Банкомёт

Игорь Горин, Portmone.com: “Система безопасности – это то, что нужно совершенствовать ежедневно и непрерывно”

Payment Card Industry Data Security Standard (PCI DSS) – это это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Стандарт разработан крупнейшими международными платёжными системами Visa и MasterCard. На сегодняшний день это самый полный комплекс мер по обеспечению безопасного хранения и передачи платежных данных.

ihor-gorinТребования Стандарта PCI DSS распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей (PCI DSS, Википедия)

Межбанковская система доставки и оплаты счетов Portmone.com стала первой украинской компанией, которая успешно прошла данную сертификацию еще в 2008 году. Мы попросили рассказать подробнее о стандарте безопасности и нюансах, связанных с его работой директора Portmone.com, Игоря Горина.

– Господин Горин, какие еще существуют стандарты безопасности при работе с картами и в чем их отличие от PCI DSS?

И.Г.: Особо ничего нового. PCI Это объединение существующий стандартов. Его совершенствование (сейчас уже версия 2.1) – радикально не изменила ничего, а лишь усовершенствовала существующие нормы и требования стали жестче

– Какие требования предъявляются к компаниям, прошедшим проверку на соответствие стандарту?

И.Г.: Набор требований отличается в зависимости от “крупности” компаний. Так например для мелких компаний (делающих менее 300 тыс. транзакций в год) достаточно только ежеквартального сканирования, а заполние формы требований стандарта производится компанией самостоятельно, “под честное” слово, и внешними аудиторами не проверяется.
Для остальных существуют три самые главные проверки: ежеквартальное внешнее сканирование, один раз год – тест на проникновение, и один раз в год полный аудит всей системы аудиторами внутри компании. Но проверки это всего лишь проверки. Это как экзамены, но если к безопасности относится как к знаниям, то заниматься ею нужно непрерыно, как и учится.

– С чем связана сложность прохождения компаниями проверки на соответствие стандарту?

И.Г.: Стандарт достаточно сложный, требований очень много. Даже элементарный пункт с одного предложения может стоит 2-3 месяцев подготовки, что бы его выполнить.

– Что такое уровни соответствия стандарту PCI DSS и в чем между ними различие?

И.Г.: Первоначально уровней было 3, теперь сократили градации до двух. Подробнее об этом можно прочесть на сайте MasterCard.

– PCI DSS был разработан МПС VISA и MasterCard. А насколько эффективно его применение для работы с картами других платежных систем?

И.Г.: Конечно, Visa и Mastercard это не ограничилось. В Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). Вошли еще и JCB, American Express и Discovery

– Как обеспечивается хранение данных и доступ к ним? Как осуществляется передача данных?

И.Г.: Требование к технологии обработки и хранению данных являются хоть и основными, но далеко не единственными. Другое дело, что с точки зрения бытовой эрудиции, дилетантов в области безопасности только этими вопросами все и ограничивается.

Что касается хранения – стандарт, конечно не говорит какие решения и каких производителей использовать. Но ряд требований прописан достаточно четко:

– не под каким предлогом нельзя хранить CVV2 код карты
– номер карты должен хранится в зашифрованном состоянии и четко оказан перечень допустимых алгоритмов шифрования и используемой длины ключа

Кроме того, стандартом определяется методика самого доступа к зашифрованным данным. Вот несколько моментов:

– доступа к паролю сисадмина, DBA, хранилищу ключей и к самим криптографическим ключам ключам не имеет никто. Все пароли разбиваются как минимум на две части и каждую часть знает только отдельный сотрудник. Для доступа к данным необходимо что бы каждый сотрудник ввел свою часть.
– даже зная DBA (сисадмин базы данных) пароль нельзя получить доступ к файлам базы данных и к ключам
– зная пароль к админа операционной системы нельзя получить доступ к содержимому базы данных и к ключам

И того, получается что в случае пробоя одной их систем (сетевого проникновения, доступа к базе данных и т.д.), расшифровка базы с реквизитами карт становится невозможной.
Аналогично происходит и защита от “уволенных сотрудников”, т.е. в случае компрометации данных изнутри – никто в компании не имеет единоличного доступа к данных. Для получения данных по карте необходим ввод ключей как минимум 8-ми сотрудников.

– Кто осуществляет проверку компаний на соответствие требованиям PCI DSS?

И.Г.: Конечно, просто просто любая из IT-компнаний, пусть даже и специализирующуюся на IT-безопасности, заниматься аудитом не имеет права. Для этого будущий аудитор должен пройти специальную подготовку и сертификацию. Компаний имеющих соответствующий статус QSA достаточно ограниченный список. В нашей стране недавно такие компании тоже появились, их буквально 2-3.

– Существует ли опасность обхода хакерами или кардерами степеней защиты стандарта?

И.Г.: Опасность есть всегда!

Есть один подход к безопасности – непрофессиональный. Он заключается в том, что все что касается безопасности нужно или замалчивать или говорить что все абсолютно безопасно. Отсюда иногда делается делитанский вывод – зачем вообще заниматься стандартами безопасности если абсолютной гарантии дать никто не может. Но это похоже на утверждение – зачем закрывать дверь в дом, если воры все равно замки взламывают.

Существует второй, профессиональный подход – безопасность должна быть комплексной. Применение только одного или нескольких методов никакой защиты не дает. И самое главное “система безопасности” это не состояние когда нет никакой опасности, это -“управление рисками”. Т.е. это то, чем заниматься и что совершенствовать нужно ежедневно и непрерывно.

Подробнее со списками компаний, прошедших сертификацию по стандарту PCI DSS можно ознакомиться на сайтах VISA и Mastercard. Также много полезной информации можно почерпнуть в сообществе профессионалов PCI DSS.

Читайте также