Inside Out Security Blog   /  

12 требований PCI DSS версии 4.0: контрольный список требований

12 требований PCI DSS версии 4.0: контрольный список требований

Ожидается, что в 2021 году число цифровых платежей достигнет исторического максимума. Число цифровых платежных операций в 2020 году увеличилось не менее чем на 24% по сравнению с годом ранее, и эта тенденция будет сохраняться. Именно поэтому требования PCI DSS важны как никогда, ведь ТСП и платежным операторам необходимо обеспечивать конфиденциальность и безопасность каждой транзакции.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это система, разработанная для защиты всей цепочки создания стоимости платежных карт. Правила обеспечения соответствия стандарту PCI DSS охватывают множество областей, начиная со способа хранения данных держателей карт, и заканчивая вариантами доступа к частным платежным данным.

Но по мере развития угроз и технологий меняются и стандарты PCI DSS. ТСП, платежные посредники и другие субъекты, работающие с данными держателей карт, должны знать о новых требованиях PCI DSS 4.0. Наш контрольный список требований стандарта PCI DSS 4.0 поможет вам разобраться в изменениях — от шифрования данных до сетевой безопасности и мониторинга.

Обзор: соответствие стандарту PCI DSS

Вот основные цели, которые Совет по стандартам безопасности PCI устанавливает для PCI v4.0:

  • Обеспечить, чтобы стандарты PCI и дальше соответствовали нормам безопасности платежной индустрии
  • Добавить гибкость и поддержку других методик для повышения безопасности платежей
  • Содействовать обеспечению безопасности держателей карт как непрерывному процессу в рамках обычного бизнеса
  • Усовершенствовать методы и процедуры проверки для упрощения процесса соблюдения требований.

Ниже перечислены технические аспекты, которые предполагается изменить в соответствии с PCI DSS 4.0:

В двух словах, PCI DSS 4.0 призван обеспечить дальнейшую защиту данных держателей карт, помогая организациям получить более целостное представление о мерах безопасности и контроле доступа, а также реагировать на новые угрозы, возникающие в результате развития технологий.

12 требований стандарта PCI DSS с пошаговыми действиями

PCI DSS — это ваш план действий, которому вы должны следовать, чтобы соответствовать требованиям PCI. PCI DSS представляет собой 12-шаговый план защиты данных клиентов (см. ниже).

Шаг 1. Установите брандмауэр и поддерживайте его надлежащую работу

Обеспечение соответствия брандмауэра требованиям PCI DSS — первый шаг к соответствию организационным требованиям. Брандмауэры ограничивают входящий и исходящий сетевой трафик и часто выступают первой линией защиты от хакерских атак.

Для защиты данных платежных карт вам необходимо правильно настроить брандмауэр и маршрутизаторы. Кроме того, установите правила и стандарты брандмауэра и маршрутизатора, которые определяют разрешенные виды трафика.

Шаг 2. Удалите настройки по умолчанию от поставщиков

Никогда не сохраняйте настройки по умолчанию для серверов, сетевых устройств или программ: начиная от маршрутизаторов Wi-Fi и заканчивая брандмауэрами. Пароль, имя пользователя и другие настройки безопасности по умолчанию часто не соответствуют стандартам PCI.

Второе требование стандарта PCI DSS запрещает использовать установленные по умолчанию пароли и другие параметры безопасности. Обязательно поменяйте настройки для всех новых устройств и оборудования и ведите документацию по процедурам укрепления безопасности.

Шаг 3. Защитите сохраненные данные держателей карт

Защита данных держателей карт является наиболее важным требованием PCI DSS. Вам нужно знать маршрут передачи данных держателей карт, место и период их хранения. Кроме того, все данные держателей карт должны быть зашифрованы с использованием общепринятых алгоритмов и ключей безопасности.

Нередки случаи, когда компании не знают, что номера платежных карт (PAN) хранятся в незашифрованном виде. Поэтому вам пригодится инструмент для обнаружения данных карт. Это требование PCI также включает правила отображения номеров карт, например скрытие всех цифр, кроме первых шести или последних четырех.

