući da se 33MHz 5V 64-bitni slotovi ne koriste već duže vrijeme.

PCI-X 1.0- PCI64 proširenje uz dodatak dvije nove radne frekvencije, 100 i 133 MHz, kao i poseban mehanizam transakcije za poboljšanje performansi kada više uređaja radi istovremeno. Generalno kompatibilan sa svim 3.3V i generičkim PCI karticama.
PCI-X kartice se obično implementiraju u 64-bitnom 3.3B formatu i imaju ograničenu kompatibilnost unazad sa PCI64/66 slotovima, a neke PCI-X kartice su u univerzalnom formatu i sposobne su za rad (iako to nema gotovo nikakvu praktičnu vrijednost ) u redovnom PCI 2.2 /2.3.
IN teški slučajevi Kako biste bili potpuno sigurni u funkcionalnost kombinacije matične ploče i kartice za proširenje koju ste odabrali, potrebno je pogledati liste kompatibilnosti proizvođača oba uređaja.

PCI-X 2.0- dalje proširenje mogućnosti PCI-X 1.0, dodane brzine od 266 i 533 MHz, kao i korekcija paritetnih grešaka tokom prenosa podataka (ECC). Omogućava razdvajanje na 4 nezavisne 16-bitne magistrale, što se koristi isključivo u ugrađenim i industrijskim sistemima, napon signala je smanjen na 1.5V, ali su konektori kompatibilni sa svim karticama koje koriste signalni napon od 3.3V.

PCI-X 1066/PCI-X 2133- projektovane buduće verzije PCI-X magistrale, sa rezultujućim radnim frekvencijama od 1066 i 2133 MHz, respektivno, prvobitno namenjene za povezivanje 10 i 40 Gbit Ethernet adaptera.

Za sve opcije PCI-X sabirnice, postoje sljedeća ograničenja u pogledu broja uređaja povezanih na svaku sabirnicu:
66MHz - 4
100MHz - 2
133 MHz - 1 (2, ako jedan ili oba uređaja nisu na ploči za proširenje, ali su već integrirani na jednoj ploči zajedno sa kontrolerom)
266,533 MHz i više -1.

Zbog toga je u nekim situacijama, kako bi se osigurao stabilan rad nekoliko instaliranih uređaja, potrebno ograničiti maksimalnu radnu frekvenciju korištene PCI-X sabirnice (obično se to radi džamperima)

CompactPCI- standard za konektore i kartice za proširenje koji se koriste u industrijskim i ugrađenim računarima. Mehanički nije kompatibilan ni sa jednim od "uobičajenih" standarda.

MiniPCI- standard za ploče i konektore za integraciju u laptope (obično se koriste za bežične mrežne adaptere) i direktno na površinu. Takođe je mehanički nekompatibilan ni sa čim osim sa samim sobom.

Vrste PCI kartica za proširenje:

Pregledna tabela dizajna kartica i slotova u zavisnosti od verzije standarda:

Zbirna tabela kompatibilnosti kartica i slotova ovisno o verziji i dizajnu:

Karte
Slots PCI 2.0/2.1 5B PCI 2.1 univerzalni PCI 2.2/2.3 univerzalni PCI64/5B
(33MHz)		 PCI64/univerzalni PCI64/3.3B PCI-X/3.3B PCI-X univerzalni
PCI 2.0 Kompatibilan Kompatibilan Nekompatibilno Ograničena kompatibilnost sa gubitkom performansi Nekompatibilno
PCI 2.1 Kompatibilan Kompatibilan Ograničena kompatibilnost Ograničena kompatibilnost sa gubitkom performansi Ograničena kompatibilnost sa gubitkom performansi Nekompatibilno
PCI 2.2 Kompatibilan Ograničena kompatibilnost sa gubitkom performansi Ograničena kompatibilnost sa gubitkom performansi Nekompatibilno Nekompatibilno Ograničena kompatibilnost sa gubitkom performansi
PCI 2.3 Nekompatibilno Ograničena kompatibilnost Kompatibilan Nekompatibilno Ograničena kompatibilnost sa gubitkom performansi Nekompatibilno Nekompatibilno Ograničena kompatibilnost sa gubitkom performansi
PCIB
64/5B (33MHz) 		Kompatibilan Kompatibilan Ograničena kompatibilnost Kompatibilan Ograničena kompatibilnost sa gubitkom performansi Nekompatibilno Nekompatibilno Ograničena kompatibilnost sa gubitkom performansi
PCI64/3.3B Nekompatibilno Ograničena kompatibilnost Kompatibilan Nekompatibilno Kompatibilan Kompatibilan Ograničena kompatibilnost sa gubitkom performansi Ograničena kompatibilnost sa gubitkom performansi
PCI-X Nekompatibilno Ograničena kompatibilnost Kompatibilan Nekompatibilno Kompatibilan

Rješenja za mobilno plaćanje još uvijek nisu široko zastupljena na svjetskom tržištu, a posebno kod nas. Međutim, interes za ovakva rješenja od strane fintech programera, poduzeća i trgovačkih i uslužnih poduzeća raste svake godine.

