Совет PCI выпустил директиву по виртуализации систем, находящихся в области действия стандарта. Директива содержит как указания, так и рекомендации и советы об оптимальной организации структуры как в просто виртуальной среде, так и в становящейся сейчас популярной "облачной".

В последние годы всё больше и больше компаний используют виртуальные среды - иногда для решения части своих задач, а иногда и для поддержания всей инфраструктуры, занимающейся обработкой данных о держателях карт. Сейчас, за полгода до окончательного ввода второй версии PCI DSS, этот документ может особенно помочь тем, кто пока ещё сертифицируется по версии 1.2, и хочет беспроблемно подвести свою виртуальную инфраструктуру под сертификацию по версии 2.0, для работы с которой он и предназначен.

В рамках этой директивы на следующей неделе также состоится вебинар, посвящённый виртуализации. Он пройдёт 28-го и 30-го июня. Записаться на него можно на сайте совета.

За 4 дня до начала лета, 27 мая 2010 года в КБ «Трансинвестбанк» (ООО) состоялось торжественное вручение сертификата соответствия стандарту PCI DSS. Во встрече приняли участие вице-президент КБ «Трансинвестбанк» Евгений Горячев и генеральный директор компании, выполнившей сертификационный аудит — ООО «Сисхнет Евразия», Мария Шипкова.

Несмотря на жару, установившуюся в европейской части России, самым плодотворным месяцем лета оказался июль.

В июле компания «Информзащита» вручила сертификат соответствия PCI DSS ЗАО «Петрокарт», по результатам выполненного проекта по подготовке к сертификации и сертификационного аудита.

Девятым числом июля датирован сертификат соответствия PCI DSS, выданный платежному шлюзу «Юнителлер» по результатам комплексного полугодового проекта по подготовке и сертификации её информационной инфраструктуры, успешно завершенного специалистами компании Digital Security.

Конец июля ознаменовался повторным подтверждением соответствия ООО «ПэйОнлайн Систем» требованиям PCI DSS, аудитором выступила компания Digital Security.

Летняя тенденция наглядно демонстрирует результативность выбранной российскими представителями индустрии платежных карт стратегии на повышение безопасности своего бизнеса до уровня международных требований.

Компания PayOnline System в этом году повторно подтвердила свой статус соответствия требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS). В качестве партнера по проведению сертификационного аудита была выбрана компания Digital Security, обладающая статусом QSA (Qualified Security Assessor) и богатым опытом проведения подобных работ.

Успешно пройдя все этапы сертификационной проверки, аудит завершился выдачей сертификата соответствия от Digital Security и отправкой аудиторских заключений в международные платежные системы Visa и MasterCard.

«В компании PayOnline System налажены процессы обеспечения информационной безопасности, поддерживающие высокий уровень защищенности данных о держателях платежных карт. Результат, который продемонстрировали профессионалы PayOnline System, мы отмечаем выдачей Сертификата об успешно пройденном аудите», заявил Сергей Шустиков, руководитель направления менеджмента информационной безопасности компании Digital Security.

«Мы регулярно прилагаем немало усилий, для того что бы соответствовать стандартам PCI DSS, и считаем прохождение сертификации закономерным результатом. Данный сертификат подтверждает высокий уровень безопасности работы с данными плательщиков. Отдельно хотелось бы отметить высокий профессионализм сотрудников Digital Security, которые проводили аудит нашей компании. Аудит прошел в кратчайшие сроки и не прерывал существующие бизнес-процессы, специалисты изучили наши методы обработки информации, уровни и контроль доступа и пришли к выводу, что существующая модель работы соответствует требованиям безопасности PCI DSS», — комментирует генеральный директор компании PayOnline System Марат Абасалиев.

О компании PayOnline System

Компания PayOnline System — один из самых современных и динамично развивающихся платежных сервис-провайдеров в России. Процессинговый центр сертифицирован и аккредитован в Visa и MasterCard. PayOnline System предоставляет услуги интернет-эквайринга на территории РФ, в странах Евросоюза и Азии. Компания сотрудничает с крупнейшими банками России и Европы. Процессинг осуществляется на собственных решениях, которые долгие годы успешно функционируют в США, Европе, а теперь и в России. В 2009 г. скоринговая система мониторинга и борьбы с мошенническими операциями победила в конкурсе инновационных проектов в научно-технической сфере, проводимом при участии компании Microsoft.

Компания Uniteller успешно прошла все этапы по приведению своей информационной системы в соответствие требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.

В рамках проекта были реализованы следующие этапы:

Результатом совместной работы Digital Security и Uniteller стала подготовленная и сертифицированная по стандарту PCI DSS информационная инфраструктура.

«Мы рады тому, что компания Uniteller выбрала нас в качестве своего консультанта и аудитора. Совместными усилиями наших аудиторов и специалистов Uniteller была проведена работа по подготовке и сертификации инфраструктуры компании по стандарту PCI DSS. На данный момент компания Uniteller является одной из немногих в России, кто получил сертификат соответствия, что говорит о большом внимании ее сотрудников к обеспечению безопасности предлагаемых решений», — отметил Илья Медведовский, директор компании Digital Security.

Руководитель направления аудита ИБ компании Digital Security, QSA-аудитор, Александр Поляков отметил: «В этом проекте было задействовано множество наших сотрудников на разных этапах его реализации. Мне как руководителю проекта по сертификационному аудиту было приятно получить на выходе не только систему, соответствующую требованиям стандарта PCI DSS, но и систему, действительно защищенную и построенную высококвалифицированными специалистами компании Uniteller в соответствии с нашими рекомендациями».

Генеральный директор компании Uniteller, Алексей Богаткин отметил: «Профессионализм и опыт сотрудников компании Digital Security позволил в кратчайшие сроки пройти все этапы сертификации по стандарту PCI DSS. Аудит по PCI DSS — ответственный этап для любой компании, работающей на карточном рынке. Мы уверены, что сертификат предоставит нашим клиентам и партнерам еще одно доказательство надежности Uniteller как сервис-провайдера. Мы намерены продолжить активное сотрудничество с компанией Digital Security, в том числе и по аудиту на соответствие стандарту PA-DSS платежных решений Uniteller для сферы самообслуживания, широко известных на рынке».

