Что такое PCI DSS? Для чего нужна платежная информационная безопасность
Сегодня мы поговорим о том, что такое PCI DSS и расскажем о том, как этот стандарт применяется на практике. По сути, этот стандарт защищает информацию от несанкционированного доступа в международных и локальных платежных системах.
Введение
В нынешнее время, любая электронная система коммерции, связанная с обработкой платежей сталкивается с проблемами безопасности. В России система расчета устаревшим способом (наличными средствами) наиболее популярна и по сей день. Но времена меняются, и приоритет все чаще сдвигается в пользу безналичного расчета пластиковыми картами и электронными платежными системами. И все бы ничего, но этот способ оплаты затрагивает персональные данные. Даже небольшой интернет-магазин будет работать с конфиденциальной информацией пользователей. И существует опасность того, что базы данных с ценной информацией могут попасть в руки злоумышленниками.
И это лишь одна грань. Ведь речь идет еще и о финансовых средствах клиентов. Едва ли покупатели останутся удовлетворенными, если вся информация о личности человека попадет не в те руки. Не говоря уже о финансовых данных, которые нуждаются в более громоздкой системе безопасности, чем базы персональной информацией.
Проблема безопасности с точки зрения типичного интернет-магазина
Наладить полноценную систему продаж путем создания интернет-магазина не так уж и просто. Рынок предлагает ограниченное количество Фреймворков, решающих базовые проблемы. И особая роль здесь отдается работе с приемом платежей. Типичный разработчик понимает, что схема оплаты остается довольно примитивной. С технической точки зрения, это схема распределения ключей, которые идентифицируют конкретный магазин для платежного шлюза.
Подобный механизм внедряется "как есть" без каких-либо серьезных доработок.
Грамотность рядовых пользователей потихоньку растет, но проблема безграмотности в вопросах информационной безопасности все еще остается актуальной. В общих чертах, большинство клиентов интернет-магазинов уже понимают разницу между https и http, отдавая предпочтения первой системе. Этому поспособствовали разработчики веб-браузеров, которые всячески предупреждают пользователей об отсутствии защищенного сертификата на сайте.
Перейдя на сайт http, в браузере появляется предупреждение о том, что ресурс не имеет защищенного сертификата. В принципе, пользователь может проигнорировать подобное предупреждение, но интерфейс браузера сделан таким образом, что 80-90% людей, увидевших подобную табличку немедленно покинут сайт, и больше не станут с ним связываться. Это оправдывается тем, что количество мошеннических проектов увеличивается в геометрической прогрессии. Не говоря уже о том, что http потихоньку устаревает и не может гарантировать приемлемый уровень безопасности.
Серьезных проблем это не создает. И вместе с тем, неотвратимость процесса немного пугает. Если человек уже перешел на сайт платежного агрегатора, ввел данные банковской карты и подтвердил свое решение кодом двухфакторной авторизации, откатить процесс оплаты уже не получится. Как правило, после оплаты пользователя отправляют обратно в магазин или просто "утыкают" в стандартную табличку, уведомляющую о завершении платежа.
Использование https. А что дальше?
Итак, оплата прошла, и в дело вступает платежный агрегатор. Он запускает процесс внутренних транзакций с эмитентом и эквайером. И вот тут вопросов становится еще больше. А действительно ли, существующая схема оплаты достаточно безопасной. Защищенный сертификат это хорошо, но всех проблем он не решает. Это лишь один элемент безопасности из большого количества других инструментов.
Допустим, платежный шлюз настроил защищенный сертификат и сообщил посетителям о том, что все их данные и деньги в безопасности. Как правило, на этом вопрос безопасности больше никого не интересует. А ведь для того, чтобы дать гарантию полной безопасности, недостаточно написать об этом на сайте, оформив соответствующий раздел. А вот наличие сертификата PCI DSS и может гарантировать безопасность обмена транзакциями и данными. Впрочем, даже этот сертификат не является панацеей.
Что такое стандарт безопасности платежных систем (PCI SSD)?
По сути, это целая система мер и требований к интернет-магазинам, агрегаторам и другим платежным системам, определяющая уровень безопасности конкретного ресурса. Если шлюз не соответствует заложенным параметрам и особенностям, то он не получит этот сертификат. Поэтому, все без исключения заинтересованы в успешном прохождении сертификации.
На примере PCI SSD можно сказать, что этот стандарт устанавливает критерии безопасности для систем и подсистем, работающих с платежными картами. Классифицировать участников, заинтересованных в получении сертификата очень просто. Если ресурс работает с:
- Номерами банковских карт;
- Кодами CVC/CVV;
- Общей платежной информацией.
он должен получить этот сертификат, увеличивая безопасность своей внутренней системы.
