Ориентирование в PCI DSS 1_1 (1027414), страница 2
Текст из файла (страница 2)
Документ предназначен для предприятий торговосервисной сети (merchants), сервис-провайдеров и финансовых учреждений, которые хотят улучшить понимание стандарта PCI DSS, а также даетспецифические толкования требований к безопасности системных компонентов (серверы, сеть, приложения и т. д.), которые являются частью среды данныхплатежных карт.ПРИМЕЧАНИЕ: Данный документ следует использовать только как руководство. При проведении онсайт-аудита PCI DSS или самооценкинеобходимо использовать "Стандарт безопасности данных индустрии платежных карт" (PCI DSS v1.1), "Процедуры аудита безопасности"(PCI DSS Security Audit Procedures) и «Листы самооценки» (PCI DSS Self-Assessment Questionnaires v1.1).Требования стандарта PCI DSS применимы ко всем компонентам системы, которые входят в среду данных платежных карт или непосредственно к нейприсоединены.
Среда данных платежных карт – это часть сети, в которой обрабатываются данные платежных карт или критичные данные авторизации,включая сетевые компоненты, серверы и приложения.•••Сетевые компоненты включают (но не ограничиваются ими) межсетевые экраны, коммутаторы, маршрутизаторы, беспроводные точки доступа,сетевые устройства и устройства защиты информации.Типы серверов включают (но не ограничиваются ими) web-серверы, серверы баз данных, аутентификационные серверы, почтовые серверы, проксисерверы, NTP- и DNS-серверы.Приложения включают (но не ограничиваются ими) все приобретенные и разработанные приложения, как внутренние, так и внешние (подключенныек Интернету).Продуманная сегментация сети, которая изолирует системы хранения, обработки или передачи данных карт от других систем в организации, можетограничить область оценки среды данных платежных карт.
Qualified Security Assessor (QSA, сертифицированная компания, проводящая аудит насоответствие стандарту PCI DSS) может помочь в определении области оценки и дать консультации каким образом можно уменьшить область оценки спомощью правильной сегментацией сети. Вопросы по поводу того, соответствует ли та или иная технология или решение стандарту в целом или какому-токонкретному требованию, PCI SSC рекомендует направлять в компании имеющие статус QSA, которые смогут оценить насколько внедрение технологииили решения соответствуют стандарту PCI DSS.
Опыт работы компаний, имеющих статус QSA, со сложными сетями и информационными системамипозволяет им давать рекомендации и делиться «лучшими практиками» с торгово-сервисными организациями и сервис-провайдерами по достижениюсоответствия требованиям стандарта. Список Qualified Security Assessors можно найти по адресу: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 4Данные платежных карт и элементы критичных данных авторизацииПриведенная ниже таблица иллюстрирует наиболее часто используемые элементы данных платежных карт и критичные данные авторизации (sensitiveauthentication data); разрешено или запрещено хранение каждого элемента данных; должна ли выполняться защита каждого элемента данных.
Даннаятаблица не претендует на роль исчерпывающей, она представлена лишь в целях демонстрации различных типов требований, которые применяются ккаждому элементу данных.Данные платежных карт определены как PAN (Primary Account Number, номер карты) и другие данные, полученные в результате транзакций, включаяследующие элементы:• PAN• Cardholder Name (имя держателя карты)• Expiration Date (дата истечения срока действия карты)• Service Code• Sensitive authentication data (магнитная дорожка полностью, CAV2/CVC2/CVV2/CID, PIN/PIN-блок)Требования стандарта PCI DSS и PA-DSS применяются, если выполняются хранение, обработка или передача номера PAN (Primary Account Number).