Шаг 4. Зашифруйте передачу платежных данных

Данное требование PCI DSS аналогично предыдущему, но относится к трафику и передаче данных, а не их хранению. Оно распространяется на данные, передаваемые через открытые, закрытые, защищенные или общедоступные сети. Хакеры часто стремятся заполучить данные во время их перемещения из одного места в другое, когда они более уязвимы.

Вы должны знать все точки маршрута передачи данных держателей карт, будь то ТСП, платежный шлюз или платежная система. Кроме того, не забудьте зашифровать данные держателей карт перед их передачей с помощью безопасных версий протоколов, чтобы снизить риск компрометации передаваемой информации. Обратите внимание, что в стандарте PCI DSS версии 4.0 имеются более конкретные указания по многофакторной аутентификации (MFA).

Шаг 5. Регулярно обновляйте антивирусное ПО

Для соответствия стандарту PCI-DSS недостаточно просто установить базовое антивирусное ПО. Нужно регулярно обновлять и улучшать антивирусные приложения. Этот стандарт безопасности PCI разработан для защиты от вредоносного ПО и любого количества вирусов, которые могут поставить под угрозу ваши системы и данные держателей карт.

Антивирусное ПО должно быть последней версии для всей ИТ-инфраструктуры с данными держателей карт, включая серверы, рабочие станции и ноутбуки или мобильные устройства, используемые сотрудниками и/или руководством. Антивирусы должны работать бесперебойно, использовать новейшие сигнатуры атак и создавать журналы, которые можно проверять.

Шаг 6. Установите безопасные системы и приложения

На следующем этапе вам необходимо разработать и внедрить процедуры как для выявления, так и для классификации рисков, связанных с развитием технологий. Без предварительной тщательной оценки рисков невозможно управлять технологиями и использовать их в соответствии со стандартами PCI.

После оценки рисков можно приступать к внедрению оборудования и ПО, используемого в процессе обработки или управления конфиденциальной информацией платежной карты. Одним из требований стандарта PCI DSS является своевременное внесение исправлений, например, в такие компоненты, как базы данных, платежные терминалы и операционные системы.

Шаг 7. Ограничьте доступ к данным держателей карт с учетом необходимости

Любая организация, которая обрабатывает данные платежных карт, также должна открыть или закрыть доступ к указанным данным с учетом прав и разрешений. В частности, согласно требованиям PCI DSS физические лица должны иметь доступ к информации держателей карт только по служебной необходимости.

Помимо цифрового доступа, организации также должны соответствовать требованиям PCI DSS к физической безопасности. У вас должны быть документально оформленные политики и процедуры контроля доступа, основанные на должностных обязанностях и уровне полномочий, а также причине доступа к данным держателей карт. Документально зафиксируйте уровень доступа всех пользователей и регулярно обновляйте эту информацию.

Шаг 8. Назначьте идентификаторы доступа пользователей

Согласно восьмому пункту стандарта PCI DSS, у каждого пользователя должен быть собственный уникальный логин и пароль. Никогда и ни при каких обстоятельствах не используйте групповые или общие логины/пароли. Кроме того, все они должны быть сложными.

Это позволяет не только создать препятствие для угадывания или кражи паролей для входа в систему, но и гарантирует, что в случае внутренней утечки данных активность можно отследить до конкретных пользователей с почти 100-процентной точностью. Для дальнейшего расширения возможностей уникального доступа в требованиях PCI DSS подчеркивается необходимость использования двухфакторной аутентификации.

Шаг 9. Ограничьте физический доступ к данным

Соответствие PCI подразумевает не только цифровую безопасность. Компании должны так же серьезно подходить к аспектам физической безопасности PCI DSS, в частности физическому доступу к серверам, бумажным файлам или рабочим станциям, которые содержат или передают данные держателей карт.

