Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.
PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении.
Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Информацию о своей деятельности PCI SSC публикует на своем сайте.
Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).
Приведя информационную инфраструктуру в соответствие требованиям PCI DSS, вы повысите уровень защищенности среды обработки карточных данных. Тем самым вы снизите риски финансовых потерь от инцидентов информационной безопасности и выполните требование международных платежных систем о необходимости соответствия данному стандарту.
Основная цель соответствия требованиям стандарта PCI DSS — повышение уровня защищенности информационной инфраструктуры, именно для этого стандарт и был разработан. Отсюда можно сделать вывод, что стандарт будет полезен всем, кто задумывается о безопасности своей информации.
Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения. PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений.
Все требования стандарта PCI DSS являются обязательными. Некоторые требования могут быть неприменимы к вашей организации по причине отсутствия тех или иных компонентов информационной инфраструктуры, например, если вы не используете беспроводные сети, то на вашу компанию не распространяются требования по обеспечению безопасности беспроводных сетей. Если вы не можете выполнить то или иное требование стандарта из-за ограничений, накладываемых законодательством, бизнес-процессами или применяемыми технологиями, то вы можете использовать компенсирующие меры. Основным правилом выбора компенсирующих мер является то, что компенсирующая мера должна снижать тот же риск, что и требование стандарта, которое невозможно выполнить из-за ограничений.
Требования стандарта PCI DSS распространяются на системы, используемые для обработки, хранения и передачи данных о владельцах платежных карт, а также системы, имеющие с ними сетевую связь (системы, соединения с которыми не защищены межсетевым экраном).
Да, отдельные подсистемы банкомата, участвующие в обработке, хранении и передаче данных о владельцах платежных карт, входят в область применения стандарта PCI DSS.
По мере развития стандарта PCI SSC вносит в его текст изменения и публикует новые версии документа на сайте www.pcisecuritystandards.org. С 1 октября 2008 года по настоящее время актуальна версия 1.2 стандарта PCI DSS.
Согласно установленным международными платежными системами программам проверки соответствия требованиям PCI DSS ряду организаций необходимо проходить ежегодный аудит. Программы проверки соответствия различаются для торгово-сервисных предприятий (merchants) и поставщиков услуг (service providers).
Ежегодный аудит необходимо проходить торгово-сервисным предприятиям, проводящим более шести миллионов карточных транзакций в год. Касаемо поставщиков услуг, международная платежная система VISA требует прохождение ежегодного аудита от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более 300 000 транзакций в год, а MasterCard – от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более одного миллиона транзакций в год. Подробное описание процедур проверки соответствия PCI DSS вы можете найти здесь.
Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.
Время проведения аудита зависит от размера области применения стандарта PCI DSS, а также от особенностей инфраструктуры компании. В среднем аудит на объекте компании длится три дня.
По результатам аудита соответствия вашей информационной инфраструктуры требованиям стандарта QSA-аудитор подготовит Отчет о Соответствии (Report on Compliance), содержащий детальную информацию о выполнении каждого из требований PCI DSS. Результаты аудита дадут представление о том, куда в первую очередь необходимо направить ресурсы на повышение защищенности среды обработки платежных карт.
Согласно требованиям международных платежных систем, в случае выявления несоответствий информационной инфраструктуры требованиям стандарта PCI DSS вам необходимо подготовить План мероприятий по их устранению. В подготовке Плана мероприятий помогут рекомендации QSA-аудитора, выполнившего проверку соответствия.
Международные платежные системы предусматривают наложение штрафных санкций на организации, которые обязаны проходить ежегодный внешний аудит соответствия PCI DSS, но не проходят его.
В таком случае для выполнения требования международных платежных систем о прохождении ежегодного внешнего аудита придется менять политику безопасности, которая, согласно PCI DSS, должна учитывать все требования стандарта.
Сертификат соответствия выдается после проведения аудита, в случае полного соответствия платежной инфраструктуры компании требованиям стандарта PCI DSS.
Проведение внешнего и внутреннего теста на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тест на проникновение должен выполняться ежегодно, а также после внесения значительных изменений в платежную инфраструктуру компании. Попытка проникновение, выполняемая специалистом, реализующим комплекс уязвимостей в соответствии с заданной моделью нарушителя, наглядно демонстрирует уровень защищенности платежной среды. Следует обратить внимание на то, что тест на проникновение, выполняемый специалистом, не имеет ничего общего с автоматизированным сканированием.
Ежеквартальное сканирование внешнего периметра платежной инфраструктуры компании, выполняемое сертифицированным поставщиком услуг сканирования (approved scanning vendor, ASV) является обязательной частью процедур проверки соответствия PCI DSS. Подробное описание процедур проверки соответствия PCI DSS вы можете найти здесь.
В случае, если вы не нашли ответ на интересующий вас вопрос - не отчаивайтесь. Пришлите его нам и мы с радостью постараемся ответить на него в самые короткие сроки.
4 августа 2016 
Алина Оприско 
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре. 
FAQ: PCI DSS & PA-DSS