Стандарт PCI DSS 1_1 (Статьи, стандарты, спецификации)

Стандарт безопасности данныхиндустрии платежных картPayment Card Industry (PCI)Data Security StandardВерсия 1.1Редакция: Сентябрь 2006Переведено:ЗАО НИП «ИНФОРМЗАЩИТА»PCI QSA, PCI ASVhttp://www.infosec.rupcidss@infosec.ru7-495-9802345Translated by:NIP INFORMZASCHITAPCI QSA, PCI ASVhttp://www.infosec.rupcidss@infosec.ru7-495-9802345Данный документ является объектом интеллектуальной собственностиЗАО НИП «Информзащита».ЗАО НИП «Информзащита» предоставляет право на использование этогодокумента в личных некоммерческих целях и в пределах своей организации.Копирование и/или передача его третьим лицам (в том числе вотредактированном виде) и/или его опубликование могут бытьосуществлены только с письменного согласия ЗАО НИП «Информзащита»,при этом продажа или любая иная возмездная передача данного документазапрещается.В случае возникновения замечаний или предложений по переводу просьбанаправлять их по адресу pcidss@infosec.ru.Данный документ предоставляется ЗАО НИП «Информзащита» в качествеинформационной услуги.

Это неофициальный перевод официальногодокумента «Payment Card Industry (PCI) Data Security Standard»,находящегося по адресу https://www.pcisecuritystandards.org/pdfs/pci_dss_v11.pdf, собственность PCI Security Standards Council LLC. Текст на английскомязыке, находящийся по этому адресу, должен рассматриваться в качествеофициальной версии документа для любых целей. В случае возникновениякаких-либо двусмысленностей или несогласованностей между этим текстоми текстом на английском языке необходимо руководствоваться оригиналом.Данный перевод публикуется в подтверждение и в согласии с условиями,определенными в договоре на разрешение перевода между PCI SSC иЗАО НИП «Информзащита».

Ни PCI Security Standards Council LLC, ниЗАО НИП «Информзащита» не берут на себя ответственность за какие-либосодержащиеся здесь неточности.This translated document is provided by NIP INFORMZASCHITA as aninformational service. This is an unofficial translation of the official document,“Payment Card Industry (PCI) Data Security Standard”, located athttps://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdfcopyright©February 2008 PCI Security Standards Council LLC. The English text to be foundat such address shall for all purposes be regarded as the official version of thisdocument, and to the extent of any ambiguities or inconsistencies between thistext and the English text, the English text at such location shall control.

Thistranslation is published with acknowledgement of and in agreement with termsspecified in a translation permissions agreement between PCI SSC and NIPINFORMZASCHITA. Neither PCI Security Standards Council LLC nor NIPINFORMZASCHITA assume responsibility for any errors contained herein.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 2Построение и поддержание защищенной сетиТребование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевыхэкранов в целях защиты данных платежных картТребование 2: Не должны использоваться параметры безопасности и системные пароли,установленные производителем по умолчаниюЗащита данных платежных картТребование 3: Должна быть обеспечена защита данных платежных карт при храненииТребование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетямобщего пользованияРеализация программы управления уязвимостямиТребование 5: Должно использоваться и регулярно обновляться антивирусное программноеобеспечениеТребование 6: Должна обеспечиваться безопасность при разработке и поддержке систем иприложенийРеализация мер по строгому контролю доступаТребование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебнойнеобходимостьюТребование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначенуникальный идентификаторТребование 9: Физический доступ к данным платежных карт должен быть ограниченРегулярный мониторинг и тестирование сетейТребование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам иданным платежных картТребование 11: Должно выполняться регулярное тестирование систем и процессов обеспечениябезопасностиПоддержание политики информационной безопасностиТребование12:Должнаподдерживатьсяполитикаинформационнойбезопасности,регламентирующая деятельность сотрудников и контрагентовCopyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 3ВведениеНастоящий документ описывает 12 требований стандарта Payment Card Industry (PCI) Data SecurityStandard (DSS).

Данные требования организуются в 6 логически связанных групп, которыепредставляют собой цели защитных мер.Приведенная ниже таблица иллюстрирует наиболее часто используемые элементы данныхплатежных карт и критичные данные авторизации (sensitive authentication data); разрешено илизапрещено хранение каждого элемента данных; должна ли выполняться защита каждого элементаданных.

Данная таблица не претендует на роль исчерпывающей, она представлена лишь в целяхдемонстрации различных типов требований, которые применяются к каждому элементу данных.Требования стандарта PCI DSS применимы, если выполняются хранение, обработка или передачаномера платежной карты (PAN, Primary Account Number). Если хранение, обработка или передачаномера карты не выполняются, то требования стандарта PCI DSS неприменимы.ХранениеразрешеноТребуетсязащитаТребование3.4 стандартаPCI DSSНомер карты (PAN)ДАДАДАИмя держателя карты(Cardholder Name)*ДАДА*НЕТСервисный код(Service Code)*ДАДА*НЕТДата истечения срокадействия(Expiration Date)*ДАДА*НЕТПолное содержаниемагнитной полосы(Full Magnetic Stripe)НЕТ--CVC2/CVV2/CIDНЕТ--PIN/PIN BlockНЕТ--Элемент данныхДанные платежных картКритичные данныеавторизации (sensitiveauthentication data)*** Эти элементы данных должны защищаться, если они хранятся совместно с номером PAN. При этомуровень защиты должен соответствовать требованиям общей защиты среды данных платежных картстандарта PCI DSS.

