Стандарт безопасности данных индустрии платежных карт Payment Card Industry (PCI) Data Security Standard
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Стандарт безопасности данных индустрии платежных карт Payment Card Industry (PCI) Data Security Standard Требования и процедуры оценки безопасности Версия 2.0 Октябрь 2010 Перевод: Translated by: ЗАО НИП «ИНФОРМЗАЩИТА» NIP INFORMZASCHITA PCI QSA, PCI ASV PCI QSA, PCI ASV http://www.infosec.ru http://www.infosec.ru pcidss@infosec.ru pcidss@infosec.ru 7-495-9802345 7-495-9802345
Данный документ является объектом интеллектуальной собственности ЗАО НИП «Информзащита». ЗАО НИП «Информзащита» предоставляет право на использование этого документа в личных некоммерческих целях и в пределах своей организации. Копирование и/или передача его третьим лицам (в том числе в отредактированном виде) и/или его опубликование могут быть осуществлены только с письменного согласия ЗАО НИП «Информзащита», при этом продажа или любая иная возмездная передача данного документа запрещается. В случае возникновения замечаний или предложений по переводу просьба направлять их по адресу pcidss@infosec.ru. Данный документ предоставляется ЗАО НИП «Информзащита» в качестве информационной услуги. Это неофициальный перевод официального документа «Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures», находящегося по адресу https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf, собственность PCI Security Standards Council LLC. Текст на английском языке, находящийся по этому адресу, должен рассматриваться в качестве официальной версии документа для любых целей. В случае возникновения каких-либо двусмысленностей или несогласованностей между этим текстом и текстом на английском языке необходимо руководствоваться оригиналом. Данный перевод публикуется в подтверждение и в согласии с условиями, определенными в договоре на разрешение перевода между PCI SSC и ЗАО НИП «Информзащита». Ни PCI Security Standards Council LLC, ни ЗАО НИП «Информзащита» не берут на себя ответственность за какие-либо содержащиеся здесь неточности. This translated document is provided by NIP INFORMZASCHITA as an informational service. This is an unofficial translation of the official document, «Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures», located at https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf copyright © October 2010 PCI Security Standards Council LLC. The English text to be found at such address shall for all purposes be regarded as the official version of this document, and to the extent of any ambiguities or inconsistencies between this text and the English text, the English text at such location shall control. T his translation is published with acknowledgement of and in agreement with terms specified in a translation permissions agreement between PCI SSC and NIP INFORMZASCHITA. Neither PCI Security Standards Council LLC nor NIP INFORMZASCHITA assume responsibility for any errors contained herein. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 2 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Изменения документа Дата Версия Описание Страница Стандарт PCI DSS v1.2 представлен как «Требования и процедуры оценки безопасности PCI DSS», исключая избыточность в документах. Произведены Октябрь 2008 г. 1.2 общие и частные изменения от версии 1.1. Для полной информации обратитесь к документу «PCI DSS: обзор изменений в версии 1.2 по сравнению с версией 1.1». Добавлено предложение, ошибочно удаленное при переходе от версии 1.1 5 стандарта PCI DSS к версии 1.2. Исправлено «тогда» (“then”) на «чем» (“than”) в процедурах 6.3.7.a и 6.3.7.b. 32 Удален серый фон для колонок «Соответствие» и «Несоответствие» в 33 Июль 2009 г. 1.2.1 процедуре 6.5.b. Для образца заполненного листа компенсационных мер исправлена фраза вверху страницы на «Приведенная ниже форма используется для определения 64 компенсационных мер для каждого требования, для которого в столбце «Соответствует» указано «Выполнено с помощью компенсационных мер».» Обновлены и внесены требования из версии стандарта 1.2.1. Для полной Октябрь 2010 г. 2.0 информации обратитесь к документу «PCI DSS: обзор изменений в версии 2.0 по сравнению с версией 1.2.1». Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 3 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Оглавление Изменения документа ................................................................................................................................................................................................................................. 3 Введение и краткий обзор Стандарта безопасности данных индустрии платежных карт (PCI DSS) .................................................................................................. 5 Применимость стандарта PCI DSS ........................................................................................................................................................................................................... 7 Связь стандартов PCI DSS и PA-DSS ....................................................................................................................................................................................................... 9 Границы оценки соответствия требованиям стандарта PCI DSS .................................................................................................................................................... 10 Сегментация сети ........................................................................................................................................................................................................................................................ 10 Беспроводные технологии.......................................................................................................................................................................................................................................... 11 Привлечение третьих сторон/аутсорсинг ............................................................................................................................................................................................................ 11 Выборка подразделений и системных компонентов для проверки................................................................................................................................................................... 