Andrey Gaiko
Ovlašteni QSA revizor digitalne sigurnosti

Šta je mPOS

Rješenje za mobilno plaćanje (mPOS) sastoji se od sljedećih glavnih komponenti:

  • mobilni uređaj – pametni telefon ili tablet na koji je čitač povezan;
  • aplikacija za plaćanje za mobilni uređaj - softver preko čijeg interfejsa prodavac unosi podatke za plaćanje i razmenjuje podatke sa obradom. Takođe, putem ovog softvera moguće je verifikovati vlasnika kartice korišćenjem potpisa;
  • Čitač – postoje dvije vrste uređaja za čitanje: Pin Entry Device (PED), čitač kartica i uređaj za unos PIN koda. Povezuje se na mobilni uređaj preko Bluetooth-a, audio priključka ili mini-USB-a; Secure Card Reader (SCR), uređaj za čitanje kartica. Obično se povezuje na mobilni uređaj preko audio priključka.

Pod rešenjem za mobilno plaćanje podrazumevamo softversku i hardversku platformu za trgovinska i uslužna preduzeća (u daljem tekstu TSP), koja omogućava prihvatanje plaćanja od pojedinci preko pametnog telefona/tableta i čitača povezanog na njega. Koristeći mPOS, moguće je prihvatiti plaćanje i beskontaktnim putem (sa učitanom bankovnom karticom mobilni telefon klijent sa NFC podrškom (u daljem tekstu NFC kartica), odnosno beskontaktnom bankovnom karticom), i redovnom plastične kartice(sa magnetnom trakom i/ili EMV čipom).

Pored funkcija bezbednog čitanja kartice i unosa PIN koda, mPOS mora podržavati sve glavne metode verifikacije vlasnika kartice, enkripciju podataka tokom prenosa između komponenti i procesnog dela sistema, kao i mogućnost štampanja računa ili slanja istih. putem SMS-a i e-mail.

Na strani pružaoca usluge ili banke akvajera, koja je odgovorna za prijem i dalju obradu podataka za mPOS plaćanja, koristi se back-end sistem (payment gateway), sličan onima koji se koriste za Internet ili regularni POS akviziciju.

Da bi se razumjelo koji sigurnosni zahtjevi moraju biti ispunjeni, potrebno je na tehničkom nivou identificirati glavne komponente mPOS ekosistema i postojeće tokove informacija. Da bi se razumjela odgovornost aktera mPOS ekosistema za sigurnost plaćanja na poslovnom nivou, potrebno je identifikovati postojeće poslovne modele učesnika u procesu plaćanja.

Dijagram toka informacija sadrži 8 glavnih faza (vidi sliku 1):

  • faza 1. Zaposlenik trgovca povezuje uređaj za čitanje na mobilni uređaj (pametni telefon ili tablet) sa internet vezom. Pokreće posebnu mobilnu aplikaciju i unosi podatke o kupovini i iznos plaćanja;
  • faza 2. Klijent ubacuje, rola ili donosi bankovnu karticu na uređaj za čitanje. U slučaju NFC kartice, klijent otvara aplikaciju Wallet na svom pametnom telefonu, bira važeću bankovnu karticu i prinosi pametni telefon čitaču. Ovisno o parametrima navedenim na kartici, od vas će se tražiti da unesete PIN kod. U tom slučaju, klijent unosi PIN koristeći PIN pad, koji može biti ugrađen u čitač;
  • faza 3. Čitač čita podatke kartice, šifrira ih i prenosi na mobilni uređaj zaposlenog trgovca;
  • faza 4. Mobilni uređaj zaposlenog šalje šifrovane podatke na platni prolaz, a sa gatewaya za plaćanje podaci se prenose u sistem za preuzimanje. Osim podataka kartice, ovisno o postavkama, mogu se dodatno prenijeti informacije o mPOS-u, transakciji, kupljenom proizvodu ili usluzi;
  • faza 5. Zahtjev za autorizaciju iz sistema preuzimanja se prenosi MPS-u. Nakon obrade zahtjeva, rezultat (prihvaćen ili odbijen) se vraća u sistem preuzimanja. Ako je karticu koja se koristi za plaćanje izdala ista banka preko koje se vrši acquiring, onda se zahtjev ne prenosi Ministarstvu željeznica;
  • faza 6. Rezultat zahtjeva za autorizaciju se prenosi na mobilni uređaj;
  • Korak 7. Ako je za karticu potreban potpis njenog vlasnika, onda mobilna aplikacija prikazuje se odgovarajući obrazac i potpisuje se klijent (olovkom ili prstom);
  • faza 8. Zaposlenik trgovca bira način slanja čeka klijentu u aplikaciji za mobilno plaćanje. Može se poslati putem SMS-a, e-pošte ili odštampati na lokalnom prodajnom uređaju.