Компания Uniteller — сервис-провайдер, осуществляющий процессинг платежных карт международных платежных систем VISA International, MasterCard Worldwide, JCB International и Diners Club International в системах самообслуживания и в среде Интернет. Более подробная информация о деятельности компании доступна по адресу: http://www.uniteller.ru.

Приближаясь к крайнему сроку, поставщики платежных приложений спешат сертифицировать свои продукты по PA-DSS.

Большинство из них думают, что весь процесс займет не более десяти дней. Но стандарт PA-DSS предъявляет особые условия для успешной сертификации:

Наибольшее количество вопросов у поставщиков ПО вызывает второй пункт — наличие документированных процессов и процедур. Большинство поставщиков платежного ПО не имеют даже базовой документации, такой как стандарт по безопасному написанию программного обеспечения, политики безопасности или процессы, например, контроль изменений, проверка кода и другие. Учитывая эту ситуацию, проверка может затянуться месяца на два.

Совет для поставщиков платежных приложений: следует прочитать требования и процедуры стандарта PA-DSS и попробовать понять, насколько детальной должна быть документация. QSA-аудитор, изучая документацию, в первую очередь будет обращать внимание на специфику безопасной разработки ПО.

В некоторых случаях QSA необходимо изучить журналы изменений некоторых процессов и процедур для того, чтобы убедиться, что приложение действительно соответствует политикам безопасности не только формально, но и на практике, а так же удостовериться в его безопасной разработке.

Крайне важно, чтобы поставщики ПО заранее планировали и отводили достаточно времени для проверки, а так же не забывали, что, в конечном счете, выполнение требований PA-DSS поможет им повысить уровень безопасности своей компании и разрабатываемого программного обеспечения.

Источник: http://pa-dss.blogspot.com/2010/05/new-articles-about-pa-dss.html

Оригинал заметки: http://www.spiguard.com/blog/pa-dss-things-to-remember

Можно ли говорить о том, что приложения электронной коммерции с открытым исходным кодом, такие как Magento Community, VirtueMart, Ubercart, Zen Cart и другие, еще долго не смогут пройти PA-DSS сертификацию, поскольку, в силу своих особенностей, они свободно модифицируемы и расширяемы плагинами? Означает ли это то, что приложения должны быть защищены от модификации путем шифрования исходного кода для того, чтобы они удовлетворяли требованиям PA-DSS?

14 основных требований, соблюдаемых при PA-DSS Compliance:

Эти требования делают почти невозможным прохождение сертификации для «opensource» продуктов. К примеру, требование  — разработка безопасных платежных приложений — чаще всего вызывает сложности. Проблема заключается в том, что PA-QSA специалист проверяет всю документацию, общается непосредственно с разработчиками и детально рассматривает (изучает) процесс разработки.

Документация по «opensource» программам, как правило, доступна только в  сети Интернет, и может быть, в лучшем случае, неполной. Обычно акцент делается на установке и основных правилах эксплуатации. Согласно требованиям PA-DSS и PCI DSS, необходима документация о правильной инсталляции программы, чтобы убедиться в том, что процесс соответствует PCI DSS. Документация «opensource» решений может и не включать в себя такую информацию.

Одним из самых больших препятствий для открытого ПО будет необходимость документирования цикла разработки данного ПО (SDLC — System Development Life Cycle). Если документация по эксплуатации может быть неполной, то документации по разработке открытого ПО обычно не существует. В результате получается невозможность соответствия требованию SDLC.

Также существует проблема тестирования ПО и подготовки соответствующей документации. Конечно, разработчики свободного ПО проводят тестирование перед его выпуском, но этот процесс еще должен быть документирован в соответствии со стандартом PA-DSS.

А какая организация будет ручаться за приложение? Большинство «opensource» проектов юридически не существуют, в результате, с технической точки зрения, они не могут быть представлены для PA-DSS сертификации. Кому брать на себя ответственность за такой продукт? Кто будет платить за сертификацию? Ведь большинство таких проектов разрабатывается энтузиастами и, понятно, что никто из них не станет платить тысячи долларов для того, чтобы этот продукт был сертифицирован по стандарту PA-DSS.

Наконец, если предположить, что такой открытый продукт получил сертификат PA-DSS, то как узнать, что он будет нетронутым, не модифицированным другими разработчиками? Это значит, что распространять такой продукт надо безопасным образом. То есть организации необходимо иметь свой пункт для безопасного распространения продукта, а значит, такой софт будет доступен не всем. Конечно, возможно использовать алгоритмы хэширования, чтобы подтвердить немодифицируемость версии, однако «opensource» организации придется инвестировать дополнительные средства в безопасность такой системы распространения.

Сообщение в Twitter от ducomputergeek:

«Мы создали новую ветку продукта, потому что нам прямо сказали, что оригинальная версия не может быть сертифицирована по PA-DSS и кажется, посчитали, что стандарт к нему не применим. Сейчас мы проходим сертификационный процесс. Технические изменения в ПО для соответствия требованиям PA-DSS были минимальны и заняли всего пару недель. 5 месяцев написания необходимой документации и мы вскоре будем проходить проверку».

В заключении следует отметить, что стандарт PA-DSS направлен на коммерческое ПО. Возможно, организации начнут выпускать сертифицированные «opensource» приложения, однако такие программы будут доступны только на платной основе. В качестве примера можно привести концепцию Linux версий компаний Red Hat и Novell.

Источники:

http://pa-dss.blogspot.com/2010/04/pa-dss-and-open-source-applications.html

http://slashdot.org/submission/1227990/PA-DSS-and-Opensource-Applications?from=rss&utm_source=twitterfeed&utm_medium=twitter

http://pciguru.wordpress.com/2010/04/10/open-source-pa-dss-certification/

В начале года компания Apple представила новую функцию для iPhone — оплата при помощи кредитных карт. Для этого к аппарату через разъем для наушников, подключается дополнительное устройство, которое служит средством считывания данных с кредитной карты. Таким образом, теперь iPhone может служить терминалом обработки карточных данных. Насколько безопасна такая идея Apple?

Платежные операции осуществляются при помощи специального приложения. Однако платежные приложения есть и на Windows Mobile. Существуют специальные решения от VeriFone и других производителей POS-терминалов, некоторые из которых сертифицированы по PABP и/или PA-DSS. Устройства от VeriFone соответствуют требованиям PCI PTS. Но iPhone и другие мобильные телефоны не имеют сертификации и не соответствуют данным требованиям.

