Стандарт безопасности данных индустрии платежных карт
Стандарт безопасности данных индустрии платежных карт ( PCI DSS ) — это стандарт информационной безопасности, используемый для обработки кредитных карт основных брендов . Стандарт администрируется Советом по стандартам безопасности индустрии платежных карт , и его использование предписано брендами карт. Он был создан для лучшего контроля данных держателей карт и предотвращения мошенничества с кредитными картами . Проверка соответствия осуществляется ежегодно или ежеквартально методом, подходящим для объема транзакций: [1]
- Анкета самооценки (SAQ)
- конкретной фирмы Оценщик внутренней безопасности (ISA)
- Внешний квалифицированный оценщик безопасности (QSA)
История
[ редактировать ]У основных брендов карточек было пять различных программ безопасности:
- Visa карт Программа информационной безопасности держателей
- Mastercard сайта Защита данных
- American Express Операционная политика безопасности данных
- Discover Информационная безопасность и соответствие требованиям
- JCB Программа безопасности данных
Намерения каждого из них были примерно одинаковыми: создать дополнительный уровень защиты эмитентов карт, гарантируя, что продавцы соблюдают минимальный уровень безопасности при хранении, обработке и передаче данных о держателях карт. Чтобы решить проблемы совместимости существующих стандартов, совместные усилия основных организаций, выпускающих кредитные карты, привели к выпуску версии 1.0 PCI DSS в декабре 2004 года. [ нужна ссылка ] PCI DSS внедрен и соблюдается во всем мире.
Затем был сформирован Совет по стандартам безопасности индустрии платежных карт (PCI SSC), и эти компании согласовали свою политику с целью создания PCI DSS. [2] MasterCard, American Express, Visa, JCB International и Discover Financial Services учредили PCI SSC в сентябре 2006 года в качестве административного и управляющего органа, который отвечает за эволюцию и развитие PCI DSS. [3] Независимые частные организации могут участвовать в разработке PCI после регистрации. Каждая участвующая организация присоединяется к SIG (группе специальных интересов) и вносит свой вклад в деятельность, санкционированную этой группой. Доступны следующие версии PCI DSS: [4]
Версия | Дата | Примечания |
---|---|---|
1.0 | 15 декабря 2004 г. | |
1.1 | сентябрь 2006 г. | уточнения и небольшие правки |
1.2 | октябрь 2008 г. | повышенная ясность, повышенная гибкость и устранение возникающих рисков и угроз. |
1.2.1 | июль 2009 г. | незначительные исправления, призванные обеспечить большую ясность и последовательность стандартов и сопроводительных документов. |
2.0 | октябрь 2010 г. | |
3.0 | ноябрь 2013 г. | активен с 1 января 2014 г. по 30 июня 2015 г. |
3.1 | апрель 2015 г. | на пенсии с 31 октября 2016 г. |
3.2 | апрель 2016 г. | на пенсии с 31 декабря 2018 г. |
3.2.1 | май 2018 г. | на пенсии с 31 марта 2024 г. |
4.0 | март 2022 г. | обновленная терминология межсетевого экрана, расширение Требования 8 для реализации многофакторной аутентификации (MFA), повышенная гибкость для демонстрации безопасности и целенаправленный анализ рисков для организации работы и управления рисками. [5] |
Требования
[ редактировать ]PCI DSS содержит двенадцать требований к соответствию, сгруппированных в шесть связанных групп, известных как цели контроля: [6]
- Создавать и поддерживать безопасную сеть и системы
- Защитите данные держателей карт
- Поддерживать программу управления уязвимостями
- Внедрить строгие меры контроля доступа
- Регулярно отслеживайте и тестируйте сети
- Поддерживать политику информационной безопасности
В каждой версии PCI DSS эти шесть групп требований разделены по-разному, но двенадцать требований не изменились с момента появления стандарта. Каждое требование и подтребование разделено на три раздела:
- Требования PCI DSS: Определите требование. Одобрение PCI DSS осуществляется после реализации требования.
- Тестирование: процессы и методологии, выполняемые оценщиком для подтверждения надлежащего внедрения.
- Руководство: объясняет цель требования и соответствующее содержание, что может помочь в его правильном определении.
В версии 3.2.1 PCI DSS двенадцать требований:
- Установите и поддерживайте систему межсетевого экрана для защиты данных держателей карт.
