|
Стандарт по безопасности PCI DSS был разработан сообществом международных платежных систем Visa, MasterCard, American Express, JCB и Discover с целью повышения уровня информационной безопасности «карточного» бизнеса и скоординированной деятельности по противодействию мошенническим операциям с пластиковыми картами.
Требования стандарта PCI DSS являются обязательными для всех торгово-сервисных предприятий и сервис-провайдеров, которые передают, обрабатывают и хранят данные о держателях пластиковых карт. Как правило, к таким организациям относятся магазины с возможностью оплаты по картам, банки, центры банковского процессинга и другие.
Стандарт PCI DSS включает в себя 12 требований, которые описывают организационные и технические защитные меры необходимые для обеспечения безопасности данных о держателях карт.
Компании, которые относятся международными платежными системами по количеству обрабатываемых транзакций к наивысшему уровню, должны проходить ежегодный сертификационный аудит, выполняемый аккредитованной организацией со статусом QSA.
Компания DataSecurity Technologies совместно с QSA-партнером международной компанией Sysnet предлагает реализацию комплексного проекта по приведению в соответствие требованиям стандарта PCI DSS.
Комплекс работ в рамках данного проекта включает в себя следующие этапы:
- Анализ расхождений. Данный этап проводится с целью первичной оценки соответствия требованиям стандарта и подготовке рекомендаций по устранению выявленных несоответствий.
- Устранение выявленных несоответствий. Как правило, работы на этом этапе включают в себя внедрение необходимых технических средств защиты и разработку/доработку нормативной и регламентирующей документации в соответствие со стандартом PCI DSS.
- Сканирование информационных систем на наличие технических уязвимостей. Проводится внутреннее и внешнее сканирование, ежеквартально.
- Тест на проникновение. Представляет собой анализ защищенности информационных систем путем имитации действий злоумышленника с целью получения доступа к данным о держателях карт. Как и сканирование, проводится с внешней и внутренней стороны по отношению к периметру корпоративной инфраструктуры.
- Предварительный аудит. Является тренировочным по отношению к сертификационному аудиту и направлен на подтверждение соответствия реализованных рекомендаций требованиям PCI DSS.
- Сертификационный аудит. Официальный аудит на соответствие требованиям стандарта PCI DSS (так называемый on-site аудит), по результатам которого принимается решение о выдаче сертификата соответствия.
Реализация комплексного проекта в компании позволяет получить не только официальное подтверждение соответствия требованиям стандарта PCI DSS, но и обеспечить адекватную и управляемую безопасность процессов, связанных с обработкой, передачей и хранением данных о держателях пластиковых карт.
Стандарт безопасности данных индустрии платежных карт (PCI DSS) поддерживается всеми основными эмитентами, включая American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International. Данный стандарт распространяется на все: от регулярного изменения паролей служащего до использования межсетевых экранов. При этом многие требования акцентируют своё внимание на безопасности данных внутри организации.
Ниже приводится ряд требований стандарта PCI и описывается, как продукты компании SafeNet могут помочь в их выполнении.
| Требование 3: Обеспечить безопасное хранение данных о держателях карт
Шифрование – критичный компонент защиты данных о держателях карт. Если взломщик обойдет остальные средства управления безопасностью сети и получит доступ к зашифрованным данным, не зная ключа шифрования, то эти данные останутся для него нечитаемыми и практически бесполезными.
|
SafeNet предоставляет все необходимые возможности по шифрованию, обеспечивающие безопасность конфиденциальных данных, поддержку стандарта и стойкие криптографические алгоритмы. |
| Требование 3.4
Из всех данных о держателе карты как минимум PAN должен быть представлен в нечитаемом виде во всех местах хранения (включая данные на съемных носителях, резервных копиях и журналах протоколирования событий, а также данные, получаемые по беспроводным сетям).
Для этого следует использовать любой из следующих методов:
• стойкая однонаправленная хэш-функция;
• укорачивание;
• использование механизмов One-Time-Pad («одноразовые блокноты») и хранение ссылок на данные вместо самих данных (index tokens);
• стойкие криптографические алгоритмы совместно с процессами и процедурами управления ключами.
|
SafeNet поддерживает стойкие криптографические алгоритмы, включая 3DES и AES 256-бит. SafeNet также поддерживает DES, AES, 128-бит и 192-бит, RC4 (40-бит и 128-бит) и RSA (DES и RC4 обычно не рекомендуются для защиты данных в местах хранения в производственных средах.)