12 Компенсационные меры ............................................................................................................................................................................................................................................... 13 Инструкции по созданию и требования к содержанию Отчета о соответствии ........................................................................................................................... 14 Содержимое и формат отчетности ........................................................................................................................................................................................................................... 14 Проведение повторной проверки для подтверждения устранения несоответствий ........................................................................................................................................... 17 Оценка соответствия стандарту PCI DSS – заключительный этап .................................................................................................................................................................... 18 Описание требований и процедур оценки безопасности стандарта PCI DSS ............................................................................................................................... 19 Построение и поддержание защищенной сети .......................................................................................................................................................................................................... 20 Требование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных держателей карт ....................... 20 Требование 2: Не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию .......................... 25 Защита данных держателей карт ................................................................................................................................................................................................................................. 29 Требование 3: Должна быть обеспечена защита данных держателей карт при хранении ............................................................................................................................ 29 Требование 4: Должно обеспечиваться шифрование данных держателей карт, передаваемых по сетям общего пользования .............................................................. 36 Реализация программы противодействия уязвимостям ........................................................................................................................................................................................ 38 Требование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечение .............................................................................................. 38 Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений ................................................................................................ 40 Реализация мер по строгому контролю доступа ...................................................................................................................................................................................................... 47 Требование 7: Доступ к данным держателей карт должен быть ограничен в соответствии со служебной необходимостью................................................................ 47 Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор .................................................... 49 Требование 9: Физический доступ к данным держателей карт должен быть ограничен ............................................................................................................................... 56 Регулярный мониторинг и тестирование сетей ........................................................................................................................................................................................................ 61 Требование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным держателей карт ............................................................. 61 Требование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности ................................................................................... 65 Поддержание политики информационной безопасности ....................................................................................................................................................................................... 70 Требование 12: Должна поддерживаться политика информационной безопасности, касающаяся всех сотрудников ................................................................................ 70 Приложение A: Дополнительные требования стандарта PCI DSS к хостинг-провайдерам с общей средой ......................................................................... 77 Приложение B: Компенсационные меры .............................................................................................................................................................................................. 80 Приложение C: Форма описания компенсационных мер (Compensating Controls Worksheet) .................................................................................................. 82 Форма описания компенсационных мер – пример заполнения....................................................................................................................................................... 