PCI DSS

Подтверждение соответствия стандарту проводится ежегодно либо ежеквартально, с использованием одной из методик, соответствующей объёму обрабатываемых транзакций:^[1]

• Самооценочный опросник (SAQ; англ. Self-assessment questionnaire)
• Внутренний аудитор (ISA; англ. Internal Security Assessor)
• Внешний квалифицированный аудитор по безопасности (QSA; англ. Qualified Security Assessor)

Крупнейшие платёжные системы разработали пять различных программ безопасности:

• Программа безопасности информации владельцев карт Visa (англ. Cardholder Information Security Program)
• Программа защиты данных сайтов Mastercard (англ. Site Data Protection)
• Политика работы с данными по безопасности American Express (англ. Data Security Operating Policy)
• Программа информбезопасности и соответствия Discover (англ. Information Security and Compliance)
• Программа по безопасности данных компании JCB (англ. Data Security Program)

Основные задачи этих программ были схожи: усиление защиты эмитентов карт за счёт обеспечения минимального уровня информационной безопасности со стороны торговых точек при хранении, обработке и передаче данных держателей карт. Для устранения проблем совместимости между существующими стандартами кредитными организациями совместно был разработан и опубликован стандарт PCI DSS, версия 1.0, в декабре 2004 года. В настоящее время PCI DSS внедрён и применяется по всему миру.

Затем был создан Совет по стандартам безопасности индустрии платёжных карт (PCI SSC; англ. Payment Card Industry Security Standards Council), и указанные компании согласовали свои политики для создания стандарта PCI DSS^[2]. В сентябре 2006 года системы Mastercard, American Express, Visa, JCB International и Discover Financial Services образовали PCI SSC как административный и регулирующий орган, отвечающий за развитие стандарта PCI DSS^[3]. К участию в разработке PCI могут присоединяться независимые частные организации после регистрации. Каждая участвующая организация входит в соответствующую рабочую группу (SIG; англ. Special Interest Group) и принимает участие в её деятельности. Были опубликованы следующие версии PCI DSS:^[4]

PCI DSS содержит двенадцать требований, сгруппированных в шесть взаимосвязанных категорий, известных как контрольные цели:^[7]

1. Создание и поддержка защищённых сетей и систем
2. Защита данных держателя карты
3. Поддержка программы управления уязвимостями
4. Реализация строгих мер контроля доступа
5. Проведение регулярного мониторинга и тестирования сетей
6. Поддержка политики информационной безопасности

В различных версиях стандарта структура контрольных целей могла меняться, однако перечень из двенадцати требований оставался неизменным с момента создания PCI DSS. Каждое основное требование и его подразделы делятся на три части:

1. Требование PCI DSS: определяет необходимое действие/состояние. Соответствие фиксируется после внедрения этого требования.
2. Тестирование: методы и процедуры, применяемые аудитором для подтверждения корректности внедрения.
3. Руководство: поясняет назначение требования и связанные с ним материалы, помогающие в его реализации.

В версии 4.0.1 стандарта PCI DSS перечень двенадцати требований таков:^[8]

1. Установка и поддержка средств сетевой защиты
2. Применение безопасных конфигураций ко всем компонентам системы
3. Защита хранимых платёжных данных
4. Защита данных держателя карты с применением сильной криптографии при передаче по открытым сетям
5. Защита всех систем и сетей от вредоносного программного обеспечения
6. Разработка и сопровождение безопасных систем и программного обеспечения
7. Ограничение доступа к системным компонентам и платёжной информации на основе необходимости
8. Идентификация пользователей и аутентификация при доступе к системным компонентам
9. Ограничение физического доступа к данным держателей карт
10. Ведение журналов и мониторинг всех обращений к системам и данным держателей карт
11. Регулярное тестирование защищённости систем и сетей
12. Поддержка информационной безопасности в рамках политики и программ организации

Совет PCI SSC выпускает дополнительные информационные материалы и разъяснения к требованиям, в числе которых:

• Информационное приложение: Требование 11.3, тестирование на проникновение
• Информационное приложение: Требование 6.6, обзор кода и применение межсетевых экранов приложений
• Руководство по выполнению PCI DSS — понимание назначения требований
• Рекомендации по беспроводным сетям PCI DSS^[9]
• Применимость PCI DSS в среде EMV
• Приоритетный подход к PCI DSS
• Инструмент для приоритетного подхода
• Краткое руководство по PCI DSS
• Руководство по виртуализации для PCI DSS
• Рекомендации по токенизации PCI DSS
• Руководство по оценке рисков PCI DSS 2.0
• Жизненный цикл изменений в PCI DSS и PA-DSS
• Руководство по определению области действия и сегментации PCI DSS
• Информационный центр PCI DSS v4.0^[10]

Организации, подпадающие под действие PCI DSS, обязаны соблюдать требования стандарта; способ подтверждения соответствия зависит от годового объёма транзакций и от применяемого платёжного процесса. Эквайрер или платёжная система могут по своему усмотрению вручную определить для организации тот или иной уровень отчётности^[11]. Для торговых предприятий существуют такие уровни:

• Уровень 1 — более 6 миллионов транзакций в год
• Уровень 2 — от 1 до 6 миллионов транзакций в год
• Уровень 3 — от 20 000 до 1 миллиона транзакций, а также все электронные торговцы
• Уровень 4 — менее 20 000 транзакций в год

Каждая платёжная система поддерживает собственную таблицу уровней соответствия как для торговцев, так и для поставщиков услуг^[12].^[13]

Процедура подтверждения соответствия включает в себя оценку и проверку выполнения требований PCI DSS и соответствующих процессов. Такая проверка обычно проводится ежегодно: либо внешней организацией, либо в формате самооценки^[14].

Отчёт о соответствии (ROC; англ. Report on Compliance) составляется квалифицированным аудитором по безопасности (QSA) и обеспечивает независимую верификацию выполнения требований стандарта PCI DSS. В результате подготовленных документов обычно два: собственно отчёт о тестировании (шаблон ROC) с подробным описанием проведённых проверок и заключение о соответствии (AOC; англ. Attestation of Compliance), подтверждающее выполнение требований.

Самооценочный опросник (SAQ; англ. Self-Assessment Questionnaire) предназначен для самостоятельной проверки соответствия требованиям PCI DSS малыми и средними торговыми и сервисными организациями. Существует несколько типов SAQ, которые различаются по объёму и набору вопросов в зависимости от типа деятельности и применяемой платёжной модели. На все вопросы SAQ даётся ответ «да» или «нет»; любые ответы «нет» должны сопровождаться планом устранения недостатков. Как и для ROC, итогом заполнения опросника является оформление заключения о соответствии (AOC).

Совет PCI SSC поддерживает систему аккредитации компаний и специалистов, осуществляющих проверку соответствия.

Квалифицированный аудитор по безопасности (QSA; англ. Qualified Security Assessor) — это специалист, прошедший сертификацию в Совете PCI SSC для аудита соответствия требованиям PCI DSS. QSA должен работать в организации, имеющей статус сертифицированного поставщика услуг PCI SSC^[15][16].

Внутренний аудитор по безопасности (ISA; англ. Internal Security Assessor) — это специалист, получивший сертификат PCI SSC, и вправе проводить самооценку своей организации в части соответствия PCI DSS. Программа ISA была создана для помощи торговцам второго уровня в выполнении требований Mastercard по подтверждению валидности соответствия^[17]. Сертификация ISA позволяет проводить внутреннюю оценку, предлагать организационные меры для достижения соответствия PCI DSS, а также координировать работу с внешними аудиторами (QSA)^[14].

Внедрение PCI DSS обязательно для всех организаций, обрабатывающих, хранящих и передающих платёжные данные владельцев карт, однако обязательство по формальному подтверждению соответствия PCI DSS распространяется не на все компании. Visa и Mastercard требуют от торговых компаний и поставщиков услуг прохождения валидации; Visa также реализовала Программу технологических инноваций (TIP), позволяющую определённым торговцам прекратить ежегодную оценку соответствия PCI DSS при условии внедрения альтернативных мер защиты, таких как EMV или сквозное шифрование.

