Стандарт безопасности данных индустрии платежных карт
Набор требований безопасности для процессоров кредитных карт

Стандарт безопасности данных индустрии платежных карт ( PCI DSS ) — это стандарт информационной безопасности , используемый для обработки кредитных карт от основных брендов карт . Стандарт администрируется Советом по стандартам безопасности индустрии платежных карт , и его использование предписано брендами карт. Он был создан для лучшего контроля данных держателей карт и снижения мошенничества с кредитными картами . Проверка соответствия выполняется ежегодно или ежеквартально с использованием метода, подходящего для объема транзакций: [1]

История

У основных брендов карт было пять различных программ безопасности:

  • Программа безопасности информации держателей карт Visa
  • Защита данных на сайте Mastercard
  • Политика безопасности данных American Express
  • Информационная безопасность и соответствие требованиям Discover
  • Программа безопасности данных JCB

Намерения каждого из них были примерно схожи: создать дополнительный уровень защиты для эмитентов карт, гарантируя, что торговцы соответствуют минимальным уровням безопасности при хранении, обработке и передаче данных держателей карт. Для решения проблем совместимости между существующими стандартами совместные усилия основных организаций кредитных карт привели к выпуску версии 1.0 PCI DSS в декабре 2004 года. [ необходима цитата ] PCI DSS был внедрен и соблюдается во всем мире.

Затем был сформирован Совет по стандартам безопасности индустрии платежных карт (PCI SSC), и эти компании согласовали свои политики для создания PCI DSS. [2] MasterCard, American Express, Visa, JCB International и Discover Financial Services учредили PCI SSC в сентябре 2006 года в качестве административного и руководящего органа, который уполномочен на эволюцию и разработку PCI DSS. [3] Независимые частные организации могут участвовать в разработке PCI после регистрации. Каждая участвующая организация присоединяется к SIG (Special Interest Group) и вносит свой вклад в деятельность, предписанную группой. Были доступны следующие версии PCI DSS: [4]

ВерсияДатаПримечания
1.015 декабря 2004 г.
1.1Сентябрь 2006 г.уточнения и незначительные изменения
1.2Октябрь 2008 г.повышенная ясность, улучшенная гибкость и устранение возникающих рисков и угроз
1.2.1Июль 2009 г.незначительные исправления, призванные обеспечить большую ясность и согласованность стандартов и вспомогательных документов
2.0Октябрь 2010 г.
3.0Ноябрь 2013 г.активен с 1 января 2014 г. по 30 июня 2015 г.
3.1Апрель 2015 г.на пенсии с 31 октября 2016 г.
3.2Апрель 2016 г.на пенсии с 31 декабря 2018 г.
3.2.1Май 2018 г.на пенсии с 31 марта 2024 г.
4.0Март 2022 г.обновленная терминология брандмауэра, расширение требования 8 для внедрения многофакторной аутентификации (MFA), повышенная гибкость для демонстрации безопасности и целевые анализы рисков для установления эксплуатации и управления подверженностью риску [5]
4.0.1Июнь 2024 г.исправить типографские и другие незначительные ошибки, обновить и уточнить руководство, удалить определения в руководстве и вместо этого ссылаться на глоссарий, добавить ссылки на глоссарий для вновь определенных терминов глоссария и для существующих терминов глоссария, которые ранее не имели ссылок [6]

Требования

Стандарт PCI DSS содержит двенадцать требований к соблюдению, объединенных в шесть взаимосвязанных групп, известных как цели контроля: [7]

  1. Создание и поддержание безопасной сети и систем
  2. Защитите данные держателей карт
  3. Поддерживать программу управления уязвимостями
  4. Внедрить строгие меры контроля доступа
  5. Регулярно контролируйте и тестируйте сети
  6. Поддерживать политику информационной безопасности

Каждая версия PCI DSS разделила эти шесть групп требований по-разному, но двенадцать требований не изменились с момента создания стандарта. Каждое требование и подтребование делятся на три раздела:

  1. Требования PCI DSS: Определите требование. Одобрение PCI DSS осуществляется при внедрении требования.
  2. Тестирование: процессы и методики, применяемые оценщиком для подтверждения надлежащего внедрения.
  3. Руководство: объясняет цель требования и соответствующее содержание, что может помочь в его правильном определении.

