PCI-DSS v2

pci_dss.gif Zagotavljanje informacijske varnosti v IKS se prične z vzpostavitvijo varnostne politike, ki navadno upošteva smernice uveljavljenih standardov. Čeprav je bilo že pred časom predstavitve prve različice standarda PCI-DSS na voljo že nekaj sorodnih standardov, so izdajatelji plačilnih kartic - podjetja Visa, MasterCard, American Express, Discover in JBC, razvijali lastne programe, namenjene vpeljavi dodatnega nivoja zaščite pri procesiranju in hranjenju podatkov o plačilnih karticah. Podjetja so leta 2006 skupaj ustanovila koncil Payment Card Industry Security Standards Council in pod njegovim okriljem še istega leta izdala prvo različico standarda PCI Data Security Standard ali krajše PCI-DSS.
PCI-DSS je namenjen organizacijam, ki posredno ali neposredno upravljajo s podatki o plačilnih karticah. Vsebuje nabor smernic ali bolje rečeno zahtev, tako tehničnih kot operativnih, za zagotavljanje varnega ravnanja z zaupnimi podatki. Trgovci, transakcijski sistemi, sistemi za zajem in hrambo podatkov, izdajatelji in ponudniki storitev so le nekatere izmed entitet, ki vstopajo vsakodnevno v stik s tovrstnimi podatki. Vpeljava standarda v poslovanje teh entitet bi naj zagotovila bistveno višjo raven varnosti pri ravnanju s podatki o plačilnih karticah in omejila njihovo krajo, zlorabo in ostale grožnje.
Kot se bomo prepričali v nadaljevanju, je možno standard, delno ali v celoti, vpeljati tudi v IKS, ki ni nujno del plačilnega okolja. PCI-DSS vsebuje večje število smernic, ki so produkt dobrih praks in so priporočljive v vsakem okolju, kjer želimo povišati nivo informacijske varnosti. Krovnih zahtev je dvanajst, vsaka pa vsebuje večje število podzahtev in nabor pripadajočih testov s katerimi preverimo ustreznost.

Zahteva 1: Namestite in vzdržujte protipožarne pregrade v omrežju.
Obstoječo konfiguracijo moramo dokumentirati in opremiti s shemo omrežja, ki jasno prikazuje vse povezave do podatkov o plačilnih karticah. Dokumentacija mora vsebovati obrazložitev uporabe vsake storitve v omrežju (FTP, SNMP, Telnet ipd.). Vsaka naprava, priklopljena v notranje omrežje z dostopom do interneta, mora imeti namenščeno lasteno protipožarno pregrado.

Zahteva 2: Ne uporabljajte privzeta gesla in ostale privzete vrednosti ob namestitvi naprav
Pred priklopom sistema v omrežje moramo odstrani vsa privzeta gesla in skrbno pregledati vse privzete nastavitve. Pri prenosu podatkov skozi prosto berljive protokole (FTP, Telnet, NetBios) naj se uporabljajo IPSec ali VPN povezave.

Zahteva 3: Zaščitite hrambo podatkov o plačilnih karticah
Doba hranjenja podatkov o plačilnih karticah naj bo minimalna, njihovo uničenje pa naj bo podprto s preverjenimi in zanesljivimi postopki. Avtentikacijski podatki naj ne bodo po opravljeni uspešni avtentikaciji shranjeni nikjer. Nekateri podatki, kot so številke PIN (Personal Identification Number) in CVV (Card Verification Code) naj ne bodo nikoli shranjeni.

Zahteva 4: Kodirajte prenos podatkov o plačilnih sredstvih v nezaščitenih javnih omrežjih
Zahtevana je uporaba protokolov IP-SEC, SSL/TLS, SSH pri prenosu podatkov skozi odprta, nezaščitena omrežja. Uporaba algoritma WEP (Wired Equivalent Privacy) je prepovedana.

Zahteva 5: Uporabljajte in redno nadgrajujte protivirusno in protipožarno programsko opremo
Vsi sistemi, ki so podvrženi grožnjam s spleta morajo imeti nameščeno protivirusno in protipožarno programsko opremo.

Zahteva 6: Razvijajte in vzdržujte varne IKS in aplikacije
Zagotovite, da imajo vsi sistemi nameščene zadnje varnostne popravke, identificirajte grožnje, razvijajte »varno« programsko opremo v skladu s PCI-DSS. Lastna programska oprema mora biti revidirana s strani kvalificiranega osebja, ki ne sme biti avtor sam, lahko pa je to zaposleni v podjetju.

Zahteva 7: Omejite dostop do podatkov o plačilnih sredstvih na minimum, ki je še potreben za poslovanje
Zaposleni naj imajo dostop le do podatkov, ki jih potrebujejo za nemoten delovni proces (ang. need-to-know). Vpeljava sistema za nadzor nad dostopi in dosledno dodeljevanje pravic uporabnikom.

Zahteva 8: Zagotovite unikatno identifikacijsko številko osebi z dostopom do IKS
Omogočena more biti sledljivost vsem uporabnikom v IKS v vsakem trenutku. Za dostop do notranjega omrežja od zunaj naj se uporabi dvofaktorska avtentikacija in dobra politika upravljanja z gesli uporabnikov. Gesla morajo biti vseskozi hranjena v neberljivi obliki (uporaba zgoščevalnih funkcij, ang. hash algorithm).

