Standard zabezpečení dat odvětví platebních karet - Payment Card Industry Data Security Standard

PCI DSS ( PCI DSS ) je informační bezpečnost standardem pro organizace, které rukojeť značkové kreditní karty z hlavních systémů platebních karet .

Standard PCI je nařízen značkami karet, ale spravuje jej Rada pro bezpečnostní standardy pro platební karty . Standard byl vytvořen za účelem zvýšení kontroly kolem údajů držitelů karet s cílem omezit podvody s kreditními kartami .

Ověření shody se provádí každoročně nebo čtvrtletně metodou vhodnou pro objem zpracovaných transakcí:

Dějiny

Kartové společnosti zahájily pět různých programů:

Záměry každého z nich byly zhruba podobné: vytvořit další úroveň ochrany pro vydavatele karet zajištěním toho, aby obchodníci při ukládání, zpracování a přenosu dat držitelů karet splňovali minimální úrovně zabezpečení. Aby se vyřešily problémy s interoperabilitou mezi stávajícími standardy, vedlo společné úsilí hlavních organizací kreditních karet k vydání verze 1.0 PCI DSS v prosinci 2004. PCI DSS byla implementována a sledována po celém světě.

Poté byla vytvořena Rada pro standardy zabezpečení platebních karet (PCI SSC) a tyto společnosti sladily své individuální zásady pro vytvoření PCI DSS. MasterCard, American Express, Visa, JCB International a Discover Financial Services založily PCI SSC v září 2006 jako administrativní/řídící subjekt, který nařizuje vývoj a vývoj PCI DSS. Nezávislé/soukromé organizace se mohou podílet na vývoji PCI po řádné registraci. Každá zúčastněná organizace se připojí ke konkrétní SIG (Special Interest Group) a přispívá k činnostem, které jsou SIG pověřeny. Byly zpřístupněny následující verze PCI DSS:

Verze datum Poznámky
1,0 15. prosince 2004
1.1 Září 2006 vyjasnění a drobné revize
1.2 Říjen 2008 lepší přehlednost, lepší flexibilita a řešení vyvíjejících se rizik a hrozeb
1.2.1 Červenec 2009 drobné opravy, jejichž cílem je zajistit větší srozumitelnost a soulad mezi standardy a podpůrnými dokumenty
2.0 Říjen 2010
3,0 listopad 2013 aktivní od 1. ledna 2014 do 30. června 2015
3.1 Duben 2015 odešel do důchodu od 31. října 2016
3.2 Duben 2016 odešel do důchodu od 31. prosince 2018
3.2.1 Květen 2018

Požadavky

PCI Data Security Standard specifikuje dvanáct požadavků na shodu, organizovaných do šesti logicky souvisejících skupin nazývaných „kontrolní cíle“. Šest skupin je:

  1. Vybudujte a udržujte zabezpečenou síť a systémy
  2. Chraňte data držitele karty
  3. Udržujte program pro správu zranitelnosti
  4. Implementujte silná opatření pro řízení přístupu
  5. Pravidelně monitorujte a testujte sítě
  6. Udržujte zásady zabezpečení informací

Každá verze PCI DSS (Payment Card Industry Data Security Standard) rozdělila těchto šest požadavků na řadu dílčích požadavků odlišně, ale dvanáct požadavků na vysoké úrovni se od vzniku standardu nezměnilo. Každý požadavek/pod-požadavek je navíc rozpracován do tří sekcí.

  1. Prohlášení o požadavku: Definuje hlavní popis požadavku. Schválení PCI DSS se provádí na základě řádné implementace požadavků.
  2. Testovací procesy: Procesy a metodiky prováděné posuzovatelem za účelem potvrzení řádné implementace.
  3. Pokyny: Vysvětluje hlavní účel požadavku a odpovídající obsah, který může pomoci při správné definici požadavku.