В версии 4.0.1 PCI DSS двенадцать требований таковы: [8]

  1. Установите и поддерживайте средства контроля безопасности сети .
  2. Применяйте безопасные конфигурации ко всем компонентам системы.
  3. Защитите сохраненные данные учетной записи.
  4. Защитите данные держателей карт с помощью надежной криптографии при передаче по открытым публичным сетям.
  5. Защитите все системы и сети от вредоносного программного обеспечения .
  6. Разработка и поддержка безопасных систем и программного обеспечения.
  7. Ограничьте доступ к системным компонентам и данным о держателях карт в целях служебной необходимости .
  8. Идентифицируйте пользователей и аутентифицируйте доступ к компонентам системы.
  9. Ограничьте физический доступ к данным держателей карт.
  10. Регистрируйте и отслеживайте все доступы к системным компонентам и данным держателей карт.
  11. Регулярно проверяйте безопасность систем и сетей.
  12. Поддерживайте информационную безопасность с помощью организационных политик и программ.

Обновления и дополнительная информация

PCI SSC (Совет по стандартам безопасности индустрии платежных карт) опубликовал дополнительную информацию для уточнения требований, которая включает в себя:

  • Информационное дополнение: Требование 11.3 Тестирование на проникновение
  • Информационное дополнение: Уточнено требование 6.6 «Проверки кода и межсетевые экраны приложений»
  • Навигация по PCI DSS — понимание цели требований
  • Рекомендации PCI DSS по беспроводным сетям [9]
  • Применимость PCI DSS в среде EMV
  • Приоритетный подход к PCI DSS
  • Инструмент приоритетного подхода
  • Краткое справочное руководство PCI DSS
  • Рекомендации по виртуализации PCI DSS
  • Руководство по токенизации PCI DSS
  • Рекомендации по оценке рисков PCI DSS 2.0
  • Жизненный цикл изменений PCI DSS и PA-DSS
  • Руководство по определению области действия и сегментации PCI DSS
  • PCI DSS v4.0 Ресурсный центр [10]

Уровни отчетности

Компании, подпадающие под стандарты PCI DSS, должны соответствовать PCI; то, как они доказывают и сообщают о своем соответствии, основано на их годовом количестве транзакций и способе обработки транзакций. Эквайер или платежный бренд могут вручную поместить организацию на уровень отчетности по своему усмотрению. [11] Уровни торговцев:

  • Уровень 1 – Более шести миллионов транзакций в год
  • Уровень 2 – от одного до шести миллионов транзакций
  • Уровень 3 – от 20 000 до одного миллиона транзакций, все продавцы электронной коммерции
  • Уровень 4 – Менее 20 000 транзакций

Каждый эмитент карты ведет таблицу уровней соответствия и таблицу для поставщиков услуг. [12] [13]

Проверка соответствия

Проверка соответствия включает оценку и подтверждение того, что средства контроля и процедуры безопасности были реализованы в соответствии с PCI DSS. Проверка осуществляется посредством ежегодной оценки, проводимой либо внешней организацией, либо путем самооценки. [14]

Отчет о соответствии

Отчет о соответствии (ROC) составляется квалифицированным оценщиком безопасности PCI (QSA) и предназначен для независимой проверки соответствия организации стандарту PCI DSS. Завершенный ROC приводит к двум документам: шаблону отчета ROC, заполненному подробным объяснением завершенного тестирования, и аттестации соответствия (AOC), документирующей завершение ROC и общее заключение ROC.

Анкета самооценки

Опросник самооценки PCI DSS (SAQ) — это инструмент проверки, предназначенный для малых и средних торговцев и поставщиков услуг, чтобы оценить свой собственный статус соответствия PCI DSS. Существует несколько типов SAQ, каждый из которых имеет разную длину в зависимости от типа организации и используемой модели оплаты. Каждый вопрос SAQ имеет ответ «да» или «нет», и любой ответ «нет» требует от организации указать ее будущую реализацию. Как и в случае с ROC, также заполняется подтверждение соответствия (AOC) на основе SAQ.

Оценщики безопасности

Совет по стандартам безопасности PCI реализует программу сертификации компаний и частных лиц для проведения оценочной деятельности.