- Избегайте использования настроек по умолчанию для системных паролей и других параметров безопасности, предоставленных поставщиком.
- Защитите сохраненные данные держателей карт.
- Шифруйте передачу данных о держателях карт в открытых общедоступных сетях.
- Защитите все системы от вредоносного ПО и обновите антивирусное программное обеспечение или программы.
- Разрабатывать и поддерживать безопасные системы и приложения.
- Ограничьте доступ к данным о держателях карт в соответствии с потребностями бизнеса .
- Идентификация и аутентификация доступа к компонентам системы.
- Ограничьте физический доступ к данным держателей карт.
- Отслеживайте и контролируйте доступ к сетевым ресурсам и данным держателей карт.
- Регулярно тестируйте системы и процессы безопасности.
- Поддерживать политику информационной безопасности, которая обеспечивает информационную безопасность для всего персонала.
Обновления и дополнительная информация
[ редактировать ]PCI SSC (Совет по стандартам безопасности индустрии платежных карт) опубликовал дополнительную информацию для разъяснения требований, которая включает в себя:
- Информационное дополнение: Требование 11.3 Тестирование на проникновение
- Информационное дополнение: разъяснено требование 6.6 «Проверки кода и брандмауэры приложений»
- Навигация по PCI DSS: понимание сути требований
- Рекомендации PCI DSS по беспроводной связи [7]
- Применимость PCI DSS в среде EMV
- Приоритетный подход к PCI DSS
- Инструмент приоритетного подхода
- Краткое справочное руководство PCI DSS
- Рекомендации по виртуализации PCI DSS
- Рекомендации по токенизации PCI DSS
- Рекомендации по оценке рисков PCI DSS 2.0
- Жизненный цикл изменений в PCI DSS и PA-DSS
- Руководство по определению объема и сегментации PCI DSS
- Центр ресурсов PCI DSS v4.0 [8]
Уровни отчетности
[ редактировать ]Компании, на которых распространяются стандарты PCI DSS, должны соответствовать требованиям PCI; то, как они доказывают и сообщают о своем соблюдении, зависит от годового количества транзакций и способа их обработки. Эквайер или платежный бренд может вручную перевести организацию на уровень отчетности по своему усмотрению. [9] Уровни торговца:
- Уровень 1 – Более шести миллионов транзакций ежегодно.
- Уровень 2 – От одного до шести миллионов транзакций.
- Уровень 3 – от 20 000 до одного миллиона транзакций и все продавцы электронной коммерции.
- Уровень 4 – Менее 20 000 транзакций
Каждый эмитент карт ведет таблицу уровней соответствия и таблицу поставщиков услуг. [10] [11]
Проверка соответствия
[ редактировать ]Проверка соответствия включает оценку и подтверждение того, что меры и процедуры безопасности реализованы в соответствии с PCI DSS. Валидация происходит посредством ежегодной оценки, проводимой либо внешней организацией, либо путем самооценки. [12]
Отчет о соответствии
[ редактировать ]Отчет о соответствии (ROC) составляется квалифицированным оценщиком безопасности PCI (QSA) и предназначен для независимой проверки соответствия организации стандарту PCI DSS. В результате завершения ROC выдается два документа: шаблон отчета ROC с подробным объяснением завершенного тестирования и Свидетельство о соответствии (AOC), подтверждающее прохождение ROC, а также общее заключение ROC.
Анкета для самооценки
[ редактировать ]Анкета для самооценки PCI DSS (SAQ) — это инструмент проверки, предназначенный для малых и средних торговцев и поставщиков услуг для оценки их собственного статуса соответствия PCI DSS. Существует несколько типов опросных листов, каждый из которых имеет разную длину в зависимости от типа организации и используемой модели оплаты. На каждый вопрос опросного листа можно дать ответ «да» или «нет», а любой ответ «нет» требует от организации указать его будущую реализацию. Как и в случае с ROC, также проводится аттестация соответствия (AOC) на основе SAQ.
Эксперты по безопасности
[ редактировать ]Совет по стандартам безопасности PCI поддерживает программу сертификации компаний и частных лиц для выполнения оценочной деятельности.
