PCI DSS
Соответствие требованиям
Основное требование стандарта — максимально ограничить доступ к данным платежных карт. Оптимальным решением является вообще не иметь к ним доступа, а вместо этого использовать сертифицированных провайдеров для приема платежей. На практике это означает, что нельзя ни запрашивать, ни передавать номера карт. Если звонит клиент, говорит, что не проходит платеж и начинает диктовать номер, нужно его перебивать. Если присылает по почте/скайпу — удалять сообщение и просить, чтоб больше так не делал.
К охраняемым данным относятся полный номер карты и код CVV2/CVC2 (последние 3 цифры на обратной стороне). Имя владельца, срок действия и маскированный номер карты (первые 6 и последние 4 цифры) в защите по требованиям стандарта не нуждаются поэтому их можно использовать в разумных пределах.
Соответствие PCI DSS вместе с CloudPayments
CloudPayments — сертифицированный сервис-провайдер с максимальным уровнем соответствия PCI DSS, предоставляющим право хранить данные платежных карт и обрабатывать более 6 миллионов платежей ежегодно. Подтверждение соответствия проходит каждый год в рамках сертификационного аудита.
Все платежные инструменты CloudPayments спроектированы таким образом, что при их использовании вы автоматически соответствуете требованиям по безопасности. Дополнительных мер предпринимать не нужно.
Исключением является прием платежей по технологии Checkout. Для использования необходимо подтверждать соответствие: заполнить лист самооценки и ежеквартально проверять сайт на уязвимости специальным сканером.
Технология Checkout
Checkout — уникальная технология токенизации карт для приема платежей на вашем сайте, в вашей форме без встроенных iframe элементов, что дает максимальный контроль и конверсию прохождения платежей. Данные платежных карт шифруются в браузере покупателя, поэтому ваш сайт не принимает участие в обработке и хранении номеров, что значительно сокращает область применения требований PCI DSS. Тем не менее, сайт влияет на безопасность карточных данных, и для его защиты необходимо выполнять сканирование не менее одного раза в квартал для поиска вирусов и уязвимостей. Сканирование должно проводится аккредитованным вендором (ASV) из списка, представленного на сайте совета PCI.
Для поддержки качества и безопасности услуг, в компании работают 30 человек: есть отделы разработки, тестирования, эксплуатации и поддержки. Все сотрудники регулярно проходят обучение, имеют большой опыт работы с банковскими и процессинговыми системами, являются экспертами в области технологий и безопасности.
ASV-сканирование
ASV-сканирование — автоматизированная проверка вашего сайта на наличие уязвимостей. Сканер проверяет наличие вирусов, известных уязвимостей, таких как XSS, SQL Injections и так далее, после чего составляет детальный отчет с инструкцией по устранению проблем, если они были обнаружены.
Использование сканера необходимо для приема платежей по технологии Checkout, для остальных инструментов: виджет, мобильный SDK, рекарринг и рекуррент его использование не требуется.
Выбор вендора для сканирования остается на ваше усмотрение, но он должен быть из списка на сайте совета PCI. Если у вас нет предпочтений, мы рекомендуем использовать Trustwave — международную компанию, признанного лидера в информационной безопасности.
Инструкция для подключения ASV-сканера Trustwave
Годовая стоимость пакета услуг составляет 499 долларов и включает в себя подписку на сканирование, помощь в заполнении листа самооценки, учебные материалы и политику безопасности.
ASV-сканирование в одно касание
коммерческий директор компании ARinteg
Международные платежные системы предъявляют особые требования к уровню безопасности транзакций.
Своевременно установить различного рода уязвимости и некорректные конфигурации сетевой инфраструктуры позволяет процедура ASV-сканирования. О том, для каких целей служит данная проверка, рассказывают специалисты компании ARinteg – одного из ведущих российских системных интеграторов ИТ-безопасности, обладающего подтвержденным статусом ASV-провайдера.
ASV-СКАНИРОВАНИЕ: ЧТО ЭТО ТАКОЕ?
ASV-сканирование – это процедура ежеквартальной проверки всех точек подключения к сети интернет на наличие уязвимостей. Данная процедура разработана Советом по стандартам безопасности данных индустрии платежных карт. Это открытое глобальное сообщество, в задачи которого входят постоянная разработка, совершенствование, хранение, распространение и практическое внедрение стандартов безопасности банковских данных. Главная цель создания такого сообщества заключается в повышении безопасности данных индустрии платежных карт посредством обучения и информирования о стандартах безопасности PCI DSS. Совет создан по инициативе международных платежных систем American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc.
КТО ОБЯЗАН ПРОХОДИТЬ ПРОВЕРКУ?
