Поиск

Ликбез по PCI DSS

27.04.2009 от Andrew

На минувшей неделе посетил семинар Информзащиты по PCI DSS. Знания всех глубин мне не требуется, но иметь общее представление я счел для себя полезным. Информзащита в течении последнего года проводит такое мероприятие уже третий раз: видимо сказывается обострившаяся конкуренция на ниве аудита по PCI DSS (до середины прошлого года эта компания была единственным аудитором на территории России).

Следующая информация показалась мне заслуживающей публикации:

  1. VISA и MasterCard по разному очерчивают области аудита. MasterCard требует аудита только процедур авторизации и клиринга, а VISA дополнительно требует аудировать мониторинг мошеннических операций, ведение диспутов, процедур клиентской поддержки, статистика и аналитика по транзакциям. Что интересно: персонализация карт не подпадает под требования стандарта PCI DSS.
  2. Ведущие платежные системы по разному карают оступившихся. За не выполнение составленного и утвержднного плана достижения compilance VISA штрафует, а MasterCard нет. А если организация скомпрометирует чужие карты, то ей светит $500 000 штрафа от VISA, оплата расходов на investigation team и компенсация затрат на перевыпуск всех скомпрометированных карт. 
  3. На семинаре был развеян миф о том, что «мой огород — что хочу, то и ворочу». Под требования стандарта и аудита подпадают  и on-us операции.
  4. В «цивилизованном» мире под обязательный аудит в первую очередь попали провайдеры услуг и крупные мерченты, а у нас банки, имеющие прямые коннекты к платежным системам. Предполагается, что именно они будут потом проверять своих мерчентов (и ассоциатов) на соответствие тем же требованиям безопасности.
  5. Первоначально все очень гордились пройденным аудитом, оповещая мир об этом громкими пресс-релизами. Однако пройти аудит и получить сертификат соответствия требованиям PCI DSS это две большие разницы. Чтобы получить сертификат нужно 100% выполнить все 239 процедур проверок. Информзащита начала аудиты в 2006 году и до сих пор ни один из ее клиентов не добился compilance (правда утверждается, что многие близки и в ближайшее же время мы увидим сразу несколько новых сертификатов). По статистике Информзащиты по результатам первого аудита средний процент соответствия составляет 54%, по результатам второго — 72%. Специалисты Информзащиты оценивают путь по достижению compilance в 2 года и для его прохождения настоятельно советуют кроме аудита приобретать у них консалтинговые услуги.
  6. В настоящее время в России 13 организаций являются compilance и имееют статус. На семинаре были названы: Рукард, Хронопей, UCS (которая прошла в 2006 году первый аудит в Информзащите, а compilance достигла в 2009 году с Инфосистемами Джет), кроме этого я нашел следы получения сертификата платежной системой РБК money, процессингом ЦФТ. Имена еще 8 счастливчиков остаются неизвестными.
  7. Факты, высказанные  в последних двух пунктах навели меня на грустные мысли: либо Информзащита единственный честный аудитор, а остальные раздают сертификаты направо и налево, либо Информзащита старается выжать из клиента по максимуму на консалтинге, объясняя ему как окружающий воздух привести в состояние «идеального газа». Сомнения еще больше укреплял раздел доклада, в котором рассказывалось какие санкции грозят нерадивым аудиторам, а Информзащита анонсировала услугу бесплатной проверки чужих аудиторских отчетов :).
  8. Если банк ведет соственные разработки, в том числе пишет скрипты, добывающие данные о транзакциях из карточных систем, для различных отчетов — эти разработки должны вестись согласно требованиям стандарта PA DSS и соответственно процедуры разработки будут проверяться аудитором.
  9. Компенсационные меры это снижение риска, на который направлено конкретное требование стандарта, другим способом. Выполнение требования стандарта другим способом может быть обусловлено бизнес-необходимостью или физической невозможностью выполнить требование впрямую. Если компенсационная мера в достаточной степени снижает риск, то она может применяться бесконечно долго.
  10. В последнее время несколько западных компаний, имевших сертификаты соответствия, подверглись атакам и скомпрометировали чужие карты. По результатам деятельности investigation team в каждом из этих случаев было установлено, что не смотря на наличие сертификата компании не выполняли некоторых требований PCI DSS, что, по мнению проверяющих, и привело к компрометации.
  11. На сайте PCI SSC можно почитать ответы на часто задаваемые вопросы, задать свой (и получить ответ спустя пару месяцев), а также Совет стал проводить открытые курсы обучения. В мае месяце Информзащита пообещала представить рускоязычный портал по PCI DSS!