Квалифицированный оценщик безопасности
[ редактировать ]Квалифицированный оценщик безопасности (QSA) — это лицо, сертифицированное Советом по стандартам безопасности PCI для подтверждения соответствия другой организации PCI DSS. QSA должны наниматься и спонсироваться компанией QSA, которая также должна быть сертифицирована Советом по стандартам безопасности PCI. [13] [14]
Эксперт внутренней безопасности
[ редактировать ]Оценщик внутренней безопасности (ISA) — это человек, который получил сертификат Совета по стандартам безопасности PCI для своей организации-спонсора и может проводить самооценку PCI для своей организации. Программа ISA была разработана, чтобы помочь продавцам уровня 2 соответствовать требованиям проверки соответствия Mastercard. [15] Сертификация ISA дает возможность человеку проводить оценку своей ассоциации и предлагать решения по обеспечению безопасности и средства контроля для соответствия PCI DSS. ISA отвечают за сотрудничество и участие с QSA. [12]
Соответствие и проверка соответствия
[ редактировать ]Хотя PCI DSS должен быть внедрен всеми организациями, которые обрабатывают, хранят или передают данные о держателях карт, формальная проверка соответствия PCI DSS не является обязательной для всех организаций. Visa и Mastercard требуют, чтобы торговцы и поставщики услуг прошли проверку в соответствии с PCI DSS; Visa также предлагает Программу технологических инноваций (TIP), альтернативную программу, которая позволяет квалифицированным продавцам прекратить ежегодную проверку соответствия PCI DSS. Продавцы имеют право на участие в программе, если они принимают альтернативные меры предосторожности против мошенничества, такие как использование EMV или двухточечного шифрования .
Банки-эмитенты не обязаны проходить проверку PCI DSS, хотя они должны защищать конфиденциальные данные в соответствии с требованиями PCI DSS. Банки-эквайеры должны соблюдать требования PCI DSS и подтверждать свое соответствие в ходе аудита . В случае нарушения безопасности любая скомпрометированная организация, которая не соответствовала стандарту PCI DSS на момент нарушения, может быть подвергнута дополнительным штрафам (например, штрафам) со стороны брендов карт или банков-эквайеров.
Законодательство в США
[ редактировать ]Соответствие PCI DSS не требуется федеральным законодательством США , однако законы некоторых штатов напрямую ссылаются на PCI DSS или содержат аналогичные положения. Ученые-правоведы Эдвард Морс и Васант Раваль заявили, что, закрепив соответствие PCI DSS в законодательстве, карточные сети перераспределили издержки мошенничества с эмитентов карт на торговцев. [16] В 2007 году Миннесота приняла закон, запрещающий хранить некоторые типы данных платежных карт более 48 часов после авторизации транзакции. [17] [18] Два года спустя Невада включила этот стандарт в закон штата, требуя от торговцев, ведущих бизнес в этом штате, соблюдения действующего стандарта PCI DSS и защищая соответствующие организации от ответственности. Закон штата Невада также позволяет торговцам избегать ответственности по другим утвержденным стандартам безопасности. [19] [16] В 2010 году Вашингтон также включил этот стандарт в закон штата. В отличие от закона штата Невада, организации не обязаны соответствовать требованиям PCI DSS; однако соответствующие организации защищены от ответственности в случае утечки данных. [20] [16]
Споры и критика
[ редактировать ]Visa и Mastercard налагают штрафы за несоблюдение требований. Стивен и Теодора «Сисси» МакКомб, владельцы ресторана и ночного клуба Cisero's Ristorante и ночного клуба в Парк-Сити, штат Юта , были оштрафованы за нарушение, по которому две криминалистические фирмы не смогли найти доказательств:
МакКомбы утверждают, что система PCI — это не столько система защиты данных карт клиентов, сколько система получения прибыли карточными компаниями посредством штрафов и пеней. Visa и MasterCard налагают штрафы на торговцев даже тогда, когда потерь от мошенничества вообще нет, просто потому, что штрафы «им выгодны», говорят Маккомбы. [21]
Майкл Джонс, ИТ-директор компании Michaels , дал показания перед подкомитетом Конгресса США по поводу PCI DSS:
[Требования PCI DSS] очень дороги в реализации, запутаны в соблюдении и в конечном итоге субъективны как в их интерпретации, так и в их исполнении. Часто утверждается, что существует только двенадцать «Требований» для соответствия PCI. Фактически существует более 220 подтребований; некоторые из них могут стать непомерным бременем для розничного продавца , а многие из них подлежат интерпретации . [22]
PCI DSS может заставить компании уделять больше внимания ИТ-безопасности, даже если минимальных стандартов недостаточно для устранения проблем безопасности. Брюс Шнайер высказался в пользу стандарта:
Регулирование — SOX, HIPAA , GLBA, PCI индустрии кредитных карт, различные законы о раскрытии информации, Европейский закон о защите данных и т. д. — было лучшим инструментом, которым отрасль нашла способ бить компании по голове. И это работает. Регулирование заставляет компании более серьезно относиться к безопасности и продавать больше продуктов и услуг. [23]
Генеральный менеджер Совета PCI Боб Руссо ответил на возражения Национальной федерации розничной торговли :
[PCI представляет собой структурированное] сочетание... [] специфики и концепций высокого уровня, [что позволяет] заинтересованным сторонам возможность и гибкость работать с квалифицированными оценщиками безопасности (QSA) для определения соответствующих мер безопасности в своей среде, которые соответствуют целям стандарты PCI. [24]
Директор по корпоративным рискам Visa Эллен Ричи заявила в 2018 году: «Пока не обнаружено, что ни одна скомпрометированная организация соответствовала PCI DSS на момент взлома». [25] Однако в 2008 году взлом Heartland Payment Systems (подтвержденной как PCI DSS) привел к компрометации ста миллионов номеров карт. Примерно в то же время Hannaford Brothers и компании TJX (также сертифицированные как соответствующие PCI DSS) подверглись аналогичному взлому в результате предположительно скоординированных усилий Альберта Гонсалеса и двух неназванных российских хакеров. [26]
Оценки проверяют соответствие продавцов и поставщиков услуг требованиям PCI DSS в определенный момент времени, часто используя выборку , чтобы продемонстрировать соответствие репрезентативным системам и процессам. Продавец и поставщик услуг несет ответственность за достижение, демонстрацию и поддержание соответствия требованиям на протяжении всего ежегодного цикла проверки и оценки всех систем и процессов. Нарушения могли быть вызваны нарушением соблюдения продавцом и поставщиком услуг письменного стандарта; Hannaford Brothers получила подтверждение соответствия PCI DSS через день после того, как ей стало известно о двухмесячной компрометации ее внутренних систем.
Проверка соответствия требуется только для продавцов уровней с 1 по 3 и может быть необязательной для уровня 4, в зависимости от марки карты и эквайера. В соответствии с деталями проверки соответствия Visa для продавцов, требования проверки соответствия продавцам уровня 4 («Продавцы обрабатывают менее 20 000 транзакций электронной коммерции Visa в год, а все остальные продавцы обрабатывают до 1 миллиона транзакций Visa в год») устанавливаются эквайером . Более 80 процентов компрометаций платежных карт в период с 2005 по 2007 год затронуло торговцев 4-го уровня, которые обработали 32 процента всех таких транзакций. [ нужна ссылка ]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано (PDF) оригинала 1 сентября 2018 г. Проверено 4 сентября 2018 г.
- ^ Лю, Цзин; Сяо, Ян; Чен, Хуэй; Оздемир, Суат; Додл, Шринивас; Сингх, Викас (2010). «Обзор стандартов безопасности данных индустрии платежных карт». Опросы и учебные пособия IEEE по коммуникациям . 12 (3): 287–303. дои : 10.1109/SURV.2010.031810.00083 . S2CID 18117838 .
- ^ "О нас" . Совет по стандартам безопасности PCI . Архивировано из оригинала 2 апреля 2022 года . Проверено 15 декабря 2022 г.
- ^ «Библиотека документов» . Совет по стандартам безопасности PCI. Архивировано из оригинала 7 ноября 2020 года . Проверено 12 ноября 2020 г.
- ^ «Обеспечение будущего платежей: PCI SSC публикует стандарт безопасности данных PCI v4.0» . Совет по стандартам безопасности PCI. 31 марта 2022 года. Архивировано из оригинала 9 апреля 2022 года . Проверено 8 апреля 2022 г.
- ^ «Краткое справочное руководство PCI DSS» (PDF) . Архивировано (PDF) из оригинала 12 ноября 2020 г. Проверено 12 ноября 2020 г.