Конфиденциальная информация, передающаяся по телекоммуникационным каналам, шифруется с помощью SSL v3 или TLS. При передаче по мобильным каналам и Wi-fi, такая информация не обеспечивается дополнительными методами защиты.

Проблемы безопасности iPhone.

С точки зрения PCI, в продуктах Apple существует несколько критических проблем:

•Удаленная информация не может быть удалена физически. В некоторых случаях удаленные данные остаются на iPhone до 6 месяцев или даже дольше, в зависимости от использования;
•Все что набирается на клавиатуре, сохраняется в лог iPhone;
•При использовании устройства для считывания данных банковских карт, весьма вероятно, что конфиденциальная информация не будет полностью удалена;

Использование iPhone как платформы обработки платежей не очень хорошая идея, пока он не сертифицирован.

Проблема заключается в том, что при разработке подобного рода решений, разработчики не учитывают соблюдение стандартов PCI, что мешает сертифицировать продукт в будущем. Если при разработке не были предприняты меры безопасности, то в дальнейшем расходы на его сертификацию, скорее всего, повысят стоимость продукта, и приобретение его клиентами будет не выгодным.

Оригинал статьи: http://pciguru.wordpress.com/2010/02/10/extremely-mobile-payment-processing

Ссылка на новость: http://earlytechnews.wordpress.com/2010/01/03/credit-card-payment-via-iphone

Стандарт PCI DSS определяет, что все поставщики услуг, имеющие доступ к данным о держателях карт (ДДК), либо способные повлиять на их безопасность, должны пройти сертификацию. В число таких поставщиков входят и хостинг-провайдеры. При этом, согласно требованию 12.8, каждая организация, использующая услуги таких поставщиков, в рамках работ по достижению соответствия стандарту, должна убедиться в том, что все эти поставщики соответствуют его требованиям.

Стремясь выполнить это требование, российские компании сталкиваются с тем, что в России отсутствуют сертифицированные по PCI DSS хостинг-провайдеры. Поэтому давайте обратимся к европейскому рынку, и посмотрим, что там предлагают. При этом нас будут интересовать услуги размещения физических или виртуальных серверов на площадке хостинг-провайдера.

В качестве источника информации возьмем Перечень поставщиков услуг, подтвердивших соответствие PCI DSS (List of PCI DSS validated service providers), опубликованный европейским подразделением международной платежной системы VISA, актуальный на 4 мая 2010 года. Этот документ подходит для наших целей, потому что он описывает европейский сегмент рынка. В качестве альтернативы можно рассмотреть аналогичный документ от MasterCard Compliant Service Providers, однако, он не содержит информации о географическом расположении перечисленных организаций и видах предоставляемых ими услуг. Поэтому, исходя из предположения, что большинство хостинг-провайдеров , получивших статус соответствия PCI DSS, предоставили информацию о себе в обе рассматриваемые платежные системы, остановимся на перечне от VISA.

Из документа были выбраны те компании, которые заявили, что предоставляют хостинг в качестве основного вида сертифицируемых услуг. Затем, был проведен анализ сайтов этих компаний, и из них выбраны только те, которые предлагают услуги по размещению физических или виртуальных серверов.

В итоге, был получен перечень из шести хостинг-провайдеров, обладающих статусом соответствия PCI DSS и предоставляющих на рынке стран Европы интересующие нас услуги:

Atos Origin - компания предлагает размещение как физических, так и виртуальных серверов;

DATAPIPE - предлагает размещение как физических, так и виртуальных серверов. Сертифицированный по PCI DSS дата-центр расположен на территории Великобритании;

DanDomain - предлагает размещение физических или виртуальных серверов, а также аренду собственных физических серверов. Стоимость размещения виртуального сервера начинается от 67 евро в месяц и зависит от набора дополнительных услуг и объема трафика. Размещение физического сервера стоит от 100 евро в месяц;

Foreshore – предлагает размещение физических серверов на своей площадке;

Informations Technlogie Austria - предлагает размещение виртуальных серверов под управлением различных операционных систем;

TelecityGroup - предлагает размещение физических серверов на своей площадке.

Отчет о Соответствии (Report on Compliance) и План мероприятий (Action Plan) — это два отчетных документа, рождением на свет которых оканчивается процедура аудита, если в ходе такового не было констатировано полное соответствие стандарту PCI DSS. При этом, Отчет о Соответствии подготавливает QSA-аудитор, а вот План Мероприятий — это продукт совместной деятельности аудитора и клиента.

Что же такое План Мероприятий? Многие ошибочно считают, что этот документ раскрывает детали пути к соответствию настолько, что никаких вопросов в дальнейшем не возникнет. В действительности под этим громким названием скрывается всего-навсего вспомогательный отчетный документ, форма которого разработана и утверждена Советом PCI DSS. Выглядит он вот так: Prioritized_Approach_PCI_DSS_version1_2.xls .

На первом листе книги MS Excel приведены инструкции по заполнению документа. Вторая страница являет собой краткое содержание Отчета о Соответствии, основной тут является графа «Status (Статус)», в которой для каждого требования указывается, выполнено оно или нет. Эту информацию предоставляет QSA, проводивший аудит. На третьем листе внизу есть резюмирующая таблица из 6 строк, соответствующих этапам Приоритетного подхода. В этой таблице самый правый столбец «Estimated Date for Completion Milestone (Ориентировочная дата достижения соответствия по данному этапу)» заполняется Заказчиком, исходя из собственных планов на будущее и наличия соответствующих ресурсов. Эта таблица с датами достижения соответствия PCI DSS предоставляется в международные платежные системы (МПС) и служит для них ориентиром, от которого можно отталкиваться при оценке масштабов бедствия.

Итак, мы выяснили, что под громким названием «План Мероприятий» скрывается сугубо формальный отчетный документ, подготавливаемый совместными усилиями QSA-аудитора и Заказчика, с целью информирования МПС о результатах проведенного аудита.

А вот если Заказчик хочет видеть документ, открывающий ему путь к соответствию PCI, с подробным описанием рекомендуемых мероприятий по устранению несоответствий информационной инфраструктуры, то для этого следует уточнить у своего QSA о возможности заказа такой услуги, как «Консалтинг по приведению в соответствие».

В последнее время обсуждения в области безопасности были сосредоточены на теме PCI DSS. Обсуждается все, от практических советов как достигнуть соответствия, до присуждения стандарту статуса дьявольского изобретения («PCI is the devil»). Не обращая внимания на горячие споры, можно отметить, что с помощью PCI DSS множество организаций увидело перспективу обеспечения безопасности там, где ранее об этом не могло быть и речи. При этом совершенно очевидно, что он не делает их «абсолютно защищенными» — это не под силу никакому внешнему документу.

PSI DSS часто критикуют, основываясь на мнении, что главной целью стандарта является прохождение аудита. Для многих будет сюрпризом узнать, что стандарт требует выполнение определенных задач постоянно, а не только перед аудитом. Цель статьи — сосредоточить внимание на конкретных процедурах, которые необходимо осуществлять, для того что бы сохранить соответствие, а не только выполнять ASV-сканирование, проходить ежегодный QSA-аудит, или же заполнять лист самооценки (SAQ).

В действительности, очень немногие эксперты подскажут вам, как сохранить соответствие, а не просто достигнуть его. Последние случаи нарушения безопасности, повлекшие потерю карточных данных в компаниях, однажды получивших статус соответствия PCI DSS, показывают, что сохранить соответствие намного сложнее, чем получить его. Вы не получите преимуществ, которые приносит PCI DSS для вашей безопасности, только лишь от слов «вы успешно прошли сертификацию», произнесенных аудитором в дорогом костюме. Реальное улучшение произойдет только в том случае, если вы будете «делать PCI DSS» и обеспечивать безопасность каждый день (да-да, стандарт включает в себя ежедневные задачи!).

Вопреки описанному выше подходу, ориентированному на получение статуса соответствия, некоторые поставщики услуг безопасности постоянно проповедуют концепцию «непрерывного соответствия». И говорят об этом уже годами. Конечно, «непрерывное соответствие» — это хорошо но, к сожалению, большинство клиентов этих же поставщиков, в ущерб своим собственным интересам, не обеспечивают этого. Они по-прежнему суетятся во время аудита, стремятся угодить аудитору и настроены на то, чтобы как можно быстрее получить статус соответствия. Подводя итог, можно сказать: прежде чем предлагать стратегию непрерывного соответствия, необходимо сначала обучить этому потребителя.

В заключении следует отметить, что достижение стопроцентного соответствия стандарту требует от компаний намного больше затрат и ресурсов, чем необходимо для его поддержания.

Многие будут удивлены, но сам PCI DSS содержит в себе информацию о действиях, которые необходимо выполнять регулярно, их перечень приведен в таблице 1.

Таблица 1. Периодические действия

Что мы можем извлечь полезного из вышеприведенной информации? Мы можем составить список задач, которые необходимо выполнять периодически:

Каждый год:
   • QSA-аудит или заполнение листа самооценки;
   • тест на проникновение;
   • проверка безопасности веб-приложений;
   • пересмотр политики безопасности;
   • обучение персонала;
   • другое.

Каждые 6 месяцев:
   • пересмотр конфигураций межсетевых экранов и маршрутизаторов.

Каждый квартал:
   • выполнение внешнего и внутреннего сканирования сети на наличие уязвимостей.

Каждую неделю:
   • выполнение процедур проверки целостности критичных файлов.

Каждый день:
   • просмотр журналов протоколирования событий;
   • выполнение других ежедневных процедур, предусмотренных политикой безопасности.

Получению статуса соответствия уделяется значительно больше внимания, чем сохранению соответствия, а именно на этом этапе происходит наибольшее количество ошибок, приводящих к нарушению безопасности и потере данных. Если вы принимаете участие в обеспечении соответствия компании требованиям PCI DSS, убедитесь, что сохранению статуса соответствия уделяется не меньше внимания, чем к его достижению.

Об авторе:
Антон Чувакин является известным независимым консультантом по информационной безопасности, автор книг «PCI Compliance», «Security Warrior», соавтор «Know Your Enemy II», «Information Security Management Handbook», «Hackers Challenge 3», «OSSEC HIDS», а также многих публикаций по безопасности. Автор многих докладов по вопросам информационной безопасности на конференциях в США, Великобритании, Сингапуре, Испании, Канаде, Польше, Чехии, России и других стран. Защитил диссертацию на соискание ученой степени Ph. D. в Университете Стони Брук, Нью-Йорк, США.

Источник:
http://www.ethicalhacker.net/content/view/283/2/

Уважаемые участники индустрии платежных карт!

Сообщество PCIDSS.RU приготовило для вас подарок в Новому году. В рамках нашего Интернет-портала мы открываем новый проект «Путь к Соответствию». Пообщавшись с представителями банков, платежных систем, процессинговых центров и торгово-сервисных предприятий, мы поняли, что подготовка информационной инфраструктуры компании к сертификации вызывает большое количество актуальных вопросов. Поэтому помимо площадки для общения и обсуждения актуальных вопросов, мы решили создать базу знаний, которая вместит в себя практический опыт всех идущих по нелегкому пути к Соответствию PCI.

Теперь у каждого требования стандарта PCI DSS будет своя страничка, на которой вы найдете описание требования и цели его внедрения. Вы сможете прочитать об известных вариантах реализации требований и компенсирующих мерах, и кроме того — сможете добавить свои.

Мы ценим знания и опыт всех, кто прилагает свои усилия для того, чтобы термин «платежные технологии» был синонимом слов «надежность» и «безопасность». Мы считаем, что навыки каждого, кто решил поделиться своим опытом со всем сообществом, должны занять достойное место в нашей общей базе знаний. Мы создали механизм, позволяющий каждому добавить в базу знаний своё видение реализации того или иного требования, или применения адекватной компенсирующей меры. Надеемся, что он придется вам по душе.

Мы начали выкладывать требования стандарта с их описаниями на странице сервиса Путь к Соответствию, и вы можете своими глазами видеть, как наполняется наша общая копилка знаний.

Каждый из вас имеет возможность увеличить ценность этого ресурса. В новый год — с новыми сервисами!