Процедура ASV-сканирования на предмет соответствия требованиям международного стандарта безопасности PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей платежных карт. Отдельная градация существует в отношении сервисных компаний и процессинговых центров.
КАК ПОДТВЕРДИТЬ СООТВЕТСТВИЕ ТРЕБОВАНИЯМ СТАНДАРТА PCI DSS?
Для прохождения ASV-сканирования необходимо обратиться к специализированным поставщикам услуг, аккредитованным Советом по стандартам безопасности данных индустрии платежных карт.
Компании ARinteg статус ASV-провайдера (Approved Scanning Vendor) впервые был присвоен более трех лет назад. Ежегодно системный интегратор успешно подтверждает свой экспертный уровень. Опираясь на многолетний опыт аудита защищенности внешнего периметра и внутренних сетей, ARinteg помогает организациям финансового сектора и компаниям из других отраслей успешно проходить необходимые процедуры проверки на предмет соответствия PCI DSS.
КАК ПРОХОДИТПРОЦЕДУРА СКАНИРОВАНИЯ?
Сканирование проводится удаленно в формате выделенного технологического окна в течение 24 часов. Дату и время сканирования можно согласовать индивидуально.
НЕОБХОДИМО ЛИ ЗАРАНЕЕ ГОТОВИТЬСЯ К ПРОВЕРКЕ?
На время проведения проверки обязательным требованием стандарта PCI DSS является отключение (переключение в режим мониторинга) средств активной защиты, основанных на поведенческом анализе (IPS, WAF).
В случае использования балансировщиков трафика требуется подтверждение синхронизации сетевых потоков. Процедура ASV-сканирования абсолютно безопасна и не влияет на производительность сетевой инфраструктуры.
ЧТО ПРОИСХОДИТ ВО ВРЕМЯ СКАНИРОВАНИЯ?
В рамках тестирования определяется наличие доступных IP-адресов из списка, предоставленного заказчиком, проводится сканирование всего диапазона TCP-портов и стандартных UDP-портов.
Осуществляется попытка точной идентификации используемых версий операционных систем и запущенных сервисов вне зависимости от используемых платформ.
ЭТАПЫ ASV-СКАНИРОВАНИЯ
Главное отличие услуг ARinteg – комплексный подход к ASV-сканированию и содействие заказчику в успешном прохождении этого ответственного мероприятия. С этой целью ASV-сканирование разделяется на несколько этапов. На первом этапе заказчик и его сетевая инфраструктура готовятся к проведению сканирования.
На втором этапе ARinteg проверяет возможное наличие уязвимостей, используя собственное сертифицированное решение для ASV-сканирования.
КАКОЙ ДОКУМЕНТ ВЫДАЕТСЯ ПО ИТОГАМ ПРОВЕРКИ?
По результатам ASV-сканирования формируется отчет о соответствии требованиям стандарта PCI DSS и вырабатываются рекомендации по дальнейшему выполнению требований стандарта. Следует подчеркнуть, что в отчете указываются как подтвержденные, так и потенциальные уязвимости. В случае выявления недопустимых уязвимостей критичностью выше 4-го уровня (CVE) заказчик может оспорить их справедливость, предоставив подтверждения ложного срабатывания сканера.
При обнаружении средств удаленного доступа, POS-терминалов или иных механизмов приема платежей, возможности листинга директорий, потребуется обоснование необходимости и защищенности применяемых решений.
Специалисты нашей компании в случае необходимости могут более подробно рассказать о преимуществах ASV-сканирования от ARinteg.
ASV-сканирование в одно касание
Обязательный формат проверки ИТ-безопасности организаций, принимающих и обрабатывающих данные банковских карт
Международные платёжные системы предъявляют особые требования к уровню безопасности транзакций. Своевременно установить различного рода уязвимости и некорректные конфигурации сетевой инфраструктуры позволяет процедура ASV-сканирования. О том, для каких целей служит данная проверка, рассказывают специалисты компании ARinteg — одного из ведущих российских системных интеграторов ИТ-безопасности, обладающего подтверждённым статусом ASV-провайдера.
ASV-сканирование: что это такое?
ASV-сканирование — это процедура ежеквартальной проверки всех точек подключения к сети интернет на наличие уязвимостей. Разработана Советом по стандартам безопасности данных индустрии платёжных карт (создан по инициативе American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc.).
Кто обязан проходить проверку?
Процедура ASV-сканирования на предмет соответствия требованиям международного стандарта безопасности PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей платёжных карт.
Такие компании классифицируются исходя из объёма транзакций, проводимых в течение года:
Отдельная градация существует в отношении сервисных компаний и процессинговых центров.
Как подтвердить соответствие требованиям стандарта PCI DSS?