U implementaciji gore opisanog procesa mogu učestvovati sljedeće kompanije:

  • Programeri mPOS uređaja – razvijaju i proizvode hardver koji bezbedno čita podatke kartice i PIN kodove;
  • programeri softvera za plaćanje za mobilni uređaj i/ili gateway za plaćanje – razvoj klijentskog softvera za trgovce i, eventualno, softvera za prolaz za plaćanje;
  • programeri platforme – razvojne kompanije koje kreiraju jedan hardverski i softverski dio mPOS rješenja za njegovu dalju prodaju pružaocima usluga ili preuzimačima mPOS rješenja;
  • pružaoci usluga mPOS rješenja su kompanije koje proizvode finalni proizvod za trgovce. Kompanije ovog tipa su banke preuzimatelji ili takozvani posrednici u plaćanju (fasilitatori plaćanja). Ove kompanije mogu ili samostalno razviti sve komponente rješenja za mobilno plaćanje, ili licencirati pojedinačne komponente različitih proizvođača i integrirati ih jedna s drugom. Posrednici u plaćanju, sa izuzetkom banaka preuzimatelja, nešto su između pružaoca usluga i trgovca. Njihovi klijenti su trgovci, za koje interakcija sa bankom preuzimačem postaje transparentan proces, jer odgovornost za obračune sa trgovcem pada na posrednika u plaćanju;
  • distributeri – kompanije koje na tržištu promovišu određena mPOS rješenja različitih proizvođača i obavljaju funkciju preprodaje mPOS rješenja trgovaca;
  • Pružalac platnih usluga (preduzeće za obradu, platni prolaz) – kompanija koja djeluje kao posrednik između pružatelja usluge mPOS rješenja i banke preuzimatelja. To pruža informacijska interakcija između mobilnog uređaja trgovca i kupca;
  • akviziter - banka preuzimalac ili procesni centar povezan sa MPS-om, koji daje autorizaciju plaćanja. Banke preuzimanja sa kojima sarađuju pružaoci usluga mPOS rješenja mogu se koristiti za obračune s trgovcima.

Treba napomenuti da kompanija može obavljati više od jedne od ovih uloga. Moguće je da kompanija može u potpunosti razviti sve softverske i hardverske komponente mPOS rješenja. Ovisno o tome koje funkcije će kompanija obavljati, ovisi o tome koje sigurnosne zahtjeve mora ispuniti.

Date su liste glavnih komponenti i tipova poslovnih modela kako bi se razumjelo kako odgovornost za ispunjavanje sigurnosnih zahtjeva treba razgraničiti među svim učesnicima u mPOS ekosistemu.

Vrste certificiranja

Prve sigurnosne smjernice za rješenja mobilnog plaćanja izdala je Visa 2011. godine. One su sadržavale opće preporuke za programere i trgovce u pogledu sigurnosti korištenja rješenja za mobilno plaćanje. U 2012. godini, PCI SSC je izdao detaljnije preporuke za programere. Danas, IPS i PCI SSC izdanje ažurira mPOS sigurnosne preporuke skoro svake godine.

Osim preporuka, Visa i MasterCard su razvili i programe certifikacije za provajdere rješenja za mobilno plaćanje. U stvari, oba programa su prilično slična i sa velikom vjerovatnoćom se može reći da razvoj rješenja prema zahtjevima jednog od MPS-a može biti certificiran od strane drugog. Oba MPS vode registre sertifikovanih kompanija i mPOS rešenja.

PCI SSC standardi

PCI DSS
Nova verzija standarda ima nove zahtjeve koji su posebno relevantni za mPOS sigurnost. Konkretno, u odjeljku 9 dodata je tačka 9.9 prema kojoj je potrebno voditi evidenciju uređaja za očitavanje kartica, kao i provoditi periodične obuke za zaposlene/korisnike koji servisiraju uređaje kako bi mogli prepoznati zamjenu mPOS-a ili druge znakove skiminga. U slučaju davaoca usluga mPOS rješenja ili kompanija akvajera, prilikom pružanja uređaja za čitanje klijentima, oni će morati izraditi preporuke i upute za zaštitu od skimminga i skrenuti pažnju zaposlenima u trgovcima. Kao dio ispunjavanja zahtjeva 12.8, pružaoci usluga i preuzimači na nivou ugovorni odnosi može obavezati trgovce da se pridržavaju relevantnih mPOS sigurnosnih zahtjeva.

Uprkos činjenici da implementacija većine sigurnosnih zahtjeva pada na različite pružaoce usluga i banke, banke preuzimateljice imaju pravo zahtijevati od trgovaca da popune listove samoprocjene (SAQ) odgovarajućeg tipa (SAQ P2PE-HW u slučaju trgovac koji koristi P2PE rješenje, SAQ B-IP u slučaju korištenja mPOS-a sa PCI PTS certificiranim čitačem). Tabela identifikuje komponente mPOS rješenja, odgovarajući standard koji komponenta mora ispuniti i kompaniju odgovornu za implementaciju zahtjeva.