Так как платежных систем существует огромное количество (наиболее известным примером является Visa и MasterCard), то всем участникам этого рынка стоило создать соглашение, описывающее общую систему стандартов безопасности. Чтобы регулировать эту индустрию и вовремя реагировать на новую опасность и проблему, существует отдельный совет по стандартизации безопасности. Совет является фундаментом всей системы сертификации PCI SSC. В состав совета входят представители крупнейших мировых платежных систем. В частности, речь идет о 5 крупнейших игроках на рынке. Именно они задают курс информационной безопасности для всех остальных.
Какие требования выдвигает стандарт для платежной системы?
Перечислить все критерии, которые используются для проверки и выдачи сертификата мы не будем. Проблема в том, что их около 300 и вместить их со всеми пояснениями достаточно сложно. Поэтому рассмотрим их на 12 условных групп
- Защищенность персональных данных;
- Защищенность внутренней вычислительной сети;
- Антивирусная защита;
- Специфика конфигурации инф. структуры;
- Защита данных для передачи;
- Системы аутентификации;
- Распределение прав доступа;
- Ведение протоколов;
- Физическая безопасность систем;
- Поддержка и корректировка инф. систем;
- Контроль уровня безопасности;
- Вариативность инструментов инф. безопасности.
Как используется PCI DSS в платежных системах?
Исходя из списка групп критериев рассматриваемое системы стандартизации, можно отметить тот факт, что помимо работы с ПО, предусматривается еще и "физический" фактор безопасности. Грубо говоря, можно сказать что проверяется вообще все, и под описания стандарта подпадают все аспекты без исключения.
Для того, чтобы систему подвести под требования стандарта, потребуется физическое присутствие и проверка конкретной компании. Т.е., помимо сверки и оценки огромного количества нюансов и требований, в офис приедет специальный сотрудник, который проверяет часть работы самостоятельно, прямо "на месте".
Для России это звучит немного необычно, так как большинство компаний привыкли к подобным проверкам со стороны налоговых и других регулирующих органов. А о том, что соответствие стандартам инф. безопасности требует личного выезда проверяющего, мало кто знает. Пока это еще в диковинку.
Проверяющий получает официальный статус QSA (асессор безопасности). Тем, кто плотно сотрудничает с крупнейшей поисковой машиной России - Яндексом, должность асессора в той или иной мере знакома. А асессор QSA получает свой статус только после одобрения совета PCI SSC. Проверяющий имеет право опроса конкретного специалиста или техника платежного шлюза, может затребовать доступ к конфигурации компонентов системы и проверить работоспособность системы на практике. Процесс общения асессора с представителем платежного шлюза описывается как отдельная процедура.
Техническая сторона проверки
Программный код компонентов, библиотек и отдельных инструментов проверяется вразброс (выборочно), чтобы выделить какую-либо серьезную уязвимость или проблему в случае, если платежный шлюз захочет ее скрыть от проверки. Больше всего внимания уделяется механизму (ядру) системы, который обрабатывает данные платежных карт.
Стоит отметить, что проверка ядра платежного шлюза, дополнительно проверяется на соответствие внешнему стандарту QWASP (он выставляет требования к "отлову" уязвимостей и способу их устранения в системе. Дополнительно к этому, для систем плотно работающих с бизнесом, предусмотрена отдельная процедура проверки Code Rewiew. Речь идет о привлечении стороннего разработчика, который не имеет никакого отношения к разработке проверяемого шлюза. И в этом случае, акцент ставится на безопасности.
Требования стандарта PCI DSS охватывают деятельность всех участников инфраструктуры:
- Процессинговый центр;
- Эквайер;
- Эмитент;
- Дата-центр и т.д.
Существуют определенные "матрицы" ответственности. Исходя из их данных, можно четко устанавливать и разграничивать отношения между всеми частями общей системы. Практическое применение подобных матриц , было четко описано в версии PCI DSS 3.1. Именно тогда, наличие подписанной матрицы стало обязательным требованием для соответствия стандарту.
Отдельным требованием для дата-центров стало обязательность наличия сертификата соответствия, подтверждающего эталонность отдельных компонентов структуры, связанных с процессинговыми центрами. Есть отдельный список таких компонентов, а именно:
- Физическое оборудование;
- Виртуализация;
- Отдельные сервисы.
Впрочем, проверка охватывает все элементы платежного шлюза и инфраструктуры, так или иначе с ним связанной. Стандарт определяет безопасность и соответствие сетевого оборудования. Учитываются даже изменения и обновления программного обеспечения шлюза, частота модернизации, конфигурация физического оборудования и виртуальных машин.
Технический регламент и правила, регулирующие соответствие стандарту требуют повторного проведения аудита безопасности. Т.е., изначально проводится автоматизированное сканирование системы специальным набором программ от ASV. Если проверка пройдена успешно, и никаких серьезных уязвимостей не обнаружено - в дело вступают эксперты. Их задача, вручную проверить безопасность системы. По результатам ручного тестирования и выносится положительное или отрицательное решение. Оно описывается в финальном заключении проверяющей стороны.
