Безопасность платежных карт: решения Novell

Огромное число случаев, связанных с кражей сведений о платежных карточках, привело к необходимости срочных ответных мер, направленных на усиление безопасности данных. В качестве такой меры компании, занимающиеся платежными карточками, разработали Payment Card Industry Data Security Standard (PCI-DSS).


Валерий Елизарьев, директор представительства Novell в Украине

Данный стандарт требует от любого ритейлера, использующего, передающего, обрабатывающего или хранящего информацию о платежных картах, неуклонно соблюдать перечень мер, необходимых для обеспечения безопасности данных. PCI-DSS не является законом или нормативным актом государственного характера. Это негосударственный, частный свод правил (требований), который должен неукоснительно соблюдаться как ритейлерами, так и провайдерами услуг в сфере электронных платежей (процессинговые центры и др.).

Компании, работающие в сфере платежных карт, ужесточают требования безопасности введением в контрактах целого ряда наказаний и санкций:

  • штраф в размере $500 000 за инцидент, связанный с нарушением безопасности данных;
  • штраф в размере $50 000 в день за несоответствие принятым стандартам;
  • ответственность за возмещение потерь, связанных с мошенническими действиями по скомпроментированным счетам;
  • ответственность за перевыпуск платежных карточек, которые были скомпрометированы мошенническими действиями;
  • приостановка платежей по счетам торговой организации.

Ритейлеры должны придерживаться правил PCI-DSS и сделать это как можно скорее. В противном случае риски и возможные потери могут быть очень велики.

Свод правил PCI-DSS содержит более 160 специальных требований, и от ритейлеров уже в ближайшем будущем потребуется демонстрация готовности к их выполнению. Поэтому им следует тщательно спланировать, стратегически обдумать и выбрать лучшего технологического партнера для работы над обеспечением требований PCI-DSS. Чтобы облегчить этот процесс, компания Novell предлагает интегрированный набор решений, который "накрывает" все шесть контрольных целей (control objectives) PCI-DSS.

Далее в статье приведены требования PCI-DSS, обсуждаются подходы к обеспечению наилучшего соответствия этим требованиям. Также показано, как продукты Novell могут помочь компании достичь необходимого результата с максимальной быстротой и эффективностью.

История и основание PCI-DSS

В 2001 году Visa представила Cardholder Information Security Program (CISP) – программу, в которой от торговых компаний и сервисных провайдеров требовалось соблюдение специальных стандартов безопасности данных. Вскоре после этого Visa, MasterCard, American Express, Discover, Diner's Club и JCB объединили усилия для создания более современного и всеобъемлющего стандарта, которым и стал PCI-DSS. Согласно ему, от любой торговой компании или же сервисного провайдера, использующего, передающего или хранящего информацию о платежных картах, требовалось строгое соблюдение свода правил PCI от 30 июня 2005 г.

Модернизированный в сентябре 2006 г. стандарт PCI-DSS версии 1.1 (www. pcisecuritystandards.org) устанавливает расширенный перечень из 160 специальных правил, которым должны следовать торговые компании. Требования относились к различным аспектам ИТ-операций, в частности:

  • безопасность и конфигурация сети;
  • шифрование данных при хранении и передаче;
  • управление ключами шифрования, обеспечение их безопасности;
  • управление уязвимостями, обнаружение и проверка;
  • управление доступом на базе ролей и политик;
  • планирование реагирования на инциденты;
  • управление исправлениями;
  • методологии разработки программного обеспечения;
  • антивирусная защита;
  • физическая безопасность;
  • кадровое и деловое развитие;
  • ограничения и требования по мониторингу и регистрации системных событий.

Требования PCI-DSS создали определенные сложности для ИТ-подразделений соответствующих компаний, поскольку далеко не у всех из них имелась необходимая инфраструктура и ресурсы, для соответствия с этими требованиями. В одном из отчетов отмечалось, что около 20% ритейлеров не соответствуют в настоящий момент требованиям PCI-DSS и могут понести финансовые потери в размере около $25 000 ежемесячно*.
* "Слухи и выполнение: изменение стандартов PCI," Институт развития IT, 5 августа, 2006

В 2006 году Visa получила $4,6 млн. в качестве штрафов от бизнес-структур, на 35% больше, чем в 2005 г. Но при этом возможные штрафы являются лишь верхушкой айсберга. Незащищенные сведения о держателях карт (картхолдерах) могут привести к большим рискам и потере доверия для ритейлеров. Юридические меры и действия государственных структур могут повлечь за собой банкротство компании, если данные о картхолдерах попадут в руки хакеров или же мошенников.

