PCI DSS представляет собой стандарт безопасности, предназначенный для всех компаний, которые обрабатывают сведения о кредитных картах крупнейших мировых платежных систем — Visa, MasterCard, American Express и Discover. Его цель — стимулировать совершенствование защиты сведений о финансовом положении клиентов и попытаться замедлить развитие охватившей весь мир эпидемии онлайнового мошенничества с кредитными картами и подмены идентификационных данных.
Первая версия стандарта была выпущена в 2004 г. С тех пор он несколько раз обновлялся. Некоторые его критики по-прежнему утверждают, что PCI DSS неэффективен с точки зрения защиты электронных данных и всего лишь затрудняет ведение бизнеса в розничной торговле. Но другие отраслевые наблюдатели высоко оценивают вклад стандарта в повышение безопасности по всей цепочке применения кредитных карт.
Первого октября официально выпущен новейший вариант стандарта защиты данных PCI Data Security Standard 1.2. Конкретные изменения в версии 1.2, первом крупном обновлении PCI с 2006 г., включают требование к компаниям, использующим беспроводные транзакционные системы, отказаться от протокола WEP (Wired Equivalent Privacy) в пользу более современного WPA (Wi-Fi Protected Access), а также некоторые изменения правил, нацеленные на то, чтобы предоставить этим компаниям больше гибкости и времени на устранение ошибок в их электронных системах.
Мэтт Хайнс, редактор бюллетеня Security Watch, выходящего в качестве приложения к еженедельнику eWeek, встретился с Бобом Рассо, главным управляющим Совета PCI, чтобы обсудить значение новой версии стандарта и прогресс в области разработки и применения обязательных правил.
eWeek: Что, по-вашему, является самым важным в новой версии стандарта?
Боб Рассо: Мы хотели застолбить свою позицию в отношении протокола WEP. Его использование разрешено до конца 2010 г. Таким образом, мы стремимся как можно больше облегчить жизнь тем, кто его применяет. Одни выражают по этому поводу радость, другие — озабоченность, особенно если они вложили большие средства в WEP. Но мы понимали, что в конечном счете WEP должен уйти в прошлое.
eWeek: Часто приходится слышать, что какие-то положения стандартов безопасности сформулированы слишком жестко или, наоборот, слишком расплывчато. Что предпринял Совет PCI, чтобы найти золотую середину между этими двумя крайностями?
Б. Р.: Сначала все говорят, что не желают получать никаких предписаний. А заканчивается всё обычно тем, что вас просят более конкретно сформулировать свои требования. Чтобы возникало как можно меньше проблем подобного рода, мы прислушиваемся к реакции сообщества, пытаясь понять, чего от нас ждут. И часто компании, работающие с платежными картами, говорят, что им надоели нечеткие положения различных нормативных актов, в том числе таких, как законы Сарбейнса — Окли и Грэмма — Лича — Блайли. При разработке стандарта мы стремимся учитывать как можно больше мнений и привлекать к его созданию сообщество, чтобы поддерживать обратную связь.
eWeek: Совет PCI постепенно внедряет свой стандарт сверху вниз. Теперь вы имеете дело с гораздо менее крупными предприятиями, выделяющими на ИТ-безопасность значительно меньше ресурсов. Как воспринимается стандарт в таких компаниях?
Б. Р.: Небольшие компании нуждаются в длительном обучении. Некоторые из них еще только узнают о существовании DSS от провайдеров кредитных карт. Но было бы гораздо хуже, если бы они убеждались в необходимости нашей жесткой позиции на практике. Ведь с определенной точки зрения хищение данных может нанести гораздо больший ущерб малому бизнесу, чем крупному.
Работать с такими компаниями нужно напрямую, и это процесс непрерывный, заставляющий их самостоятельно учиться и позволяющий им понять, что следует делать, чтобы со временем привести свою практическую деятельность в соответствие со стандартом.
eWeek: Какого рода негативные отклики вы получаете?
Б. Р.: Большую озабоченность по-прежнему вызывает беспроводная связь. Имеются также проблемы с транзакциями до авторизации (скажем, на бензоколонках) и последующей обработкой таких данных. Но мы продолжаем работать в этих направлениях, как это было с протоколом WEP в PCI DSS версии 1.2.
По вполне понятным причинам мы всегда будем получать какое-то количество негативных отзывов, касающихся конкретных требований или поступающих от некоторых вертикальных компаний. Но те, кто проявляет наибольшее беспокойство, в действительности имеют возможность довести свое мнение до сведения сообщества. Поэтому мы стремимся активно привлекать людей к разработке стандарта. Это помогает значительно уменьшить количество негативных откликов.
eWeek: Как вы считаете, с выходом версии 1.2 PCI DSS стал зрелым стандартом безопасности?
Б. Р.: Судя по тому, что мы слышим от множества людей, они считают PCI DSS лучшим из имеющихся стандартов, поскольку он содержит требования, относящиеся к обеспечению безопасности на различных уровнях. Кроме того, мы полагаем, что компании, которые его соблюдают, будут меньше сталкиваться с хищениями данных. А более веского довода в пользу правильности данного стандарта быть не может.
eWeek: Говорят, что сеть супермаркетов Hannaford Brothers, сообщившая в этом году о краже у нее информации о кредитных картах клиентов, к тому времени, когда произошел инцидент, уже привела свои системы в соответствие с требованиями PCI. Что вы думаете по этому поводу?
