курс цб на 19.10:
57.2721
67.3577

Хранение данных: взгляд сквозь призму PCI DSS

17 августа 2012 16:17 Количество просмотров82 просмотра


Рано или поздно любая структура, обрабатывающая или передаю­щая данные держателей платеж­ных карт, сталкивается с необходимостью соответствия стандарту PCI DSS. И одним из важнейших шагов к достижению соот­ветствия является защита хранимых дан­ных, ведь доступ к сохраненным данным может дать злоумышленнику наибольшее количество номеров карт (PAN).

Для начала нужно определиться, где хранить платежные данные. Если ваша инфраструктура уже функционирует на момент принятия решения о необходимо­сти соответствия PCI DSS, мест, где они хранятся на самом деле, оказывается го­раздо больше, чем достаточно для безо­пасного хранения критичных данных и ре­шения всех бизнес-задач. «Лишние» дан­ные обнаруживаются на серверах, исполь­зовавшихся ранее в других целях, или на рабочих станциях сотрудников, имеющих доступ к данным о картах и хранящих на своих компьютерах некоторые файлы для собственного удобства. Специфическое ПО (зачастую — собственной разработки) также иногда требует избыточного коли­чества мест хранения данных. Так что, хо­тя наличие схемы сети и понимание про­цессов передачи данных существенно помогают при подготовке инфраструктуры к соответствию, не стоит пренебрегать та­кими мерами, как сканирование всех сер­веров и рабочих станций, имеющих хоть какое-то отношение к обработке платеж­ных данных. Почти наверняка такое ска­нирование выявит несколько мест, где на­личие платежных данных удивит даже тех системных администраторов, которые знают об инфраструктуре все.

В результате получается два списка: места, где данные хранятся для решения бизнес-задач, и места, где их хранение обосновано слабо, а то и вовсе не обосно­вано. Разумеется, во втором случае необ­ходимо как можно скорее безопасно уда­лить данные, а носители промаркировать и безопасно уничтожить по окончании срока их использования.

Для тех мест, где хранение платежных данных действительно необходимо, нужно регламентировать методы защиты: в ряде случаев может оказаться, что номер карты достаточно хранить в усеченном (по правилу 6*4) виде, тогда можно обойтись без шифрования.

 Для мест хранения PAN также нужно определиться с необходимостью резервного копирования данных. В зависимости от этого рекомендуется выбрать метод шифрования. Несмотря на то, что для большей безопасности данных рекомендуется использовать отдельный механизм шифрования для создания резервных копий, для достижения соответствия PCI DSS достаточно только одного уровня шифрования. Таким образом, если использовать шифрование на уровне файлов или таблиц БД, можно сэкономить ресурсы при создании резервных копий. В случае организации шифрования на уровне диска и резервного копирования на уровне файлов придется использовать отдельные механизмы шифрования, так как файлы будут попадать на резервный носитель нешифрованными.

Стоит отметить, что необходимо шифровать данные во всех случаях, когда они записаны на энергонезависимый носитель – даже если сразу после записи файлы с платежными данными шифруются, а нешифрованные оригиналы удаляются, или если нешифрованные файлы просто удаляются через несколько секунд после создания. Из-за специфики работы жестких дисков через какое-то время на носителе с такими файлами может оказаться огромное количество помеченных как удаленные, но не удаленных на самом деле файлов, восстановить которые не составит никакого труда для злоумышленников.

В случае использования усечения по правилу 6*4 для хранения PAN следует избегать использования простого шифрования, если возможно сопоставить зашифрованный и усеченный PAN: злоумышленник сможет без особых усилий вычислить полный номер карты.

Если хранить PAN в обоих видах и иметь возможность сопоставления его значений все же необходимо, рекомендуется использовать «соль» (добавление к PAN строки случайных данных перед шифрованием). Впрочем, использование «соли» для шифрования отдельных PAN – хорошая практика в любой системе. Если для хранения или передачи платежных данных используются переносные носители, рекомендуется использовать шифрование на уровне всего диска: таким образом, злоумышленник, получивший доступ к носителю, не сможет получить доступ ни к самим данным, ни даже к структуре файлов, их содержащих.

Самым небезопасным носителем платежных данных, тем не менее, являются бумажные документы. В распечатанном виде платежные данные нередко бывают нужны для проведения ряда операций, например, chargeback. Несмотря на то, что по плотности размещенной информации бумажные носители уступают электронным носителям, их доступность гораздо выше, и они также представляют немалый интерес для злоумышленников. К сожалению, зачастую необходимость соответствия PCI DSS воспринимается как исключительно IT-проект, и сам факт наличия платежных данных в бумажном виде может выясниться только в момент сертификации, что может привести к ряду негативных последствий для организации.

Следует помнить, что для хранения бумажных носителей с платежными данными надо применять не меньшие (а то и большие, хотя для соответствия PCI DSS это не обязательно) меры безопасности, чем к электронным носителям: хранить их необходимо в сейфах, доступ во все помещения, где они могут находиться, должен быть ограничен, а инструкции персонала, работающего с подобными документами, должны отдельно учитывать специфику носителя. Например, сотрудник может перепутать стопки документов на своем столе и отдать распечатанные номера карт другому сотруднику – не имеющему допуска и, возможно, работающему вообще в другом подразделении.

В заключение стоит отметить, что если во время аудита на компьютере сотрудника будет обнаружен файл с номером карты, принадлежащей самому этому сотруднику, – это, конечно, не будет прямым нарушением требований стандарта PCI DSS. Однако у аудитора может появиться ряд дополнительных вопросов, касающихся ответственности сотрудника и его отношения к информационной безопасности.




В рубриках:
Журнал ПЛАС № 2 (178) 2012
Лента новостей
Журнал ПЛАС № 2 (1 ...
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1160 просмотров
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 227 просмотров
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 842 просмотра
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 509 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1088 просмотров