17 августа 2012, 16:17
Количество просмотров 476

Управление соответствием PCI DSS. Часть I.

  Индустрия, стандарт и сертификация Сергей Шустиков, генеральный директор компании Deiteriy, CISA, PCI QSA, PCI PA-QSA Годы внедрения стандарта PCI DSS в...
Управление соответствием PCI DSS. Часть I.

 

Индустрия, стандарт и сертификация

Сергей Шустиков,

Годы внедрения стандарта PCI DSS в России уже принесли свои плоды в виде наличия сертифицированных инфраструктур компаний - участников платежного процесса. Однако, как и любая другая предметная область, за прошедшие годы тематика PCI DSS обросла множеством нетривиальных вопросов. Решив, что пришло время да них ответы, мы предлагаем читателям цикл из трех статей Сергея Шустикова, генерального директора компании Deiteriy, на тему «Управление соответствием PCI DSS». В этом номере журнала представлена первая статья, посвященная обзору индустрии платежных карт и системе сертификации PCI DSS. Для профессионалов отрасли некоторые моменты покажутся очевидными, однако нашей целью является представление читателю целостного описания.

Индустрия платежных карт: кто есть кто.
Для приведения к общему знаменателю терминологии и основных понятий, о которых пойдет речь в цикле статей, посвященном управлению соответствием требованиям стандарта PCI DSS, вначале предлагаем краткий «ликбез» на тему «кто есть кто в платежной индустрии с точки зрения PCI DSS». Большая часть информации в этом обзоре, без сомнения, является очевидной для многих читателей. 

Международные платежные системы (МПС) Visa и MasterCard представляют собой, в числе прочего, сообщества банков-эмитентов, выпускающих платежные карты, и банков-эквайеров, принимающих платежные транзакции по этим картам. Банки имеют различные уровни участия в платежных системах и делятся на принципалов и аффилированных членов.  

Платежные транзакции из магазинов и других торговых точек могут идти к банкам-эквайерам напрямую либо через платежные шлюзы. Все участники индустрии платежных карт с точки зрения международных платежных систем делятся на две категории – торгово-сервисные предприятия, они же мерчанты, и поставщики услуг. Мерчанты – все участники рынка, которые принимают платежные карты в оплату за товары или услуги. Примерами таких компаний являются розничные и интернет-магазины, рестораны, парикмахерские, автозаправочные станции и т.д. Поставщики услуг – все участники рынка, которые предоставляют сервис (чаще всего в сфере информационных технологий), способствующий выполнению платежных транзакций. Это банки, платежные шлюзы, датацентры, поставщики услуг эмиссии карт и прочие организации, обслуживающие платежный процесс. Структура индустрии наглядно представлена на рис. 1. 

Следует помнить, что международные платежные системы возлагают всю ответственность за обеспечение безопасности данных в индустрии платежных карт на банки-эквайеры. Они ответственны за безопасность карточных данных, поступающих к ним от нижестоящих организаций – мерчантов и поставщиков услуг. Т. е. за утечку перечня номеров карт в информационной инфраструктуре магазина ответственность перед международными платежными системами понесет банк-эквайер. Существуют механизмы переноса ответственности в индустрии платежных карт, например применение технологии 3-D Secure, однако здесь следует различать ответственность за мошеннические транзакции и ответственность за утечку карточных данных. 

Сергей Шустиков, генеральный директор Deiteriy, CISA, PCI QSA, PCI PA-QSA. Занимается исследовательской деятельностью в области системного анализа в сфере информационных технологий. В область профессиональных интересов входят вопросы разработки и оптимизации бизнес-процессов. В консультационном бизнесе с 2007 года, до этого работал с платежными технологиями в организациях финансовой сферы. Имеет практический опыт проведения аудитов информационной безопасности. Преподает ряд специальных дисциплин студентам высших учебных заведений.

Управление соответствием PCI DSS. Часть I. - рис.1Управление соответствием PCI DSS. Часть I. - рис.2

Стандарты PCI DSS  и PCI PA-DSS 

Объединив усилия в борьбе с нарушениями безопасности платежных транзакций, международные платежные системы создали в 2006г. общий международный регулирующий орган (совет) в сфере безопасности платежных карт – PCI Security Standards Council (PCI SSC). На эту организацию возложены задачи развития стандартов PCI DSS, PCI PA-DSS и PCI PTS, а также обучения, сертификации и контроля качества работы аудиторов безопасности – QSA-аудиторов.

