Стандарт PCI DSS 1_1 (1027417), страница 2
Текст из файла (страница 2)
Обычно такойпроцесс документирован.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 5оперативную память в качестве активной конфигурации при перезагрузке устройства)должны иметь одинаковую защищенную конфигурацию1.3.7 Блокирование любого входящего и исходящего трафика, не разрешенного явно1.3.8 Установку МЭ для организации защиты периметра между любыми беспроводными сетямии средой платежных карт и конфигурирование этих МЭ на блокирование любого трафикаиз беспроводных сетей или контроль этого трафика (если такой трафик необходим дляведения бизнеса)1.3.9 Установку персональных межсетевых экранов на все портативные и личные компьютерысотрудников, которые обладают возможностью прямого доступа к сети Интернет(например, на ноутбуки сотрудников) и используются для доступа к сети организации1.4 Должен быть запрещен прямой доступ из публичных внешних сетей к любым системнымкомпонентам, на которых выполняется хранение данных платежных карт (например, базамданных, журналам регистрации событий, файлам трассировки)1.4.1 Должна быть реализована зона DMZ для фильтрации и экранирования любого трафика изапрета прямых маршрутов для входящего и исходящего интернет-трафика1.4.2 Исходящий от приложений платежных карт трафик должен быть ограничен IP-адресамивнутри DMZ1.5 Для предотвращения раскрытия структуры внутренней адресации в сети Интернет долженосуществляться IP-маскарадинг и использоваться технологии, реализующие адресноепространство RFC 1918 – PAT (Port Address Translation) или NAT (Network Address Translation)Требование 2: Не должны использоваться параметры безопасности и системныепароли, установленные производителем по умолчаниюЗлоумышленники (внешние и внутренние) для компрометации систем часто используютпараметры безопасности и пароли, заданные производителем.
Эти параметры и пароли хорошоизвестны в хакерских сообществах и могут быть получены через открытые источникиинформации.2.1 До подключения системы к сети должны быть изменены параметры, заданные производителем поумолчанию, влияющие на защищенность (в том числе пароли, SNMP-строки, а также удаленынеиспользуемые учетные записи)2.1.1 Для беспроводных сред должны быть изменены значения, заданные производителем поумолчанию, включая (но не ограничиваясь) следующие параметры: WEP-ключи,идентификаторы сетей (SSID), пароли и SNMP-строки. Необходимо отключатьшироковещательную рассылку идентификаторов SSID и использовать технологии WPAили WPA2 для шифрования и аутентификации WPA-совместимых устройств2.2 Должны быть разработаны стандарты конфигурирования для всех системных компонентов,учитывающие все известные уязвимости и рекомендации по обеспечению безопасности систем(определенные, например, SysAdmin Audit Network Security Network (SANS), National Institute ofStandards Technology (NIST) и Center for Internet Security (CIS))2.2.1 На каждом сервере должна быть реализована только одна основная функция (например,web-сервер, сервер баз данных и DNS-сервер должны быть реализованы на различныхсерверах)2.2.2 Все ненужные и небезопасные сервисы и протоколы (сервисы и протоколы, неявляющиеся необходимыми для выполнения назначенных устройствам функций)должны быть отключены2.2.3 Параметры безопасности систем должны быть настроены для предотвращенияненадлежащего использования2.2.4 Должен быть удален весь избыточный функционал, например, скрипты, драйверы,функциональные возможности, подсистемы, файловые системы и неиспользуемые webсерверы2.3 Должно выполняться шифрование любого неконсольного административного доступа.
Дляуправления с помощью web-интерфейса и другого неконсольного административного доступадолжны использоваться такие технологии, как SSH, VPN или SSL/TLS2.4 Хостинг-провайдеры должны защищать среду размещения и данные каждой обслуживаемойорганизации. Хостинг-провайдеры должны соответствовать дополнительным требованиям,описанным в приложении А: «Применимость стандарта PCI DSS к хостинг-провайдерам»Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 6Защита данных платежных картТребование 3: Должна быть обеспечена защита данных платежных карт прихраненииШифрование является важнейшей составляющей защиты данных платежных карт.
