Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 6
Текст из файла (страница 6)
Эти данные• входящие данные транзакцийтакже могут называться полным• журналы транзакцийтреком (full track), треком, первым• файлы историитреком (track 1), вторым треком• файлы трассировки(track 2) или данными магнитнойполосы.• журналы отладкиДля ведения бизнеса обычно• схемы баз данныхтребуется хранение следующих•содержимое баз данныхэлементов данных с магнитнойполосы: имя держателя счета,номер платежной карты (PAN),дата истечения срока действия исервисный код. Для минимизациирисков должны храниться лишь теэлементыданных,которыенеобходимы для ведения бизнеса.НИКОГДА не должно выполнятьсяхранениеэлементовCardVerificationCode,илиCardVerificationValue,илиPINverification value.Для получения дополнительнойинформациинеобходимообратиться к документу «PCI DSS:Термины,аббревиатурыиакронимы» (PCI DSS Glossary,Abbreviations, and Acronyms).3.2.2Запрещаетсяхранитьэлементы card-validation code илиvalue (трех- или четырехзначноечисло, напечатанное на карте),использующиеся для проверкитранзакций,совершающихсявотсутствие карты.Для получения дополнительнойинформациинеобходимообратиться к документу «PCI DSS:Термины,аббревиатурыиакронимы» (PCI DSS Glossary,Abbreviations, and Acronyms).Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности3.2.2 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа убедиться вотсутствии хранения при любых обстоятельствах трех- иличетырехзначного цифрового значения card-validation code(печатающегося на лицевой стороне карты или в полеподписи – данные CVV2, CVC2, CID, CAV2) в следующем:• входящие данные транзакций• журналы транзакций• файлы истории• файлы трассировки• журналы отладкиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 19Процедура тестирования/аудитаТребование••СоответствиеНесоответствиеДата устранения/комментарийсхемы баз данныхсодержимое баз данных3.2.3 Запрещается хранить PIN- 3.2.3 Для выборки системных компонентов, критичныхкоды или зашифрованные PIN- серверов и беспроводных точек доступа убедиться вотсутствии хранения при любых обстоятельствах PIN-кодов иблокишифрованных PIN-блоков в следующем:• входящие данные транзакций• журналы транзакций• файлы истории• файлы трассировки• журналы отладки• схемы баз данных• содержимое баз данных3.3 Номера PAN при отображениидолжнымаскироваться(максимальнымколичествомразрешенных к отображению цифрявляютсяпервыешестьипоследние четыре цифры).Данноетребованиенераспространяетсянасотрудников и иные стороны,которымнеобходимовидетьполный номер PAN для выполнениядолжностных обязанностей.
Онотакженеотменяетболеестрогиетребованияпоотображению данных платежныхкарт (например, на чеках POSтерминалов).3.3 Ознакомиться с документированными политиками, атакже проверить способ отображения данных платежныхкарт и убедиться, что номера платежных карт маскируютсяпри отображении, за исключением случаев, когдасотрудникам для выполнения должностных обязанностейнеобходим просмотр полных номеров платежных карт3.4 Номера PAN должны бытьприведены к нечитаемому виду внезависимости от места хранения(включая данные на портативныхносителях, резервных копиях, вжурналах,атакжеданные,полученныеилисохраненные3.4.а Просмотреть документацию о системе, использующейсядля защиты хранимых данных, включая производителя, типсистемы/процесса и алгоритмы шифрования (в случаеприменимости). Проверить выполнение приведения данных кнечитаемому виду с помощью одного из следующих методов:• одностороннеехеширование(хешированныеиндексы), такое как, например, SHA-1Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 20Процедура тестирования/аудитаТребованиепосредством беспроводных сетей)спомощьюодногоизперечисленных ниже способов:• стойкиеодносторонниехеш-функции(хешированные индексы)• усечение• index token и PADs (PADдолжныхранитьсявбезопасности)• надежнаякриптографиясовместно с процессами ипроцедурамиуправленияключамиИз информации, относящейся ксчету, ПО КРАЙНЕЙ МЕРЕ номерPAN должен быть приведен кнечитаемому виду.Если по каким-либо причинамкомпания не может выполнятьшифрование данных платежныхкарт, необходимо обратиться кПриложению В: "Компенсационныемеры".3.4.1 При шифровании дисков(вместо шифрования на уровнефайлов или на уровне полей базыданных) логический доступ долженуправлятьсянезависимоотвстроенных механизмов контролядоступа операционной системы(например,учетныхзаписейлокальной системы или ActiveDirectory).