 Все годы существования стандартов ведется дискуссия на тему, является ли стандартизация правил обеспечения информационной безопасности по принципу «контрольной карты», то есть перечня конкретных мер, оптимальным способом защиты карточных данных или же это излишняя формальность. Ведь существует положительно зарекомендовавший себя риск-ориентированный подход, при котором нет предустановленного заранее перечня мер, а есть правило регулярного выполнения оценки актуальных угроз и выявления уязвимостей защищаемой системы.

 Решение дилеммы состоит в том, что стандартизация перечня конкретных мер по примеру PCI DSS полезна на том уровне «созревания» системы обеспечения информационной безопасности. Т. е. тогда, когда риск-ориентированная система менеджмента еще не выполнила достаточное количество итераций цикла «Анализ рисков – внедрение контрмер – оценка – корректировка», чтобы сформировать эффективную защиту. Стандарт PCI DSS применим к организациям, обрабатывающим, хранящим и передающим данные о держателях карт. Забегая вперед, необходимо уточнить, что интернетмагазины, не обрабатывающие номера карт на своем сайте, а пересылающие клиента на сайт аутсорсера – платежного шлюза – для выполнения оплаты, тоже подпадают под сертификацию по PCI DSS. Однако с точки зрения способа подтверждения соответствия к ним применим наиболее простой опросный лист (SAQ) типа «А», содержащий всего 13 проверочных процедур из 288, имеющихся в стандарте PCI DSS версии 2.0. 

Объектом применения родственного стандарта PA-DSS в отличие от PCI DSS является конкретное платежное приложение, разрабатываемое для продажи неограниченному кругу конечных пользователей – участников индустрии платежных карт. Примерами таких приложений являются программные модули POS-терминалов, авторизационные приложения, а также иные коробочные решения для обработки карточных транзакций. 

С июля 2012 г. согласно требованиям Visa и MasterCard мерчанты обязаны использовать только сертифицированные по стандарту PA-DSS платежные приложения. Контроль над выполнением этого требования возложен на банки-эквайеры. Существует перечень из 13 вопросов, которые позволяют более точно сказать, попадает приложение под программу сертификации по PA-DSS или нет. Этот документ доступен на официальном сайте PCI SSC.

Управление соответствием PCI DSS. Часть I. - рис.3

Внедрение PCI DSS 

Классический проект по внедрению стандарта PCI DSS в организации обычно состоит из следующих этапов:

 • анализ исходного уровня соответствия; • приведение к требуемому уровню соответствия;

 • подтверждение соответствия;

 • поддержка соответствия. 

Любой из этих этапов может быть выполнен как самостоятельно организацией, так и привлеченным консультантом. Единственное действие, которое не может быть выполнено самостоятельно, – внешний сертификационный аудит (если таковой требуется для организации). 

Оптимальным и наиболее часто применяемым на практике вариантом является такой, когда часть работ выполняется самой организацией, а часть отдается на аутсорсинг внешнему консультанту. 

Схема такого проекта приведена на рис. 2. Работы по исходной оценке соответствия и разработке рекомендаций по выполнению требований стандарта осуществляет привлеченный консультант, а непосредственное внедрение изменений в информационные системы осуществляют системные администраторы организации-заказчика. При этом консультант оказывает поддержку и подготавливает сопроводительную документацию, необходимую для сертификации. Затем следуют итоговые проверки защищенности информационной инфраструктуры и процедура подтверждения соответствия стандарту.

 Отдельно следует рассмотреть варианты подтверждения соответствия стандарту PCI DSS. Для участников индустрии платежных карт существуют три способа подтвердить соответствие: внешний аудит, внутренний аудит и заполнение листа самооценки.

 Внешний аудит выполняет сотрудник внешней аудиторской организации (Quaified Security Assessor, QSA), сертифицированной PCI SSC. Внутренний аудит проводит собственный аудитор компании (Internal Security Assessor, ISA), прошедший обучение и сертифицированный по программе PCI SSC. 

Третий вариант подтверждения выполняется самостоятельно сотрудниками организации путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). Правила, регулирующие, каким именно способом подтверждается соответствие стандарту, определяются международными платежными системами индивидуально для разных видов мерчантов и поставщиков услуг, но могут быть переопределены банками-эквайерами. Актуальная версия правил в общем виде всегда доступна на официальных сайтах международных платежных систем. 

Следует отметить, что форма листа самооценки SAQ бывает нескольких типов (A, B, C, C-VT, D), а выбор типа листа зависит от специфики обработки карточных данных в организации. Схема применимости различных вариантов подтверждения соответствия приведена в таблице 1.

 На страницах следующего номера мы рассмотрим вопросы определения области применимости PCI DSS в информационной инфраструктуре организации, методы уменьшения этой области с целью снижения расходов на внедрение стандарта, а также ответим на вопрос, подлежит ли сертификационному аудиту процесс эмиссии платежных карт.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube