Jump to content

Стандарт безопасности данных индустрии платежных карт

(Перенаправлено с PCI-DSS )

Стандарт безопасности данных индустрии платежных карт ( PCI DSS ) — это стандарт информационной безопасности, используемый для обработки кредитных карт основных брендов . Стандарт администрируется Советом по стандартам безопасности индустрии платежных карт , и его использование предписано брендами карт. Он был создан для лучшего контроля данных держателей карт и предотвращения мошенничества с кредитными картами . Проверка соответствия осуществляется ежегодно или ежеквартально методом, подходящим для объема транзакций: [1]

У основных брендов карточек было пять различных программ безопасности:

Намерения каждого из них были примерно одинаковыми: создать дополнительный уровень защиты эмитентов карт, гарантируя, что продавцы соблюдают минимальный уровень безопасности при хранении, обработке и передаче данных о держателях карт. Чтобы решить проблемы совместимости существующих стандартов, совместные усилия основных организаций, выпускающих кредитные карты, привели к выпуску версии 1.0 PCI DSS в декабре 2004 года. [ нужна ссылка ] PCI DSS внедрен и соблюдается во всем мире.

Затем был сформирован Совет по стандартам безопасности индустрии платежных карт (PCI SSC), и эти компании согласовали свою политику с целью создания PCI DSS. [2] MasterCard, American Express, Visa, JCB International и Discover Financial Services учредили PCI SSC в сентябре 2006 года в качестве административного и управляющего органа, который отвечает за эволюцию и развитие PCI DSS. [3] Независимые частные организации могут участвовать в разработке PCI после регистрации. Каждая участвующая организация присоединяется к SIG (группе специальных интересов) и вносит свой вклад в деятельность, санкционированную этой группой. Доступны следующие версии PCI DSS: [4]

Версия Дата Примечания
1.0 15 декабря 2004 г.
1.1 сентябрь 2006 г. уточнения и небольшие правки
1.2 октябрь 2008 г. повышенная ясность, повышенная гибкость и устранение возникающих рисков и угроз.
1.2.1 июль 2009 г. незначительные исправления, призванные обеспечить большую ясность и последовательность стандартов и сопроводительных документов.
2.0 октябрь 2010 г.
3.0 ноябрь 2013 г. активен с 1 января 2014 г. по 30 июня 2015 г.
3.1 апрель 2015 г. на пенсии с 31 октября 2016 г.
3.2 апрель 2016 г. на пенсии с 31 декабря 2018 г.
3.2.1 май 2018 г. на пенсии с 31 марта 2024 г.
4.0 март 2022 г. обновленная терминология межсетевого экрана, расширение Требования 8 для реализации многофакторной аутентификации (MFA), повышенная гибкость для демонстрации безопасности и целенаправленный анализ рисков для организации работы и управления рисками. [5]

Требования

[ редактировать ]

PCI DSS содержит двенадцать требований к соответствию, сгруппированных в шесть связанных групп, известных как цели контроля: [6]

  1. Создавать и поддерживать безопасную сеть и системы
  2. Защитите данные держателей карт
  3. Поддерживать программу управления уязвимостями
  4. Внедрить строгие меры контроля доступа
  5. Регулярно отслеживайте и тестируйте сети
  6. Поддерживать политику информационной безопасности

В каждой версии PCI DSS эти шесть групп требований разделены по-разному, но двенадцать требований не изменились с момента появления стандарта. Каждое требование и подтребование разделено на три раздела:

  1. Требования PCI DSS: Определите требование. Одобрение PCI DSS осуществляется после реализации требования.
  2. Тестирование: процессы и методологии, выполняемые оценщиком для подтверждения надлежащего внедрения.
  3. Руководство: объясняет цель требования и соответствующее содержание, что может помочь в его правильном определении.

В версии 3.2.1 PCI DSS двенадцать требований:

  1. Установите и поддерживайте систему межсетевого экрана для защиты данных держателей карт.
  2. Избегайте использования настроек по умолчанию для системных паролей и других параметров безопасности, предоставленных поставщиком.
  3. Защитите сохраненные данные держателей карт.
  4. Шифруйте передачу данных о держателях карт в открытых общедоступных сетях.
  5. Защитите все системы от вредоносного ПО и обновите антивирусное программное обеспечение или программы.
  6. Разрабатывать и поддерживать безопасные системы и приложения.
  7. Ограничьте доступ к данным о держателях карт в соответствии с потребностями бизнеса .
  8. Идентификация и аутентификация доступа к компонентам системы.
  9. Ограничьте физический доступ к данным держателей карт.
  10. Отслеживайте и контролируйте доступ к сетевым ресурсам и данным держателей карт.
  11. Регулярно тестируйте системы и процессы безопасности.
  12. Поддерживать политику информационной безопасности, которая обеспечивает информационную безопасность для всего персонала.

Обновления и дополнительная информация

[ редактировать ]

PCI SSC (Совет по стандартам безопасности индустрии платежных карт) опубликовал дополнительную информацию для разъяснения требований, которая включает в себя:

  • Информационное дополнение: Требование 11.3 Тестирование на проникновение
  • Информационное дополнение: разъяснено требование 6.6 «Проверки кода и брандмауэры приложений»
  • Навигация по PCI DSS: понимание сути требований
  • Рекомендации PCI DSS по беспроводной связи [7]
  • Применимость PCI DSS в среде EMV
  • Приоритетный подход к PCI DSS
  • Инструмент приоритетного подхода
  • Краткое справочное руководство PCI DSS
  • Рекомендации по виртуализации PCI DSS
  • Рекомендации по токенизации PCI DSS
  • Рекомендации по оценке рисков PCI DSS 2.0
  • Жизненный цикл изменений в PCI DSS и PA-DSS
  • Руководство по определению объема и сегментации PCI DSS
  • Центр ресурсов PCI DSS v4.0 [8]

Уровни отчетности

[ редактировать ]

Компании, на которых распространяются стандарты PCI DSS, должны соответствовать требованиям PCI; то, как они доказывают и сообщают о своем соблюдении, зависит от годового количества транзакций и способа их обработки. Эквайер или платежный бренд может вручную перевести организацию на уровень отчетности по своему усмотрению. [9] Уровни торговца:

  • Уровень 1 – Более шести миллионов транзакций ежегодно.
  • Уровень 2 – От одного до шести миллионов транзакций.
  • Уровень 3 – от 20 000 до одного миллиона транзакций и все продавцы электронной коммерции.
  • Уровень 4 – Менее 20 000 транзакций

Каждый эмитент карт ведет таблицу уровней соответствия и таблицу поставщиков услуг. [10] [11]

Проверка соответствия

[ редактировать ]

Проверка соответствия включает оценку и подтверждение того, что меры и процедуры безопасности реализованы в соответствии с PCI DSS. Валидация происходит посредством ежегодной оценки, проводимой либо внешней организацией, либо путем самооценки. [12]

Отчет о соответствии

[ редактировать ]

Отчет о соответствии (ROC) составляется квалифицированным оценщиком безопасности PCI (QSA) и предназначен для независимой проверки соответствия организации стандарту PCI DSS. В результате завершения ROC выдается два документа: шаблон отчета ROC с подробным объяснением завершенного тестирования и Свидетельство о соответствии (AOC), подтверждающее прохождение ROC, а также общее заключение ROC.

Анкета для самооценки

[ редактировать ]

Анкета для самооценки PCI DSS (SAQ) — это инструмент проверки, предназначенный для малых и средних торговцев и поставщиков услуг для оценки их собственного статуса соответствия PCI DSS. Существует несколько типов опросных листов, каждый из которых имеет разную длину в зависимости от типа организации и используемой модели оплаты. На каждый вопрос опросного листа можно дать ответ «да» или «нет», а любой ответ «нет» требует от организации указать его будущую реализацию. Как и в случае с ROC, также проводится аттестация соответствия (AOC) на основе SAQ.

Эксперты по безопасности

[ редактировать ]

Совет по стандартам безопасности PCI поддерживает программу сертификации компаний и частных лиц для выполнения оценочной деятельности.

Квалифицированный оценщик безопасности

[ редактировать ]

Квалифицированный оценщик безопасности (QSA) — это лицо, сертифицированное Советом по стандартам безопасности PCI для подтверждения соответствия другой организации PCI DSS. QSA должны наниматься и спонсироваться компанией QSA, которая также должна быть сертифицирована Советом по стандартам безопасности PCI. [13] [14]

Эксперт внутренней безопасности

[ редактировать ]

Оценщик внутренней безопасности (ISA) — это человек, который получил сертификат Совета по стандартам безопасности PCI для своей организации-спонсора и может проводить самооценку PCI для своей организации. Программа ISA была разработана, чтобы помочь продавцам уровня 2 соответствовать требованиям проверки соответствия Mastercard. [15] Сертификация ISA дает возможность человеку проводить оценку своей ассоциации и предлагать решения по обеспечению безопасности и средства контроля для соответствия PCI DSS. ISA отвечают за сотрудничество и участие с QSA. [12]

Соответствие и проверка соответствия

[ редактировать ]

Хотя PCI DSS должен быть внедрен всеми организациями, которые обрабатывают, хранят или передают данные о держателях карт, формальная проверка соответствия PCI DSS не является обязательной для всех организаций. Visa и Mastercard требуют, чтобы торговцы и поставщики услуг прошли проверку в соответствии с PCI DSS; Visa также предлагает Программу технологических инноваций (TIP), альтернативную программу, которая позволяет квалифицированным продавцам прекратить ежегодную проверку соответствия PCI DSS. Продавцы имеют право на участие в программе, если они принимают альтернативные меры предосторожности против мошенничества, такие как использование EMV или двухточечного шифрования .

Банки-эмитенты не обязаны проходить проверку PCI DSS, хотя они должны защищать конфиденциальные данные в соответствии с требованиями PCI DSS. Банки-эквайеры должны соблюдать требования PCI DSS и подтверждать свое соответствие в ходе аудита . В случае нарушения безопасности любая скомпрометированная организация, которая не соответствовала стандарту PCI DSS на момент нарушения, может быть подвергнута дополнительным штрафам (например, штрафам) со стороны брендов карт или банков-эквайеров.

Законодательство в США

[ редактировать ]

Соответствие PCI DSS не требуется федеральным законодательством США , однако законы некоторых штатов напрямую ссылаются на PCI DSS или содержат аналогичные положения. Ученые-правоведы Эдвард Морс и Васант Раваль заявили, что, закрепив соответствие PCI DSS в законодательстве, карточные сети перераспределили издержки мошенничества с эмитентов карт на торговцев. [16] В 2007 году Миннесота приняла закон, запрещающий хранить некоторые типы данных платежных карт более 48 часов после авторизации транзакции. [17] [18] Два года спустя Невада включила этот стандарт в закон штата, требуя от торговцев, ведущих бизнес в этом штате, соблюдения действующего стандарта PCI DSS и защищая соответствующие организации от ответственности. Закон штата Невада также позволяет торговцам избегать ответственности по другим утвержденным стандартам безопасности. [19] [16] В 2010 году Вашингтон также включил этот стандарт в закон штата. В отличие от закона штата Невада, организации не обязаны соответствовать требованиям PCI DSS; однако соответствующие организации защищены от ответственности в случае утечки данных. [20] [16]

Споры и критика

[ редактировать ]

Visa и Mastercard налагают штрафы за несоблюдение требований. Стивен и Теодора «Сисси» МакКомб, владельцы ресторана и ночного клуба Cisero's Ristorante и ночного клуба в Парк-Сити, штат Юта , были оштрафованы за нарушение, по которому две криминалистические фирмы не смогли найти доказательств:

МакКомбы утверждают, что система PCI — это не столько система защиты данных карт клиентов, сколько система получения прибыли карточными компаниями посредством штрафов и пеней. Visa и MasterCard налагают штрафы на торговцев даже тогда, когда потерь от мошенничества вообще нет, просто потому, что штрафы «им выгодны», говорят Маккомбы. [21]

Майкл Джонс, ИТ-директор компании Michaels , дал показания перед подкомитетом Конгресса США по поводу PCI DSS:

[Требования PCI DSS] очень дороги в реализации, запутаны в соблюдении и в конечном итоге субъективны как в их интерпретации, так и в их исполнении. Часто утверждается, что существует только двенадцать «Требований» для соответствия PCI. Фактически существует более 220 подтребований; некоторые из них могут стать непомерным бременем для розничного продавца , а многие из них подлежат интерпретации . [22]

PCI DSS может заставить компании уделять больше внимания ИТ-безопасности, даже если минимальных стандартов недостаточно для устранения проблем безопасности. Брюс Шнайер высказался в пользу стандарта:

Регулирование — SOX, HIPAA , GLBA, PCI индустрии кредитных карт, различные законы о раскрытии информации, Европейский закон о защите данных и т. д. — было лучшим инструментом, которым отрасль нашла способ бить компании по голове. И это работает. Регулирование заставляет компании более серьезно относиться к безопасности и продавать больше продуктов и услуг. [23]

Генеральный менеджер Совета PCI Боб Руссо ответил на возражения Национальной федерации розничной торговли :

[PCI представляет собой структурированное] сочетание... [] специфики и концепций высокого уровня, [что позволяет] заинтересованным сторонам возможность и гибкость работать с квалифицированными оценщиками безопасности (QSA) для определения соответствующих мер безопасности в своей среде, которые соответствуют целям стандарты PCI. [24]

Директор по корпоративным рискам Visa Эллен Ричи заявила в 2018 году: «Пока не обнаружено, что ни одна скомпрометированная организация соответствовала PCI DSS на момент взлома». [25] Однако в 2008 году взлом Heartland Payment Systems (подтвержденной как PCI DSS) привел к компрометации ста миллионов номеров карт. Примерно в то же время Hannaford Brothers и компании TJX (также сертифицированные как соответствующие PCI DSS) подверглись аналогичному взлому в результате предположительно скоординированных усилий Альберта Гонсалеса и двух неназванных российских хакеров. [26]

Оценки проверяют соответствие продавцов и поставщиков услуг требованиям PCI DSS в определенный момент времени, часто используя выборку , чтобы продемонстрировать соответствие репрезентативным системам и процессам. Продавец и поставщик услуг несет ответственность за достижение, демонстрацию и поддержание соответствия требованиям на протяжении всего ежегодного цикла проверки и оценки всех систем и процессов. Нарушения могли быть вызваны нарушением соблюдения продавцом и поставщиком услуг письменного стандарта; Hannaford Brothers получила подтверждение соответствия PCI DSS через день после того, как ей стало известно о двухмесячной компрометации ее внутренних систем.

Проверка соответствия требуется только для продавцов уровней с 1 по 3 и может быть необязательной для уровня 4, в зависимости от марки карты и эквайера. В соответствии с деталями проверки соответствия Visa для продавцов, требования проверки соответствия продавцам уровня 4 («Продавцы обрабатывают менее 20 000 транзакций электронной коммерции Visa в год, а все остальные продавцы обрабатывают до 1 миллиона транзакций Visa в год») устанавливаются эквайером . Более 80 процентов компрометаций платежных карт в период с 2005 по 2007 год затронуло торговцев 4-го уровня, которые обработали 32 процента всех таких транзакций. [ нужна ссылка ]