Требования стандарта PCI DSS могут показаться сложными. Несмотря на это, более детальное рассмотрение некоторых его разделов, в частности – процедур управления протоколированием событий, может прояснить условия, выдвигаемые этим документом.

Во многих компаниях считают, что требования протоколирования включены в PCI DSS, с целью помочь им обнаружить угрозы своим вычислительным сетям. На самом деле это можно считать положительным побочным эффектом, ведь процесс протоколирования был включен в стандарт в первую очередь для удовлетворения потребностей международных платежных систем. На заре развития карточной безопасности, международные платежные системы прилагали значительные усилия для определения векторов атак на карточные системы. В то время группы специалистов, направленные международными платежными системами в пострадавшие от взломов компании для расследования произошедшего, обнаруживали на месте ничтожное количество следов, способных пролить свет на причины и пути развития инцидентов. Тогда международные платежные системы ввели требования по протоколированию событий в свои программы безопасности, откуда они в итоге перекочевали в PCI DSS. Понимание этой цели как основной может существенно помочь компаниям правильно внедрить механизмы аудита и протоколирования событий и наилучшим образом выполнить то, что от них хотят требования стандарта.

Что необходимо протоколировать, чтобы соответствовать требованиям PCI?

Некоторое время назад, увидеть информационную инфраструктуру, в которой бы журналы протоколирования изучались бы регулярно, было скорее исключением, чем правилом. Журналы непрерывно сохранялись на сервер syslog, и в момент возникновения события, требующего их анализа (нарушения безопасности или просто отказа системы), выяснялось, что количество хранимых записей настолько велико, что не оставляет шансов на их плодотворный анализ. С целью уменьшения объема хранимых данных о произошедшем событии, PCI DSS требует записывать лишь кто и что именно сделал, и когда это было сделано.

Вследствие вышесказанного, основное внимание при настройке систем аудита и протоколирования следует уделять действиям пользователей в среде данных о держателях карт. Регламентируя необходимость протоколирования действий пользователей, Совет PCI SSC обеспечивает возможность предоставления данных для расследования, а также воспитывает чувство персональной ответственности в платежном сообществе.

Кроме того, PCI DSS требует обеспечить доступность журналов протоколирования событий в течение одного года для проведения аудита и расследований. Следует регулярно тестировать сохраненные записи на предмет их доступности, чтобы при необходимости иметь возможность представить их аудиторам или комиссии по расследованию инцидента.

Эффективное управление журналами протоколирования

Для создания эффективной системы управления протоколированием событий, удовлетворяющей требованиям PCI DSS, для начала необходимо определить системы, события от которых должны регистрироваться. Для этого следует создания перечня всех существующих в инфраструктуре систем, а затем оставить в нем только те их них, которые входят в область применимости стандарта. Оставшиеся в перечне системы необходимо внимательно изучить не предмет того, необходимо ли для них протоколирования по требованиям PCI DSS.

Приоритетом должен являться тот минимум протоколируемых событий, который необходим для соответствия PCI, однако многие компании внедряют комплексное решение по управлению информацией о событиях безопасности (security information management, SIM), чтобы извлекать с его помощью другие важные с точки зрения обеспечения безопасности данные. Другие компании отдают управление протоколированием на аутсорсинг, что является неплохим решением для компаний с ограниченным штатом в части поддержки информационной инфраструктуры и её безопасности.

После появления понимания того, как компания будет внедрять механизмы протоколирования для соответствия PCI DSS, следует настроить соответствующие устройства так, чтобы они сохраняли события на сервер централизованного хранения журналов.

Приведение протоколирования в соответствие PCI DSS

Учитывая то, что требования по протоколированию событий были разработаны исходя из соображений удобства проведения расследования, следует строить мысли следующим образом: «если бы меня направили в мою компанию для проведения расследования карточного инцидента, что бы я хотел увидеть в журналах?». Понимание этого сместит парадигму применения средств протоколирования от регистрации событий-угроз к регистрации событий-доступов.

Следует рассматривать протоколирование как процесс и разрабатывать его как любой другой технологический процесс. Проблема заключается в том, что зачастую, ведению журналов протоколирования событий не уделяется достаточно внимания. Инженеры ставят галочку «включить аудит» не задумываясь над тем, как журналы протоколирования событий могут помочь бизнесу.

Поддержка соответствия протоколирования требованиям PCI DSS

Многие организации недооценивают объем дискового пространства, необходимого для соответствия PCI. Следует оценить объем журналов протоколирования, генерируемых ежедневно каждой из систем, а затеем выделить под них пространство с солидным запасом. Журналы протоколирования всегда больше, чем ожидается.

Стоимость дискового пространства может стать важным фактором, при принятии решения о применении аутсорсинга, либо модели «программное обеспечение как услуга» (SaaS) для процесса управления журналами протоколирования, так как сервис-провайдеры и дата-центры имеют возможность увеличивать объем памяти «на лету». Помимо всего прочего, тремя основными элементами процесса управления протоколированием являются: регулярный просмотр журналов, архивация журналов для хранения в течение необходимого периода времени, и предоставление их QSA-аудитору по необходимости. Все три элемента можно относительно безболезненно отдать на аутсорсинг.

Со временем у сотрудников появляется желание игнорировать это скучное занятие – просмотр журналов протоколирования, ведь на вершину приоритетов выходят другие задачи. Существует механизм, позволяющий сделать анализ журналов более эффективным – следует выстроить технологический процесс таким образом, чтобы он включал в себя не только просмотр журналов, но и создание отчета по результатам ежедневного анализа и его отправку высшему руководству.

Об авторе:
Джон Киндервэг, CISSP, CEH, CPISM, CCNA, в прошлом QSA, главный аналитик исследовательской компании Forrester Research. Имеет 25-летний опыт, область интересов охватывает безопасность сетей, в том числе беспроводных, управление информацией о событиях безопасности и защиту данных в соответствии с PCI DSS.

Источник:
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1362394_mem1,00.html

В суете вокруг необходимости предотвращения предприятиями утечки и кражи данных, может ли организация быть уверена в том, что ВСЕ данные, над безопасностью которых она так упорно работает, в самом деле, являются теми данными, которые необходимо защищать? Целостность данных является критичной частью соответствия стандарту PCI DSS (не говоря о самой возможности функционирования компании), поэтому гарантия полноты и точности данных является приоритетом деятельности проектных групп по обеспечению безопасности и соответствия.