Это требование PCI также подразумевает использование видеокамер и общего электронного контроля путей входа и выхода из физических помещений, таких как хранилища файлов и центры обработки данных. Записи и журналы доступа должны храниться не менее 90 дней. Процессы должны быть прозрачны для вас, чтобы вы могли различать сотрудников и гостей. И, наконец, все портативные носители с данными держателей карт, такие как флэш-карты, должны физически защищаться и уничтожаться, когда они больше не нужны для работы.

Шаг 10. Отслеживайте и контролируйте доступ к сети

Хакеры постоянно атакуют как проводные, так и беспроводные сети для доступа к данным держателей карт. Поэтому стандарты PCI требуют, чтобы все сетевые системы были защищены, постоянно контролировались и имели четкую историю активности, на которую можно ссылаться. Журналы сетевой активности необходимо хранить и отправлять обратно на централизованный сервер для ежедневной проверки.

Для ведения журнала системной активности можно использовать SIEM-инструмент, параллельно отслеживая подозрительные действия. Согласно требованиям PCI записи журнала регистрации событий сетевой активности должны храниться и синхронизироваться по времени не менее одного года.

Шаг 11. Регулярно тестируйте системы и процессы

Хакеры и киберпреступники постоянно исследуют и взламывают системы в поисках уязвимостей, поэтому стандарты PCI включают требования о непрерывной проверке систем и процессов. Тестирование на проникновение и уязвимости поможет вам выполнить это требование.

Ежеквартально проводите периодическое сканирование беспроводным анализатором для выявления неавторизованных точек доступа. Сканирование внешних IP-адресов и доменов должно проводиться утвержденным по стандарту PCI поставщиком услуг сканирования (ASV). Сканирование внутренних уязвимостей также следует выполнять ежеквартально. Ежегодно требуется углубленный тест на проникновение в приложения и сеть.

Шаг 12. Разработайте и поддерживайте политику информационной безопасности

Последний шаг к соблюдению требований PCI связан с организационной направленностью и сотрудничеством, а именно разработкой, внедрением и поддержкой политики информационной безопасности во всей компании. Политика должна распространяться на сотрудников, руководство и связанных с компанией третьих лиц.

Политика информационной безопасности должна ежегодно пересматриваться и передаваться всем сотрудникам компании и сторонним организациям, и с ней должны быть ознакомлены все пользователи. Также необходимо проводить обучение пользователей правилам безопасности и проверку биографических данных сотрудников, чтобы злоумышленники не могли получить доступ к данным держателей карт.

Контрольный список требований PCI DSS

Прежде чем привлекать квалифицированного аудитора систем безопасности PCI, необходимо убедиться, что все пункты следующего контрольного списка требований PCI DSS выполнены:

  • Активируйте брандмауэр
  1. Разработайте план по внедрению брандмауэра и политики изменений или обновлений;
  2. Периодически контролируйте и тестируйте брандмауэр для обнаружения потенциальных уязвимостей;
  3. Обновляйте брандмауэр с использованием последних исправлений и обеспечивайте полное обслуживание.
  • Измените настройки по умолчанию от поставщика
  1. Проводите аудит стандартных настроек и учетных записей при использовании нового оборудования или программ;
  2. Настройте параметры для устранения как общих угроз, так и внутренних уязвимостей;
  3. Проводите инвентаризацию всех компонентов системы в соответствии с требованиями PCI DSS для документации.
  • Защитите данные держателей карт
  1. Создайте соответствующую требованиям PCI политику сбора, обработки и уничтожения данных;
  2. Примите надежные меры безопасности, такие как шифрование и сокрытие номера платежной карты (PAN);
  3. Документируйте процесс создания и хранения криптографический ключей, а также управления ими.
  • Шифруйте данные держателей карт при передаче
  1. Используйте надежные протоколы шифрования как в частных, так и в общественных сетях;
  2. Никогда не отправляйте PAN с помощью инструментов обмена сообщениями с конечными пользователями, таких как электронная почта, мессенджеры или SMS;
  3. Проводите регулярное обучение сотрудников передовым методам передачи данных в соответствии с требованиями PCI.
  • Постоянно обновляйте свое антивирусное ПО
  1. Установите антивирус на всё аппаратное и программное обеспечение, особенно на персональные компьютеры и серверы;
  2. Убедитесь, что все антивирусное ПО осуществляет постоянный мониторинг и автоматически генерирует журналы;
  3. Настройте антивирус таким образом, чтобы конечные пользователи не могли изменять параметры без одобрения руководства.
  • Устанавливайте только безопасное оборудование и программы
  1. Обратитесь к партнеру по обеспечению соблюдения требований PCI для проверки нового оборудования или программного обеспечения на предмет безопасности;
  2. Устанавливайте обновления или исправления безопасности от производителя в течение одного месяца с момента выпуска;
  3. Разрабатывайте внутренние программные приложения с учетом требований PCI.
  • Установите ограничения на доступ к данным
  1. Открывайте доступ к данным держателей карт исключительно лицам, которым они необходимы в рабочих целях;
  2. Используйте магнитные ключ-карты, коды для открытия дверей и биометрические системы для усиления контроля над физическим доступом;
  3. Регулярно обучайте сотрудников политике доступа к данным держателей карт, чтобы избежать случайных внутренних утечек.
  • Назначайте уникальные идентификаторы пользователей и пароли
  1. Документально фиксируйте процессы и мероприятия по созданию, назначению и аннулированию идентификаторов пользователей;
  2. Включите двухфакторную аутентификацию (2FA) для всех, кто входит в систему;
  3. Не используйте существующие идентификаторы или пароли пользователей группы. Это предусмотрено PCI DSS.
  • Обеспечьте безопасность ключевых зон физического доступа
  1. Контролируйте входы и выходы в помещения с помощью открытых и скрытых камер или других способов контроля;
  2. Отделяйте персонал от посетителей, используя именные бейджи;
  3. Уничтожайте флэш-карты и другие физические носители, когда они уже не нужны.
  • Контролируйте и регистрируйте доступ к сети
  1. Ведите учет привязки всех физических сетевых устройств к конкретным пользователям;
  2. Автоматизируйте создание журналов регистрации событий для сети с документацией;
  3. Регулярно просматривайте журналы безопасности на предмет наличия аномалий или подозрительной активности.
  • Регулярно проводите тестирование на проникновение
  1. Совместно с партнером по тестированию на проникновение PCI составьте план проверки уязвимостей с периодичностью не реже одного раза в квартал;
  2. Убедитесь, что используемые методы тестирования на проникновение работают как на уровне сети, так и на уровне приложений;
  3. Внедрите механизм обнаружения изменений для еженедельного сравнения важных файлов.
  • Сформулируйте четкую политику информационной безопасности
  1. Во всех подразделениях компании определите ключевых заинтересованных сторон, которые должны учитываться в политике;
  2. Совместно с партнером по обеспечению соблюдения требований PCI создайте и документально оформите политику информационной безопасности;
  3. Проводите минимум ежегодное обучение персонала с целью обеспечения постоянного соблюдения политики.

Обеспечение соответствия стандартам PCI

В целом, в стандарте PCI DSS версии 4.0 практически оставлены без изменений шесть ключевых целей и 12 требований PCI DSS, но при этом меняются процессы и методика оценки выполнения требований PCI для соответствия новым технологиям в секторе финансовых технологий и платежей.

Цель состоит в том, чтобы сделать выполнение правил PCI DSS более гибким с упором на технологии и бизнес-процессы. Безусловно, ваша компания может установить брандмауэры и антивирусное ПО, но насколько они эффективны в вашей деятельности?

Вы можете следить за обновлениями в разделе часто задаваемых вопросов на сайте www.pcisecuritystandards.org, где будут представлены руководства и дополнительная информация о PCI DSS версии 4.0. Но если вы еще мало знакомы с этим стандартом, вам обязательно нужно обсудить цели и требования со специалистами по информационной безопасности, чтобы понять, где вы всё делаете правильно, а где есть нарушения.

Выявив пробелы, стоит задуматься о поиске опытного партнера по обеспечению соблюдения требований PCI, который поможет устранить все недостатки.