Zahtjev 12.8 je također relevantan za one slučajeve kada je razvijen softver za mPOS rješenje za pružaoca usluga treća stranka. U ovom slučaju, usklađenost sa zahtjevom 6.5 u potpunosti pada na ramena razvojne kompanije. Štaviše, ako razvojna kompanija ne bude u skladu sa zahtjevima, provajder usluga neće moći proći reviziju usklađenosti sa PCI DSS-om. Ugovori između pružaoca usluga (pribavljača) i programera treba da predvide pitanje sprovođenja revizije određenih poslovnih procesa razvojne kompanije u slučaju da pružalac usluge prođe godišnju PCI DSS sertifikaciju, jer proces razvoja će biti uključen u obim revizije pružaoca usluga. Isto je i u slučaju eksternalizacije drugih usluga. IN opšti slučaj Potvrda treće strane o usklađenosti sa zahtjevima PCI DSS-a u dijelu u kojem se to odnosi može se osigurati samocertificiranjem prema PCI DSS-u potrebnih poslovnih procesa uz naknadno dostavljanje certifikata o uspješno obavljenoj verifikaciji, ili pružanjem mogućnosti revizije poslovanja proces kao dio revizije pružaoca usluge (pribavljača) ).

Napomenimo da se u našoj zemlji revizija programera kao dio revizije kompanije kupca javlja prilično rijetko. Programeri mogu usmeno garantovati poznavanje i primjenu sigurnih razvojnih metoda, ali u stvari ne posjeduju potrebno znanje i ne slijede odgovarajuće procedure. Izlaskom nove verzije PCI DSS-a situacija bi se trebala promijeniti, budući da su zahtjevi postali detaljniji, a procedure verifikacije navedene u tekstu standarda obavezuju QSA revizora na dublje provjere.

PCI PTS
PCI PTS standard reguliše bezbednosne zahteve za uređaje tačke interakcije (POI) i hardverske bezbednosne module (HSM). Čitač spojen na mobilni uređaj je POI. Kao što je već spomenuto, mPOS rješenja koriste dvije klase POI: PIN Entry Device (PED) i Secure Card Reader (SCR). U zavisnosti od vrste POI kojoj uređaj za čitanje pripada, određuju se grupe PCI PTS zahtjeva sa kojima uređaj mora biti usklađen.


Trenutno, neka mPOS rješenja koja se nude na domaćem tržištu koriste čitače neimenovanih proizvođača. Upotreba ovakvih čitača ne garantuje siguran prijenos podataka između uređaja i omogućava prijenos broja kartice u čistom tekstu na mobilni uređaj. Stoga, kada birate mPOS rješenje, morate se pobrinuti da dobavljač usluga nudi PCI PTS certificirani čitač.

Postoje dva poslovna modela za razvoj klijentskog softvera: razvoj za sopstveni projekat, kada programer kreira mPOS rešenje i iznosi ga na tržište pod svojim brendom: u ovom slučaju, programer će biti pružalac usluge mPOS rešenja; – i razvoj konačnog rješenja za dalje licenciranje od strane kompanija koje međusobno integriraju komponente različitih proizvođača i na osnovu njih kreiraju vlastita mPOS rješenja.

PA-DSS
Za mPOS rješenja PA-DSS in obavezno primjenjivo na firmver uređaja koji čitaju podatke kartice. Za softver instaliran na mobilnom uređaju trgovca, ovaj standard je savjetodavan. To je zbog činjenice da je mobilni uređaj nepouzdano i loše kontrolirano okruženje. Na primjer, uređaj može biti jailbreak, što smanjuje sigurnost uređaja za red veličine i ne garantuje sigurnost instalirane aplikacije za plaćanje. Zbog toga MPS zabranjuje korištenje mobilnih uređaja za unos PIN koda i zahtijeva da podaci sa uređaja za čitanje dođu do mobilnog softvera u šifriranom obliku i potom se u istom obliku prenesu kompaniji akviziteru. U tom slučaju podaci o platnim karticama neće biti obrađeni i pohranjeni u čistom tekstu na mobilnom uređaju, te se stoga neće primjenjivati ​​zahtjevi PA-DSS.

U verziji 3.0 standarda pojavili su se novi zahtjevi na koje bi prvo trebali obratiti pažnju programeri firmvera za uređaje za čitanje i paketne aplikacije za plaćanje. Prvo, svako izdano ažuriranje mora proći posebnu certifikaciju. Drugo, sada korisnici moraju koristiti samo one verzije softvera (ažuriranja) koje su certificirane i navedene na web stranici Vijeća PCI.


PCI P2PE
Relativno nedavno objavljeno novi standard PCI P2PE sigurnost. Standard je namijenjen rješenjima koja pružaju kriptografsku zaštitu podataka prilikom prijenosa između svih komponenti rješenja za plaćanje. Ako se koristi enkripcija, opseg standarda kod trgovaca se sužava na minimalni nivo, jer trgovci nemaju mogućnost da dobiju podatke o vlasnicima kartica u čistom tekstu.