Знать, какие именно данные нужно защищать, может быть достаточно сложно.

Обычно, правила соответствия однозначно определяют, какие данные организациям необходимо защищать (данные о держателях карт, персональные данные, данные о здоровье и т.д.). Это не сложно. Намного сложнее определить, где в вашей организации находятся данные, попадающие под требования, контроля и защиты.

Так что перед тем как вы начнете беспокоиться о PCI, необходимо понять, где и как проходят информационные потоки компании. Несмотря на заявления производителей DLP решений, это не только технологическая проблема, но и проблема организации бизнес-процессов и управления персоналом. Вам необходимо опросить сотрудников каждого подразделения, и вы обнаружите, что они используют данные такими способами, которые вы даже не могли себе представить, и преследуют при этом бизнес-цели, о которых вы не предполагали. Эти опросы, без сомнения, спровоцируют другие опросы, и в итоге у вас будет представление о том, где находятся данные, которые необходимо защищать, и защищаете ли вы то, что нужно.

Касательно PCI DSS хочется отметить, что в некотором смысле цель всей программы – целостность данных, но более глубокое изучение показывает, что ни одно из 12 требований PCI прямо не относится к вопросу целостности данных. Говоря об этом, отметим, что все 12 очень важны, а при детальном рассмотрении вопроса целостности, существуют специфические требования, которые могут помочь в обеспечении целостности данных.

Особое внимание следует обратить на требования по защите данных о держателях карт (включающие Требование 3: обеспечить безопасное хранение данных о держателях карт и Требование 4: обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования) и внедрению строгих мер контроля доступа (Требование 7: ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью, Требование 8: назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре, и Требование 9: ограничить физический доступ к данным о держателях карт). Требование 8 непосредственно направляет нас к Требованию 10 : Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт. И наконец, есть Требование 6: Разрабатывать и поддерживать безопасные системы и приложения. Таким образом, в общем и целом, больше половины требований непосредственно относятся к вопросам целостности данных.

Каковы же лучшие (ну или как минимум стандартные) практики, которые могут быть применены для поддержания целостности данных предприятия? Начинающим можно посоветовать шифровать данные при хранении и передаче через сеть. Несмотря на то, что это не является требованием PCI DSS, я настоятельно рекомендую передавать информацию через SSL даже в локальной сети организации. Это не сильно или даже совсем не усложняет процесс и поможет поддерживать целостность данных, с гарантией того, что данные не украдут и не изменят.

Следующим действием (или даже параллельно с предыдущим), настройте журнал протоколирования и аудита приложений и сетей, чтобы иметь возможность определить, кто получает доступ к данным, когда они изменяются, и важнее всего - куда эти данные отправляются. Для этого требуется мониторниг сети. Ведение журналов протоколирования необходимо, это дает такое преимущество, как быстрое обнаружение появления новых или изменения существующих путей передачи критичных данных, что потенциально может являться нарушением. Из того немногого, что мы слышали об утечке в Heartland Payment Systems Inc., использование протоколирования и аудита способствовало бы более оперативному обнаружению проблемы и позволило бы избежать таких серьезных последствий.

Проектируя и поддерживая безопасные системы и приложения, вы можете быть уверены в том, что данные, находящиеся в определенных системах, должны в них находиться и изменять их могут только те пользователи, которые имеют соответствующие привилегии.

В качестве дополнительного преимущества использование указанных процессов защиты (шифрование, протоколирование, аудит, разработка безопасных приложений и т.п.) вы получаете соответствие не только PCI DSS, но и другим требованиям регуляторов, например Sarbanes-Oxley (SOX).

Об авторе:
Работая в должности CSO, Дэвид Мортман отвечает за программу исследований и анализа компании Echelon One. Ранее Дэвид занимал должность CISO компании Siebel Systems Inc., и занимался обеспечением безопасности её IT-инфраструктуры, распределенной по всему миру. Имея статус CISSP, Дэвид входит в экспертные советы многих компаний, включая Qualys.

Источник:
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1368155_mem1,00.html

«Пустая трата денег, прихоть витающих в небесах регуляторов, навязанная неприятная необходимость менять пусть несовершенную, но годами налаженную систему отношений, взглядов и процессов…» - такое мнение не является редкостью.

Поговорим о том, как можно взглянуть через сложившуюся ситуацию в будущее. Обладание видением перспективы – это не дар, а весьма полезный навык, возможность развития которого доступна каждому.

Раз обеспечение безопасности, а значит и вопросы управления соответствием, - это неотъемлемая часть бизнеса, попробуем взглянуть на это дело так: какая выгода для бизнеса в этом вопросе?

Повторять набившие у всех оскомину слова о реальных и потенциальных инцидентах с карточными данными, влекущих прямой материальный ущерб, я не буду в связи с их очевидностью, я бы даже сказал - сверхочивидностью, в какой-то мере девальвировавшей чувство осторожности.

Если мы говорим о неких обязательных требованиях регуляторов, то тут лучше рассуждать не в контексте возврата инвестиций «что будет, если вложусь в это», а в контексте «что будет, если я в это не вложусь». А будет – как минимум гарантированный штраф от международных платежных систем, выставляемый регулярно. К этому стоит отнестись серьезно, так как инвестиции в соответствие по большей части единовременные (не считая ежегодного аудита), а штрафы – регулярные и при этом прогрессивные. В крайнем случае ситуация может развиться вплоть до потери карточного бизнеса.

С так любимыми в сообществе разговорами об «особенностях нашего региона и поблажках для него» рекомендую всё-таки распрощаться, потому что особенности уже были учтены. Visa ввела требование соответствия стандарту в 2006 году, а крайний срок отложила до 2010. Регуляторы сделали очень серьезную поблажку и как бы ни пришлось в скором будущем пожалеть о том, что так долго злоупотребляли их терпением.

Теперь о приятном – достижение соответствия это не только ценный мех… в смысле сертификат соответствия, но в большей степени – это большая работа по повышению защищенности во-первых, и повышению прозрачности и управляемости – во вторых. Иными словами – это выдающаяся возможность навести порядок в том, до чего много лет не доходили руки.

Что же для бизнеса? Для него это, помимо наведения порядка, - обеспечение уверенности в завтрашнем дне, без которой, согласно известной теории Маслоу, сложно реализовать себя в полной мере.