Б. Р.: Никто не знает, соблюдали они наши требования или нет. Они не представили всей необходимой информации, так что ничего нельзя утверждать с уверенностью. Но мы должны заявить следующее. Даже если вы получили сертификат соответствия, следует продолжать работу, чтобы оставаться на уровне предъявляемых требований. Вы не можете просто положить его в ящик стола, расслабиться и думать, что вы надежно защищены.
eWeek: До меня доходили слухи о разногласиях между специалистами по безопасности [Qualified Security Assessor, QSA], которые получили сертификаты на проверку соответствия требованиям PCI. Как вы решаете эту проблему?
Б. Р.: Мы делаем всё от нас зависящее для обеспечения единообразной подготовки таких специалистов. Мы экзаменуем их и проверяем их личности, дабы убедиться, что эти люди подходят для такой работы. Мы разработали программу, обеспечивающую гарантию качества подготовки всех QSA и всех сертифицированных производителей систем автоматического сканирования. Мы гарантируем, что все эти компании проходят сертификацию, представляют свою документацию и демонстрируют, как они справляются с работой. В данный момент, как мы считаем, качество работы у всех примерно одинаковое. Но по этому поводу могут быть и иные мнения, что мы и наблюдали при попытках внедрения других стандартов.
eWeek: Как обстоит дело с расширением деятельности PCI за пределы Северной Америки?
Б. Р.: Мы готовимся провести ряд встреч в государствах Европейского союза. У нас неплохие позиции в Великобритании и странах Северной Европы. Некоторые наши предложения натолкнулись на отказ, но этого следовало ожидать. Дело идет своим чередом, и число членов нашей организации растет.
“Мы хотели застолбить свою позицию в отношении протокола WEP”.
Одна из главных проблем заключается в том, что в Европе системы для работы с платежными картами получили более широкое распространение, но с точки зрения безопасности они представляют собой не лучшие решения. Мы стараемся довести эту мысль до сознания людей и активно обсуждаем с ними технические детали. Диалог постоянно развивается. Дела продвигаются и в Азиатско-Тихоокеанском регионе, где к решению поднимаемых нами вопросов подключается все больше людей.
eWeek: Что будет больше всего беспокоить вас в связи со стандартом DSS и его применением в ближайшие несколько лет?
Б. Р.: По понятным причинам у нас всегда вызывают беспокойство новые типы атак. В данный момент мы уверены, что достаточно хорошо защищены от известных нам угроз. Но в связи с развитием технологии постоянно появляется что-то новое.
“При разработке стандарта мы стремимся учитывать как можно больше мнений и привлекать к работе сообщество”.
Нас беспокоят проникновения в сети компаний, получивших сертификат соответствия нашему стандарту. В действительности мы считаем это маловероятным, если компании продолжают принимать все необходимые меры. Но подобные случаи не могут не вызывать беспокойства. Мы не хотим возлагать вину за такие инциденты на людей, ведь могли появиться какие-то новые виды атак или уязвимостей. Это то, за чем нам надо постоянно следить.
eWeek: Как вы представляете себе будущее и как будет развиваться PCI DSS?
Б. Р.: Конечно, мы надеемся, что со временем стандарт будет усовершенствован. Он распространяется на новые области, создавая нечто вроде паутины. Мы будем привлекать сообщество к дальнейшей работе над ним. Мы займемся приложениями, банкоматами и киосками, появится новое аппаратное и программное обеспечение. Думаю, все это легко предсказуемо. Со временем стандарт станет шире по охвату и, вероятно, более жестким. Нам потребуется адаптировать его к новым перспективным технологиям. Надеюсь, помимо прочего его соблюдение будет обходиться дешевле. Мы хотим, чтобы он стал лучшим из имеющихся стандартов. Таким, который будет использоваться в качестве образца для подражания. И мы видим, что это уже происходит.
Основные положения PCI DSS 1.2
Стандарт безопасности данных PCI Data Security Standard предусматривает шесть “объектов управления”.
Создайте и поддерживайте защищенную сеть
- Установите и настройте брандмауэр для защиты сведений о владельцах карточек.
- Не используйте заданные производителем по умолчанию системные пароли и другие средства безопасности.
Защищайте сведения о владельцах карточек
- Защитите хранящиеся у вас сведения о владельцах карточек.
- Передавайте сведения о владельцах карточек через открытые, общедоступные сети в зашифрованном виде.
Создайте программу управления уязвимостями
- Используйте и регулярно обновляйте антивирусное ПО.
- Разработайте и поддерживайте защищенные системы и приложения.
Применяйте строгие меры для контроля доступа
- Предоставьте доступ к сведениям о владельцах карточек только тем, кому это необходимо по работе.
- Присвойте уникальный идентификатор каждому человеку, имеющему доступ к компьютерам.
- Ограничьте физический доступ к сведениям о владельцах карточек.
Регулярно проводите мониторинг и тестирование сетей
- Отслеживайте любой доступ к сетевым ресурсам и к сведениям о владельцах карточек.
- Регулярно тестируйте системы безопасности и соответствующие процессы.
Следуйте политике информационной безопасности
- Разработайте и соблюдайте политику, обеспечивающую информационную безопасность.
Источник: Wikipedia.