Dvanáct požadavků na budování a udržování zabezpečené sítě a systémů lze shrnout následovně:

  1. Instalace a údržba konfigurace brány firewall k ochraně dat držitelů karet. Účelem brány firewall je skenovat veškerý síťový provoz a blokovat nedůvěryhodným sítím přístup do systému.
  2. Změna výchozích hodnot dodaných dodavateli pro systémová hesla a další parametry zabezpečení. Tato hesla lze snadno zjistit prostřednictvím veřejných informací a mohou je používat zlomyslní jedinci k získání neoprávněného přístupu do systémů.
  3. Ochrana uložených dat držitele karty. Šifrování, hašování, maskování a zkracování jsou metody používané k ochraně dat držitele karty.
  4. Šifrování přenosu dat držitele karty přes otevřené veřejné sítě. Silné šifrování, včetně používání pouze důvěryhodných klíčů a certifikací, snižuje riziko, že na vás budou hackeři zaútočit.
  5. Ochrana všech systémů před malwarem a provádění pravidelných aktualizací antivirového softwaru . Malware se může do sítě dostat mnoha způsoby, včetně používání internetu, e -mailu zaměstnance, mobilních zařízení nebo úložných zařízení. Aktuální antivirový software nebo doplňkový antivirový software sníží riziko zneužití prostřednictvím malwaru.
  6. Vývoj a údržba zabezpečených systémů a aplikací. Chyby zabezpečení v systémech a aplikacích umožňují bezohledným jednotlivcům získat privilegovaný přístup. Okamžitě by měly být nainstalovány bezpečnostní záplaty, které opraví zranitelnost a zabrání zneužití a ohrožení dat držitele karty.
  7. Omezení přístupu k údajům držitele karty pouze oprávněným osobám. Systémy a procesy musí být použity k omezení přístupu k údajům držitele karty na základě „potřeby vědět“.
  8. Identifikace a autentizace přístupu k systémovým komponentám. Každá osoba s přístupem k systémovým komponentám by měla mít přidělenou jedinečnou identifikaci (ID), která umožňuje odpovědnost za přístup k důležitým datovým systémům.
  9. Omezení fyzického přístupu k údajům držitele karty. Fyzický přístup k datům nebo systémům držitelů karet, které tato data uchovávají, musí být bezpečný, aby se zabránilo neoprávněnému přístupu nebo odebrání dat.
  10. Sledování a monitorování veškerého přístupu k datům držitelů karet a síťovým zdrojům. Měly by být zavedeny protokolovací mechanismy pro sledování aktivit uživatelů, které jsou zásadní pro předcházení, detekci nebo minimalizaci dopadu kompromitací dat.
  11. Pravidelné testování bezpečnostních systémů a procesů. Neustále se objevují nové zranitelnosti. Systémy, procesy a software je třeba často testovat, aby se odhalila slabá místa, která by mohli používat zlomyslní jednotlivci.
  12. Udržování zásady zabezpečení informací pro všechny zaměstnance. Silná bezpečnostní politika zahrnuje také to, aby zaměstnanci pochopili citlivost dat a jejich odpovědnost za jejich ochranu.


Aktualizace a doplňující informace

PCI SSC (Rada pro standardy zabezpečení průmyslových odvětví platebních karet) vydala několik doplňujících informací k objasnění různých požadavků. Tyto dokumenty zahrnují následující

  • Doplněk informací: Požadavek 11.3 Penetrační testování
  • Doplněk informací: Požadavek 6.6 Kontrola kódu a aplikační brány firewall vyjasněny
  • Navigace v PCI DSS - porozumění záměru požadavků
  • „Doplněk informací: Pokyny pro bezdrátové připojení PCI DSS“ (PDF) . 26. srpna 2011.
  • Použitelnost PCI DSS v prostředí EMV
  • Prioritizovaný přístup pro PCI DSS
  • Nástroj prioritního přístupu
  • Stručná referenční příručka PCI DSS
  • Pokyny pro virtualizaci PCI DSS
  • Pokyny pro tokenizaci PCI DSS
  • Pokyny pro posuzování rizik PCI DSS 2.0
  • Životní cyklus změn pro PCI DSS a PA-DSS
  • Pokyny pro rozsah a segmentaci PCI DSS
  • Očekává se, že PCI DSS v4.0 bude publikován v Q1 2022

Úrovně shody

Všechny společnosti, které podléhají standardům PCI DSS, musí být kompatibilní s PCI. Existují čtyři úrovně souladu s PCI a ty jsou založeny na tom, kolik ročně zpracujete, a také na dalších podrobnostech o úrovni rizika posuzované platebními značkami.

Na vysoké úrovni jsou tyto úrovně:

  • Úroveň 1 - Více než 6 milionů transakcí ročně
  • Úroveň 2 - mezi 1 a 6 miliony transakcí ročně
  • Úroveň 3 - mezi 20 000 a 1 milionem transakcí ročně
  • Úroveň 4 - méně než 20 000 transakcí ročně

Každý vydavatel karty si udržuje vlastní tabulku úrovní shody.

Ověření shody

Ověření shody zahrnuje vyhodnocení a potvrzení, že bezpečnostní kontroly a postupy byly řádně implementovány podle zásad doporučených PCI DSS. Stručně řečeno, PCI DSS, postupy ověřování/testování zabezpečení vzájemně jako nástroj pro ověřování shody. Hodnocení PCI DSS má následující entity.

Kvalifikovaný bezpečnostní hodnotitel (QSA)

Hlavní článek: Kvalifikovaný bezpečnostní hodnotitel

Kvalifikovaný bezpečnostní hodnotitel je osoba, která je držitelem certifikátu poskytnutého Radou pro bezpečnostní standardy PCI. Tato certifikovaná osoba může u obchodníků provádět audit souladu se standardem PCI DSS (Payment Card Industry Data Security Standard). QSA jsou nezávislé skupiny/entity, které byly certifikovány PCI SSC pro potvrzení shody v organizačních postupech. Potvrzení pouze přiřazuje, že QSA inklinoval ke všem samostatným předpokladům, které jsou povinné pro hodnocení PCI DSS.

Internal Security Assessor (ISA)

Hlavní článek: Internal Security Assessor (ISA)

Interní hodnotitel bezpečnosti je jednotlivec, který pro svou sponzorující organizaci získal certifikát od společnosti PCI Security Standards Company. Tato certifikovaná osoba má schopnost provádět vlastní hodnocení PCI pro svou organizaci. Tento program ISA byl navržen tak, aby pomohl obchodníkům úrovně 2 splnit nové požadavky na ověřování shody Mastercard. Certifikace ISA zmocňuje pracovníka k vnitřnímu hodnocení jeho/ její asociace a navrhuje bezpečnostní řešení/ kontroly pro dodržování PCI DSS. Jelikož organizace ISA podporuje organizace pro potvrzení PCI SSC, mají na starosti spolupráci a účast s QSA.

Zpráva o shodě (ROC)

Zpráva o shodě je formulář, který musí vyplnit všichni obchodníci úrovně 1 Obchodníci Visa podstupující audit PCI DSS (Payment Card Industry Data Security Standard). Formulář ROC slouží k ověření, že auditovaný obchodník je v souladu se standardem PCI DSS. ROC potvrzuje, že organizace vhodně implementuje/vyvíjí zásady, strategie, přístupy a pracovní toky pro ochranu držitelů karet před podvody/podvody obchodními transakcemi založenými na kartách. Šablona „Šablona hlášení ROC“ dostupná na webu PCI SSC obsahuje podrobné pokyny o ROC.

Dotazník pro sebehodnocení (SAQ)

Dotazníky pro sebehodnocení PCI DSS (SAQ) jsou validační nástroje, jejichž cílem je pomoci obchodníkům a poskytovatelům služeb hlásit výsledky jejich sebehodnocení PCI DSS. Existuje osm různých typů SAQ, z nichž každý má jinou úroveň složitosti. Tím nejzákladnějším je SAQ-A, skládající se pouze z 22 otázek; nejsložitější je SAQ-D, skládající se z 329 otázek. -

Self-Assessment Questionnaire je sada dotazníků, které musí obchodníci každý rok vyplnit a předložit své transakční bance. Další součástí SAQ je Attestation of Compliance (AOC), kde je každá otázka SAQ zodpovězena na základě interního sebehodnocení PCI DSS. Na každou otázku SAQ je třeba odpovědět alternativou ano nebo ne. V případě, že má otázka odpovídající odpověď „ne“, musí v tomto okamžiku asociace zdůraznit své budoucí aspekty implementace.