В качестве одного из последних аргументов в пользу откладывания мероприятий по достижению соответствия PCI на неопределенное время часто приходится слышать, что «и рады бы, да денег нет, тем более кризис на дворе». Многие убеждены в том, что дорога к соответствию требует немыслимых финансовых затрат, не идущих в сравнение с потенциальными штрафными санкциями. Более того, приходилось слышать даже такие крайности, что «под каждое требование стандарта надо покупать что-то большое, сложное и дорогое». На мой взгляд, такие мнения основаны не более чем на поверхностном знании о PCI. Позволю себе предположить, что люди, заявляющие подобное, просто не нашли времени прочитать стандарт, что часто бывает из-за присущего некоторым отделам ИТ ощущения постоянного аврала.

Выход из ситуации найти можно. Если наступил аврал, то надо остановиться. Остановиться, отдышаться, осмотреться и расставить приоритеты. Это, порой, сделать трудно, но действительно необходимо, и в первую очередь для того, чтобы избежать болезненных ситуаций, когда в лучшем случае потребуется вновь переделать что-то, только что сделанное, а в худшем – признать, что ресурсы были направлены не на то, что было действительно важно.

Выйдя из аврала, стоит – нет, не возвращаться к неиссякаемому потоку рутинных задач, а свежим взглядом посмотреть на всю ситуацию в целом, почитать что-то из того, что было отложено на дальнюю полку, возможно - стандарт PCI. Убежден, что на этом этапе станет очевидно то, что большую часть требований можно выполнить без всяких затрат, просто поменяв подход к своей работе в первую очередь и к работе своего подразделения – во вторую. Наведенный в результате порядок дальнейшую деятельность существенно упростит.

Основным ресурсом для наведения порядка являются знания, опыт, а главное – желание что-то поменять в ситуации, безвыходность которой - мнима. Можно дальше искать причины «ничего не трогать, ничего не менять» и в тайне надеяться на то, что все вопросы решатся сами собой. А можно встать, взять с полки книгу и вспомнить о том, что главным ресурсом являются знания. И захотеть что-то в этой жизни поменять.

Ассоциация Российских членов Европей (АРЧЕ) и Digital Security подписали Меморандум о взаимодействии в области внедрения стандарта безопасности PCI DSS на рынке платёжной индустрии России и стран СНГ и вступлении АРЧЕ в состав учредителей Сообщества PCIDSS.RU

Целью данного шага является продвижение и внедрение в среде организаций, формирующих индустрию платёжных карт, стандарта PCI DSS, как одного из способов повышения общей безопасности использования банковских карт.

Сообщество PCIDSS.RU - некоммерческая организация, целями которой являются сбор, накопление и обобщение информации о стандарте, обмен опытом между специалистами, внедрение и продвижение стандарта PCI DSS. Вступление в Сообщество осуществляется путем предоставления соответствующей заявки в адрес учредителей и открыто для всех организаций-участников индустрии платежных карт: международных платежных систем, ассоциаций, банков, поставщиков услуг, торгово-сервисных предприятий, производителей решений и систем, консультантов, системных интеграторов, СМИ и информационных веб-сайтов, органов государственной власти, ВУЗов и НИИ.

Илья Медведовский, директор Digital Security:

«Создание Сообщества PCIDSS.RU стало логичным обобщением опыта нашей компании в области PCI DSS. Вступление Ассоциации Российских членов Европей в состав учредителей позволит нам совместными усилиями сделать процессы в сфере платежных карт и PCI DSS Compliance в целом более прозрачными и понятными для всех участников данной отрасли. Мы будем рады видеть в составе членов Сообщества всех представителей индустрии платежных карт. Подобное открытое и всестороннее участие дает возможность говорить о взаимодействии, взаимопонимании и сотрудничестве в решении актуальных вопросов при внедрении PCI DSS».

Андрей Королев, президент Ассоциации Российских членов Европей:

«Координация действий участников рынка в области безопасности индустрии платежных карт является одной из приоритетных задач АРЧЕ. Работа по продвижению стандарта PCI DSS велась нами на протяжении последних двух лет, и Подписание Меморандума является закономерным результатом этой деятельности. Мы рассчитываем, что Сообщество поможет наладить эффективный диалог между Советом PCI SSC, международными платёжными системами, QSA/ASV, банками, поставщиками услуг и торгово-сервисными предприятиями, что будет полезно как для отдельных участников рынка, так и для отрасли в целом».

Ассоциация Российских членов Европей - негосударственная некоммерческая организация, членами которой могут являться российские кредитные организации – члены MasterCard International Incorporated, обладающие лицензией на использование продуктов MasterCard в России. Ассоциация создана с целью координации деловой активности членов АРЧЕ при осуществлении программ по продвижению торговых марок MasterCard на российском рынке банковских карт, создания наиболее благоприятных условий эмиссии, обслуживания, обращения и иного использования платежных продуктов MasterCard, совершенствования деятельности членов Ассоциации в платежной системе, а также защиты прав и законных интересов членов Ассоциации. В настоящее время членами АРЧЕ являются 113 кредитных организаций и компания MasterCard Europe Sprl.

Digital Security - одна из ведущих российских консалтинговых компаний в области управления информационной безопасностью, анализа защищенности информационных систем, оценки соответствия информационных систем требованиям международных стандартов, таких как ISO 27001 и PCI DSS, лидер на рынке специализированных систем автоматизации СУИБ. Сертифицированные специалисты компании имеют большой практический опыт выполнения работ в области PCI DSS. Digital Security обладает единственным в СНГ исследовательским центром DSecRG, пользующимся международным признанием.

Ни для кого не секрет, что основной целью приведения компании в соответствие требованиям PCI DSS является повышение уровня защищенности информационной инфраструктуры и скорейшее снижение рисков компрометации карточных данных.

Для того, чтобы дать специалистам по безопасности ориентир в бескрайнем море требований стандарта и помочь им сделать правильный выбор того, с чего следует начинать снижение рисков информационной безопасности, Совет PCI SSC разработал концепцию приоритетного подхода к выполнению требований PCI DSS.

Русский перевод этого документа можно найти в нашей копилке полезных материалов, рекомендуется для прочтения всем, кто встал на путь достижения PCI Compliance.