Периодичность прохождения проверок
Крупнейшие платежные системы устанавливают собственные правила, которые обязывают участников проводить аудит ежеквартально или ежегодно. Например Visa требует прохождения ежегодной проверки с привлечением QSA-аудитора на объекте. Это обязательство выставлено для процессинговых центров, работающих с VisaNet. Сюда же подпадают промежуточные шлюзы и поставщики, общий рабочий объем переданных или обработанных транзакций которых превышает количество в 300 тыс. в год.
Кроме ежегодного, проводится еще и ежеквартальный аудит. Вот как раз для него и используется ASV сканирование системы, при помощи программного обеспечения сторонней (сертифицированной) компании.
Если же речь идет о компаниях и участниках системы, чей рабочий объем не превышает 300 000 транзакций в год, то для них проводится проверка по упрощенной схеме. Периодическое сканирование (ежеквартальное) никуда не делось, а вместо полноценного QSA-аудита, от компании требуется проведение внутренней оценки соответствия всем стандартом и заполнением отдельной опросной анкеты.
Изменения в анкетах SAQ
Заполнение формы SAQ регулируется отдельной организацией, призванной осуществлять пассивный контроль за информационной безопасностью компаний и систем, работающих с платежными картами. После того, как стандарт PCI SSD получил обновление 3.2 в 2016 году, формы самооценки уже подвергались изменениям. Однако, впоследствии, регулятору пришлось вновь менять некоторые параметры. Фундаментальны подход не изменился, поменяли скорее контекст оценки и схему проверки.
В частности, формы C-VT и B-IP получили требование наличия усложненной системы авторизации. Речь идет о всех технических инструментах доступа без консоли. К подобным элементам, стоит заметить, уже предъявлено требование шифрования с помощью устойчивых криптографических алгоритмов. Новое обновление определяет функциональную защиту системы, а не только способов доступа и разграничения прав учетных записей сотрудников.
Куда обращаться если разглашаются данные или потеряны деньги?
Все вышеописанное касается конкретных агрегаторов, шлюзов, платежных систем и т.д. Простому обывателю же, не знакомому с тем, как все работает нужна более предметная и детальная помощь. Об этом и поговорим.
Вообще, проблема "слива" персональных данных от компаний набирает все большие обороты. Например, тройка крупнейших провайдеров сотовой связи в РФ, молчаливо отнекивается на обвинения в том, что внутри компании недостаточно хорошо налажена безопасность. И как бы то ни было, но прецедентов создано достаточно много.
Ежегодно регистрируется от 50 до 100 случаев продажи части БД пользователей, сотрудниками операторов связи. Чаще всего, персональные данные попадают в руки различных агрегаторов и сетевых компаний, которые используют полученную базу для розыска потенциальных клиентов. В общих чертах, ничего страшного не происходит, так как попадание номера в базу, на практике не несет никакой опасности для конкретного гражданина. Единственная проблема - постоянные звонки из "компаний" с сомнительной репутацией, предлагающих свои услуги, товары, тренинги и т.д. Практика показывает, что сливают данные не только операторы сотовой связи, но и банки, страховые компании и т.д. К сожалению, наличия косвенных признаков недостаточно, чтобы повлиять на ход событий в судебной инстанции.
Совсем другой разговор, если речь идет о публикации персональных данных. Например, если вы нашли конфиденциальную информацию о себе в сети, то ресурс, разместивший ее автоматически нарушает закон "О защите персональных данных". В этом случае, можно обратиться в Роскомнадзор.
- После регистрации заявления, сотрудники РКН проведут проверку по факту публикации и установят (или опровергнут) факт нарушения прав.
- Если факт нарушения прав установлен, то Роскомнадзор выдает официальное предписание. Оно вынуждает сайт убрать публикацию. Проблема решена.
- Если же никаких нарушений обнаружено не было, то можно обжаловать решение в территориальном органе РКН. Если и они не заметили никаких причин, выносить постановление, то следует подавать жалобу в центральный аппарат ведомства.
Отсутствие активных действий со стороны РКН можно обжаловать в суде. Для этого, обратитесь в прокуратуру. Ее сотрудники проверят состав правонарушения и по надобности, возбудят дело об административном правонарушении.
Что делать если нарушаются права держателя карты?
В случае утечки данных - в Роскомнадзор или прокуратуру. Будет неплохо, если перед этим вы проконсультируетесь с толковым юристом, который разберет суть произошедшего с юридической точки зрения и даст совет, как поступить. Если же речь идет о потерянных денежных средствах, то помимо офиса банка, можно обратиться и в правоохранительные органы. Одной из ключевых инстанций, занимающихся регулированием деятельности банков является ЦБ РФ, в который тоже можно направить жалобу (в том случае, если банк отказывает в возврате транзакций, или просто бездействует).
Важно! По всем вопросам, если не знаете, что делать и куда обращаться:
Звоните 8-800-777-32-16.
Бесплатная горячая юридическая линия.
