Архитектура безопасности PCI DSS: ключевые компоненты и принципы

PCI DSS, или стандарт безопасности данных, который устанавливает требования безопасности для организаций, обрабатывающих транзакции по платёжным картам. В статье рассмотрим основные компоненты и принципы архитектуры безопасности PCI DSS.

6 ПРИНЦИПОВ PCI DSS

Соблюдение основных принципов PCI DSS позволяет создать надежную среду безопасности, держать данные в сохранности и обеспечивать бесперебойную работу бизнеса.

1. Создание и поддержание безопасной сети и систем.
2. Защита данных держателей карт.
3. Поддержка программы управления уязвимостями. 
4. Внедрите строгих меры контроля доступа.
5. Регулярный контроль и тестирование сети. 
6. Поддержка политики информационной безопасности.

Что необходимо для построения архитектуры безопасности

1. Межсетевые экраны.  Это устройства, которые контролируют трафик с помощью установленных настройками критериев. Они могут защитить сеть от незаконных вторжений и вредоносного ПО.

Различают аппаратные брандмауэры и программные. Первые являются физическими, они защищают и сегментируют сеть. Для их корректной работы требуется правильная настройка и дальнейшее регулярное обслуживание. Только тогда аппаратные брандмауэры будут работать эффективно. Программные брандмауэры защищают от внутренних угроз, то есть заражения от фишинговых атак. Обслуживать их гораздо проще, а обходятся они дешевле.

Для построения безопасной архитектуры необходимо, чтобы брэндмауэры были установлены на всех устройствах, имеющих доступ к сети.

2. Смена стандартных паролей. Иногда приложения имеют логины и пороли по умолчанию. Они очень просты, их либо легко угадать, либо они общеизвестны. Нельзя оставлять их и использовать, сразу после установки следует сменить их. Причем желательно пользоваться генератором паролей для создания более надёжных комбинаций.

3. Не хранить ПДн клиентов без необходимости. Иногда на площадках остаются номера счетов (PAN) в незашифрованном виде. Такого следует избегать, своевременно удалять те данные, которые не требуются для нормативных, юридических или деловых нужд. Если вы храните номера счетов, то их следует держать в зашифрованном виде.

Чтобы своевременно обнаружить незашифрованные данные, нужно периодически запускать инструменты обнаружения данных. Как только вы их обнаружите, следует либо удалить, либо зашифровать данные.

4. Шифрование передачи данных через открытые публичные сети. Любая передача данных держателей карт по открытым или публичным сетям должна быть зашифрована во избежание компрометации. Следует использовать безопасный метод шифрования с соответствующими протоколами безопасности для защиты от кражи или вторжения. Нельзя отправлять номера личных счетов через платформы обмена сообщениями, SMS или электронную почту.

5. Своевременное обновление антивирусного ПО. Устаревший антивирус слабо препятствует заражению системы. Чтобы обеспечить эффективную защиты, необходимо выполнять обновление, когда выходят новые базы. Кроме того, важно настроить регулярное сканирование и создание журналов аудита.

Обычные пользователи не должны иметь достаточно прав доступа, чтобы самостоятельно отключать антивирусное ПО.

6. Поддержка безопасных систем и приложений. В компании должна быть система для обработки регулярного управления исправлениями. Операционные системы, брандмауэры, интернет-браузеры и прикладное программное обеспечение подлежат регулярным обновлениям исправлений. 

Быстрое внедрение обновлений безопасности является ключом к обеспечению безопасности данных. Установка критических исправлений в течение месяца с момента их выпуска является требованием соответствия PCI DSS.

7. Ограничение доступа сотрудников к данным держателей карт. Для обеспечения безопасности конфиденциальных данных необходимо предоставлять сотрудникам доступ строго по принципу служебной необходимости. Пользователи должны обладать минимальным объемом доступа и привилегий, необходимым для выполнения своей работы.

Предотвратите ненужное раскрытие данных держателей карт, настроив учетные записи администратора и пользователя в системе контроля доступа на основе ролей. Система определяет роли и уровни привилегий. Она поддерживает активный список персонала, имеющего соответствующий доступ к данным держателей карт.

8. Идентификация и аутентификация доступа к компонентам системы. Следует обеспечить прослеживаемость доступа. Назначение уникальных имен пользователей авторизованным сотрудникам позволяет отслеживать использование системы в случае компрометации данных. Обмен идентификаторами должен быть строго запрещен.

Использование многофакторной аутентификации (MFA) для идентификации пользователей является обязательным в качестве дополнительного уровня безопасности PCI DSS. Вы можете реализовать MFA любым из следующих способов:

• Что знает пользователь, например, PIN-коды или пароли

• Что есть у пользователя, например, SMS-код или USB-токены

• Кто является пользователем, например, отпечатки пальцев или распознавание лиц

9. Ограничьте физический доступ к данным держателей карт. Данные держателей карт не могут храниться в открытой, легкодоступной среде. Следует ограничить физический доступ к данным, чтобы предотвратить кражу информации изнутри (сотрудниками, подрядчиками и консультантами). Используйте идентификационные значки для посетителей или временных работников, чтобы снизить опасность раскрытия данных.

После прекращения действия любой физический предмет, который обеспечивает доступ (например, ключи или карты доступа), должен быть отключен или возвращен. Регулярно обучайте своих сотрудников процедурам безопасности.

10. Отслеживание, контроль и оповещение обо всех случаях доступа к сетевым ресурсам и данным держателей карт. Системы отслеживания бесполезны, если не просматривать журналы на предмет подозрительной активности. Без точных журналов системной активности практически невозможно определить причины компрометации системы. 

Поэтому крайне важно обучить сотрудников тому, как правильно отслеживать, контролировать и интерпретировать отчеты по безопасности, а затем принимать меры по устранению отклонений.

Следует ежедневно просматривать системные журналы и контрольные записи для поиска:

• Доступа пользователя к данным держателя карты

• Действий, предпринимаемых сотрудниками с правами администратора

• Недействительных попыток доступа

• Изменений идентификатора и доступа.

11. Регулярное тестирование системы и процессов безопасности. Помимо рутинного мониторинга системы, регулярное тестирование систем и процессов помогает компании оставаться на шаг впереди угроз безопасности и уязвимостей. Убедитесь, что меры безопасности эффективны и соответствуют требованиям, выполняя профилактическое тестирование системных элементов управления.

В дополнение к обычному тестированию, следует проводить дополнительное тестирование при изменении конфигураций системы или развертывании нового программного обеспечения. Сканирование уязвимостей и тесты на проникновение выявляют потенциальные угрозы и важны для поддержания целостности системы. 

Частота, необходимая для проведения этих сканирований и тестов, зависит от инфраструктуры и размера компании.

12. Поддержание политики информационной безопасности и оценки рисков для всего персонала. Сотрудники должны понимать свои роли и обязанности, связанные с поддержанием необходимых стандартов безопасности. Компании следует серьезно относиться к безопасности данных держателей карт, чтобы обеспечить соответствие требованиям PCI DSS. 

Поддержание сильной политики безопасности устанавливает ожидания относительно производительности сотрудников, связанной с управлением рисками. Её стоит ежегодно пересматривать и обновлять для отражения изменений в системе или среде. Необходимо проводить регулярную оценку рисков для выявления критически важных активов и уязвимых областей.