Для прохождения ASV-сканирования необходимо обратиться к специализированным поставщикам услуг, аккредитованным Советом по стандартам безопасности данных индустрии платёжных карт.
Компании ARinteg статус ASV-провайдера впервые был присвоен более трёх лет назад. Ежегодно системный интегратор успешно подтверждает свой экспертный уровень.
Опираясь на многолетний опыт аудита защищённости внешнего периметра и внутренних сетей, ARinteg помогает организациям финансового сектора и компаниям из других отраслей успешно проходить необходимые процедуры проверки на предмет соответствия PCI DSS.
Как проходит процедура сканирования?
Сканирование проводится удалённо в формате выделенного технологического окна в течение 24 часов. Дату и время сканирования можно согласовать индивидуально.
Необходимо ли заранее готовиться к проверке?
На время проведения проверки обязательным требованием стандарта PCI DSS является отключение (переключение в режим мониторинга) средств активной защиты, основанных на поведенческом анализе (IPS, WAF).
В случае использования балансировщиков трафика требуется подтверждение синхронизации сетевых потоков.
Процедура ASV-сканирования абсолютно безопасна и не влияет на производительность сетевой инфраструктуры.
Что происходит во время сканирования?
В рамках тестирования определяется наличие доступных IP-адресов из списка, предоставленного заказчиком, проводится сканирование всего диапазона TCP-портов и стандартных UDP-портов.
Осуществляется попытка точной идентификации используемых версий операционных систем и запущенных сервисов вне зависимости от используемых платформ.
Процедура проверки проводится на предмет:
Какой документ выдаётся по итогам проверки?
По результатам сканирования предоставляется отчёт, в котором указываются как подтверждённые, так и потенциальные уязвимости.
В случае выявления недопустимых уязвимостей критичностью выше 4 уровня (CVE), заказчик может оспорить их справедливость, предоставив подтверждения ложного срабатывания сканера.
При обнаружении средств удалённого доступа, POS-терминалов или иных механизмов приёма платежей, возможности листинга директорий, потребуется обоснование необходимости и защищённости применяемых решений.
Аналитика и комментарии
ASV-сканирование: соответствие PCI DSS и требованиям закона о НПС
Успешное развитие карточного бизнеса банка подразумевает появление новых клиентоориентированных услуг, программ лояльности, мобильных платежей, выпуск предоплаченных карт и т.п. Разработка и поддержка таких услуг для банка обычно означает привлечение сервис-провайдеров и передачу непрофильных видов деятельности на аутсорсинг.
При этом ответственность за соответствие требованиям международных платежных систем и стандарту информационной безопасности PCI DSS продолжает нести банк. Поэтому он требует от сервис-провайдера, предоставляющего карточные услуги, подтверждение выполнения применимых к нему требований. Чаще всего таким подтверждением оказывается документ Attestation of compliance. Для банка важно, чтобы этот документ соответствовал предоставляемым сервис-провайдерами услугам. Например, если сервис-провайдер предоставляет услуги по обработке данных платежных карт, используя при этом публичные интернет-ресурсы, то сервис-провайдер должен подтвердить выполнение требований по ASV-сканированию.
Нередки случаи, когда наличие Attestation of compliance не предполагает такого подтверждения, поэтому банку необходимо убедиться, что в документе отмечено выполнение соответствующего раздела требований. В противном случае при получении сертификата PCI DSS кредитная организация должна будет проводить дополнительные работы и нести дополнительные затраты.
Для правильного выстраивания договорных отношений с сервис-провайдерами и выполнения требований регуляторов полезно понимать, что такое ASV-сканирование. По сути это сканирование уязвимостей сети, которое, в соответствие с требованием пункта 11.2 стандарта PCI DSS, должно проводиться как минимум ежеквартально или после значительного изменения в инфраструктуре сети. Требования и методика проведения ASV-сканирования определены документом ASV Program Guide, разработанным PCI Security Standards Council. Проводить ASV-сканирование имеет право компания, обладающая статусом Approved Scanning Vendor.
В область сканирования должны входить ресурсы, которые:
■ имеют публичные интернет-адреса;
■ обрабатывают, хранят или передают данные платежных карт;
■ соединены со средой обработки, передачи или хранения данных платежных карт;
■ являются внешними DNS-серверами по отношению к сети банка.
Если кредитная организация использует внешние DNS-серверы, на которых выполняется преобразование доменных имен в IP-адреса сети банка, то существует риск компрометации данных платежных карт за счет эксплуатации уязвимостей DNS-сервера. Для снижения этого риска должно осуществляться ASV-сканирование DNS-серверов.