Квалифицированный оценщик безопасности

Квалифицированный оценщик безопасности (QSA) — это лицо, сертифицированное Советом по стандартам безопасности PCI для проверки соответствия другой организации стандарту PCI DSS. QSA должны быть наняты и спонсироваться компанией QSA, которая также должна быть сертифицирована Советом по стандартам безопасности PCI. [15] [16]

Эксперт по внутренней безопасности

Внутренний оценщик безопасности (ISA) — это лицо, получившее сертификат Совета по стандартам безопасности PCI для своей спонсирующей организации и могущее проводить самооценку PCI для своей организации. Программа ISA была разработана для того, чтобы помочь торговцам уровня 2 соответствовать требованиям проверки соответствия Mastercard. [17] Сертификация ISA дает лицу право проводить оценку своей ассоциации и предлагать решения и средства контроля безопасности для соответствия PCI DSS. ISA отвечают за сотрудничество и участие в QSA. [14]

Соответствие и подтверждение соответствия

Хотя PCI DSS должен быть внедрен всеми субъектами, которые обрабатывают, хранят или передают данные держателей карт, формальная проверка соответствия PCI DSS не является обязательной для всех субъектов. Visa и Mastercard требуют, чтобы торговцы и поставщики услуг были проверены в соответствии с PCI DSS; Visa также предлагает Программу технологических инноваций (TIP), альтернативную программу, которая позволяет квалифицированным торговцам прекратить ежегодную оценку проверки PCI DSS. Торговцы имеют право, если они принимают альтернативные меры предосторожности против мошенничества, такие как использование EMV или шифрования точка-точка .

Банки-эмитенты не обязаны проходить проверку PCI DSS, хотя они должны защищать конфиденциальные данные в соответствии с PCI DSS. Банки-эквайеры должны соответствовать PCI DSS и подтверждать свое соответствие аудитом . В случае нарушения безопасности любой скомпрометированный субъект, который не соответствовал PCI DSS на момент нарушения, может быть подвергнут дополнительным санкциям (например, штрафам) со стороны брендов карт или банков-эквайеров.

Законодательство в Соединенных Штатах

Соответствие PCI DSS не требуется федеральным законодательством в Соединенных Штатах , но законы некоторых штатов ссылаются на PCI DSS напрямую или содержат эквивалентные положения. Юристы Эдвард Морс и Васант Равал заявили, что, закрепив соответствие PCI DSS в законодательстве, карточные сети перераспределили стоимость мошенничества с эмитентов карт на торговцев. [18] В 2007 году Миннесота приняла закон, запрещающий хранение некоторых типов данных платежных карт более 48 часов после авторизации транзакции. [19] [20] Невада включила стандарт в закон штата два года спустя, требуя от торговцев, ведущих бизнес в этом штате, соблюдения текущего PCI DSS и защищая соответствующие организации от ответственности. Закон Невады также позволяет торговцам избегать ответственности по другим утвержденным стандартам безопасности. [21] [18] В 2010 году Вашингтон также включил стандарт в закон штата. В отличие от закона Невады, организации не обязаны соответствовать PCI DSS; Однако субъекты, соблюдающие требования, защищены от ответственности в случае утечки данных. [22] [18]

Споры и критика

Visa и Mastercard налагают штрафы за несоблюдение правил. Стивен и Теодора «Сисси» МакКомб, владельцы ресторана и ночного клуба Cisero's в Парк-Сити, штат Юта , были оштрафованы за нарушение, доказательства которого две компании, занимающиеся судебной экспертизой, не смогли найти:

Маккомбы утверждают, что система PCI — это не столько система защиты данных клиентских карт, сколько система извлечения прибыли для компаний, выпускающих карты, посредством штрафов и пени. Visa и MasterCard налагают штрафы на торговцев, даже если нет никаких потерь от мошенничества, просто потому, что штрафы «им выгодны», говорят Маккомбы. [23]

Майкл Джонс, ИТ-директор компании Michaels , дал показания перед подкомитетом Конгресса США по поводу PCI DSS:

[Требования PCI DSS] очень дороги в реализации, запутанны в соблюдении и в конечном итоге субъективны как в их интерпретации, так и в их применении. Часто утверждается, что существует всего двенадцать «Требований» для соответствия PCI. На самом деле существует более 220 подтребований; некоторые из них могут наложить невероятное бремя на розничного торговца , и многие из них подлежат толкованию . [24]

PCI DSS может заставить компании уделять больше внимания безопасности ИТ, даже если минимальных стандартов недостаточно для искоренения проблем безопасности. Брюс Шнайер высказался в пользу стандарта:

Регулирование — SOX, HIPAA , GLBA, PCI индустрии кредитных карт, различные законы о раскрытии информации, Европейский закон о защите данных, что угодно — было лучшей палкой, которую отрасль нашла, чтобы бить компании по голове. И это работает. Регулирование заставляет компании относиться к безопасности более серьезно и продавать больше продуктов и услуг. [25]

Генеральный директор Совета PCI Боб Руссо ответил на возражения Национальной федерации розничной торговли :