Lista svih glavnih komponenti mPOS ekosistema uključuje:

  • čitač;
  • aplikacija za plaćanje za mobilni uređaj;
  • platni prolaz;
  • sistem za pribavljanje povezan na MPS.

Za razliku od PCI DSS-a, koji se odnosi samo na informacionu infrastrukturu, PCI P2PE je sveobuhvatniji i odnosi se ne samo na infrastrukturu, već i na uređaje za čitanje i softver POI terminala (u aplikaciji za mPOS to su uređaji za čitanje). Standard se sastoji od 6 domena, čiji su zahtjevi zasnovani na važećim PCI standardima: uređaji za čitanje moraju ispunjavati zahtjeve PCI PTS SRED; softver za čitanje – PA-DSS; Upravljanje ključem za šifriranje – PCI PIN sigurnosni zahtjevi; platna informaciona infrastruktura trgovaca - PCI DSS. Ako je rješenje certificirano PCI P2PE, to znači da se podaci između svih podsistema (od čitača do mobilnog uređaja u softveru, od softvera do obrade i dalje) prenose u šifriranom obliku, a svi podsistemi su u skladu sa zahtjevima relevantne PCI standarde.

I pojedinačne komponente i kompletna rješenja mogu se certificirati prema zahtjevima P2PE.

IPS preporučuje korištenje P2PE rješenja za prihvatanje mPOS plaćanja. Međutim, poteškoća je u tome što trenutno postoji malo rješenja ovog tipa na tržištu, pa MPS nije obavezan, već se preporučuje korištenje PCI P2PE rješenja i vođenje se njima prilikom razvoja. Međutim, pružaoci usluga mPOS rješenja za plaćanje moraju biti spremni na činjenicu da će MPS uskoro zahtijevati obaveznu sertifikaciju svojih mPOS rješenja prema zahtjevima PCI P2PE.


PCI DSS (Payment Card Industry Data Security Standard) je dokument koji opisuje pravila za osiguranje sigurnosti informacija o vlasnicima platnih kartica tokom njihove obrade, prijenosa ili skladištenja.

PCI DSS standard je razvio Vijeće za standarde sigurnosti industrije platnih kartica (PCI SSC). PCI SSC su osnovali vodeći međunarodni sistemi plaćanja - Visa, MasterCard, American Express, JCB, Discover. PCI SSC objavljuje informacije o svojim aktivnostima na svojoj web stranici.

Zahtevi standarda PCI DSS primenjuju se na organizacije koje obrađuju informacije o vlasnicima platnih kartica. Ako organizacija skladišti, obrađuje ili prenosi informacije o najmanje jednoj transakciji ili vlasniku platne kartice tokom godine, tada mora biti u skladu sa zahtjevima PCI DSS standarda. Primjeri takvih organizacija su trgovačka i uslužna preduzeća (maloprodajne radnje i usluge e-trgovine), kao i pružaoci usluga vezanih za obradu, skladištenje i prijenos informacija o karticama (procesni centri, pristupnici za plaćanje, pozivni centri, mediji za skladištenje podataka rezervne kopije podatke, organizacije koje se bave personalizacijom kartica, itd.).

Usklađivanjem vaše informacione infrastrukture sa PCI DSS zahtevima, povećaćete nivo sigurnosti okruženja za obradu podataka vaše kartice. Na taj način ćete smanjiti rizik od finansijskih gubitaka od incidenata u informacijskoj sigurnosti i ispuniti zahtjeve međunarodnih platnih sistema da se pridržavaju ovog standarda.

Osnovni cilj usaglašavanja sa zahtevima PCI DSS standarda je povećanje nivoa bezbednosti informacione infrastrukture, zbog čega je standard i razvijen. Iz ovoga možemo zaključiti da će standard biti koristan svima koji razmišljaju o sigurnosti svojih informacija.

PCI DSS standard sadrži detaljne zahtjeve za sigurnost informacija, podijeljene u 12 tematskih odjeljaka:

  • korištenje zaštitnih zidova;
  • pravila za postavljanje opreme;
  • zaštita pohranjenih podataka o vlasnicima platnih kartica;
  • korištenje kriptografskih sredstava zaštite pri prijenosu podataka;
  • upotreba antivirusnih sredstava;
  • siguran razvoj i podršku aplikacija i sistema;
  • upravljanje korisničkim pristupom podacima;
  • Upravljanje računa;
  • osiguranje fizičke sigurnosti;
  • nadzor sigurnosti podataka;
  • redovno testiranje sistema;
  • razvoj i podrška politike informacione sigurnosti.

PCI DSS standard ne sadrži zahtjeve za korištenje specifičnih tehničkih rješenja, hardverskih modela i verzija softvera. PCI DSS postavlja zahteve za organizaciju procesa informacione bezbednosti, funkcionalnost alata za bezbednost informacija, njihovu konfiguraciju i podešavanja aplikacije.