83 Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 4 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Введение и краткий обзор Стандарта безопасности данных индустрии платежных карт (PCI DSS) Стандарт безопасности данных индустрии платежных карт (PCI DSS) разработан в целях повсеместного обеспечения и улучшения защи ты данных держателей карт и принятия соответствующих мер по обеспечению безопасности данных. Стандарт PCI DSS предоставляет базовый набор технических и эксплуатационных требований, разработанных для защиты данных держателей карт. Стандарт PCI DSS относится ко всем организациям, участвующим в обработке платежных карт, включая предприятия торгово-сервисной сети, процессинговые центры, банки-эквайеры, эмитенты и сервис-провайдеры, а также другие организации, которые хранят, обрабатывают или передают данные держателей карт. Стандарт PCI DSS включает минимальный набор требований для защиты данных держателей карт и может быть расширен путем добавления дополнительных элементов управления и мет одов для дальнейшего снижения рисков. Ниже представлен общий обзор 12 требований стандарта PCI DSS. Стандарт безопасности данных индустрии платежных карт – краткий обзор Построение и поддержание защищенной сети Требование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных держателей карт Требование 2: Не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию Защита данных держателей карт Требование 3: Должна быть обеспечена защита данных держателей карт при хранении Требование 4: Должно обеспечиваться шифрование данных держателей карт, передаваемых по сетям общего пользования Реализация программы управления уязвимостями Требование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечение Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложений Реализация мер по строгому контролю доступа Требование 7: Доступ к данным держателей карт должен быть ограничен в соответствии со служебной необходимостью Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор Требование 9: Физический доступ к данным держателей карт должен быть ограничен Регулярный мониторинг и тестирование сетей Требование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным держателей карт Требование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасности Поддержание политики информационной безопасности Требование 12: Должна поддерживаться политика информационнной безопасности, касающаяся всех сотрудников Настоящий документ – «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности» – основан на 12 требованиях стандарта PCI DSS, объединенных с соответствующими процедурами тестирования в единое средство оценки безопасности. Он разработан для использования при оценке соответствия стандарту PCI DSS в рамках общего процесса проверки организации. В следующих разделах Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 5 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
представлены подробные инструкции и рекомендации, которые помогут организациям в подготовке к оценке соответствия стандарту PCI DSS, ее проведении и составлении отчета. Требования и процедуры тестирования стандарта PCI DSS начинаются на странице 20. На сайте Совета PCI SSC (www.pcisecuritystandards.org) доступны дополнительные ресурсы, в том числе: Свидетельства о проверке соответствия Навигация по стандарту PCI DSS: общие сведения о назначении требований Глоссарий терминов, сокращений и акронимов стандартов PCI DSS и PA-DSS Вопросы и ответы Информационные дополнения и руководства См. дополнительные сведения на сайте www.pcisecuritystandards.org. Примечание. Информационные дополнения к стандарту PCI DSS содержат дополнительные соображения и рекомендации по выполнению требований стандарта PCI DSS – они не исключают и не заменяют стандарт PCI DSS и его требования. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 6 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Применимость стандарта PCI DSS Стандарт PCI DSS применяется ко всем объектам и организациям, выполняющим хранение, обработку или передачу данных о счетах. Данные о счете включают данные держателя карты и критичные данные аутентификации: Данные держателя карты: Критичные данные аутентификации: Номер карты (PAN) Полные данные карты на магнитной полосе Имя держателя карты или их эквивалент на чипе Срок действия CAV2/CVC2/CVV2/CID Сервисный код PIN-коды и PIN-блоки Решающим фактором применимости требований стандарта PCI DSS является номер карты (PAN). Требования стандарта PCI DSS вступают в силу, если выполняются хранение, обработка или передача номера карты (PAN). Если хранение, обработка или передача PAN не производятся, требования стандарта PCI DSS не применяются. Если данные держателя карты, сервисный код и срок действия хранятся, обрабатываются или передаются с номером карты или представлены в среде обработки данных держателей карт, они должны быть защищены в соответствии с требованиями стандарта PCI DSS, кроме требований 3.3 и 3.4, которые относятся только к номеру карты. Стандарт PCI DSS представляет минимальный набор задач управления, которые могут быть расширены местными, региональными и отраслевыми законами и нормативами. Кроме того, другие законы и нормативы могут требовать особой защиты персональных идентификационных данных и другой информации (например имени держателя карты) или раскрытия установленных правил компании в случае, если ее бизнес подразумевает сбор персональных данных клиентов. Примеры включают законы в области защиты данных о клиентах, конфиденциальности, кражи персональных данных и информационной безопасности. Стандарт PCI DSS не является заменой местных и региональных законов, государственных нормативов и других законодательных требований. Приведенная ниже таблица иллюстрирует наиболее часто используемые элементы данных держателей карт и критичные данные аутентификации (sensitive authentication data) – разрешено или запрещено хранение каждого элемента данных; должна ли выполняться защита каждого элемента данных. Данная таблица не является исчерпывающей, а представлена лишь с целью демонстрации различных типов требований, которые применяются к каждому элементу данных. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 7 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Приведение информации о счете Хранение Элемент данных к нечитаемому виду в соответствии разрешено? с требованием 3.4 стандарта PCI DSS Номер карты (PAN) Да Да Имя держателя карты Да Нет Данные о счете Данные держателя карты Сервисный код Да Нет Срок действия Да Нет 2 Хранение не допускается согласно Полные данные магнитной полосы Нет требованию 3.2 Критичные Хранение не допускается согласно CAV2/CVC2/CVV2/CID Нет требованию 3.2 данные аутентификации 1 Хранение не допускается согласно PIN-код и PIN-блок Нет требованию 3.2 Требования 3.3 и 3.4 стандарта PCI DSS относятся только к номеру карты. Если номер карты хранится вместе с другими элементами данных держателя карты, то только номер карты должен быть приведен к нечитаемому виду согласно требованию 3.4 стандарта PCI DSS. Требования стандарта PCI DSS применяются, только если выполняются хранение, обработка или передача номеров карт. 1 Критичные данные аутентификации не должны сохраняться после прохождения процедуры авторизации (даже в зашифрованном виде). 2 Полная запись магнитной полосы карты, эквивалентные треку данные на чипе и т. д. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 8 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Связь стандартов PCI DSS и PA-DSS Само по себе применение приложения, соответствующего стандарту PA-DSS, не гарантирует соответствие организации стандарту PCI DSS, поскольку такое приложение должно быть реализовано в среде, отвечающей PCI DSS, согласно Руководству по выполнению требований стандарта PA-DSS, предоставленному производителем платежного приложения (в соответствии с требованием 13.1 стандарта PA-DSS). Требования стандарта PA-DSS являются производными от требований «Стандарта безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности» (настоящий документ). Стандарт PA-DSS определяет, какие функции платежное приложение должно поддерживать, чтобы компания соответствовала стандарту PCI DSS. При использовании защищенных платежных приложений в среде, соответствующей требованиям стандарта PCI DSS, уменьшается вероятность нарушения безопасности, приводящего к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), PIN-кодов и PIN-блоков и, в результате, к мошенническим действиям хакеров. Ниже приведены несколько способов использования платежных приложений, при которых требования стандарта PCI DSS нарушаются: Хранение данных магнитной полосы карты или эквивалентных данных с чипа в сети клиента после авторизации. Использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS, например, антивирусных программ или межсетевых экранов. Использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента. Стандарт PA-DSS распространяется на производителей программного обеспечения и другие организации, разрабатывающие платежные приложения, которые хранят, обрабатывают или передают данные держателей карт в процессе авторизации и урегулирования платежей, в случае продажи, передачи этих платежных приложений или продажи лицензии на них третьим сторонам. Примечания к применимости стандарта PA-DSS: Стандарт PA-DSS распространяется на готовые платежные приложения, которые обычно поставляются и устанавливаются производителями программного обеспечения без значительных доработок. Стандарт PA-DSS не распространяется на платежные приложения, разработанные предприятиями торгово-сервисной сети или сервис- провайдерами, если эти приложения предназначены только для внутреннего использования (не для продажи третьей стороне), поскольку к этим приложениям собственной разработки применяется обычная проверка на соответствие стандарту PCI DSS, которую проводит предприятие торгово-сервисной сети или сервис-провайдер. Подробное руководство по определению применимости стандарта PA-DSS к тому или иному платежному приложению см. в документе «Стандарт безопасности платежных приложений. Требования и процедуры оценки безопасности», доступном на сайте www.pcisecuritystandards.org. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 9 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Границы оценки соответствия требованиям стандарта PCI DSS Все системные компоненты должны соответствовать требованиям безопасности стандарта PCI DSS. В контексте PCI DSS системным компонентом называется любой сетевой компонент, сервер или приложение, которое входит в среду данных держателей карт или связано с ней. Кроме того, системные компоненты включают компоненты виртуальной среды, такие как виртуальные машины, виртуальные коммутаторы и маршрутизаторы, виртуальные устройства, виртуальные приложения и настольные компьютеры, а также гипервизоры. Среда обработки данных держателей карт состоит из персонала, процессов и технологий, которые хранят, обрабатывают или передают данные держателей карт и критичные данные аутентификации. К сетевым компонентам относятся (но не ограничиваясь) межсетевые экраны, коммутаторы, маршрутизаторы, беспроводные точки доступа, сетевые устройства и устройства защиты информации. Типы серверов включают (но не ограничиваясь) следующее: веб-серверы, серверы приложений, серверы баз данных, аутентификационные серверы, почтовые серверы, прокси-серверы, NTP- и DNS-серверы. К приложениям относятся все приобретенные и разработанные приложения, как внутренние, так и внешние (сеть Интернет). Первый этап оценки соответствия стандарту PCI DSS заключается в определении границ проверки. Не реже 1 раза в год перед ежегодным аудитом организация, проходящая аудит, должна подтвердить точность границ проверки PCI DSS, указав все площадки и потоки трафика данных держателей карт и включив их в границы PCI DSS. Для подтверждения точности и адекватности границ PCI DSS выполните следующие действия: Организация, проходящая аудит, идентифицирует и документирует наличие данных держателей карт в своей среде, чтобы убедиться, что данные держателей карт отсутствуют за пределами заданной среды данных держателей карт (CDE) . После идентификации и документирования всех мест хранения данных держателей карт организация использует результаты для подтверждения границ PCI DSS (например, результаты могут представлять собой схему мест хранения данных держателей карт ). Организация анализирует все данные держателей карт, подпадающих под оценку PCI DSS и входящих в CDE, если такие данные не были удалены, перенесены или консолидированы в рамках заданной среды CDE. Организация сохраняет документацию, демонстрирующую подтверждение границ PCI DSS и результаты, для проверки аудитором и использования во время следующих ежегодных мероприятий по подтверждению границ PCI SCC. Сегментация сети Сегментация сети или изоляция среды обработки данных держателей карт от остальной части корпоративной сети не является требованием стандарта PCI DSS. Однако рекомендуется ее реализовывать, поскольку она позволяет: Сузить область оценки на соответствие требованиям стандарта PCI DSS Снизить затраты на оценку соответствия стандарту PCI DSS Уменьшить затраты и трудоемкость реализации и технической поддержки мер по защите сети Уменьшить риск для деятельности организации (путем объединения данных держателей карт в меньшем количестве хранилищ, которыми легче управлять) Если адекватная сегментация сети не применяется (используется «плоская» сеть), то область оценки соответствия требованиям стандарта PCI DSS должна включать всю сеть. Сегментация сети реализуется с помощью различных физических и логических средств, таких как межсетевые экраны внутренней сети, маршрутизаторы со стойкими списками управления доступом или других технологий, ограничивающих доступ к конкретному сегменту сети. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 10 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Для ограничения границ среды обработки данных держателей карт необходимо понимать потребности бизнеса и бизнес-процессы, связанные с хранением, обработкой или передачей данных держателей карт. Для уменьшения числа мест хранения данных держателей карт (путем уничтожения ненужных данных и объединения нужных) может потребоваться пересмотр устоявшихся методов ведения бизнеса. Документирование потоков данных держателей карт с помощью схем потоков данных позволяет получить полное представление обо всех потоках данных держателей карт и помогает обеспечить эффективность сегментации сети путем изоляции среды данных держателей карт. Если для сужения области оценки соответствия стандарту PCI DSS применяется сегментация сети, аудитор должен убедиться, что сегментация достаточна для сужения области оценки. На верхнем уровне адекватная сегментация сети изолирует системы, в которых выполняются хранение, обработка или передача данных держателей карт, от остальной части сети. Однако адекватность конкретной реализации сегментации сети в значительной степени зависит от конфигурации сети, используемых технологий и других реализованных мер по обеспечению безопасности сети. Приложение D: Сегментация и создание выборок подразделений и системных компонентов содержит дополнительные сведения об эффективном определении границ области оценки для соответствия стандарту PCI DSS. Беспроводные технологии В случае использования беспроводных технологий для хранения, обработки или передачи данных держателей карт (например, POS-транзакций, «ускорения очередей») или если беспроводная сеть является частью среды данных держателей карт (например, полностью не отделена от нее межсетевым экраном) на организацию распространяются и должны быть выполнены требования и процедуры тестирования, относящиеся к беспроводным средам (например, требования 1.2.3, 2.1.1 и 4.1.1). Перед внедрением беспроводных технологий организация должна соотнести необходимость их использования с соответствующим риском. Например, можно использовать беспроводные технологии только для передачи некритичных данных. Привлечение третьих сторон/аутсорсинг Для сервис-провайдеров, которые должны проходить ежегодный onsite-аудит, проверка соответствия стандарту PCI DSS должна выполняться для всех системных компонентов среды данных держателей карт. Сервис-провайдер или предприятие торгово-сервисной сети могут привлекать сторонних сервис-провайдеров (third party service provider) для хранения, обработки или передачи данных держателей карт или для управления такими системными компонентами, как маршрутизаторы, межсетевые экраны, базы данных, физические устройства защиты данных и/или серверы. В этом случае возникает риск нарушения безопасности среды данных держателей карт. Для организаций, которые передают функции хранения, обработки или передачи данных держателей карт сторонним сервис-провайдерам, в Отчет о соответствии (Report on Compliance) необходимо включать описание роли/функции каждой подобной организации (сервис-провайдера), четко определив, какие требования должны применяться к этой организации, а какие – к стороннему сервис-провайдеру. Существуют два варианта проверки соответствия стандарту PCI DSS сторонних сервис-провайдеров: 1) Они должны проходить оценку соответствия стандарту PCI DSS самостоятельно и предоставлять своим клиентам результаты этой оценки. 2) Если они не проходят оценку соответствия стандарту PCI DSS самостоятельно, то должны проверяться при каждой оценке соответствия стандарту PCI DSS их клиентов. См. дополнительные сведения в абзаце, который начинается словами «Для оценки организаций, имеющих статус Managed Service Provider (MSP)» (подраздел 3 раздела «Инструкции по созданию и требования к содержанию Отчета о соответствии»). Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 11 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Кроме того, предприятия торгово-сервисной сети и сервис-провайдеры должны контролировать соответствие всех связанных сторонних организаций, имеющих доступ к данным держателей карт. См. дополнительные сведения в требовании 12.8 настоящего документа. Выборка подразделений и системных компонентов для проверки Выборка не является требованием стандарта PCI DSS. Однако после оценки границ и сложности среды обработки данных платежных карт, проходящей аудит, аудитор может создать репрезентативные выборки подразделений и системных компонентов для оценки их соответствия требованиям стандарта PCI DSS. Сначала выборки должны быть сформированы для подразделений, затем для системных компонентов в каждом подразделении. Эти выборки должны включать в себя подразделения и системные компоненты и представлять собой репрезентативный набор всех типов подразделений и системных компонентов. Они должны быть достаточно большими, чтобы предоставлять аудитору достаточную степень уверенности в том, что компенсационные меры реализованы должным образом. Выборка подразделений и системных компонентов для аудита не уменьшает границ среды обработки данных держателей карт и применимости требований стандарта PCI DSS. Независимо от использования выборки, требования стандарта PCI DSS относятся ко всей среде обработки данных держателей карт. Каждая выборка должна быть проверена на соответствие всем применимым требованиям стандарта PCI DSS. Выборка самих требований стандарта PCI DSS не допускается. Примеры подразделений (включая, но не ограничиваясь): офисы компаний, магазины, франчайзинговые предприятия, процессинговые подразделения, ЦОД и другие подразделения, расположенные в разных местах. Выборка должна включать системные компоненты для каждого подразделения. Например, для каждого подразделения выборка должна содержать набор использующихся в проверяемой организации операционных систем, предоставляемых сервисов и приложений. В каждом подразделении аудитор может выбрать серверы Sun с веб-сервером Apache, серверы Windows с СУБД Oracle, мейнфреймы с устаревшими приложениями, обрабатывающими данные держателей карт, серверы передачи данных под управлением HP-UX и серверы Linux с MySQL. В случае если используются приложения, работающие только на одной операционной системе (например Windows 7 или Solaris 10), выборка должна включать множество приложений (например, серверы базы данных, веб-серверы, серверы передачи данных). При определении выборки подразделений и системных компонентов для проверки во время аудита необходимо выполнять следующие правила: В случае если существуют