[PCI представляет собой структурированную] смесь... [специфичности] и концепций высокого уровня, [которая предоставляет] заинтересованным сторонам возможность и гибкость в работе с квалифицированными оценщиками безопасности (QSA) для определения соответствующих мер безопасности в своей среде, которые соответствуют целям стандартов PCI. [26]

Главный специалист по корпоративным рискам Visa Эллен Ричи заявила в 2018 году: «Ни одна скомпрометированная организация не соответствовала требованиям PCI DSS на момент взлома». [27] Однако взлом Heartland Payment Systems в 2008 году (подтвержденный как соответствующий PCI DSS) привел к компрометации ста миллионов номеров карт. Примерно в то же время Hannaford Brothers и TJX Companies (также подтвержденный как соответствующий PCI DSS) были аналогичным образом взломаны в результате предположительно скоординированных усилий Альберта Гонсалеса и двух неназванных российских хакеров. [28]

Оценки проверяют соответствие торговцев и поставщиков услуг PCI DSS в определенный момент времени, часто используя выборку , чтобы продемонстрировать соответствие с помощью репрезентативных систем и процессов. Торговец и поставщик услуг обязаны достигать, демонстрировать и поддерживать соответствие в течение ежегодного цикла проверки и оценки во всех системах и процессах. Нарушение соответствия торговца и поставщика услуг письменному стандарту могло стать причиной нарушений; Hannaford Brothers получила подтверждение соответствия PCI DSS на следующий день после того, как ей стало известно о двухмесячной компрометации ее внутренних систем.

Проверка соответствия требуется только для продавцов с 1 по 3 уровень и может быть необязательной для уровня 4, в зависимости от бренда карты и эквайера. Согласно данным о проверке соответствия Visa для продавцов, требования проверки соответствия для продавцов 4 уровня («Продавцы, обрабатывающие менее 20 000 транзакций электронной коммерции Visa в год, и все остальные продавцы, обрабатывающие до 1 миллиона транзакций Visa в год») устанавливаются эквайером . Более 80 процентов компрометаций платежных карт в период с 2005 по 2007 год затронули продавцов 4 уровня, которые обработали 32 процента всех таких транзакций. [ необходима цитата ]