Ключи дешифрования недолжныбытьпривязаныкпользовательскимучетнымзаписямCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности•••СоответствиеНесоответствиеДата устранения/комментарийусечение или маскированиеindex token и PADs (с обеспечением защищенногохранения PADs)надежная криптография, такая как, например, 3DES128 бит или AES 256 бит с процессами ипроцедурами управления ключами3.4.b Просмотреть несколько таблиц из выборки серверовбаз данных и удостовериться, что данные приведены кнечитаемому виду (т.е.
не хранятся в открытом виде)3.4.c Просмотреть выборку съемных носителей (например,резервные копии на магнитных лентах) и удостовериться, чтоданные платежных карт приведены к нечитаемому виду3.4.d Просмотреть выборку журналов регистрации событий иудостовериться в том, что данные платежных карт из нихвычищаются или удаляются3.4.e Удостовериться, что данные платежных карт,полученные из беспроводных сетей, приводятся кнечитаемому виду вне зависимости от того, где сохраняются3.4.1.a При использовании шифрования дисков проверить,что логический доступ к шифрованной файловой системереализован с помощью механизма, отличного от встроенногомеханизма контроля доступа операционной системы(например, без использования учетных записей локальнойсистемы или Active Directory)3.4.1.b Проверить, что не выполняется хранение ключейдешифрования на локальной системе (например, ключихранятся на флоппи-дисках, CD-ROM и т.
д., которыезащищены и могут быть получены только при наличиинеобходимости)Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 21ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарий3.4.1.c Проверить, что данные платежных карт на съемныхносителях шифруются всегда при выполнении хранения (пришифровании дисков обычно не выполняется шифрованиесъемных носителей)3.5 Ключи, использующиеся дляшифрования данных платежныхкарт, должны быть защищены отнесанкционированногоразглашения и ненадлежащегоиспользования:3.5 Убедиться следующим образом, что процессыобеспечениязащитыключей,использующихсяпришифровании данных платежных карт, защищают эти ключиот несанкционированного раскрытия и ненадлежащегоиспользования:3.5.1 Доступ к ключам должен бытьпредоставленминимальномуколичеству сотрудников, которымон необходим3.5.1 Просмотреть перечень пользователей, имеющих доступк криптографическим ключам, и удостовериться, что онсодержит минимальное количество сотрудников, которымэтот доступ необходим3.5.2Должновыполнятьсябезопасноехранениеключей.Количество мест хранения ключейдолжно быть минимизировано3.5.2 Проанализировать конфигурационные файлы систем ипроверить, что криптографические ключи хранятся взашифрованном виде, причем ключи для шифрованияключей хранятся отдельно от ключей для шифрованияданных3.6 Должны быть полностьюдокументированы и реализованывсепроцессыипроцедурыуправления ключами для ключей,использующихся при шифрованииданных платежных карт, включаяследующие:3.6.a Удостовериться в существовании основных процедуруправления ключами для ключей, использующихся пришифровании данных платежных карт3.6.b Только для сервис-провайдеров: Если сервиспровайдер использует ключи, применяющиеся при передачеданных платежных карт, совместно с клиентами, убедиться втом, что сервис-провайдер предоставляет клиентамруководство по защищенному хранению и замене клиентскихключей шифрования (использующихся при передаче данныхмежду клиентом и сервис-провайдером)3.6.c Изучить процедуры управления ключами и выполнитьследующее:3.6.1 Генерация стойких ключей3.6.1 Удостовериться, что в процедурах управления ключамитребуется генерация стойких ключей3.6.2 Безопасное распределение 3.6.2 Удостовериться, что в процедурах управления ключамиCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 22Процедура тестирования/аудитаТребованиеключей3.6.3ЗащищенноеключейНесоответствиеДата устранения/комментарийтребуется безопасное распределение ключейхранение 3.6.3 Удостовериться, что в процедурах управления ключамитребуется безопасное хранение ключей3.6.4Периодическаязаменаключей:• всоответствиисрекомендациямиинеобходимостью связанногоприложения(например,сменаключейшифрования);предпочтительноавтоматически• по крайней мере ежегодно3.6.5 УничтожениеключейСоответствие3.6.4 Удостовериться, что в процедурах управления ключамитребуется периодическая замена ключей.