SafeNet также поддерживает хэши HmacSHA-1.
Кроме того, SafeNet выполняет безопасную генерацию ключей, безопасное хранение ключей и безопасное управление ключами защиты через усиленную аппаратную платформу. Управление ключами защиты и архитектура системы безопасности SafeNet включает как аппаратные компоненты, так и компоненты, использующие программное обеспечение, что гарантирует безопасность управления ключами защиты в соответствии со стандартами PCI.
|
| Требование 3.5.1
Доступ к ключам шифрования должен быть
разрешен наименьшему возможному количеству
сотрудников, ответственных за их хранение и использование.
|
SafeNet централизует хранение и управление
ключами на одном, специализированном устройстве безопасности — там, где все ключи сохранены в зашифрованном виде и интегрированы внутри платформы, при этом они никогда не доступны кому-либо в открытом виде.
Доступ к ключам может быть ограничен определенным кругом владельцев ключей или группами пользователей SafeNet. Расширенный доступ может быть предоставлен, исходя из операций с ключами (Кодирование/Декодирование, Подпись/Проверка подписи и Обязательный контроль доступа /Его подтверждение) и доступа к ключам (основанный на времени и основанный на уровне) посредством управленческих способностей централизованной политики SafeNet.
|
| Требование 3.5.2
Ключи должны храниться только в строго определенных защищенных хранилищах и строго определенном виде.
|
SafeNet централизует хранение ключей шифрования и управление ими на одном устройстве (или, как правило, на интегрированном кластере специализированных устройств безопасности), где все ключи находятся в зашифрованном виде, их целостность проверяется самим устройством, и при этом они никогда не доступны кому-либо в открытом виде. Ключи зашифрованы с использованием многоуровневой иерархии основных ключей шифрования. Устройство SafeNet разработано в соответствии со стандартом FIPS 140-2 Уровня 2, который удовлетворяет требованию правительства США о том, что управление ключами происходило с обеспечением защиты от несанкционированного доступа.
С операционной точки зрения ключи шифрования также надежно обрабатываются. Например, если ключи реплицируются на устройствах SafeNet, находящихся в кластере или работающих в режиме высокой доступности, они всегда шифруются. Когда ключи скопированы, они (и любая другая информация о конфигурации SafeNet), дополнительно зашифровываются в резервном конфигурационном файле.
|
| Требование 3.6
Должны быть задокументированы все процессы и процедуры управления ключами шифрования данных о держателях карт, в том числе:
3.6.1 Генерация стойких ключей.
3.6.2 Безопасное распространение ключей.
3.6.3 Безопасное хранение ключей.
3.6.4 Периодическая смена ключей:
• согласно предписаниям соответствующего производителя или владельца ключа;
• не реже одного раза в год.
3.6.5 Уничтожение старых ключей
3.6.6 Раздельное владение частями ключей (так, чтобы для расшифровывания данных требовался составной ключ, компоненты которого хранятся у 2-3 сотрудников).
3.6.7 Защита от неавторизованной смены ключа.
3.6.8 Определение обязанностей и ответственности сотрудников по хранению и использованию ключей с официальным подтверждением их согласия с ознакомлением и принятием таких обязанностей и ответственности.
|
С решением SafeNet ключи шифрования
никогда не покидают платформу DataSecure. Только администратор может получить доступ к платформе DataSecure либо через безопасный веб интерфейс, либо используя интерфейс командной строки через SSH или с помощью консоли через прямое соединение. Устройство может быть настроено таким образом, что отдельные администраторы могут получить доступ только к тем областям и функционалу, за которые они ответственны.
Устройство SafeNet разработано в соответствии со стандартом FIPS 140-2 Уровня 2 и в полной мере реализует управление ключами с защитой от несанкционированного вмешательства.
Ниже приведены дополнительные сведения о том, как SafeNet выполняет определенные требования:
3.6.1 —Стойкие ключи генерируются в устройствах с использованием аппаратного генератора случайных чисел. Весь процесс управляется идет либо через интерфейс командной строки, либо через графический пользовательский интерфейс GUI администратора. Данные шаги и процедуры могут легко быть включены в любые процедуры политики безопасности.
3.6.2 — По принципам решения SafeNet, ключи шифрования никогда не покидают оборудование. Ключи шифрования генерируются и постоянно хранятся на защищенном устройстве, все операции по шифрованию/дешифрованию происходят внутри устройства, поэтому нет необходимости распределять ключи или сохранять их в сети, на серверах и т.д. SafeNet также обеспечивает безопасное дублирование и безопасное резервное копирование таким образом, что ключи не покидают платформу SafeNet вне зашифрованном виде.