Možete preuzeti trenutnu verziju 1.2 PCI DSS standarda.

Svi PCI DSS zahtjevi su obavezni. Neki zahtjevi se možda neće primjenjivati ​​na vašu organizaciju zbog nedostatka određenih komponenti informacione infrastrukture, na primjer, ako ne koristite bežične mreže, onda vaša kompanija ne podliježe zahtjevima sigurnosti bežične mreže. Ako niste u mogućnosti da ispunite određeni zahtjev standarda zbog ograničenja nametnutih zakonom, poslovnim procesima ili tehnologijom, možete koristiti kompenzacijske mjere. Osnovno pravilo za odabir kompenzacijskih mjera je da kompenzirajuća mjera mora smanjiti isti rizik kao i zahtjev standarda koji se ne može ispuniti zbog ograničenja.

Zahtevi standarda PCI DSS odnose se na sisteme koji se koriste za obradu, skladištenje i prenos podataka o vlasnicima platnih kartica, kao i sisteme koji imaju mrežnu vezu sa njima (sisteme čije veze nisu zaštićene firewall-om).

Da, pojedinačni podsistemi bankomata uključeni u obradu, skladištenje i prenos podataka o vlasnicima platnih kartica uključeni su u opseg PCI DSS standarda.

Kako se PCI standard razvija, SSC unosi izmjene u tekst i objavljuje nove verzije dokumenta na web stranici www.pcisecuritystandards.org. Od 1. oktobra 2008. do danas, verzija 1.2 PCI DSS standarda je aktuelna.

Prema programima za provjeru usaglašenosti sa zahtjevima PCI DSS koje uspostavljaju međunarodni platni sistemi, jedan broj organizacija je u obavezi da se podvrgne godišnjoj reviziji. Programi testiranja usklađenosti razlikuju se za trgovce i dobavljače usluga.

Trgovci koji obavljaju više od šest miliona kartičnih transakcija godišnje moraju proći godišnju reviziju. Što se tiče pružatelja usluga, međunarodno plaćanje VISA sistem zahtijeva godišnju reviziju svih procesnih centara i pružatelja usluga koji obrađuju više od 300.000 transakcija godišnje, a MasterCard zahtijeva da svi procesni centri i pružaoci usluga obrađuju više od milion transakcija godišnje. Detaljan opis Procedure za provjeru usklađenosti sa PCI DSS-om možete pronaći ovdje.

Kompanije sa statusom QSA (Qualified Security Assessor) imaju pravo da vrše revizije usklađenosti sa PCI DSS standardom. Zvanična lista kompanija sa ovim statusom dostupna je na web stranici PCI SSC. Kompanija sa QSA statusom mora zaposliti certificirane QSA revizore.

Vreme revizije zavisi od veličine obima PCI DSS standarda, kao i od karakteristika infrastrukture kompanije. U prosjeku, revizija na lokaciji kompanije traje tri dana.

Na osnovu rezultata revizije usklađenosti vaše informacione infrastrukture sa zahtjevima standarda, QSA revizor će pripremiti Izvještaj o usklađenosti koji sadrži detaljne informacije o implementaciji svakog od PCI DSS zahtjeva. Rezultati revizije će pružiti uvid u to kamo prvo treba usmjeriti resurse kako bi se poboljšala sigurnost okruženja za obradu platnih kartica.

U skladu sa zahtevima međunarodnih platnih sistema, ukoliko se identifikuju nedoslednosti u informacionoj infrastrukturi sa zahtevima PCI DSS standarda, potrebno je pripremiti Akcioni plan za njihovo otklanjanje. Preporuke QSA revizora koji je izvršio pregled usklađenosti pomoći će u pripremi Akcionog plana.

Međunarodni platni sistemi predviđaju izricanje kazni organizacijama koje su obavezne da se podvrgnu godišnjoj eksternoj reviziji usklađenosti sa PCI DSS, ali je ne prođu.

U tom slučaju, da bi se ispunio zahtev međunarodnih platnih sistema da se podvrgne godišnjoj eksternoj reviziji, moraće da se promeni bezbednosna politika koja, prema PCI DSS, mora da uzme u obzir sve zahteve standarda.

Sertifikat o usklađenosti se izdaje nakon revizije, ako je platna infrastruktura kompanije u potpunosti usklađena sa zahtjevima standarda PCI DSS.

Sprovođenje eksternih i unutrašnjih testova penetracije regulisano je zahtevom 11.3 standarda PCI DSS. Test penetracije treba da se radi svake godine, a takođe i nakon značajnih promena u platnoj infrastrukturi kompanije. Pokušaj penetracije od strane stručnjaka koji implementira skup ranjivosti u skladu sa datim modelom napadača jasno pokazuje nivo sigurnosti okruženja plaćanja. Imajte na umu da test penetracije koji obavlja specijalista nema ništa zajedničko sa automatskim skeniranjem.

