481
PCI DSS и банкоматы: и все-таки – проверять или не проверять?
Очень часто от QSA-аудиторов можно слышать мнение, что при определении области аудита на соответствие стандарту PCI DSS необходимо включать в нее банкоматную сеть. В частности, данное мнение было высказано на конференции «Информационная безопасность банков PCI DSS Russia 2014» представителем российской компании, имеющей статус QSA.
По мнению QSA, терминальные устройства являются системными компонентами, как и сервер, рабочая станция, сетевое оборудование, со своими специфичными угрозами, а значит, АТМ – такой же системный компонент с точки зрения PCI DSS, как, например, POS-терминал.
Позиция QSA в данном случае весьма объяснима и при внешней заботе об интересах безопасности банковской инфраструктуры в действительности базируется на здоровой меркантильности: чем шире область аудита, тем больше объем работ и, как следствие, выше стоимость услуг по прохождению аудита. Однако хотелось бы сделать попытку объективно разобраться, действительно ли банкоматы входят в область аудита.
Начнем с первоисточников. У PCI SSC есть единственный документ, который непосредственно обращен к банкоматам.
Это «Information Supplement: ATM Security Guidelines». Но в самом документе при определении его области действия указано, что он не предназначен для использования в качестве требований для программы проверки соответствия PCI SSC1 .
Иными словами, документ носит исключительно рекомендательный характер и им нельзя руководствоваться ни при каких проверках на соответствие требованиям PCI. В данном документе обращает на себя внимание утверждение, что платежная отрасль нуждается в глобальном стандарте по обеспечению безопасности банкоматов, а PCI PTS и PCI PIN являются превосходными отправными точками для разработки необходимого стандарта. Но оба они применяются только для POS-терминалов, и возможность их применения для АТМ только рассматривается PCI SSC2 (Payment Card Industry Security Standards Council). Итак, на первый взгляд, получается, что никаких «обязывающих» документов в отношении банкоматов со стороны PCI SSC нет, в том числе в отношении такого рода устройств не подлежат обязательному исполнению PCI PTS и PCI PIN. Такой вывод звучит несколько парадоксально, учитывая, что в PCI PIN (Требования по безопасному управлению ПИН-кодами индустрии платежных карт, версия 1.0, сентябрь 2011) прямо указано: в документе содержится полный комплект требований (!) по безопасному управлению, обработке и передаче данных ПИН в процессе транзакции по платежной карте в режимах онлайн и офлайн в банкоматах и attended/ unattended POS-терминалах.
В свою очередь, стандарт PCI PTS (Payment Card Industry PIN Transaction Security Point of Interaction Modular Security Requirements Version 4.0 June 2013) предназначен, в том числе, для ПИН-падов, которые интегрируются в банкоматы. Правда, сам ATM Security Guidelines уточняет, что информация, предоставленная в нем, не заменяет и не отменяет требования в любом стандарте PCI SSC3 .
Может быть, какие-то разъяснения в отношении банкоматов даны на сайте самого Совета? Действительно, среди часто задаваемых вопросов4 имеется и вопрос5 о применении требований PCI DSS, PA-DSS или PTS к банкоматам6.
Совет (PCI SSC) поясняет, что определяет общие требования к обеспечению безопасности, а какие из них конкретно распространяется на АТМ – решают платежные системы. Чтобы определить, должны ли ATM проверяться на соответствие PCI DSS, PADSS или PTS, пожалуйста, непосредственно связывайтесь с платежными системами7.
Такая позиция Совета является разумной, так как реализация и контроль выполнения требований PCI осуществляется платежными системами.
Что же говорят по данному вопросу сами платежные системы? В частности, в одном из документов Visa8 спрашивается: какие требования PCI DSS относятся к поставщикам АТМ, владельцам АТМ и процессингам АТМ? 9 Интересно, что в данном случае не спрашивается, попадают ли банкоматы в область аудита. Так как требования PCI SSС состоят из различных документов, то на данный вопрос можно было бы ответить, что к поставщикам АТМ относятся требования PA-DSS, PTS, а к процессингам – PCI PIN. Однако ответ дается достаточно общий о том, что существует многообразие возможных вариантов поставки, использования и обслуживания АТМ, и в каждом конкретном случае Visa рекомендует обращаться к QSA, чтобы установить применимость PCI DSS к определенной среде10, для включения ее в область проверки. Т. е. речь идет только об одном документе: «Требования и процедуры аудита безопасности», и Visa рекомендует сделать то, что QSA-аудитор и так обязан делать: определить область аудита.
Входят ли в данную область банкоматы, Visa не говорит, т. е. требование как таковое остается не определенным ни PCI SSC, ни платежной системой. Вряд ли данный факт означает право QSA самостоятельно определять вхождение АТМ в область аудита, т.к. для QSA регулятором его работы является PCI SSC, который однозначно определил отсутствие у него требований к АТМ, а не Visa.
Еще один характерный вопрос данного документа: АТМ банка-эмитента входят в «scope» PCI DSS? 11
1 «2.1 Document Purpose and Scope. This document proposes guidelines to mitigate the effect of attacks to ATM aimed at stealing PIN and account data. These guidelines are neither definitive nor exhaustive and are not intended to be used as requirements for a validation program at the PCI SSC.»
2 «3.3 ATM Technical Standards. As organized global crime syndicates target ATMs, the financial industry needs a global ATM security standard to promote the availability of secure ATMs. The current versions of PCI PTS POI Security Requirements and PCI PIN Security Requirements are excellent starting points for these needed standards. However they are currently defined for POS terminals and their adjustment to ATMs is currently under consideration at the PCI SSC.»
3 «Information provided here does not replace or supersede requirements in any PCI SSC Standard.»
4 FAQs
5 Article Number: 1223
6 «Does PCI DSS, PA-DSS, or PTS apply to ATMs?»
7 «While the Payment Card Industry Security Standards Council (PCI SSC) manages the payment security standards and related programs, each payment brand is responsible for their own compliance programs, including who must comply with the different standards, due dates for compliance, fines, etc. To determine whether ATMs must validate PCI DSS, PA-DSS, or PTS compliance, please contact the payment brands directly.»
8 VISA BULLETIN 31 March 2011. Issuers’ Payment Card Industry Data Security Standard Frequently Asked Questions.
9 «2. Which of the PCI DSS requirements pertain to ATM vendors, ATM owners and ATM processors?
10 Regarding ATM provisioning or ATM servicing, there are many different service option configurations and managed services; each case may have a unique configuration. For each entity that deploys, services or provisions ATMs, Visa recommends contracting with an approved PCI Security Standards Council (SSC) Qualified Security Assessor (QSA) to determine the applicability of the PCI DSS requirements to the defined in-scope environment.»
11 «6. Are an issuing bank’s ATMs within the scope of the PCI DSS?»