Zahteva 9: Omejite fizičen dostop do IKS
Vse vstopne točke do IKS naj bodo nadzorovane, vključno z omrežnimi vtičnicami. Obiskovalci morajo biti v prostorih podjetja ustrezno vizualno označeni. Fizično varovanje vseh medijev, njihova ustrezna klasifikacija in uničenje.

Zahteva 10: Nadzirajte in omogočite sledenje vseh dostopov do omrežnih virov in podatkov o plačilnih sredstvih
Rekonstrukcija dogodkov na podlagi zapisov v sistemskih dnevnikih, sinhroniziran čas po vseh strežnikih, preverjanje integritete datotek na sistemu, dnevno pregledovanje dnevniških zapisov.

Zahteva 11: Redno izvajajte varnostne preglede sistemov in procesov (penetracijska testiranja)
Vsaj vsako četrtletje naj se izvede notranji in zunanji varnostni pregled, vsaj enkrat letno in po vsaki bistveni spremembi IKS pa naj se izvede tudi temeljito penetracijsko testiranje, vključno s pregledom brezžičnih točk.

Zahteva 12: Vzpostavite varnostno politiko, ki vključuje tudi vse osebje (varnostni pregledi naj se izvajajo vsako četrletje, oceno tveganja pa enkrat letno)
Verjetno najpomembnejša zahteva govori o vzpostavitvi varnostne politike, ki zajema vse zahteve PCI-DSS. Vzpostaviti je potrebno dnevne postopke osnovnih pregledov IKS. Ne smemo pozabiti na privatne naprave zaposlenih npr. telefone, ki jih ti prinašajo v podjetje in vklapljajo v notranje omrežje. Izobraževanja zaposlenih o varnostni politki, preverjanje znanja in seznanjanje z grožnjami.

Ob vsaki zahtevi standard navaja tudi nabor testov, s katerimi si lahko pomagamo pri testiranju ustreznosti minimalnih zahtev standarda. Predvideni testi so sicer zelo skopi in odgovorijo samo na vprašanje kaj testirati, redkeje pa tudi kako. V preteklosti je bil PCI-DSS deležen tudi kritik, predvsem na račun zavajajočih 12 zahtev, ki dejansko zajemajo 220 podzahtev. Zagotoviti ustreznost vsem zahtevam je za mnoge trgovce neuresničljiv cilj, tudi zaradi tehničnih ovir, ki bi drastično spremenile način njihovega poslovanja in bi za seboj potegnile ogromno stroškov. Če se želimo standardizirati, lahko svojo organizacijo pripeljemo do skladnosti tudi sami, brez pomoči zunanjega izvajalca, saj je standard prosto dostopen na spletu. Skladnost s standardom oz. podelitev naziva certificirane organizacije po PCI-DSS nam lahko zagotovi (le) podjetje, ki je za to usposobljeno in kvalificirano s strani PCI SSC. Tovrstnih podjetij, z nazivom Qualified Security Assessor (QSA), je malo, seznam je dostopen tukaj. PCI SSC priporoča bankam, da zahtevajo od trgovcev standardizacijo (certified proof of PCI compliance) v primeru, če imajo opravka z vsaj 20,000 transakcijami na letni ravni.

V Sloveniji je možno najeti podjetja za varnostni pregled po standardu PCI-DSS, vendar bodimo pri izbiri partnerja pozorni, saj si nekatera izmed njih lahko posamezne podzahteve razlagajo malce po svoje. Npr. podjetje Astec , ki mimogrede ni na seznamu QSA, v svoji ponudbi za varnostni pregled izvorne kode navaja, da “…mora [pregled] opraviti organizacija, ki je specializirana za aplikacijsko varnost in je neodvisna od razvijalcev aplikacije.”, kar je le delno res. Namreč standard pravi, da lahko varnostni pregled izvorne kode opravi tudi kompetentno osebje, zaposleno v istem podjetju izključujoč avtorja (točka 6.3.2: Code reviews can be conducted by knowledgeable internal personnel or third parties).

A vprašajmo se sedaj, nam dosledno upoštevanje zahtev standarda resnično zagotavlja neoporečno varnost in nas, kot uporabnike plačilnih sredstev varuje pred zlorabami? Leta 2009 se je zgodil vdor v podjetje Heartland Payment System Inc. od koder so bili odtujeni podatki o 100 milijonih imenitkov kreditnih kartic. Podjetje je bilo v času vdora skladno s standardom PCI-DSS a morda ne v celoti, saj ni uspelo zaznati zlonamerne programske opreme, ki jo je kiberkriminalcem uspelo namestiti na sisteme v podjetju. Moje mnenje o standardu je pozitivno in čigar vpeljavo bi priporočal v vsaki organizacijski strukturi, četudi standarda ne vpeljemo v celoti in se ne certificiramo. Sleherni sistemski inženir ali informacijski varnostni inženir bo po bežnem pregledu zahtev v njih prepoznal dobre prakse, ki jih morda uporablja že sam pri svojem delu.

Standard je prosto dostopen na spletnem mestu PCI Security Standards Coucil.

Comments 2

  1. denial wrote:

    Standardi določajo pravila, hekerji ne igrajo po pravilih. Nuff said…

    Objavljeno 31 May 2011 at 7:40 pm
  2. Gorazd wrote:

    True, true…

    Objavljeno 31 May 2011 at 8:00 pm

Objavi komentar

Your email is never published nor shared.