PCI DSS в версии 3.2 – что нового и как реагировать?

Когда у американского гангстера Вилли Хортона спросили, почему он грабил банки, тот ответил: «Потому что там есть деньги». Современные мошенники, специализирующиеся на высоких технологиях, руководствуются примерно теми же соображениями, и именно по этой причине нынешние коммерческие организации становятся мишенью для финансовых аферистов.



Проиллюстрировать сложившуюся ситуацию можно следующими цифрами: по данным PrivacyRights.org, за период с января 2005 по апрель 2016 в общей сложности было зафиксировано 4823 утечки данных, в результате которых было скомпрометировано 898 миллионов записей конфиденциальных данных.

Кроме того, в результате необдуманных действий организаций возможна компрометация персональных данных держателей карт. В ходе опроса, проведенного среди компаний в США и Европе, были выявлены следующие действия, которые подвергают риску персональные данные держателей карт:

  • 81% компаний хранят номера платежных карт;
  • 73% компаний хранят информацию о сроках действия платежных карт;
  • 71% компаний хранят защитные коды платежных карт;
  • 57% компаний хранят пользовательские данные, считанные с магнитных полос платежных карт;
  • 16% компаний хранят прочие персональные данные.

Источник: Forrester Consulting: The State of PCI Compliance (исследование о соответствии требованиям стандарта PCI было проведено по заказу RSA/EMC)

Чтобы не допустить финансового мошенничества и предотвратить возможные серьезные последствия, важно повысить безопасность данных о владельцах карт, и обеспечить полную защиту платежных данных. Для этой цели был создан стандарт PCI DSS.

Что представляет собой стандарт PCI DSS?


Аббревиатура PCI DSS образована от наименования Payment Card Industry Data Security Standard (PCI DSS). Так называется стандарт информационной безопасности, который регламентирует деятельность организаций, работающих с кредитными картами основных платежных систем, включая Visa, MasterCard, American Express, Discover и JCB.

Изначально этот стандарт появился в результате сотрудничества между платежными системами Visa и MasterCard, однако позднее другие компании по выпуску кредитных карт, представленные в США, поддержали развитие стандарта PCI DSS в рамках своих собственных программ.

Этот стандарт устанавливает общеотраслевые требования к обеспечению безопасности. Он состоит из 12 основных требований, которые разбиты более чем на 200 подтребований.

Некоторые факты о стандарте PCI DSS


Данный стандарт был разработан с целью способствовать повышению безопасности данных держателей банковских карт, а также с целью ускорить принятие согласованных мер по обеспечению безопасности таких данных на глобальном уровне.

Отдельные бренды платежных систем самостоятельно определяют необходимость соблюдения требований PCI DSS и устанавливают штрафные санкции за несоблюдение этих требований.

Компании, желающие получить сертификат соответствия требованиям PCI DSS, должны пройти аудит безопасности, который проводится независимым органом.

Требования стандарта PCI DSS распространяются на все организации, принимающие участие в обработке платежных карт, в том числе на торговые организации, процессинговые компании, финансовые учреждения и поставщиков услуг, а также на прочие организации, которые хранят, обрабатывают или передают данные держателей платежных карт и/или аутентификационные данные.

Какие нововведения появились в восьмом требовании стандарта PCI DSS в версии 3.2?


«Одним из важных изменений в стандарте PCI DSS 3 стало добавление многофакторной аутентификации в качестве обязательного требования для любых сотрудников, которые имеют административный доступ к окружению, используемому для работы с данными держателей карт. Таким образом, одного лишь пароля уже не достаточно для удостоверения личности пользователя и предоставления доступа к конфиденциальной информации, даже если этот пользователь обращается к данным, находясь в защищенной сети", – говорит технический директор PCI Security Standards Council Трой Лич (Troy Leach).

Под многофакторной аутентификацией (MFA) понимается концепция аутентификации, при которой для авторизации доступа к системе пользователю необходимо подтвердить свою личность двумя или более способами. Обычно под этим понимается, что пользователь готов предоставить:

  • Нечто, ему известное: пароль или кодовая фраза
  • Нечто, у него имеющееся: токен, смарт-карта или доступ к мобильному устройству
  • Нечто, ему присущее: отпечаток пальца, радужная оболочка глаза или какой-либо иной способ биометрической аутентификации.

В предыдущих версиях стандарта PCI DSS двухфакторная аутентификация требовалась для удаленного доступа к информационной среде держателей карт (cardholder data environment) из любой незащищенной сети.

Давайте подробнее остановимся на 8-м требовании стандарта, которое регламентирует защищенный доступ к данным держателей банковских карт.

В параграфе 8.1.5 уточняется, что какими бы ни были взаимоотношения с организацией, ВСЕ третьи стороны, имеющие удаленный доступ к информационной среде держателей карт (CDE), должны использовать средства многофакторной аутентификации. Ранее это требование предъявлялось только к вендорам.

Значительно более важное изменение представлено в требовании 8.3, которое теперь разбито на два подтребования. В частности, была добавлена новая часть параграфа, в которой заметно расширяются требования к использованию многофакторной аутентификации для индивидуальных пользователей, которые обращаются к информационной среде держателей карт, находясь в офисе.

Требование 8.3.1 – Новое требование, которое предусматривает использование многофакторной аутентификации всеми сотрудниками, имеющими доступ к данным держателей карт, то есть имеющими локальный доступ к информационной среде держателей карт и базам данных, содержащих информацию о держателях карт. Требование 8.3.1 вступает в силу с 1 февраля 2018 года.

Требование 8.3.2 – предусматривает использование многофакторной аутентификации всеми сотрудниками, имеющими удаленный доступ к информационной среде держателей карт.

Таким образом, в новейшей версии стандарта PCI в требовании 8.3 регламентируется необходимость использования многофакторной аутентификации для всех пользователей, вне зависимости от того, находятся ли они в офисе, или получают удаленный доступ к системе, а также для администраторов с привилегированным доступом.

Поэтому даже если в организации уже применяется двухфакторная аутентификация для удаленных пользователей, этой организации придется теперь применять многофакторную аутентификацию в отношении всех пользователей, имеющих доступ к системам, в том числе когда пользователи находятся в офисе.
Gemalto Russia
31.27
Company
Share post

Comments 0

Only users with full accounts can post comments. Log in, please.