Половина мероприятия, посвященная общим вопросам, показалась мне очень интересной и познавательной. Информзащите за него спасибо, хотя некоторые (видимо особенно измученные кризисом) банкиры и жаловались на скудность стола с бутербродами :). Все презентации выложены на сайте Информзащиты.

Всегда интересно наблюдать за аудиторией. В любой найдется 3-4 активиста и практически только они и будут задавать вопросы, причем по любой обсуждаемой теме. Практически в любой аудитории найдется умник, который громко заявит, что лектор совершенный дурачок. В нашем случае дядечка, решительно заявил, что ни один здравомыслящий предправ не подпишет договор на аудит, в рамках которого аудитор будет проводить тест на проникновение в «боевые» системы банка. Дядечка упирал на то, что он «производственник, от конвейра», а аудиторы разбираются в банковском бизнесе как свиньи в апельсинах и пенетрировать (от названия — penetration test) он им позволит тестовую систему, да и то, если заранее опишут все алгоритмы пенетрации (этим он вызвал легкий смешок у понимающей части аудитории). Далее этот дядечка сколотил коалицию среди соседей,  с которой что-то бурно обсуждал, не утруждая себя даже попытками снитить голос и наклонится к собеседнику (удивляюсь терпению докладчиков и соседей).

Был задан интересный вопрос: как успешная пенетрация, результатом которой являются некоторые реальные данные, укладывается в требования законов о банковской тайне и защите персональных данных. Представители Информзащиты с трибуны не смогли внятно аргументировать легальность своей деятельности и после небольшой сумятицы предложили обсуждать это отдельно\кулуарно. Для меня вопрос остался открытым, хотя и не сомневаюсь, что соответствующая юридическая лазейка есть.

PS Самым интересным было слушать кулуарные откровения банкиров о своих вендорах. Особенной «любовью» к поставщику процессинговой системы  выделялся представитель Газпромбанка.

Рубрики: Банковские карты | 10 комментариев »»»

10 комментариев

  1. touzoku пишет:

    > Был задан интересный вопрос: как успешная пенетрация, результатом которой являются некоторые реальные данные, укладывается в требования законов о банковской тайне и защите персональных данных.

    Конфиденциальные данные не попадают в отчет о тесте на проникновение и никак не фиксируются. Максимум, что получает пентестер — период хранения конфиденциальных данных (с какого по какое число хранятся PAN-ы, например). По результатам теста составляется свидетельство о факте получения данных за росписью CIO/CISO/админов/начальника процессинга. Таким образом существует только вопрос доверия исполнителю пентеста и его компании. Тут уж надо репутацию каждой конкретной компании на рынке ИБ знать, иначе никак.

    Кстати, аудиторы априори получают гораздо больше доступа, чем пентестеры.

  2. touzoku пишет:

    6.В настоящее время в России 13 организаций являются compilance и имееют статус. На семинаре были названы: Рукард, Хронопей, UCS (которая прошла в 2006 году первый аудит в Информзащите, а compilance достигла в 2009 году с Инфосистемами Джет), кроме этого я нашел следы получения сертификата платежной системой РБК money, процессингом ЦФТ. Имена еще 8 счастливчиков остаются неизвестными.

    Тут оговорка видимо была допущена. 13 организаций не в России, а в регионе CEMEA. В России compliant кроме перечисленных еще «Западно-Сибирский процессинговый центр» (итого 4 компании, еще 2 на Украине, 1 в Молдавии, 1 из Польши, остальные из азиатских стран, кажется). РБК Money мелькал в прессе, но ни на сайте Визы, ни на сайте Мастеркарда нет ни одного упоминания в списках сервис-провайдеров.