Я очень огорчаюсь, когда слышу от людей вещи, которые звучат вполне разумно, но при этом являются в корне неверными. На twitter.com и различных блогах по этой теме появилась дискуссия о том, что «соответствие PCI бесполезно, если компания, которая ему соответствует, была взломана». Видите, так правдоподобно и при этом так неправильно.

Исключения из правил

Мне кажется, что проблема этого утверждения в том, что произошедшее единожды может и не стать правилом. Говорить о том, что вся программа PCI неэффективна только потому, что одна компания была взломана, нелогично. Рассмотрим на примере ремней безопасности. В 1956 году Роберт Макнамара обязал всех использовать ремни безопасности в машинах с целью уменьшить количество смертей в автомобильных авариях. Большинство согласно с тем, что ремни безопасности спасают жизни и ими хорошо бы пользоваться. Ведь теперь, когда кто-то погибает в автомобильной аварии, даже будучи пристегнутым, мы же не заявляем, что ремни безопасности бесполезны. Я имею в виду, что хотя этот пристегнувшийся «кто-то» мертв, это не означает, что все ремни безопасности должны быть бесполезны. Это нелогично. Многие так называемые эксперты в области PCI соответствия и проникновений будут говорить вам об этом, используя эту неправильную логику, просто потому, что они не знакомы со всеми сложностями и надлежащим синтаксисом.

Соответствие и Подтверждение соответствия

Есть различия между «соответствием» и «подтверждением соответствия». Соответствие — состояние, которое необходимо поддерживать. Подтверждение соответствия — проверка состояния на определенный момент времени. Примером может служить страхование автомобилей. Я должен все время страховать свою машину согласно требованиям законодательства. При постановке на учет мне приходится представить документы, удостоверяющие то, что моя машина застрахована. Этим я подтверждаю то, что мои действия соответствуют законодательству. Если я решу прервать договор страхования, потому что это стоит слишком дорого, мои действия будут соответствовать законодательству? Нет. Хотя подтверждение соответствия на месте. Помните, подтверждение соответствия одномоментно, в то время как соответствие непрерывно.

Соответствие и Безопасность

Следует также отметить, что соответствие, даже продолжительное состояние соответствия, не означает безопасность, если оно не реализовано правильно. Если целью компании является проведение аудита для «галочки» и для достижения этой цели она ограничивается необходимым минимумом действий, вряд ли это означает надлежащее управление рисками и защиту данных о держателях платежных карт. Позвольте объяснить — я часто спрашиваю людей: «Можно ли использовать брандмауэр для сегментирования сети?». Все говорят: «ДА», — но они ошибаются. Только правильно настроенный брандмауэр можно использовать для сегментирования сети. Поэтому при проверке пункта, определяющего, что какой-либо объект выходит за границы проведения аудита, потому что сеть была сегментирована, нужно не забыть про вопрос: должным ли образом она была сегментирована?

Действительно ли вы выделили известные векторы атак?

Дополнительно можно привести в пример мотоциклетные шлемы. Не во всех штатах принят закон, обязывающий мотоциклистов ездить в мотоциклетных шлемах, а в некоторых разрешено использование его облегченной версии, которая только создает иллюзию соблюдения закона. Но почти все мотоциклисты согласятся, что такой шлем не дает никакой реальной защиты. Однажды специалист по безопасности сказал мне: «Мне нужен минимум, потому что я не получаю золотых звезд за слишком рьяное соответствие». Я помню это утверждение, потому что в тот момент я понял, что он не понимает разницы между соответствием и безопасностью.

Барак Обама сказал, что мы должны войти в «новую эру ответственности». Мы должны нести ответственность за защиту данных. Необходимо сфокусироваться на управлении рисками и начать заботиться о безопасности данных, вверенных нам нашими клиентами.

1. Является ли адекватным поведение МПС (Visa, в ответ на сообщение, удалила Heartland из списка PCI Compliant сервис-провайдеров), ведь если сегодня ты присутствуешь в «белых» списках PCI, а завтра тебя оттуда удаляют, то какова цена этим спискам, то есть статусу PCI Compliant, а значит и самому сертификату.
2. Гарантирует ли стандарт PCI DSS защиту от инцидентов, связанных с компрометацией данных платежных карт. Иначе говоря, вопрос ставится таким же образом: какова цена этому сертификату.

В ответ на первый вопрос хочется обратиться непосредственно к самому стандарту, который сопоставляет уровню сервис-провайдера его обязательства по прохождению сертификации. Среди прочего там перечислены «все сервис-провайдеры, которые были скомпрометированы». То есть, Visa поступила в строгом соответствии со стандартом, и пострадавшая сторона не сможет считаться PCI Compliant, пока не приведет свою информационную систему в соответствие, устранив бреши в безопасности.

Второй вопрос я намеренно оставил в такой формулировке. Позволю себе процитировать некоторых «экспертов», высказавших свое мнение по поводу обсуждаемого вопроса: «либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты». Вообще, само понятие «стандарта, гарантирующего защиту» звучит довольно странно и напоминает известную шутку про вероятность встретить на Невском проспекте НЛО — ровно 50% («либо встретите, либо нет»). К сожалению, кроме шуток, часто приходится наблюдать непонимание разницы между терминами «соответствие» (compliance) и «проверка соответствия» (validation). Вместе с тем очевидно, что первое означает континуальный процесс, который должен поддерживаться в течение времени, а стандарт PCI DSS лишь предъявляет ряд требований к этому процессу. QSA-аудитор же может только зафиксировать факт выполнения этих требований в отдельных момент времени, т.е. выполнить проверку соответствия. Если сразу после того, как за аудитором захлопнулась дверь, проверяемая организация отключила антивирусные средства или убрала систему обнаружения вторжений, повышается в таком случае риск компрометации? Очевидно, что да. Является ли это упущением стандарта PCI DSS и говорит ли о его непригодности? Очевидно, что нет.

Поэтому когда мы говорим о том, какова цена сертификату и коррелирует ли его наличие с величиной риска, довольно глупо обращаться за аргументами к «истории неудач». Вместо этого не следует забывать, что все зависит главным образом от того, насколько грамотно выполнены требования стандарта и как хорошо налажен процесс контроля и управления безопасностью, диктуемый этим стандартом.