- ^ «Информационное приложение: Рекомендации PCI DSS по беспроводной связи» (PDF) . 26 августа 2011 г. Архивировано (PDF) из оригинала 31 октября 2018 г. . Проверено 8 августа 2018 г.
- ^ «Центр ресурсов PCI DSS v4.0» . Архивировано из оригинала 23 марта 2023 года . Проверено 24 марта 2023 г.
- ^ «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Архивировано из оригинала 2 сентября 2019 года . Проверено 21 февраля 2007 г.
- ^ «Виза в Европу» . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
- ^ «Что необходимо знать продавцам | Обработка платежных данных и защищенные транзакции | Mastercard» . www.mastercard.us . Архивировано из оригинала 9 февраля 2019 года . Проверено 8 февраля 2019 г.
- ^ Jump up to: а б Совет по стандартам безопасности PCI. «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2» (PDF) . Совет по стандартам безопасности PCI, LLC. Архивировано из оригинала 19 июля 2023 года . Проверено 4 сентября 2018 г.
- ^ «Квалифицированные оценщики безопасности» . Совет по стандартам безопасности PCI. Архивировано из оригинала 18 мая 2023 года . Проверено 18 мая 2023 г.
- ^ «Квалификационные требования к квалифицированным оценщикам безопасности (QSA)» (PDF) . Совет по стандартам безопасности PCI.
- ^ «Не платите за сертификацию PCI, которая вам не нужна» . FierceRetail . 12 мая 2010 г. Архивировано из оригинала 17 мая 2022 г. Проверено 26 марта 2018 г.
- ^ Jump up to: а б с Эдвард А. Морс; Васант Раваль, Частные заказы в свете закона: достижение защиты потребителей посредством мер безопасности платежных карт. Архивировано 6 августа 2020 г., в журнале Wayback Machine DePaul Business & Commercial Law Journal 10, вып. 2 (зима 2012 г.): 213–266.
- ^ Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности обеспечивать должную заботу о безопасности данных. Архивировано 6 августа 2020 г., в Wayback Machine. Обзор закона Уильяма Митчелла 34, вып. 3 (2008): 1115-1146.
- ^ «МИНН. СТАТ. § 325Е.64» . Архивировано из оригинала 10 октября 2019 года . Проверено 10 октября 2019 г.
- ^ «NEV. REV. STAT. § 603A.215» . Архивировано из оригинала 1 октября 2019 года . Проверено 10 октября 2019 г.
- ^ «Законы Вашингтонской сессии 2010 г., 1055, § 3» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г. Проверено 10 октября 2019 г.
- ^ Зеттер, Ким (11 января 2012 г.). «Редкая судебная тяжба касается стандартов безопасности и штрафов компаний, выпускающих кредитные карты» . Проводной . Проверено 30 марта 2019 г.
- ^ «Снижают ли стандарты данных индустрии платежных карт киберпреступность? Слушания в подкомитете по новым угрозам, кибербезопасности, науке и технологиям Комитета внутренней безопасности Палаты представителей, Сто одиннадцатый Конгресс, первая сессия, 31 марта 2009 г.» . ГПО. 31 марта 2009 года. Архивировано из оригинала 30 марта 2019 года . Проверено 30 марта 2019 г.
{{cite journal}}
: Для цитирования журнала требуется|journal=
( помощь ) - ^ «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности» . Шнайер по безопасности. 15 января 2008 г. Архивировано из оригинала 3 марта 2019 г. Проверено 8 марта 2019 г.
- ^ «Может ли соблюдение требований PCI нанести ущерб вашей инициативе в области безопасности?» . www.brighttalk.com . Архивировано из оригинала 18 апреля 2021 года . Проверено 9 октября 2020 г.
- ^ Виджаян, Джайкумар (19 марта 2009 г.). «Критика стандарта безопасности PCI после взлома неуместна, - говорит руководитель Visa» . Компьютерный мир . Архивировано из оригинала 4 сентября 2018 года . Проверено 4 сентября 2018 г.
- ^ Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (дипломная работа). Массачусетский технологический институт. hdl : 1721.1/90804 . Архивировано из оригинала 18 апреля 2021 года . Проверено 8 октября 2020 г.