Tromjesečno skeniranje vanjskog perimetra platne infrastrukture kompanije koje obavlja ovlašteni dobavljač skeniranja (ASV) je obavezni dio PCI DSS procedure verifikacije usklađenosti. Možete pronaći detaljan opis procedura verifikacije PCI DSS usklađenosti.

Ako niste pronašli odgovor na svoje pitanje, ne očajavajte. Pošaljite nam ga, a mi ćemo se rado potruditi da vam odgovorimo u najkraćem mogućem roku.

Prezime i ime:

Email:

IN U poslednje vreme Visa i MasterCard sve više zahtijevaju usklađenost sa PCI DSS od strane platnih prolaza, trgovaca povezanih s njima i provajdera usluga koji mogu utjecati na sigurnost podataka o karticama. U tom smislu, pitanje usklađenosti sa PCI DSS standardom postaje važno ne samo za glavni igrači industriju platnih kartica, ali i za mala trgovačka i uslužna preduzeća. U ovom članku ćemo odgovoriti na glavna pitanja koja se tiču ​​organizacija koje se suočavaju sa zadatkom PCI DSS sertifikacije.


PCI DSS FAQ za one koji su zainteresovani za sertifikaciju


# Koga pokriva PCI DSS?

Prije svega, standard definira zahtjeve za organizacije u čijoj se informacijskoj infrastrukturi podaci pohranjuju, obrađuju ili prenose. platne kartice, kao i organizacijama koje mogu uticati na sigurnost ovih podataka. Svrha standarda je sasvim očigledna - osigurati sigurnost platnih kartica. Od sredine 2012. godine sve organizacije uključene u proces skladištenja, obrade i prenosa DPC moraju da se pridržavaju PCI DSS zahteva, a kompanije na teritoriji Ruska Federacija nisu izuzetak.

Da biste razumjeli da li vaša organizacija podliježe obaveznoj PCI DSS usklađenosti, predlažemo korištenje jednostavnog dijagrama toka.

Slika 1. Određivanje da li vam je potrebna PCI DSS usklađenost


Prvi korak je da odgovorite na dva pitanja:
  • Da li se podaci o platnim karticama pohranjuju, obrađuju ili prenose unutar vaše organizacije?
  • Mogu li poslovni procesi vaše organizacije direktno utjecati na sigurnost podataka o platnim karticama?
Ako su odgovori na oba ova pitanja negativni, nema potrebe za dobijanjem PCI DSS sertifikata. U slučaju barem jednog pozitivnog odgovora, kao što se može vidjeti na slici 1, neophodno je pridržavanje standarda.

# Koji su zahtjevi za PCI DSS?

Za usklađivanje sa standardom potrebno je ispuniti zahtjeve koji generalni nacrt predstavljeni su u dvanaest sekcija prikazanih u tabeli ispod.

Tabela 1. Najviši zahtjevi standarda PCI DSS

Ako zađemo malo dublje, standard zahtijeva prolazak oko 440 procedura verifikacije, što bi trebalo dati pozitivan rezultat prilikom provjere usklađenosti sa zahtjevima.

# Kako možete potvrditi usklađenost sa PCI DSS standardom?
Postoje različiti načini da se potvrdi usklađenost sa PCI DSS zahtjevima, koji uključuju: eksterna revizija (QSA), interne revizije(ISA) ili samoprocjena (SAQ) organizacije. Karakteristike svakog od njih su ilustrovane u tabeli.


Tabela 2. Metode za potvrđivanje usklađenosti sa PCI DSS standardom


Eksterna revizija QSA (Kvalificirani ocjenjivač sigurnosti)
ISA interna revizija
(procjenitelj unutrašnje sigurnosti)
SAQ za samoprocjenu
(Upitnik za samoprocjenu)
Izvedeno vanjski revizorska organizacija QSA, certificiran od strane Vijeća PCI SSC.Izvedeno interni obučen i sertifikovan u okviru programa Saveta PCI SSC revizor.Može se izvršiti samo ako je primarna usklađenost potvrđena QSA revizijom.Izvedeno na svoju ruku popunjavanjem lista za samoocenjivanje.
Kao rezultat provjere QSA revizori skupiti dokaz o implementaciji Kao rezultat provjere ISA revizori, kao i kod eksterne revizije, naplatiti dokaz o implementaciji zahtjevima standarda i zadržati ih tri godine.Prikupljanje dokaza ispunjavanje zahtjeva standarda nije potrebno.
Na osnovu rezultata revizije izvještaj o usklađenosti je u pripremi- ROC(Izvještaj o usklađenosti).Samopunjenje SAQ list za samoprocjenu.
Uprkos prividnoj jednostavnosti predstavljenih metoda, klijenti se često susreću sa nesporazumima i poteškoćama pri odabiru odgovarajuće metode. Primjer za to su nova pitanja u nastavku.