Руководство компаний, осознавая подобные риски, вероятно, попытается достичь соответствия требованиям PCI-DSS как можно скорей. Существуют половинчатые решения, позволяющие "со скрипом" достичь необходимого статуса, но они не слишком эффективны, а спешка может привести к нервозности в работе компании и затратам ценных ресурсов. Гораздо рациональней выработать тщательно спланированный стратегический подход к безопасности данных и к выполнению требований PCI-DSS.

Цели подобного стратегического подхода можно изложить следующим образом:

  • соответствовать требованиям PCI-DSS (или превысить их);
  • реализовать соответствующие решения до того, как начнутся штрафные санкции;
  • внедрить стратегические решения, которые усовершенствуют ИТ-операции и удовлетворят широкий круг запросов ИТ и конечных пользователей.

Обзор PCI-DSS

PCI-DSS является комплексным стандартом, состоящим из более чем 160 специальных требований. Эффективное и действенное выполнение требований PCI-DSS невозможно без тщательного стратегического планирования и выработки решений, направленных на минимизацию потерь для организаций, работающих в сфере ИТ.

Все требования PCI-DSS разделены на шесть контрольных целей, каждая из которых включает несколько логически связанных основных требований (summary requirements). Каждое из основных требований включает перечень более подробных требований.

Большинство требований PCI-DSS связаны с концепцией "ограниченного контролируемого доступа". Это означает, что выполнение требований PCI-DSS невозможно без автоматизированных инструментов управления идентификацией, интегрированных со средствами контроля доступа и мониторинга.

Перечень решений Novell для PCI-DSS полностью согласуется с таким подходом, основанным на управлении идентификацией. Novell Identity Manager совместно с Novell eDirectory формируют "ядро" для обеспечения большинства предписаний PCI-DSS, касающихся управления идентификацией и контроля доступа.

Novell Sentinel выполняет ключевую роль в мониторинге и аудите систем и сетей, что является одним из базовых требований PCI-DSS. Он включает получение и фильтрацию доступов, просмотр и удаление данных из различных точек ИТ-инфраструктуры. Он также предусматривает создание необходимых систем оповещения и отчетов, что соответствует требованиям PCI-DSS относительно процедурных мер и предписаниям, которые касаются проверок и отчетов.

Хотя набор решений Novell для PCI-DSS достаточно обширен, требуется лишь несколько точек контроля. Управление идентификацией и доступом ведется через Novell Identity Manager, выполнение обновлений – через ZENworks, организация оповещения и отчетности – через Novell Sentinel. Это позволяет быстро достичь начального согласования с требованиями PCI-DSS и существенно сэкономить время и ИТ-ресурсы, необходимые для поддержки этих требований в дальнейшем.

Далее приведен обзор первых трех контрольных целей PCI-DSS вместе с соответствующими решениями Novell.

Контрольная цель № 1.
Построение и поддержка безопасности сети

PICK-DOSS требует, чтобы ритейлеры защищали данные владельцев платежных карточек от внешних атак. Защита предусматривает установку систем мониторинга и брандмауэров, организацию управления брандмауэрами. Хотя большинство организаций имеют установленные брандмауэры, многие из них неправильно сконфигурированы, и зачастую брандмауэры не проверяются годами, что фактически означает их полную уязвимость.

PCI-DSS стремится устранить подобные слабые места, а также подтолкнуть ритейлеров к использованию лучших практик по управлению брандмауэрами. Усилия, необходимые для того, чтобы соответствовать данным требованиям, обратно пропорциональны уровню автоматизации процессов в организации.

Требование № 1: Установка и поддержка конфигурации брандмауэра для защиты данных держателей карт. Данное требование включает различные аспекты конфигурирования брандмауэров и управления ими. Отражение внешних и внутренних атак при помощи тщательно определенной конфигурации брандмауэра, тестирование и изменение процессов управления требуют значительных начальных усилий и большого внимания в дальнейшем.