Еслихранение, обработка или передача номера PAN не выполняются, то требования стандарта PCI DSS и PA-DSS не применяются.ХранениеразрешеноТребуетсязащитаТребование 3.4стандартаPCI DSSНомер PANДАДАДАИмя держателя1картыДАДАСервисный кодДАДАДата истечения1срока действияДАПолное содержаниемагнитной полосыЭлемент данныхДанные платежных карт1НЕТ1НЕТДА1НЕТНЕТ--CVC2/CVV2/CIDНЕТ--PIN/PIN BlockНЕТ--1Критичные данныеавторизации (sensitive2authentication data)Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требований1Эти элементы данных должны защищаться, если они хранятсясовместно с номером PAN. При этом уровень защиты долженсоответствовать требованиям общей защиты среды данныхплатежных карт стандарта PCI DSS. В соответствии с другимизаконами (например, связанными с защитой персональных данныхклиентов, частной информацией, кражей идентификационнойинформации или обеспечением безопасности данных) можетпотребоваться специфическая защита этих данных или оглашениеустановленных правил компании, если в ходе ведения бизнесаведется сбор персональных данных клиентов. Однако требованиястандарта PCI DSS не применяются, если не выполняютсяхранение, обработка или передача номеров карт.2Критичные данные авторизации (sensitive authentication data)не должны сохраняться после прохождения процедуры авторизации(даже в зашифрованном виде).Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 5Расположение данных платежных карт и критичных данных авторизации345Критичные данные авторизации состоят из магнитной полосы (трека, дорожки), подтверждающего кода (значения) карты и PIN .
ХРАНИТЬ КРИТИЧНЫЕДАННЫЕ АВТОРИЗАЦИИ ЗАПРЕЩЕНО! Эти данные чрезвычайно ценны для злоумышленников, поскольку позволяют им генерировать поддельнуюинформацию карт и проводить мошеннические транзакции. Полное определение критичных данных авторизации (sensitive authentication data) можно найти вдокументе «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, and Acronyms). На изображении передней и задней стороныплатежной карты ниже показано расположение данных платежных карт и критичных данных авторизации.3Данные, зашифрованные на магнитной полосе, используются для авторизации в течение транзакций с предоставлением карты (card-present transactions). Нет необходимости хранитьвсе данные магнитной полосы после авторизации.
Достаточно хранить номер счета, дату истечения срока действия карты и имя держателя.4Трех- или четырехзначное значение, напечатанное на карте справа от места для подписи или на лицевой стороне карты, используемое для проверки транзакций без предоставлениякарты (card-not-present transactions).5Personal Identification Number (PIN, ПИН – персональный идентификационный номер) вводится держателем карты в течение транзакций с предоставлением карты (card-presenttransactions) и/или зашифрованный PIN-блок, присутствующий в транзакционном сообщении.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 6Данные Track 1 и Track 2Если хранить трек полностью (неважно, трек 1 или трек 2), то хакеры, которые получат эти данные, смогут воспроизвести и продавать данные карт по всемумиру.
Хранение всех данных трека также нарушает правила работы в платежных системах и может привести к штрафам. Ниже проиллюстрированаинформация о треке 1 и треке 2, описывающая различия и показывающая, что именно хранится на магнитной полосе.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 7PCI Data Security StandardПостроение и поддержание защищенной сетиТребование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных платежных картТребование 2: Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчаниюЗащита данных платежных картТребование 3: Должна быть обеспечена защита данных платежных карт при храненииТребование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользованияРеализация программы управления уязвимостямиТребование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечениеТребование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложенийРеализация мер по строгому контролю доступаТребование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостьюТребование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификаторТребование 9: Физический доступ к данным платежных карт должен быть ограниченРегулярный мониторинг и тестирование сетейТребование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных картТребование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасностиПоддержание политики информационной безопасностиТребование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудников и контрагентовCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 8Построение и поддержание защищенной сетиТребование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защиты данных платежныхкартМежсетевые экраны – это вычислительные устройства, контролирующие трафик, входящий в корпоративную сеть и исходящий из корпоративнойсети, а также трафик к внутренним критичным подсетям.
Межсетевой экран анализирует сетевой трафик и блокирует сетевые пакеты, которыене соответствуют определенным критериям безопасности.Все системы должны быть защищены от несанкционированного доступа из сети Интернет, вне зависимости от способа доступа – посредствомприложений электронной коммерции, доступа сотрудников компании к сети Интернет или электронной почте. В некоторых случаях казалось бынесущественные каналы исходящего и входящего интернет-трафика представляют собой незащищенные пути доступа к критичным системам.Межсетевые экраны являются основным механизмом защиты любой компьютерной сети.ТребованиеПояснение1.1 Должны быть реализованы стандарты конфигурирования Межсетевые экраны – это программное или аппаратное обеспечение, котороемежсетевых экранов, включающие следующее:блокирует нежелательный доступ в сеть.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
