Главная Интервью Система безопасности – это то, что нужно совершенствовать непрерывно

Joomla!

Суббота
16 дек

Система безопасности – это то, что нужно совершенствовать непрерывно

Payment Card Industry Data Security Standard (PCI DSS) – это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Стандарт разработан крупнейшими международными платёжными системами Visa и MasterCard. На сегодняшний день это самый полный комплекс мер по обеспечению безопасного хранения и передачи платежных данных.

Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Межбанковская система доставки и оплаты счетов Portmone.com стала первой украинской компанией, которая успешно прошла данную сертификацию еще в 2008 году. Мы попросили рассказать подробнее о стандарте безопасности и нюансах, связанных с его работой директора Portmone.com, Игоря Горина.

- Господин Горин, какие еще существуют стандарты безопасности при работе с картами и в чем их отличие от PCI DSS?

- Особо ничего нового. PCI – это объединение существующий стандартов. Его совершенствование (сейчас уже версия 2.1) – радикально не изменила ничего, а лишь усовершенствовала существующие нормы и требования стали жестче.

- Какие требования предъявляются к компаниям, прошедшим проверку на соответствие стандарту?

- Набор требований отличается в зависимости от "крупности" компаний. Так например для мелких компаний (делающих менее 300 тыс. транзакций в год) достаточно только ежеквартального сканирования, а заполние формы требований стандарта производится компанией самостоятельно, "под честное" слово, и внешними аудиторами не проверяется.

Для остальных существуют три самые главные проверки: ежеквартальное внешнее сканирование, один раз год – тест на проникновение, и один раз в год полный аудит всей системы аудиторами внутри компании. Но проверки это всего лишь проверки. Это как экзамены, но если к безопасности относится как к знаниям, то заниматься ею нужно непрерыно, как и учится.

- С чем связана сложность прохождения компаниями проверки на соответствие стандарту?

- Стандарт достаточно сложный, требований очень много. Даже элементарный пункт с одного предложения может стоит 2-3 месяцев подготовки, чтобы его выполнить.

- Что такое уровни соответствия стандарту PCI DSS и в чем между ними различие?

- Первоначально уровней было 3, теперь сократили градации до двух. Подробнее об этом можно прочесть на сайте MasterCard.

- PCI DSS был разработан МПС VISA и MasterCard. А насколько эффективно его применение для работы с картами других платежных систем?

- Конечно, Visa и Mastercard это не ограничилось. В Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) вошли еще и JCB, American Express и Discovery.

- Как обеспечивается хранение данных и доступ к ним? Как осуществляется передача данных?

- Требования к технологии обработки и хранения данных являются хоть и основными, но далеко не единственными. Другое дело, что с точки зрения бытовой эрудиции дилетантов в области безопасности, только этими вопросами все и ограничивается.

Что касается хранения – стандарт, конечно не говорит какие решения и каких производителей использовать. Но ряд требований прописан достаточно четко:

* ни под каким предлогом нельзя хранить CVV2-код карты;

* номер карты должен хранится в зашифрованном состоянии и четко указан перечень допустимых алгоритмов шифрования и используемой длины ключа.

Кроме того, стандартом определяется методика самого доступа к зашифрованным данным. Вот несколько моментов:

* доступа к паролю сисадмина, DBA, хранилищу ключей и к самим криптографическим ключам ключам не имеет никто. Все пароли разбиваются как минимум на две части и каждую часть знает только отдельный сотрудник. Для доступа к данным необходимо что бы каждый сотрудник ввел свою часть.

* даже зная DBA (сисадмин базы данных) пароль, нельзя получить доступ к файлам базы данных и к ключам.

* зная пароль админа операционной системы, нельзя получить доступ к содержимому базы данных и к ключам.

И того, получается что в случае пробоя одной из систем (сетевого проникновения, доступа к базе данных и т.д.), расшифровка базы с реквизитами карт становится невозможной.

Аналогично происходит и защита от "уволенных сотрудников", т.е. в случае компрометации данных изнутри – никто в компании не имеет единоличного доступа к данным. Для получения данных по карте необходим ввод ключей как минимум 8-ми сотрудников.

- Кто осуществляет проверку компаний на соответствие требованиям PCI DSS?

- Конечно, любая IT-компнания, пусть даже и специализирующуюся на IT-безопасности, заниматься аудитом не имеет права. Для этого будущий аудитор должен пройти специальную подготовку и сертификацию. Компаний имеющих соответствующий статус QSA – достаточно ограниченный список. В нашей стране недавно такие компании тоже появились, их буквально 2-3.

- Существует ли опасность обхода хакерами или кардерами степеней защиты стандарта?

- Опасность есть всегда!

Есть два подхода к безопасности. Первый – непрофессиональный. Он заключается в том, что все что касается безопасности нужно или замалчивать или говорить что все абсолютно безопасно. Отсюда иногда делается делитанский вывод – зачем вообще заниматься стандартами безопасности, если абсолютной гарантии дать никто не может. Но это похоже на утверждение – зачем закрывать дверь в дом, если воры все равно замки взламывают.

Существует и второй, профессиональный подход – безопасность должна быть комплексной. Применение только одного или нескольких методов никакой защиты не дает. И самое главное "система безопасности" это не состояние когда нет никакой опасности, это – "управление рисками". Т.е. это то, чем заниматься и что совершенствовать нужно ежедневно и непрерывно.

Подробнее со списками компаний, прошедших сертификацию по стандарту PCI DSS можно ознакомиться на сайтах VISA и Mastercard. Также много полезной информации можно почерпнуть в сообществе профессионалов PCI DSS.

e-commerce

 

Календарь событий

О журнале SHOPOGOLIK.ORG

SHOPOGOLIK.ORG - отраслевой веб-журнал об Интернет-магазинах и онлайн-торговле.

На сайте вы всегда найдете свежие новости онлайн-магазинов, электронной коммерции, рынка Интернет-торговли.

Наш журнал будет интересен не только руководителям и сотрудникам Интернет-магазинов, но и всем, кто занимается созданием и продвижением Интернет-магазинов в сети. Интернет-маркетологи, веб-разработчики, SEO-специалисты, рекламщики, а также начинающие Интернет-бизнесмены найдут много интересного и полезного на страницах "Шопоголика".

Для наших читателей мы ежедневно ищем наиболее интересные новости об Интернет-магазинах и Интернет-торговле, а также регулярно публикуем эксклюзивные материалы.

Подпишитесь на нашу RSS-ленту, добавьте сайт в закладки, читайте SHOPOGOLIK каждый день, и вы всегда будете в курсе основных тенденций на рынке Интернет-торговли.