Compliance versus validace compliance

Ačkoli PCI DSS musí být implementováno všemi entitami, které zpracovávají, ukládají nebo přenášejí data držitelů karet, formální ověření souladu s PCI DSS není povinné pro všechny entity. V současné době Visa i MasterCard vyžadují, aby obchodníci a poskytovatelé služeb byli ověřeni podle PCI DSS. Visa také nabízí alternativní program s názvem Program technologických inovací (TIP), který umožňuje kvalifikovaným obchodníkům ukončit každoroční hodnocení ověřování PCI DSS. Tito obchodníci jsou způsobilí, pokud přijímají alternativní opatření proti padělaným podvodům, jako je použití EMV nebo šifrování Point to Point .

Vydávající banky nemusí projít ověřením PCI DSS, přestože musí citlivá data zabezpečit způsobem kompatibilním s PCI DSS. Akviziční banky jsou povinny dodržovat PCI DSS a jejich shodu nechat ověřit pomocí auditu.

V případě narušení bezpečnosti bude jakýkoli kompromitovaný subjekt, který nebyl v době narušení kompatibilní s PCI DSS, podroben dodatečným sankcím schématu karet, například pokutám.

Legislativa

Federální zákony ve Spojených státech nevyžadují shodu s PCI DSS . Zákony některých států USA však buď odkazují přímo na PCI DSS, nebo vytvářejí ekvivalentní ustanovení. Právní vědci Edward Morse a Vasant Raval tvrdili, že zakotvením souladu s PCI DSS v legislativě karetní sítě přerozdělovaly externalizované náklady na podvody od vydavatelů karet obchodníkům.

V roce 2007 Minnesota přijala zákon zakazující uchovávání některých typů údajů o platebních kartách po 48 hodinách po autorizaci transakce.

V roce 2009 Nevada začlenila standard do státního práva, který vyžadoval soulad obchodníků podnikajících v tomto státě se současným PCI DSS a chrání subjekty, které jsou v souladu s předpisy, před odpovědností. Nevadský zákon také umožňuje obchodníkům vyhnout se odpovědnosti za jiné schválené bezpečnostní standardy.

V roce 2010 Washington také začlenil normu do státního práva. Na rozdíl od zákona z Nevady se u subjektů nevyžaduje, aby byly v souladu s PCI DSS, ale vyhovující subjekty jsou chráněny před odpovědností v případě porušení ochrany údajů.

Řízení rizik k ochraně údajů držitelů karet

Podle požadavku PCI DSS 3 obchodníci a finanční instituce prosí o ochranu citlivých dat svých klientů silnou kryptografií. Nevyhovující řešení neprojdou auditem. Typický program řízení rizik lze strukturovat do 3 kroků:

  1. Identifikujte všechna známá rizika a zaznamenejte/popište je do registru rizik. Například moduly hardwarového zabezpečení (HSM), které se používají v procesu správy kryptografických klíčů, by mohly potenciálně představovat svá vlastní rizika, pokud by byla ohrožena, ať už fyzicky nebo logicky. HSM vytvářejí v systému kořen důvěryhodnosti. I když je nepravděpodobné, že v případě ohrožení HSM to může ohrozit celý systém.
  2. Vytvořit program řízení rizik je analyzovat všechna identifikovaná rizika. Součástí této analýzy by měla být kombinace kvalitativních a kvantitativních technik k určení, jaké metody léčby rizik by měly být použity ke snížení možnosti rizik. Organizace může například analyzovat riziko používání cloudového HSM oproti fyzickému zařízení, které používá na místě.
  3. Zacházejte s riziky v reakci na dříve provedenou analýzu rizik. Například použití různých postupů k ochraně klientských informací uložených v cloudovém HSM oproti zajištění fyzického i logického zabezpečení pro HSM na místě, což by mohlo zahrnovat implementaci kontrol nebo získání pojištění za účelem udržení přijatelné úrovně rizika.

Průběžné monitorování a kontrola jsou součástí procesu snižování rizik kryptografie PCI DSS. To zahrnuje plány údržby a předdefinované rutiny eskalace a obnovy při zjištění slabých míst zabezpečení.

Kontroverze a kritika

Za nedodržení ukládají společnosti Visa a Mastercard pokuty.