Во втором случае банку следует помнить о том, что договор с сервис-провайдером на проведение сканирования позволяет избежать нарушения законодательства. В договоре должны быть подробно оговорены методика и параметры проведения ASV-сканирования, точное время проведения работ, а также полный перечень DNS-серверов, арендуемых банком у данного сервис-провайдера.
Кроме очевидной необходимости выполнения ASV-сканирования для обеспечения соответствия PCI DSS есть и другая выгода для банка. Так, наличие успешно выполненных ASV-сканирований позволяет выполнить часть требований Федерального закона № 161-ФЗ «О национальной платежной системе». При обработке данных платежных карт выполнение требований этого документа необходимо.
Постановление правительства № 584 «Об утверждении Положения о защите информации в платежной системе» определяет требование (№ 4) по проведению мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем. В этом же Постановлении сформулирована необходимость организации и проведения контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже одного раза в два года.
Положение Банка России № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств» определяет требование (№ 2.16.2) по информированию оператора платежной системы о выявленных угрозах и уязвимостях в обеспечении защиты.
При этом требования к процессам выявления угроз и уязвимостей, а также их методика в нормативных документах о национальной платежной системе не определены. Таким образом, ASV-сканирование является эффективным инструментом для выполнения требований упомянутых документов: его результаты оказываются достаточными для оператора платежной системы, а регулярное проведение позволяет осуществлять контроль и оценку защиты объектов информационных систем.
PCI DSS
Соответствие требованиям
Основное требование стандарта — максимально ограничить доступ к данным платежных карт. Оптимальным решением является вообще не иметь к ним доступа, а вместо этого использовать сертифицированных провайдеров для приема платежей. На практике это означает, что нельзя ни запрашивать, ни передавать номера карт. Если звонит клиент, говорит, что не проходит платеж и начинает диктовать номер, нужно его перебивать. Если присылает по почте/скайпу — удалять сообщение и просить, чтоб больше так не делал.
К охраняемым данным относятся полный номер карты и код CVV2/CVC2 (последние 3 цифры на обратной стороне). Имя владельца, срок действия и маскированный номер карты (первые 6 и последние 4 цифры) в защите по требованиям стандарта не нуждаются поэтому их можно использовать в разумных пределах.
Соответствие PCI DSS вместе с CloudPayments
CloudPayments — сертифицированный сервис-провайдер с максимальным уровнем соответствия PCI DSS, предоставляющим право хранить данные платежных карт и обрабатывать более 6 миллионов платежей ежегодно. Подтверждение соответствия проходит каждый год в рамках сертификационного аудита.
Все платежные инструменты CloudPayments спроектированы таким образом, что при их использовании вы автоматически соответствуете требованиям по безопасности. Дополнительных мер предпринимать не нужно.
Исключением является прием платежей по технологии Checkout. Для использования необходимо подтверждать соответствие: заполнить лист самооценки и ежеквартально проверять сайт на уязвимости специальным сканером.
Технология Checkout
Checkout — уникальная технология токенизации карт для приема платежей на вашем сайте, в вашей форме без встроенных iframe элементов, что дает максимальный контроль и конверсию прохождения платежей. Данные платежных карт шифруются в браузере покупателя, поэтому ваш сайт не принимает участие в обработке и хранении номеров, что значительно сокращает область применения требований PCI DSS. Тем не менее, сайт влияет на безопасность карточных данных, и для его защиты необходимо выполнять сканирование не менее одного раза в квартал для поиска вирусов и уязвимостей. Сканирование должно проводится аккредитованным вендором (ASV) из списка, представленного на сайте совета PCI.
Для поддержки качества и безопасности услуг, в компании работают 30 человек: есть отделы разработки, тестирования, эксплуатации и поддержки. Все сотрудники регулярно проходят обучение, имеют большой опыт работы с банковскими и процессинговыми системами, являются экспертами в области технологий и безопасности.
ASV-сканирование
ASV-сканирование — автоматизированная проверка вашего сайта на наличие уязвимостей. Сканер проверяет наличие вирусов, известных уязвимостей, таких как XSS, SQL Injections и так далее, после чего составляет детальный отчет с инструкцией по устранению проблем, если они были обнаружены.
Использование сканера необходимо для приема платежей по технологии Checkout, для остальных инструментов: виджет, мобильный SDK, рекарринг и рекуррент его использование не требуется.
Выбор вендора для сканирования остается на ваше усмотрение, но он должен быть из списка на сайте совета PCI. Если у вас нет предпочтений, мы рекомендуем использовать Trustwave — международную компанию, признанного лидера в информационной безопасности.
Инструкция для подключения ASV-сканера Trustwave
Годовая стоимость пакета услуг составляет 499 долларов и включает в себя подписку на сканирование, помощь в заполнении листа самооценки, учебные материалы и политику безопасности.