3.6.3 — Ключи всегда хранятся на устройствах SafeNet в защищенном виде. Сами ключи шифрования зашифрованы с использованием сложной иерархии основных ключей шифрования. Устройство SafeNet разработано в соответствии со стандартом FIPS 140-2 Уровня 2, при котором ключи шифрования сохранены в аппаратном модуле безопасности, защищённом от умышленных повреждений.
3.6.4 — SafeNet обеспечивает механизм смены ключей, что позволяет клиентам эффективно заменять ключи согласно политике безопасности.
3.6.5 — Ключи всегда хранятся на устройстве SafeNet в зашифрованном виде.
3.6.6 — Разделение сведений о создании ключей, удалении и доступе отражено в более чем 20 административных списках контроля доступа. Так же реализован механизм принципа «четырех глаз», когда определённые действия можно совершить , только в том случае, если будет осуществлено их дополнительное подтверждение другим человеком.
Кроме того, SafeNet обеспечивает более безопасный механизм хранения ключей, при котором сам криптоключ (последовательность бит) никогда не может быть сохранён, скопирован или быть доступным в открытой форме. Решение SafeNet позволяет авторизованным пользователям получить доступ к криптооперациям, но не к самим битам криптоключа. Шифровальные операции выполняются только с ключами, к которым имеет доступ авторизованный пользователь SafeNet.
Также существуют способы многократного установления подлинности, прежде чем будут выполнены операции по шифрованию с определенными ключами.
|
| Требование 4.1
Для защиты критичных данных о держателях карт во время передачи их через общедоступные сети, следует использовать стойкие криптографические алгоритмы и протоколы, такие как SSL/TLS и IPSEC.
|
SafeNet поддерживает протокол SSL для передачи информации между серверами базы данных (или серверами приложений) и устройством SafeNet. Длину ключей на устройстве SafeNet можно настроить таким образом, что будут доступны для использования только 128-битовые или более длинные ключи. SafeNet рекомендует использовать протокол SSL для передачи чувствительных данных между серверами и конечным оборудованием. Однако, если сетевое соединение между SafeNet и сервером базы данных (или сервером приложения) происходит внутри корпоративной сети, то не все клиенты используют протокол SSL. |
| Требование 8.2
Помимо идентификатора, должен применяться хотя бы один из следующих методов для аутентификации всех пользователей:
• Пароль;
• Ключи (например, SecureID, сертификаты, открытый ключ);
• Биометрические параметры.
|
Только администратор может получить доступ к платформе SafeNet через безопасную систему веб-управления, через интерфейс командной строки по SSH, или с помощью прямого подсоединения к системе. Оборудование может быть настроено таким образом, что отдельные администраторы могут получить доступ только к тем областям, за которые они ответственны.
Административные действия регистрируются и записываются в контрольном журнале.
В зависимости от роли и исполняемых обязанностей администраторы могут получать разрешения в 16 различных категориях, обеспечивая таким образом детальный административный контроль. Может быть установлена двухфакторная аутентификация для административного доступа с необходимостью использовать цифровые идентификаторы вместе с паролями. Все административные пароли захэшированы и никогда не хранятся на устройстве SafeNet в открытом виде.
Поскольку администраторы SafeNet отделены от других пользователей, приложений или баз данных, которым необходимо использовать функционал шифрования/дешифрования, это позволяет точно определить зону ответственности между администраторами, которые управляют устройством и настраивают политики шифрования, и юридическими лицами (пользователями), которые должны зашифровать или расшифровать данные.
Пользователи не имеют административного доступа к устройству SafeNet. Однако, им назначают мандат, который позволяет запрашивать криптографические операции с определенными ключами в соответствии с настраиваемой и централизованной политикой SafeNet. Помимо возможности настроить использование двухфакторной аутентификации для административного доступа, также можно использовать двухфакторную аутентификацию для пользовательского доступа (к криптографическим операциям операциям).
|
| Требование 8.4
Все пароли должны храниться и передаваться только в зашифрованном виде с использованием стойких криптографических алгоритмов.
|
Пароли шифруются, используя протокол SSL при аутентификации на платформе DataSecure. В конечном устройстве все пароли хранятся в виде хэша так, чтобы их никогда нельзя было заполучить. |
|