В случаеобхода мер по защите сети и получения доступа к зашифрованным данным злоумышленник несможет узнать содержимое данных или воспользоваться ими без наличия корректныхкриптографических ключей. Также с целью уменьшения рисков должны рассматриваться и другиеэффективные методы защиты хранимых данных. Например, методы минимизации рискавключают: отказ от хранения данных платежных карт, если только это не являетсянеобходимостью, усечение данных платежных карт, если не требуется наличие полного номераPAN, и запрет отправки номеров PAN в незашифрованных сообщениях электронной почты.3.1 Хранение данных платежных карт должно быть сведено к минимуму. Должна быть разработанаполитика хранения и уничтожения данных платежных карт.
Также должен быть ограничен объемхранимой информации и период хранения так, как это необходимо исходя из требованийбизнеса, правовых и/или нормативных актов, и документировано в политике хранения данныхплатежных карт.3.2 Запрещено хранение критичных данных авторизации («sensitive authentication data») послепрохождения процедуры авторизации (даже в зашифрованном виде). К критичным даннымавторизации относятся данные, рассмотренные в требованиях 3.2.1–3.2.3:3.2.1 Запрещается хранить полное содержимое любого трека с магнитной полосы(расположенного, например, на оборотной стороне карты, в чипе или еще где-либо).
Этиданные также могут называться полным треком (full track), треком, первым треком (track1), вторым треком (track 2) или данными магнитной полосы.Для ведения бизнеса обычно требуется хранение следующих элементов данных смагнитной полосы: имя держателя счета, номер платежной карты (PAN), датаистечения срока действия и сервисный код. Для минимизации рисков должны хранитьсялишь те элементы данных, которые необходимы для ведения бизнеса. НИКОГДА недолжно выполняться хранение элементов Card Verification Code, или Card VerificationValue, или PIN verification value.Для получения дополнительной информации необходимо обратиться к документу «PCIDSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, andAcronyms).3.2.2 Запрещается хранить элементы card-validation code или value (трех- или четырехзначноечисло, напечатанное на карте), использующиеся для проверки транзакций,совершающихся в отсутствие карты.Для получения дополнительной информации необходимо обратиться к документу «PCIDSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, andAcronyms).3.2.3 Запрещается хранить PIN-коды или зашифрованные PIN-блоки3.3 Номера PAN при отображении должны маскироваться (максимальным количеством разрешенныхк отображению цифр являются первые шесть и последние четыре цифры).Данное требование не распространяется на сотрудников и иные стороны, которымнеобходимо видеть полный номер PAN для выполнения должностных обязанностей.
Онотакже не отменяет более строгие требования по отображению данных платежных карт(например, на чеках POS-терминалов).3.4 Номера PAN должны быть приведены к нечитаемому виду вне зависимости от места хранения(включая данные на портативных носителях, резервных копиях, в журналах, а также данные,полученные или сохраненные посредством беспроводных сетей) с помощью одного изперечисленных ниже способов:• стойкие односторонние хеш-функции (хешированные индексы);• усечение;• index token и PADs (PAD должны храниться в безопасности);• надежная криптография совместно с процессами и процедурами управления ключами.Из информации, относящейся к счету, ПО КРАЙНЕЙ МЕРЕ номер PAN должен бытьприведен к нечитаемому виду.Если по каким-либо причинам компания не может выполнять шифрование данных платежныхкарт, необходимо обратиться к приложению В: "Компенсационные меры".Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 73.4.1 При шифровании дисков (вместо шифрования на уровне файлов или на уровне полейбазы данных) логический доступ должен управляться независимо от встроенныхмеханизмов контроля доступа операционной системы (например, учетных записейлокальной системы или Active Directory).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
