PCI DSS » История » Версия 1
С. Антошкин, 06.12.2023 13:48
| 1 | 1 | С. Антошкин | h1. PCI DSS |
|---|---|---|---|
| 2 | |||
| 3 | |||
| 4 | {{TOC}} |
||
| 5 | |||
| 6 | !clipboard-202312061444-e0gfu.png! |
||
| 7 | |||
| 8 | --- |
||
| 9 | |||
| 10 | h2. История стандарта |
||
| 11 | |||
| 12 | |||
| 13 | С 1988 по 1998 год Visa и MasterCard отчитались о потерях в 750 млн долларов из-за мошеннических операций с картами – эта сумма оказалась мизерной по сравнению с сотнями миллиардов долларов, обрабатываемых компаниями ежегодно. Но все кардинально поменялось с началом эры интернета. Чем больше магазинов подключали свои интернет-сайты к системам приема платежей, тем легче становилось мошенникам получать платежные данные с плохо защищенных систем, манипулируя картами быстрее и проще прежнего. |
||
| 14 | |||
| 15 | В октябре 1999 года Visa запустила Cardholder Information Security Program (CISP), систему информационной безопасности для держателей карт. Visa стала первой компанией, разработавшей единый стандарт для торговых точек, принимающих онлайн-транзакции. CISP – первый из числа родоначальников стандарта PCI DSS. |
||
| 16 | |||
| 17 | Наступил 2000-й год. По данным CyberSource, потери на онлайн-продажах от карточного мошенничества достигли 1,5 млрд долларов (иными словами, всего за одно десятилетие они утроились). В 2001 году, по данным Visa, уровень мошенничества в онлайне был в 4 раза выше, чем по обычным транзакциям. |
||
| 18 | |||
| 19 | Май 2001 года ознаменовался новым событием: Visa и другие карточные бренды приступили к борьбе за исполнение политики безопасности. Выяснилось, что всего лишь несколько компаний в состоянии соответствовать Visa CISP, принятому 1 мая 2001 года. Схожие с этой программой стандарты безопасности оказались менее успешными, в основном из-за отсутствия единого, унифицированного стандарта среди карточных брендов. |
||
| 20 | |||
| 21 | В июле 2004 года атаки на веб-инфраструктуру стали угрожающими. В частности, значительным образом распространились атаки против IIS и другого уязвимого программного обеспечения. Злоумышленники находили уязвимые компьютеры и внедряли на них вредоносное программное обеспечение (кейлоггеры и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным – был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей. |
||
| 22 | |||
| 23 | В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок. |
||
| 24 | |||
| 25 | 6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы – совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем. |
||
| 26 | |||
| 27 | На сегоднящний день PCI SCC выпустила несколько стандартов охватывающий весь процесс обработки данных платежных карт: |
||
| 28 | * *DSS* – безопасность платежной инфраструктуры и процессов в банках |
||
| 29 | * *ASV* – решение по сканированию на уязвимости периметра, необходимое для стандарта PCI DSS |
||
| 30 | * *SSF* – безопасная разработка платежных приложений |
||
| 31 | * *Pin Security* – организация безопасного приема и обработки PIN-кодов |
||
| 32 | * *3D Secure* – обеспечение безопасности платежей с применением одноразовый паролей |
||
| 33 | * др. |
||
| 34 | |||
| 35 | |||
| 36 | h2. Требования |
||
| 37 | |||
| 38 | PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты. |
||
| 39 | |||
| 40 | |||
| 41 | |_.ЦЕЛЬ|_.ГРУППЫ ТРЕБОВАНИЙ PCI DSS| |
||
| 42 | |/2. Создание и поддержка защищенной сети и систем|*Требование 1* |
||
| 43 | Установить и поддерживать конфигурацию межсетевых экранов для защиты данных| |
||
| 44 | |*Требование 2* |
||
| 45 | Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию| |
||
| 46 | |/2. Защита данных Держателей карт|*Требование 3* |
||
| 47 | Защищать хранимые данные держателей карт| |
||
| 48 | |*Требование 4* |
||
| 49 | Шифровать данные держателей карт при их передаче в открытых общедоступных сетях| |
||
| 50 | |/2.Ведение программы по управлению уязвимостями|*Требование 5* |
||
| 51 | Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы| |
||
| 52 | |*Требование 6* |
||
| 53 | Разрабатывать и поддерживать безопасные системы и приложения| |
||
| 54 | |/3.Внедрение строгих мер контроля доступа|*Требование 7* |
||
| 55 | Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью| |
||
| 56 | |*Требование 8* |
||
| 57 | Определять и подтверждать доступ к системным компонентам| |
||
| 58 | |*Требование 9* |
||
| 59 | Ограничить физический доступ к данным держателей карт| |
||
| 60 | |/2.Регулярный мониторинг и тестирование сети|*Требование 10* |
||
| 61 | Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт| |
||
| 62 | |*Требование 11* |
||
| 63 | Регулярно выполнять тестирование систем и процессов обеспечения безопасности| |
||
| 64 | |Поддержание политики информационной безопасности|*Требование 12* |
||
| 65 | Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации| |