Эмитенты карт не обязаны ежегодно подтверждать соответствие PCI DSS, однако должны обеспечивать защиту данных согласно стандарту. Эквайреры должны соответствовать PCI DSS и подтверждать это аудитом. В случае инцидентов безопасности организации, которые не соответствовали стандарту на момент компрометации, могут подвергаться санкциям (например, штрафам) со стороны платёжных систем или эквайреров.

Соблюдение PCI DSS не требуется федеральным законодательством США, однако в ряде штатов приняты законы, прямо отсылающие к PCI DSS или предусматривающие аналогичные обязательства. Исследователи Эдвард Морс и Васант Равал отмечали, что через законодательное закрепление требований PCI DSS расходы на мошенничество перекладываются с эмитентов карт на торговые организации^[18].

В 2007 году штат Миннесота принял закон, запрещающий сохранять определённые типы платёжных данных более чем на 48 часов после авторизации операции^[19][20]. В 2009 году штат Невада внедрил требования стандарта в свои законы, обязав организации, ведущие деятельность на территории штата, соблюдать текущую версию PCI DSS, и одновременно освободил соответствующие организации от ответственности. Закон Невады также разрешил организациям использовать альтернативные стандарты для избежания ответственности^[21][18]. В 2010 году штат Вашингтон также закрепил требования PCI DSS в законодательстве. В отличие от Невады, для компаний общее соответствие PCI DSS не обязательно, однако прошедшие соответствие организации освобождаются от ответственности при утечке данных^[22][18].

Платёжные системы Visa и Mastercard штрафуют организации, не соответствующие стандарту. Стивен и Сисси МакКомб, владельцы ресторана Cisero's и ночного клуба в Парк-Сити (Юта), были оштрафованы за нарушение, доказательства которого не смогли найти две независимые экспертные компании:

Майкл Джонс, директор по информационным технологиям компании Michaels, выступая перед конгрессом США, отметил:

В то же время наличие стандарта PCI DSS вынуждает бизнес уделять больше внимания ИБ, даже если базовые требования недостаточны для устранения всех проблем. Брюс Шнайер положительно отзывался о роли стандарта:

Генеральный директор Совета PCI Боб Руссо ответил на критику Национальной федерации ритейлеров.

В 2018 году директор по рискам Visa Эллен Ричи отмечала: «Ни одна организация, прошедшая верификацию соответствия PCI DSS, не была скомпрометирована на момент инцидента»^[23]. Однако в 2008 году валидацию PCI DSS прошёл процессинговый центр Heartland Payment Systems, но был взломан, и в результате злоумышленники получили доступ к 100 миллионам номеров карт. В тот же период атакам подверглись компании Hannaford Brothers и TJX Companies, хотя они также соответствовали стандарту — атаки связывают с действиями Альберта Гонсалеса и двух анонимных российских хакеров^[24].

Аудиты оценивают соответствие торговцев и поставщиков услуг требованиям PCI DSS в конкретный момент времени, зачастую используя выборочные проверки для доказательства соответствия репрезентативных систем и процессов. При этом ответственность за поддержание реального соответствия в течение всего года лежит только на организации. Именно нарушения внутри компании могут приводить к инцидентам: например, Hannaford Brothers получила подтверждение соответствия лишь через день после обнаружения многомесячной утечки в своих системах.

Подтверждение соответствия требуется для торговых организаций уровней 1–3 и может быть не обязательным для уровня 4, в зависимости от платёжной системы и эквайрера. По данным Visa, требования по подтверждению для торговцев уровня 4 («Менее 20 000 интернет-транзакций Visa ежегодно и все остальные до 1 миллиона» транзакций в год) определяются эквайрером. Свыше 80% успешных атак 2005–2007 годов пришлось именно на торговцев 4 уровня, обрабатывающих в совокупности 32% всех платёжных транзакций.