# U kojoj situaciji je potrebno izvršiti eksternu reviziju i u kojoj- unutrašnjost? Ili je dovoljno da se ograničimo na samoprocjenu organizacije?

Odgovori na ova pitanja zavise od tipa organizacije i broja transakcija koje se obrađuju godišnje. To ne može biti slučajan izbor jer postoje dokumentirana pravila koja određuju koji će metod organizacija koristiti da pokaže usklađenost sa standardom. Sve ove zahtjeve utvrđuju međunarodne sistemi plaćanja, najpopularniji od njih u Rusiji su Visa i MasterCard. Postoji čak i klasifikacija prema kojoj se razlikuju dvije vrste organizacija: trgovačka i uslužna preduzeća (trgovci) i pružaoci usluga.

U zavisnosti od broja obrađenih transakcija godišnje, trgovci i pružaoci usluga mogu se klasifikovati u različite nivoe.

Recimo da trgovačko i uslužno preduzeće obrađuje do 1 milion transakcija godišnje koristeći e-trgovinu. Prema klasifikaciji Visa i MasterCard (slika 2), organizacija će pripadati nivou 3. Stoga, da bi se potvrdila usklađenost sa PCI DSS, potrebno je kvartalno izvršiti eksterno skeniranje ranjivosti komponenti informacione infrastrukture ASV (odobreno Scanning Vendor) i godišnji SAQ za samoprocjenu. U ovom slučaju, organizacija ne treba da prikuplja dokaze o usklađenosti, jer to nije neophodno za trenutni nivo. Izvještajni dokument će biti popunjeni SAQ list za samoocjenjivanje.

Ili razmislite o primjeru dobavljača usluga u oblaku koji obrađuje više od 300 hiljada transakcija godišnje. Prema utvrđenoj klasifikaciji Visa ili MasterCard-a, pružalac usluga će biti klasifikovan kao nivo 1. To znači, kao što je prikazano na slici 2, potrebno kvartalno izvršiti eksterno skeniranje ranjivosti komponenti informacione infrastrukture ASV, kao i eksternu godišnju QSA reviziju.

Slika 2. Klasifikacija nivoa i zahtjevi za potvrđivanje usklađenosti sa PCI DSS standardom

# Da li jednokratno kršenje rokova ASV skeniranja predstavlja ozbiljan rizik iz perspektive usklađenosti sa PCI DSS?

Organizacija koja dobije PCI DSS status mora redovno ispunjavati određene zahtjeve, kao što je provođenje tromjesečnih ASV skeniranja. Prilikom inicijalne revizije dovoljno je imati dokumentovanu proceduru ASV skeniranja i rezultate barem jednog uspješnog izvršenja u posljednja tri mjeseca. Sva naredna skeniranja treba da budu tromjesečna, vremenski period ne smije biti duži od tri mjeseca.
Kršenje rasporeda eksternog skeniranja za ranjivosti povlači za sobom nametanje dodatni zahtjevi na sistem upravljanja sigurnošću informacija u organizaciji. Prvo, i dalje će biti potrebno provesti ASV skeniranje za ranjivosti i postići „zeleni” izvještaj. I drugo, biće potrebno razviti dodatnu proceduru koja neće dozvoliti takva kršenja rasporeda u budućnosti.

Konačno

Glavni zaključci mogu se izraziti u citatu Petera Shapovalova, inženjera informacione sigurnosti u Deuterium LLC:

“Unatoč činjenici da je na teritoriji Ruske Federacije svoj Nacionalni sistem platnih kartica (NSCP), zahtjevi međunarodnih platnih sistema nisu ukinuti. Naprotiv, u posljednje vrijeme sve su češća pisma Visa i MasterCard bankama preuzimateljima da potonje zahtijevaju usklađenost sa PCI DSS standardom od platnih prolaza, trgovaca povezanih s njima, kao i od provajdera usluga koji mogu uticati na sigurnost kartice. podaci . U tom smislu, pitanje usklađenosti sa PCI DSS standardom postaje važno ne samo za velike igrače u industriji platnih kartica, već i za mala trgovačka i uslužna preduzeća.

Relevantno za Rusko tržište je sada usluga upravljanih usluga. Sastoji se u tome da pružalac usluga klijentima pruža ne samo opremu ili virtuelnu informacionu infrastrukturu za iznajmljivanje, već i usluge njene administracije u skladu sa zahtevima standarda PCI DSS. Ovo je posebno korisno za mala trgovačka i uslužna preduzeća koja nemaju svoja odeljenja informacione tehnologije i sigurnost informacija. Obraćanje sertifikovanim pružaocima usluga pomaže da se značajno pojednostavi proces PCI DSS sertifikacije za trgovce i osigura zaštita podataka o platnim karticama na odgovarajućem nivou.”

Kao primjer kompanije koja pruža upravljane PCI DSS usluge (ne samo iznajmljivanje PCI DSS infrastrukture, već i njeno administriranje u skladu sa zahtjevima standarda) možemo navesti