В соответствии с другими законами (например, связанными с защитойперсональных данных клиентов, частной информацией, кражей идентификационной информации илиобеспечением безопасности данных) может потребоваться специфическая защита этих данных илиоглашение установленных правил компании, если в ходе ведения бизнеса ведется сбор персональныхданных клиентов.

Однако требования стандарта PCI DSS не применяются, если не выполняютсяхранение, обработка или передача номеров карт.** Критичные данные авторизации (sensitive authentication data) не должны сохраняться после прохожденияпроцедуры авторизации (даже в зашифрованном виде).Требования стандарта PCI DSS применяются ко всем «системным компонентам». Под системнымкомпонентом понимается любой сетевой компонент, сервер или приложение, входящий в состав илиподключенный к среде данных платежных карт. Среда данных платежных карт – часть сети, в которойобрабатываются данные платежных карт или критичные данные авторизации.

Продуманнаясегментация сети, изолирующая системы, на которых выполняются хранение, обработка илипередача данных платежных карт, от остальной сети, позволяет уменьшить границы области средыданных платежных карт. К сетевым компонентам относятся (но не ограничиваются ими) межсетевыеэкраны, коммутаторы, маршрутизаторы, беспроводные точки доступа, сетевые устройства иустройства защиты информации. Типы серверов включают (но не ограничиваются ими) web-серверы,серверы баз данных, аутентификационные серверы, почтовые серверы, прокси-серверы, NTP- и DNSсерверы. К приложениям относятся все приобретенные и разработанные приложения, каквнутренние, так и внешние (Интернет).Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 4Построение и поддержание защищенной сетиТребование 1: Должны быть обеспечены разработка и управление конфигурациеймежсетевых экранов в целях защиты данных платежных картМежсетевые экраны – это вычислительные устройства, контролирующие трафик, входящий вкорпоративную сеть и исходящий из корпоративной сети, а также трафик к внутреннимкритичным подсетям.

Межсетевой экран анализирует сетевой трафик и блокирует сетевыепакеты, которые не соответствуют определенным критериям безопасности.Все системы должны быть защищены от несанкционированного доступа из сети Интернет, внезависимости от способа доступа – посредством приложений электронной коммерции, доступасотрудников компании к сети Интернет или электронной почте. В некоторых случаях казалосьбы несущественные каналы исходящего и входящего интернет-трафика представляют собойнезащищенные пути доступа к критичным системам. Межсетевые экраны являются основныммеханизмом защиты любой компьютерной сети.1.1 Должны быть реализованы стандарты конфигурирования межсетевых экранов, включающиеследующее:1.1.1 Формализованный1 процесс утверждения и тестирования всех подключений внешнихсетей, а также изменений, вносимых в конфигурацию МЭ1.1.2 Актуальную схему сети с указанием всех подключений (включая беспроводные сети) ксегментам с данными платежных карт1.1.3 Требования по размещению МЭ на каждом канале подключения к сети Интернет, а такжена границе между каждой DMZ и внутренней сетью1.1.4 Описание групп, ролей и обязанностей в отношении логического управления сетевымикомпонентами1.1.5 Документированный перечень сервисов и портов, необходимых для функционированиябизнес-процессов1.1.6 Документирование и обоснование применения для всех использующихся протоколов, заисключением HTTP, SSL, SSH и VPN1.1.7 Документирование и обоснование для всех использующихся небезопасных протоколов(например, FTP) с указанием причины использования протокола и реализованныхмеханизмов защиты1.1.8 Ежеквартальный пересмотр правил МЭ и маршрутизаторов1.1.9 Стандарты конфигурирования для маршрутизаторов1.2 Должна быть реализована такая конфигурация МЭ, в которой запрещается любой трафик,поступающий из недоверенных сетей и устройств, за исключением протоколов, необходимыхдля среды данных платежных карт.1.3 Должна быть реализована такая конфигурация МЭ, которая ограничивает возможностьустановления подключений между публично доступными серверами (включая любыеподключения из беспроводных сетей) и любыми системными компонентами, в которых хранятсяданные платежных карт.

Такая конфигурация должна предусматривать:1.3.1 Ограничение входящего интернет-трафика IP-адресами внутри DMZ (входная фильтрация)1.3.2 Запрет трафика с адресами отправителя из внутренней сети, поступающего в DMZ из сетиИнтернет1.3.3 Реализацию фильтрации трафика с учетом состояния соединений (stateful inspection),также известной как динамическая фильтрация пакетов (когда доступ в сеть разрешаетсятолько для «установленных» соединений)1.3.4 Размещение базы данных во внутреннем сегменте сети, отделенном от DMZ1.3.5 Разрешение только такого входящего и исходящего трафика, который являетсянеобходимым для среды данных платежных карт1.3.6 Обеспечение защиты и синхронизации конфигурационных файлов маршрутизаторов.Например, файлы активной в данный момент времени конфигурации (runningconfiguration) и сохраненной конфигурации (start-up configuration – загружается в1Установленный процесс, где исполнители и порядок выполняемых ими действий определены.