  3. goldanna пишет:

    По поводу compliant сервис-провайдеров, которых нет в списках: все очень просто -дело исключительно в том, кто и на основании чего принял решение, что сервис-провайдер «compliant». Цитирую МПС.
    VISA AIS: «Level 2 service providers will not be
    listed on Visa’s List of PCI DSS Compliant Service Providers. Only Level 2 service providers
    that opt to undergo a Level 1 onsite security assessment will be listed. Service providers who
    validate PCI DSS compliance with an annual SAQ and quarterly network scan prior to 1
    February 2009 will be grandfathered on Visa’s list until their next annual revalidation date» (http://www.visacemea.com/ac/pdf/Account_Information_Security1.pdf)
    Mastercard SDP: «As of January 1, 2009, MasterCard will no longer list those Service Providers who have only submitted an SAQ. The posting will contain only those entities who have successfully completed an annual onsite review.» (http://www.mastercard.com/us/sdp/serviceproviders/compliant_serviceprovider.html)

  4. Andrew пишет:

    Merrick Bank подал иск против фирмы Savvis. Компания обвиняется в ложном утверждении соответствия CardSystems Solutions нормативам безопасности VISA и MasterCard меньше чем за год до взлома процессинговых систем. Тогда опасности было подвергнуто до 40 млн счетов кредитных карт. Об этом говорится в сообщении Finextra.
    Находящаяся теперь во владении Pay By Touch CardSystems выявила инцидент в мае 2005 г.
    Merrick является эквайринговым банком для примерно 125 тыс торговцев. В настоящее время банк утверждает, что взлом хакеров стоил ему около 16 млн долл платежей VISA и MasterCard за использование процессора, не отвечающего их стандартам, а также выплат пострадавшим банкам и судебных издержек.
    Согласно представителям Merrick, хакеры смогли получить доступ к данным в связи с тем, что CardSystems хранила незашифрованную информацию карт на своих серверах в нарушение нормативов, сертифицированных Savvis.

    АГЕНТСТВО ЭКОНОМИЧЕСКОЙ ИНФОРМАЦИИ ПРАЙМ-ТАСС
    27/05/2009

  5. touzoku пишет:

    > В мае месяце Информзащита пообещала представить рускоязычный портал по PCI DSS!

    Скажу по секрету, он уже работает :)

  6. Andrew пишет:

    >Скажу по секрету, он уже работает :)
    стоило сразу дать ссылочку, а так пришлось искать — http://www.pcisecurity.ru/

  7. touzoku пишет:

    Ну мало ли, вдруг за рекламу сочтете :) А найти сайт весьма легко, достаточно зайти на главную ИЗ.

  8. Andrew пишет:

    еще один PCI-портал:

    Компания Digital Security запускает новый портал для обмена опытом в области PCI DSS Compliance Management — PCIDSS.RU.

    Сергей Шустиков, ведущий QSA-аудитор Digital Security:
    «Мы давно работаем в области оказания консалтинговых услуг по стандарту PCI DSS. Это и работы по подготовке к сертификации, ежеквартальные сканировния и тесты на проникновение, и непосредственно, сертификационный аудит. На разных этапах мы регулярно сталкиваемся с тем, что даже у самых опытных специалистов в области безопасности платежных карт возникает множество вопросов, связанных с PCI DSS Compliance. По нашему опыту лучший способ получить ответы на все вопросы — обсудить их со специалистами и коллегами. Именно обмен опытом в области соответствия стандарту — основная цель PCIDSS.RU».

    На портале можно найти информацию о стандарте, различные обзоры, статьи и иные материалы, подготовленные профессионалами в области PCI DSS и обсудить всевозможные вопросы, касающиеся стандарта, в блоге и на форуме.

    Digital Security — одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security более семи лет работает на всей территории России, стран СНГ и Балтии. Все специалисты отдела аудита и аналитики имеют многолетний практический опыт выполнения работ в области ИБ, включая аудит на соответствие ISO 27001 и PCI DSS.

  9. Andrew пишет:

    в журнале ПЛАС №7(147) хорошая статья Николая Пятиизбянцова «Аудит на соответствие PCI DSS и УК РФ», которая очень подробно освящает проблематику пенетрейшена и получения доступа к конфиденциальной информации, банковской тайне и персональным данным

  10. Andrew пишет:

    Digital Security проводит аналогичное мероприятие в Москве 17 марта http://pcidssrussia.ru/ru/program/

Вставить свои 5 копеек:

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.