Stephen a Theodora „Cissy“ McCombovi, majitelé Cisero's Ristorante a Nightclub v Park City v Utahu, byli údajně pokutováni za porušení, pro které dvě forenzní firmy nemohly najít důkazy, ke kterým došlo:

"Systém PCI je méně systém pro zabezpečení dat zákaznických karet než systém pro zvyšování zisku pro karetní společnosti prostřednictvím pokut a penále. Visa a MasterCard ukládají obchodníkům pokuty, i když nedochází ke ztrátě podvodů vůbec, jednoduše proto, že pokuty „jsou pro ně ziskové“. "

Michael Jones, CIO Michaels 'Stores, svědčil před podvýborem Kongresu USA ohledně PCI DSS:

"(... požadavky PCI DSS ...) jsou velmi nákladné na implementaci, matoucí v souladu s nimi a v konečném důsledku subjektivní, jak v jejich interpretaci, tak v jejich vymáhání. Často se uvádí, že existuje pouze dvanáct 'požadavků' pro Soulad s PCI. Ve skutečnosti existuje více než 220 dílčích požadavků; z nichž některé mohou pro maloobchodníka představovat neuvěřitelnou zátěž a mnohé z nich podléhají výkladu . “

Jiní navrhli, že PCI DSS je krokem směrem k tomu, aby všechny podniky věnovaly větší pozornost zabezpečení IT, i když minimální standardy nestačí k úplnému odstranění bezpečnostních problémů. Například Bruce Schneier se vyslovil pro PCI DSS:

„Regulace-SOX, HIPAA , GLBA, PCI v odvětví kreditních karet, různé zákony o zpřístupňování informací, evropský zákon o ochraně osobních údajů, cokoli-byla nejlepší hůl, kterou průmysl našel, aby porazil společnosti přes hlavu. A funguje to. Regulace nutí společnosti brát bezpečnost vážně a prodává více produktů a služeb. “

Generální ředitel Rady PCI Bob Russo reagoval na námitky Národní maloobchodní federace :

„[PCI is a structured] mix ... [of] specificity and high-level concepts [that allows] stakeholders the opportunity and flexibility to work with Qualified Security Assessors (QSAs) to determine appropriate security controls within their environment that meet the intent standardů PCI. "

Soulad a kompromisy

Podle hlavní ředitelky Visa pro podnikové riziko Ellen Richeyové (2018):

„... v době porušení nebyl dosud shledán žádný kompromitovaný subjekt, který by byl v souladu s PCI DSS.“

V roce 2008 došlo k porušení systému Heartland Payment Systems , organizace ověřené jako kompatibilní s PCI DSS, ke kompromitaci sto milionů čísel karet. Přibližně ve stejnou dobu byly Hannaford Brothers a TJX Companies , rovněž ověřené jako kompatibilní s PCI DSS, podobně porušeny v důsledku údajného koordinovaného úsilí Alberta „Segvec“ Gonzaleze a dvou nejmenovaných ruských hackerů.

Hodnocení zkoumají soulad obchodníků a poskytovatelů služeb s PCI DSS v určitém časovém okamžiku a často využívají metodiku vzorkování, aby bylo možné prokázat shodu prostřednictvím reprezentativních systémů a procesů. Je odpovědností obchodníka a poskytovatele služeb dosáhnout, demonstrovat a udržovat jejich shodu po celou dobu jak během ročního cyklu validace/hodnocení, tak napříč všemi systémy a procesy jako celek. Ačkoli by mohlo být na vině porušení shody obchodníka a poskytovatele služeb s písemnou normou, společnost Hannaford Brothers obdržela ověření souladu s PCI DSS jeden den poté, co byla informována o dvouměsíčním kompromisu jeho vnitřní systémy. Pokud to hodnotitel nezjistí, naznačuje to, že nekompetentní ověřování shody narušuje bezpečnost normy.

Další kritika spočívá v tom, že ověření shody je vyžadováno pouze u obchodníků úrovně 1-3 a může být volitelné pro úroveň 4 v závislosti na značce karty a nabyvateli. Podrobnosti o ověřování shody Visa pro obchodníky uvádějí, že požadavky na ověření shody obchodníků úrovně 4 stanoví nabyvatel, obchodníci Visa úrovně 4 jsou „Obchodníci zpracovávající méně než 20 000 transakcí elektronického obchodování Visa ročně a všichni ostatní obchodníci zpracovávající až 1 milion transakcí Visa ročně“ . Současně více než 80% kompromisů v oblasti platebních karet v letech 2005 až 2007 postihlo obchodníky úrovně 4; zpracovávají 32% transakcí.

Viz také

Reference

externí odkazy