Убедиться, чтоплановая замена ключей выполняется по крайней мереежегодноустаревших 3.6.5 Удостовериться, что в процедурах управления ключамитребуется уничтожение устаревших ключей3.6.6Разделениеключевойинформации между несколькимилицами и удвоенный контроль заключами(чтобыдлявосстановления ключа требовалосьприсутствие двух или трех человек,каждый из которых знает своючасть ключа)3.6.6 Удостовериться, что в процедурах управления ключамитребуется разделение ключевой информации междунесколькими лицами и двойной контроль за ключами (длятого чтобы для восстановления ключа требовалосьприсутствие двух или трех человек, каждый из которых знаетсвою часть ключа)3.6.7Предотвращение 3.6.7 Удостовериться, что в процедурах управления ключаминесанкционированнойподмены требуется предотвращение несанкционированной подменыключейключей3.6.8 Замена скомпрометированных 3.6.8 Удостовериться, что в процедурах управления ключамиилизаподозренныхв требуется замена скомпрометированных или заподозренныхкомпрометации ключейв компрометации ключей3.6.9Отзывистекшихнедействительных ключейили 3.6.9 Удостовериться, что в процедурах управления ключамитребуется отзыв истекших или недействительных ключей(преимущественно относится к RSA-ключам)3.6.10Требованиеподписания 3.6.10 Удостовериться, что в процедурах управлениясоглашениясотрудниками, ключами требуется необходимость подписания соглашенияответственными за хранение и лицами,ответственнымизаработусключевойCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 23ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийиспользование ключей, в котором информацией, в котором указывается, что они понимают иподтверждается, что они понимают принимают ответственность по обеспечению защиитыобязанностиипринимают ключейответственность по обеспечениюзащищенности ключейТребование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общегопользованияКритичная информация должна шифроваться при передаче по сетям, в которых велика вероятность перехвата, модификации и изменения маршрутаследования данных при их передаче.4.1 Для защиты критичных данныхплатежных карт при их передаче посетям общего пользования должнаиспользоватьсянадежнаякриптографияипротоколы,обеспечивающиезащитупередаваемых данных, например,SSL/TLS, IPSEC.Примерамисетейобщегопользования, которые находятся вобласти действия требованийстандарта PCI DSS, являютсяИнтернет, Wi-Fi (IEEE 802.11x),GSM и GPRS4.1.a Удостовериться в использовании шифрования(например, в использовании протоколов SSL/TLS или IPSEC)во всех случаях, когда выполняется передача или получениеданных платежных карт по сетям общего пользования:• Убедиться, что при передаче данных используетсянадежное шифрование• В случае применения SSL убедиться, что HTTPSявляется частью URL в браузере иданныеплатежных карт нигде не запрашиваются без защитысоединения с помощью SSL• Выбрать несколько транзакций по мере ихпоступления, пронаблюдать за их выполнением длятого, чтобы убедиться, что при передаче данныхплатежных карт выполняется их шифрование• Убедиться, что принимаются только доверенныеSSL/TLS ключи/сертификаты• Убедиться, что используется достаточная длинаключей, чтобы обеспечить надежное шифрование(проверитьвыполнениерекомендацийпроизводителя)4.1.1Передаваемыевбеспроводныхсетяхданныеплатежныхкартдолжнышифроваться с использованием4.1.1.a При использовании беспроводных сетей, передающихданные платежных карт или подключенных к среде данныхплатежных карт, убедиться, что применяются надежныеметоды шифрования при передаче данных в беспроводных5Прим.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