стандартизированные процессы обеспечения безопасности в соответствии с требованиями стандарта PCI DSS, которым должно удовлетворять каждое помещение, выборка (обеспечивающая достаточную степень уверенности, что каждое помещение удовлетворяет стандартизированному процессу) может быть меньше, чем в случае отсутствия стандартизированных процессов. Выборки должны быть достаточно большими, чтобы предоставлять аудитору достаточную степень уверенности в том, что подразделения и системные компоненты настроены в соответствии со стандартными процессами. В случае использования более одного типа стандартизированных процессов (например, для различных типов системных компонентов или помещений) выборка должна быть достаточно большой, чтобы включать системные компоненты или помещения, защищенные с помощью каждого типа процесса. Если стандартизированные процессы PCI DSS не применяются и каждое подразделение несет ответственность за реализацию своих внутренних процессов, размер выборки должен быть увеличен для обеспечения уверенности в том, что в каждом помещении руководство понимает и реализует надлежащим образом требования стандарта PCI DSS. Для каждого случая использования выборок аудитор должен: Задокументировать обоснование метода и размера выборки. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 12 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Задокументировать и подтвердить стандартизированные процессы и средства управления PCI DSS, используемые для определения размера выборки. Пояснить, почему выборка является пригодной и репрезентативной с точки зрения среды в целом. Аудиторы должны повторно утверждать обоснование выборки для каждой операции аудита. Для каждой операции аудита должны выбираться разные выборки подразделений и системных компонентов. См. также: Приложение D: Сегментация и выборка подразделений и системных компонентов. Компенсационные меры Ежегодно все компенсационные меры должны документироваться, оцениваться и проверяться аудитором и включаться в результирующий Отчет о соответствии, как указано ниже в Приложении В: Компенсационные меры и в Приложении C: Форма описания компенсационных мер (Compensating Controls Worksheet). Для каждой компенсационной меры должна быть заполнена Форма описания компенсационных мер (Compensating Controls Worksheet), приведенная в Приложении С. Кроме того, результаты применения компенсационных мер должны быть документированы в Отчете о соответствии, в соответствующем пункте требования стандарта PCI DSS. Дополнительные сведения о компенсационных мерах см. в Приложениях В и С. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 13 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Инструкции по созданию и требования к содержанию Отчета о соответствии Аудиторы PA-QSA должны использовать настоящий документ как шаблон для составления Отчета о соответствии (Report on Compliance). Проверяемая организация должна выполнять требования по отчетности, предъявляемые каждой платежной системой отдельно, для обеспечения гарантии того, что соответствующая платежная система подтвердит статус соответствия организации требованиям стандарта. Для ознакомления с требованиями и инструкциями по отчетности, предъявляемыми каждой платежной системой, организация должна обратиться к соответствующей платежной системе. Содержимое и формат отчетности При заполнении Отчета о соответствии необходимо выполнять приведенные ниже требования к содержимому и формату отчетности : 1. Краткое содержание отчета Включает следующее: Описание бизнеса организации, связанного с обработкой платежных карт, включающее: - Роль организации в индустрии платежных карт, а именно: описание того, как и зачем она хранит, обрабатывает и/или передает данные держателей карт Примечание. Это описание не должно быть простой копией описания с веб-сайта, а должно быть детальным описанием, которое показывает, что аудитор понимает роль организации в платежной системе. - Метод обработки платежей (прямой, косвенный и пр.) - Типы платежных каналов, которые обслуживает организация: транзакции, совершающиеся без предъявления карты (например, заказ по почте и телефону, по сети Интернет), или транзакции, требующие наличия карты - Список компаний, с которыми взаимодействует данная организация при передаче или обработке платежей, включая процессинговые операции Общую схему сетевой топологии организации (полученную от организации или созданную аудитором), содержащую: - Входящие и исходящие сетевые подключения - Критичные компоненты среды данных держателей карт, включая POS-терминалы, системы, базы данных и веб-серверы (если они используются) - Другие обязательные приложения/компоненты платежных систем (если они есть) 2. Описание границ и методов оценки Необходимо описать границы оценки в соответствии с разделом «Границы оценки соответствия требованиям стандарта PCI DSS» настоящего документа, включая следующее: Документирование способа подтверждения точности границ оценки PCI DSS аудитором, в том числе: Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 14 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
- Методы или процессы, используемые для определения и документирования всех мест появления данных держателей карт. - Способы оценки и документирования результатов - Способы проверки эффективности и точности использованных методов - Подтверждение точности и адекватности границ оценки аудитором Среда, для которой выполнялась оценка (например, клиентские точки доступа к сети Интернет, внутренняя корпоративная среда, процессинговые подключения) Если для сужения области оценки соответствия стандарту PCI DSS использовалась сегментация сети, необходимо привести краткое описание этой сегментации и того, как аудитор оценивал эффективность сегментации Если при оценке использовались выборки, задокументируйте следующее для каждой выборки (подразделений и компонентов): - Общее количество (подразделений и системных компонентов) - Размер выборки - Обоснование выборки - Описание стандартизированных процессов управления безопасностью и применяемых мер защиты в соответствии с требованиями PCI DSS, которые использовались для опредления рзамера выборки, а также описание того каким образом проверялись эти меры и процессы. - Пояснения, почему выборка является пригодной и репрезентативной с точки зрения среды в целом - Описание всех мест или сред, в которых хранятся, обрабатываются или передаются данные держателей карт, ИСКЛЮЧЕННЫХ из области оценки на соответствие требованиям стандарта