См. также

[ редактировать ]
  1. ^ «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано (PDF) оригинала 1 сентября 2018 г. Проверено 4 сентября 2018 г.
  2. ^ Лю, Цзин; Сяо, Ян; Чен, Хуэй; Оздемир, Суат; Додл, Шринивас; Сингх, Викас (2010). «Обзор стандартов безопасности данных индустрии платежных карт». Опросы и учебные пособия IEEE по коммуникациям . 12 (3): 287–303. дои : 10.1109/SURV.2010.031810.00083 . S2CID   18117838 .
  3. ^ "О нас" . Совет по стандартам безопасности PCI . Архивировано из оригинала 2 апреля 2022 года . Проверено 15 декабря 2022 г.
  4. ^ «Библиотека документов» . Совет по стандартам безопасности PCI. Архивировано из оригинала 7 ноября 2020 года . Проверено 12 ноября 2020 г.
  5. ^ «Обеспечение будущего платежей: PCI SSC публикует стандарт безопасности данных PCI v4.0» . Совет по стандартам безопасности PCI. 31 марта 2022 года. Архивировано из оригинала 9 апреля 2022 года . Проверено 8 апреля 2022 г.
  6. ^ «Краткое справочное руководство PCI DSS» (PDF) . Архивировано (PDF) из оригинала 12 ноября 2020 г. Проверено 12 ноября 2020 г.
  7. ^ «Информационное приложение: Рекомендации PCI DSS по беспроводной связи» (PDF) . 26 августа 2011 г. Архивировано (PDF) из оригинала 31 октября 2018 г. . Проверено 8 августа 2018 г.
  8. ^ «Центр ресурсов PCI DSS v4.0» . Архивировано из оригинала 23 марта 2023 года . Проверено 24 марта 2023 г.
  9. ^ «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Архивировано из оригинала 2 сентября 2019 года . Проверено 21 февраля 2007 г.
  10. ^ «Виза в Европу» . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
  11. ^ «Что необходимо знать продавцам | Обработка платежных данных и защищенные транзакции | Mastercard» . www.mastercard.us . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
  12. ^ Jump up to: а б Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано из оригинала 19 июля 2023 года . Проверено 4 сентября 2018 г.
  13. ^ «Квалифицированные оценщики безопасности» . Совет по стандартам безопасности PCI. Архивировано из оригинала 18 мая 2023 года . Проверено 18 мая 2023 г.
  14. ^ «Квалификационные требования к квалифицированным оценщикам безопасности (QSA)» (PDF) . Совет по стандартам безопасности PCI.
  15. ^ «Не платите за сертификацию PCI, которая вам не нужна» . FierceRetail . 12 мая 2010 г. Архивировано из оригинала 17 мая 2022 г. Проверено 26 марта 2018 г.
  16. ^ Jump up to: а б с Эдвард А. Морс; Васант Раваль, Частные заказы в свете закона: достижение защиты потребителей посредством мер безопасности платежных карт. Архивировано 6 августа 2020 г., в журнале Wayback Machine DePaul Business & Commercial Law Journal 10, вып. 2 (зима 2012 г.): 213–266.
  17. ^ Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности обеспечивать должную заботу о безопасности данных. Архивировано 6 августа 2020 г., в Wayback Machine. Обзор закона Уильяма Митчелла 34, вып. 3 (2008): 1115-1146.
  18. ^ «МИНН. СТАТ. § 325Е.64» . Архивировано из оригинала 10 октября 2019 года . Проверено 10 октября 2019 г.
  19. ^ «NEV. REV. STAT. § 603A.215» . Архивировано из оригинала 1 октября 2019 года . Проверено 10 октября 2019 г.
  20. ^ «Законы Вашингтонской сессии 2010 г., 1055, § 3» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г. Проверено 10 октября 2019 г.
  21. ^ Зеттер, Ким (11 января 2012 г.). «Редкая судебная тяжба касается стандартов безопасности и штрафов компаний, выпускающих кредитные карты» . Проводной . Проверено 30 марта 2019 г.
  22. ^ «Снижают ли стандарты данных индустрии платежных карт киберпреступность? Слушания в подкомитете по новым угрозам, кибербезопасности, науке и технологиям Комитета внутренней безопасности Палаты представителей, Сто одиннадцатый Конгресс, первая сессия, 31 марта 2009 г.» . ГПО. 31 марта 2009 года. Архивировано из оригинала 30 марта 2019 года . Проверено 30 марта 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  23. ^ «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности» . Шнайер по безопасности. 15 января 2008 г. Архивировано из оригинала 3 марта 2019 г. Проверено 8 марта 2019 г.
  24. ^ «Может ли соблюдение требований PCI нанести ущерб вашей инициативе в области безопасности?» . www.brighttalk.com . Архивировано из оригинала 18 апреля 2021 года . Проверено 9 октября 2020 г.
  25. ^ Виджаян, Джайкумар (19 марта 2009 г.). «Критика стандарта безопасности PCI после взлома неуместна, - говорит руководитель Visa» . Компьютерный мир . Архивировано из оригинала 4 сентября 2018 года . Проверено 4 сентября 2018 г.
  26. ^ Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (дипломная работа). Массачусетский технологический институт. hdl : 1721.1/90804 . Архивировано из оригинала 18 апреля 2021 года . Проверено 8 октября 2020 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 3c0a7c61f752374ff5643b6eb8936ca8__1718896440
URL1:https://arc.ask3.ru/arc/aa/3c/a8/3c0a7c61f752374ff5643b6eb8936ca8.html
Заголовок, (Title) документа по адресу, URL1:
Payment Card Industry Data Security Standard - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)