Игорь Горин, Portmone.com: «Система безопасности — это то, что нужно совершенствовать ежедневно и непрерывно»

Payment Card Industry Data Security Standard (PCI DSS) - это это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Стандарт разработан крупнейшими международными платёжными системами Visa и MasterCard. На сегодняшний день это самый полный комплекс мер по обеспечению безопасного хранения и передачи платежных данных.

ihor-gorinТребования Стандарта PCI DSS распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей (PCI DSS, Википедия)

Межбанковская система доставки и оплаты счетов Portmone.com стала первой украинской компанией, которая успешно прошла данную сертификацию еще в 2008 году. Мы попросили рассказать подробнее о стандарте безопасности и нюансах, связанных с его работой директора Portmone.com, Игоря Горина.

- Господин Горин, какие еще существуют стандарты безопасности при работе с картами и в чем их отличие от PCI DSS?

И.Г.: Особо ничего нового. PCI Это объединение существующий стандартов. Его совершенствование (сейчас уже версия 2.1) – радикально не изменила ничего, а лишь усовершенствовала существующие нормы и требования стали жестче

- Какие требования предъявляются к компаниям, прошедшим проверку на соответствие стандарту?

И.Г.: Набор требований отличается в зависимости от “крупности” компаний. Так например для мелких компаний (делающих менее 300 тыс. транзакций в год) достаточно только ежеквартального сканирования, а заполние формы требований стандарта производится компанией самостоятельно, “под честное” слово, и внешними аудиторами не проверяется.
Для остальных существуют три самые главные проверки: ежеквартальное внешнее сканирование, один раз год – тест на проникновение, и один раз в год полный аудит всей системы аудиторами внутри компании. Но проверки это всего лишь проверки. Это как экзамены, но если к безопасности относится как к знаниям, то заниматься ею нужно непрерыно, как и учится.

- С чем связана сложность прохождения компаниями проверки на соответствие стандарту?

И.Г.: Стандарт достаточно сложный, требований очень много. Даже элементарный пункт с одного предложения может стоит 2-3 месяцев подготовки, что бы его выполнить.

- Что такое уровни соответствия стандарту PCI DSS и в чем между ними различие?

И.Г.: Первоначально уровней было 3, теперь сократили градации до двух. Подробнее об этом можно прочесть на сайте MasterCard.

- PCI DSS был разработан МПС VISA и MasterCard. А насколько эффективно его применение для работы с картами других платежных систем?

И.Г.: Конечно, Visa и Mastercard это не ограничилось. В Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). Вошли еще и JCB, American Express и Discovery

- Как обеспечивается хранение данных и доступ к ним? Как осуществляется передача данных?

И.Г.: Требование к технологии обработки и хранению данных являются хоть и основными, но далеко не единственными. Другое дело, что с точки зрения бытовой эрудиции, дилетантов в области безопасности только этими вопросами все и ограничивается.

Что касается хранения – стандарт, конечно не говорит какие решения и каких производителей использовать. Но ряд требований прописан достаточно четко:

- не под каким предлогом нельзя хранить CVV2 код карты
- номер карты должен хранится в зашифрованном состоянии и четко оказан перечень допустимых алгоритмов шифрования и используемой длины ключа

Кроме того, стандартом определяется методика самого доступа к зашифрованным данным. Вот несколько моментов:

- доступа к паролю сисадмина, DBA, хранилищу ключей и к самим криптографическим ключам ключам не имеет никто. Все пароли разбиваются как минимум на две части и каждую часть знает только отдельный сотрудник. Для доступа к данным необходимо что бы каждый сотрудник ввел свою часть.
- даже зная DBA (сисадмин базы данных) пароль нельзя получить доступ к файлам базы данных и к ключам
- зная пароль к админа операционной системы нельзя получить доступ к содержимому базы данных и к ключам

И того, получается что в случае пробоя одной их систем (сетевого проникновения, доступа к базе данных и т.д.), расшифровка базы с реквизитами карт становится невозможной.
Аналогично происходит и защита от “уволенных сотрудников”, т.е. в случае компрометации данных изнутри – никто в компании не имеет единоличного доступа к данных. Для получения данных по карте необходим ввод ключей как минимум 8-ми сотрудников.

- Кто осуществляет проверку компаний на соответствие требованиям PCI DSS?

И.Г.: Конечно, просто просто любая из IT-компнаний, пусть даже и специализирующуюся на IT-безопасности, заниматься аудитом не имеет права. Для этого будущий аудитор должен пройти специальную подготовку и сертификацию. Компаний имеющих соответствующий статус QSA достаточно ограниченный список. В нашей стране недавно такие компании тоже появились, их буквально 2-3.

- Существует ли опасность обхода хакерами или кардерами степеней защиты стандарта?

И.Г.: Опасность есть всегда!

Есть один подход к безопасности – непрофессиональный. Он заключается в том, что все что касается безопасности нужно или замалчивать или говорить что все абсолютно безопасно. Отсюда иногда делается делитанский вывод – зачем вообще заниматься стандартами безопасности если абсолютной гарантии дать никто не может. Но это похоже на утверждение – зачем закрывать дверь в дом, если воры все равно замки взламывают.

Существует второй, профессиональный подход – безопасность должна быть комплексной. Применение только одного или нескольких методов никакой защиты не дает. И самое главное “система безопасности” это не состояние когда нет никакой опасности, это -“управление рисками”. Т.е. это то, чем заниматься и что совершенствовать нужно ежедневно и непрерывно.

Подробнее со списками компаний, прошедших сертификацию по стандарту PCI DSS можно ознакомиться на сайтах VISA и Mastercard. Также много полезной информации можно почерпнуть в сообществе профессионалов PCI DSS.


  • 1

    Многие знают как получают менеджеровский ИСО9000 и «без гмо». PCI DSS получают аналогично. По свойски, от квазара, например.

  • 1

    У того же привата нет PCI DSS и ничего, работает. Хотя и воруют.:)

  • Игорь Горин

    1. Ну если Вы заметили, аудит в Portmone.com вот уже третий год проводит немецкая комания SRC.
    2. Если бы сертфикат так было просто «купить», что банки (в том числе и Приват) просто бы его и «купили», но пока компаний/банков которые его получили — единицы
    3. Квазар (DeNovo), на сколько я знаю QSA не получал.
    4. Вы не внимательно прочитали, цель была не флагом (сертификатом) помахать. Цель была — заниматся безопасностью профессионально. А вариант «и ничего, работает», очень хороший. Это по нашему, по советски :)

    В следующий раз, когда будите летать самолетом, попросите что бы самолет перед вылетом никто не проверял. Зачем, ведь и так летает :)