Смотрите также

Ссылки

  1. ^ «Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2.1, май 2018 г.» (PDF) . PCI Security Standards Council, LLC. Архивировано (PDF) из оригинала 1 сентября 2018 г. . Получено 4 сентября 2018 г. .
  2. ^ Лю, Цзин; Сяо, Ян; Чэнь, Хуэй; Оздемир, Суат; Додл, Шринивас; Сингх, Викас (2010). «Обзор стандарта безопасности данных в индустрии платежных карт». IEEE Communications Surveys & Tutorials . 12 (3): 287– 303. doi :10.1109/SURV.2010.031810.00083. S2CID  18117838.
  3. ^ "О нас". PCI Security Standards Council . Архивировано из оригинала 2 апреля 2022 г. Получено 15 декабря 2022 г.
  4. ^ "Библиотека документов". PCI Security Standards Council. Архивировано из оригинала 7 ноября 2020 г. Получено 12 ноября 2020 г.
  5. ^ «Обеспечение будущего платежей: PCI SSC публикует стандарт безопасности данных PCI v4.0». Совет по стандартам безопасности PCI. 31 марта 2022 г. Архивировано из оригинала 9 апреля 2022 г. Получено 8 апреля 2022 г.
  6. ^ «Стандарт безопасности данных индустрии платежных карт: сводка изменений с версии PCI DSS 4.0 до 4.0.1. Август 2024 г.» (PDF) . PCI Security Standards Council, LLC . Получено 31 декабря 2024 г. .{{cite web}}: CS1 maint: url-status ( ссылка )
  7. ^ "PCI DSS Quick Reference Guide" (PDF) . Архивировано (PDF) из оригинала 12 ноября 2020 г. . Получено 12 ноября 2020 г. .
  8. ^ «Стандарт безопасности данных индустрии платежных карт: требования и процедуры тестирования версии 4.0.1. Июнь 2024 г.» (PDF) . PCI Security Standards Council, LLC . Получено 31 декабря 2024 г. .
  9. ^ "Информационное приложение: Руководство по беспроводным сетям PCI DSS" (PDF) . 26 августа 2011 г. Архивировано (PDF) из оригинала 31 октября 2018 г. Получено 8 августа 2018 г.
  10. ^ "PCI DSS v4.0 Resource Hub". Архивировано из оригинала 23 марта 2023 г. Получено 24 марта 2023 г.
  11. ^ "Официальный сайт Совета по стандартам безопасности PCI — проверка соответствия PCI, загрузка стандартов безопасности данных и кредитных карт". www.pcisecuritystandards.org . Архивировано из оригинала 2 сентября 2019 г. . Получено 21 февраля 2007 г. .
  12. ^ "Visa in Europe". Архивировано из оригинала 9 февраля 2019 г. Получено 8 февраля 2019 г.
  13. ^ "Что нужно знать торговцам | Обработка платежных данных и защищенные транзакции | Mastercard". www.mastercard.us . Архивировано из оригинала 9 февраля 2019 г. . Получено 8 февраля 2019 г. .
  14. ^ ab PCI Security Standards Council. "Требования к стандарту безопасности данных индустрии платежных карт (PCI) и процедуры оценки безопасности, версия 3.2" (PDF) . PCI Security Standards Council, LLC. Архивировано из оригинала 19 июля 2023 г. . Получено 4 сентября 2018 г. .
  15. ^ "Qualified Security Assessors". PCI Security Standards Council. Архивировано из оригинала 18 мая 2023 г. Получено 18 мая 2023 г.
  16. ^ "Требования к квалификации квалифицированных оценщиков безопасности (QSA)" (PDF) . Совет по стандартам безопасности PCI.
  17. ^ «Избегайте платить за сертификацию PCI, которая вам не нужна». FierceRetail . 12 мая 2010 г. Архивировано из оригинала 17 мая 2022 г. Получено 26 марта 2018 г.
  18. ^ abc Эдвард А. Морзе; Васант Равал, Частный заказ в свете закона: обеспечение защиты потребителей с помощью мер безопасности платежных карт Архивировано 6 августа 2020 г. в Wayback Machine DePaul Business & Commercial Law Journal 10, № 2 (зима 2012 г.): 213-266
  19. ^ Джеймс Т. Грейвс, Закон Миннесоты о PCI: небольшой шаг на пути к установленной законом обязанности по обеспечению должной осмотрительности в отношении безопасности данных. Архивировано 6 августа 2020 г. в Wayback Machine. Юридический обзор Уильяма Митчелла, 34, № 3 (2008 г.): 1115–1146.
  20. ^ "MINN. STAT. § 325E.64". Архивировано из оригинала 10 октября 2019 г. Получено 10 октября 2019 г.
  21. ^ "NEV. REV. STAT. § 603A.215". Архивировано из оригинала 1 октября 2019 г. Получено 10 октября 2019 г.
  22. ^ "2010 Washington. Sess. Laws 1055, § 3" (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г. . Получено 10 октября 2019 г. .
  23. ^ Zetter, Kim (11 января 2012 г.). «Редкая юридическая драка за стандарты безопасности и штрафы кредитных компаний». Wired . Получено 30 марта 2019 г.
  24. ^ «Снижают ли стандарты данных индустрии платежных карт уровень киберпреступности? Слушания перед подкомитетом по возникающим угрозам, кибербезопасности, науке и технологиям Комитета по внутренней безопасности Палаты представителей, Сто одиннадцатый Конгресс, первая сессия, 31 марта 2009 г.». GPO. 31 марта 2009 г. Архивировано из оригинала 30 марта 2019 г. Получено 30 марта 2019 г. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  25. ^ «Брюс Шнайер размышляет о десятилетии тенденций в области безопасности». Шнайер о безопасности. 15 января 2008 г. Архивировано из оригинала 3 марта 2019 г. Получено 8 марта 2019 г.
  26. ^ «Может ли соответствие PCI нанести вред вашей инициативе по обеспечению безопасности?». www.brighttalk.com . Архивировано из оригинала 18 апреля 2021 г. Получено 9 октября 2020 г.
  27. ^ Виджаян, Джайкумар (19 марта 2009 г.). «По словам руководителя Visa, критика стандарта безопасности PCI после его нарушения неуместна». Computerworld . Архивировано из оригинала 4 сентября 2018 г. . Получено 4 сентября 2018 г. .
  28. ^ Салим, Хамид М. (2014). Кибербезопасность: системное мышление и системный подход к управлению рисками кибербезопасности (диссертация). Массачусетский технологический институт. hdl :1721.1/90804. Архивировано из оригинала 18 апреля 2021 г. Получено 8 октября 2020 г.
  • Официальный сайт Совета по стандартам безопасности PCI
Взято с "https://en.wikipedia.org/w/index.php?title=Стандарт_безопасности_данных_отрасли_платежных_карт&oldid=1268325543"