PCI DSS, и обоснование причин, по которым эти места/среды были исключены Список дочерних и/или полностью зависимых организаций, для которых обязательно соответствие стандарту PCI DSS, и метод их оценки: по отдельности или в рамках этой оценки Список аффилированных международных организаций, для которых обязательно соответствие стандарту PCI DSS, и метод их оценки: по отдельности или в рамках этой оценки Список используемых беспроводных сетей и/или платежных приложений, используемых в них (например, приложений, используемых в POS-терминалах), которые подключены к среде данных держателей карт или могут приводить к нарушению их безопасности, и описание средств защиты этих беспроводных сред Версию документа «Стандарт безопасности данных индустрии платежных карт (PCI DSS). Требования и процедуры оценки безопасности» (PCI DSS Requirements and Security Assessment Procedures), которая используется для проведения оценки 3. Подробные сведения о проверенной среде Раздел включает следующие сведения: Схема сети с отображением всех подключений: локальной сети, глобальной и сети Интернет Описание среды обработки данных держателей карт, например: Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 15 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
- Документирование передаваемых и обрабатываемых данных держателей карт, включая данные авторизации и записи транзакций, урегулирования платежей и другие потоки (если они есть) - Перечень файлов и таблиц, в которых хранятся данные держателей карт, а также журнал инвентаризации, составленный или полученный от клиента и хранимый в рабочих документах аудитора. Для каждого места хранения данных держателей карт (файла, таблицы и т. д.) журнал инвентаризации должен содержать следующее: • Перечень всех хранимых элементов данных держателей карт • Метод защиты данных • Метод регистрации доступа к хранилищу данных держателей карт Перечень аппаратных средств и критичных программ, используемых в среде обработки данных держателей карт, а также описание назначения каждого аппаратного средства и программы. Перечень сервис-провайдеров и других организаций, с которыми компания обменивается данными держателей карт. Примечание. На эти организации распространяется требование 12.8 стандарта PCI DSS. Перечень используемых платежных приложений сторонних производителей и номеров их версий, включая пометку для каждого приложения о том, проверялось ли оно на соответствие стандарту PA-DSS. Даже если платежное приложение проверено на соответствие стандарту PA-DSS, аудитор должен проверить, что оно реализовано в соответствии с требованиями стандарта PCI DSS и в среде, соответствующей PCI DSS, а также в соответствии с Руководством по выполнению требований стандарта PA-DSS (PA-DSS Implementation Guide), предоставленным производителем этого платежного приложения. Примечание. Использование приложений, проверенных на соответствие стандарту PA-DSS, не является требованием стандарта PCI DSS. Чтобы понять требования, предъявляемые платежными системами к соответствию организации стандарту PA-DSS, следует проконсультироваться с каждой платежной системой отдельно. Список опрошенных лиц с должностями. Перечень проверенной документации. Для оценки организаций, имеющих статус Managed Service Provider (MSP), аудитор должен точно определить применимые к ним требования данного документа (и проверяемые в ходе аудита) и неприменимые (и, соответственно, исключенные из проверки), которые будут применяться к клиентам организации MSP при их аудите. Включите информацию о том, в отношении каких IP-адресов MSP проводилось ежеквартальное сканирование уязвимостей и какие IP-адреса клиентов должны включаться в их собственное сканирование. 4. Контактная информация и дата составления отчета Включает следующее: Контактная информация о предприятии торгово-сервисной сети, сервис-провайдере и аудиторе Сроки оценки – укажите длительность и время оценки Дата составления отчета Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 16 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
5. Результаты ежеквартального сканирования Подвести итоги последних 4 проведенных сканирований в разделе «Краткое описание проверяемой организации» и комментариях к требованию 11.2.2. Примечание. При первой оценке соответствия организации стандарту PCI DSS необязательно, чтобы 4 ежеквартальных сканирования были проведены успешно, если аудитор подтверждает следующее: 1) последнее сканирование завершилось успешно; 2) организация имеет документированные политики и процедуры, необходимые для проведения ежеквартального сканирования; 3) все уязвимости, обнаруженные при первом сканировании, устранены, что подтверждается результатами повторного сканирования. В последующие годы после первой оценки организации на соответствие стандарту PCI DSS должны быть проведены 4 ежеквартальных сканирования. Сканирование должно включать все имеющиеся у организации и внешние IP-адреса (доступные в сети Интернет) в соответствии с документом PCI Approved Scanning Vendors (ASV) Program Guide. 6. Заключения и наблюдения В разделе «Краткое описание проверяемой организации» должны быть приведены все заключения, которые не предусмотрены в стандартном формате шаблона Отчета о соответствии. Все аудиторы должны: Использовать подробный шаблон «Стандарта безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности» для создания детального отчета, содержащего результаты и наблюдения в отношении каждого требования и подпункта требования Аргументировать все ответы «неприменимо» Проверить и задокументировать все реализованные компенсационные меры. Дополнительные сведения о компенсационных мерах см. в разделе «Компенсационные меры» выше и Приложениях В и С. Проведение повторной проверки для подтверждения устранения несоответствий Для подтверждения соответствия стандарту необходимо проверить соответствие организации каждому применимому требованию. В отчете указывается несоответствие проверяемой организации стандарту, если он содержит «незакрытые требования» или требования, которые будут закрыты позднее. Предприятие торгово-сервисной сети/сервис-провайдер должны устранить эти несоответствия до завершения проверки. После устранения этих несоответствий предприятием торгово-сервисной сети/сервис-провайдером аудитор может провести повторную проверку и убедиться, что несоответствия устранены и достигнуто соответствие по каждому требованию. После повторной проверки аудитор должен создать новый Отчет о соответствии стандарту, подтверждающий полное соответствие среды данных держателей карт стандарту, и предоставить его в соответствии с приведенными ниже инструкциями. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 17 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Оценка соответствия стандарту PCI DSS – заключительный этап 1. Составьте Отчет о соответствии согласно приведенному выше разделу «Инструкции по созданию и требования к содержанию Отчета о соответствии». 2. Убедитесь, что сканирование(я) уязвимостей успешно проведено организацией, имеющей статус ASV (Approved Scanning Vendor), и получите документ от этой организации, подтверждающий, что сканирование проведено успешно. 3. Заполните полностью документ «Свидетельство о соответствии стандарту PCI DSS (Attestation of Compliance) – Сервис-провайдеры» или «Свидетельство о соответствии стандарту PCI DSS (Attestation of Compliance) – Предприятия торгово-сервисной сети» в зависимости от типа организации. Свидетельства о соответствии стандарту PCI DSS доступны на сайте PCI SSC (www.pcisecuritystandards.org). 4. Предоставьте Отчет о соответствии, документ, подтверждающий успешность сканирования, и Свидетельство о соответствии стандарту PCI DSS (Attestation of Compliance), а также все другие необходимые документы банку-эквайеру (для предприятий торгово-сервисной сети) или платежной системе либо другой запрашивающей организации (для сервис-провайдеров). Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 18 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Описание требований и процедур оценки безопасности стандарта PCI DSS Ниже приведено описание заголовков столбцов таблицы документа «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности». Требование стандарта PCI DSS – в этом столбце описаны требования, которые должны быть выполнены для соответствия стандарту PCI DSS. Проверка соответствия организации стандарту должна проводиться с помощью этих требований. Процедура тестирования – в этом столбце описаны процедуры, которые должен выполнять аудитор при проверке соответствия организации требованиям стандарта PCI DSS. Соответствие – в этом столбце аудитор должен привести краткое описание мер, Примечание. Этот столбец не должен свидетельствующих о выполнении требования стандарта, включая компенсационные использоваться для еще не выполненных меры, признанные достаточными для соответствия стандарту, и неприменимые мер или мер , которые планируется требования. внедрить позднее Несоответствие – в этом столбце аудитор должен привести краткое описание мер, которые не соответствуют стандарту. Обратите внимание, что отчет, содержащий меры, не соответствующие стандарту, должен предоставляться платежной системе или банку- эквайеру, только если он явно запрашивается этими организациями. См. подробные инструкции по созданию отчетов о несоответствиях в Свидетельстве о соответствии, доступном на сайте PCI SSC (www.pcisecuritystandards.org). Дата устранения/комментарий – в этом столбце для каждой меры, не соответствующей стандарту, аудитор может ввести дату ее устранения предприятием торгово-сервисной сети или сервис-провайдером, а также любые примечания или комментарии. Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 19 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Построение и поддержание защищенной сети Требование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных держателей карт Межсетевые экраны – это устройства, контролирующие трафик между корпоративной (внутренней) сетью и недоверенными (внешними) сетями, а также трафик, входящий во внутреннюю доверенную критичную подсеть и исходящий из нее. Примером внутренней доверенной критичной подсети является среда данных держателей карт. Межсетевой экран анализирует сетевой трафик и блокирует сетевые пакеты, которые не соответствуют определенным критериям безопасности. Все системы должны быть защищены от несанкционированного доступа из недоверенных сетей: входа в систему через сеть Интернет для совершения операций электронной коммерции, доступа сотрудников компании к сети Интернет с помощью веб-браузеров, доступа сотрудников к сообщениям электронной почты, доступа с помощью выделенных подключений, таких как подключения B2B (business to business connections), подключений с помощью беспроводных сетей или других типов подключений. В некоторых случаях казалось бы несущественные каналы трафика, исходящего из недоверенных сетей и входящего в них, представляют собой незащищенные пути доступа к критичным системам. Межсетевые экраны являются основным механизмом защиты любой компьютерной сети. Другие компоненты системы могут обеспечивать функции межсетевого экрана, при условии что они соответствуют минимальным требованиям к межсетевым экранам, указанным в требовании 1. Если другие системные компоненты используются в среде данных держателей карт для обеспечения функций межсетевого экрана, они должны быть включены в оценку соответствия требованию 1. Дата устранения/ Требование стандарта PCI DSS Процедура тестирования Соответствие Несоответствие комментарий 1.1 Должны быть реализованы стандарты 1.1 Ознакомьтесь со стандартами настройки настройки межсетевых экранов (МЭ) и МЭ, маршрутизаторов и иной указанной ниже маршрутизаторов, включающие следующее: документацией для проверки соответствия стандарту. Выполните следующие действия: 1.1.1 Формализованный процесс утверждения и 1.1.1 Убедитесь в наличии формализованного тестирования всех сетевых подключений, а процесса утверждения и тестирования всех также изменений, вносимых в конфигурацию сетевых подключений, а также изменений, МЭ и маршрутизаторов. вносимых в конфигурацию МЭ и маршрутизаторов. 1.1.2 Актуальную схему сети с указанием всех 1.1.2.a Убедитесь в наличии схемы подключений (включая беспроводные сети) к действующей конфигурации сети (например, сегментам с данными держателей карт. схемы, на которой показаны потоки данных держателей карт в сети) со всеми подключениями (включая беспроводные сети) к сегментам с данными держателей карт. 1.1.2.b Проверьте актуальность схемы. 1.1.3 Требования по размещению МЭ для 1.1.3.a Убедитесь, что стандарты настройки МЭ Copyright 2010 PCI Security Standards Council LLC Перевод ЗАО НИП «Информзащита» Март 2011 Payment Card Industry (PCI) Data Security Standard. Requirements and Security Assessment Procedures www.infosec.ru Страница 20 Стандарт безопасности данных индустрии платежных карт. Требования и процедуры оценки безопасности +7 (495) 9802345
Вы также можете почитать