Требование № 1 PCI-DSS обязывает компанию:

  • Установить стандарты конфигурирования брандмауэров.
  • Создать конфигурацию брандмауэра, которая "отсекает" трафик от "сомнительных" сетей и хостов, за исключением протоколов, необходимых для "карточной" среды.
  • Создать конфигурацию брандмауэра, которая ограничит соединения между общедоступными серверами и любым системным компонентом, хранящим данные владельца карточки, включая любые соединения из беспроводных сетей.
  • Запретить прямой общий доступ между внешними сетями и любым из компонентов системы, который содержит данные владельца карточки (базы данных, журналы и т. д.).
  • Реализовать маскирование IP, чтобы избежать показа внутренних адресов в Интернете. Это предусматривает трансляцию портовых адресов (PAT) или сетевых адресов (NAT).

Требование № 2: Изменение выставленных по умолчанию производителем системных паролей и других параметров безопасности. Указывается необходимость изменения стандартных значений параметров безопасности. Некоторые из более сложных требований включают:

  • использование большого числа серверов, чтобы каждый сервер выполнял только одну первичную функцию;
  • определение и отключение неиспользуемых/ненужных портов и служб;
  • шифрование всего неконсольного административного доступа используя SSH, SSL-VPNs и другие средства.

Решения Novell для PCI-DSS включают большинство технических аспектов из разделов №1 и №2. Они обеспечивают возможность интеграции друг с другом, а также с брандмауэрами партнера, что снижает нагрузку на ИТ-персонал и минимизирует человеческие ошибки в координации и коммуникации. В таблице 1 показано, как продукты Novell соответствуют требованиям PCI-DSS.

Контрольная цель № 2.
Защита данных держателей карт

На случай, если хакер (извне) или же сотрудник компании (изнутри) получит неавторизованный доступ к системам, должна обеспечиваться безопасность информации владельца карточки за счет шифрования, автоматического удаления и ограничения доступа на уровне приложения. Напомним еще раз, что системы управления идентификацией играют ключевую роль. Без управления идентификацией, такие возможности, как автоматическое удаление и ограничение доступа становятся чрезвычайно сложными и дорогими.

PCI-DSS также требует, чтобы ритейлеры защищали данные владельца карточки, которые находятся в их системах, включая данные, которые передаются как в эти системы, так и из этих систем. В новостях часто сообщают о похищении незащищенных данных владельцев карточек хакерами, непорядочными или даже просто невнимательными сотрудниками. Во избежание подобного вида краж необходимо, чтобы незашифрованные данные владельца карточки никогда не хранились в течение длительного периода времени (если вообще сохранялись) и оставались защищенными в момент сохранения или передачи.

Тем не менее, шифрование является обязательным условием, управление безопасностью ключей шифрования – важной составляющей. Она предусматривает введение строгого контроля доступа к данным, который основывается на развитом управлении идентификацией. Вы должны быть в состоянии определить, кто получает доступ к данным, до того как сможете проконтролировать, кто имеет, и кто не имеет подобный доступ.

Шифрование дисков, файловых систем и передачи данных входят во многие из рекомендаций PCI-DSS, и это не то, что может быть пущено на самотек. Важно сделать шифрование родной частью вашей инфраструктуры. Это означает, что ваша инфраструктура должна поддерживать шифрование и использовать его по умолчанию для таких операций, как сетевой доступ к системе данных владельца карточки.

Требование № 3: Защита сохраняемых данных держателей карт. Данное требование указывает на то, что хранение данных владельца карточки должно быть сведено к минимуму и что данные владельца карточки должны быть зашифрованы при каждом сохранении. Подробные требования включают:

  • Введение контроля над политиками использования и хранения данных.
  • Маскирование данных, фильтрацию и одностороннее шифрование.
  • Управление ключами шифрования.

Требование № 4: Зашифрованная передача данных держателей карт по открытым, публичным сетям. Хотя стандарт PCI-DSS подчеркивает, что данные владельца карточки должны быть зашифрованы при передаче через публичные сети, Novell рекомендует шифровать подобную информацию в ходе всей передачи по сети – даже если она проходит под защитой брандмауэра. Требование PCI-DSS № 4 включает подробные указания для криптографии нижнего уровня и запрещает использование электронной почты для передачи каких-либо данных владельца карточки.

Решения Novell предлагают широкий спектр средств сложного шифрования и возможностей по защите данных, которые относятся непосредственно к требованиям PCI-DSS. Они начинаются с возможности шифрования, встроенной в ядро операционной системы SUSE Linux и дополняются другими решениями Novell по защите данных, такими как Novell Linux POS, Novell Access Manager и Novell AppArmor. В таблице 2 показано, как данные продукты соответствуют требованиям PCI-DSS.

Контрольная цель № 3.
Поддержка управления уязвимостями

Безопасность операционной системы и приложений может иметь ключевое значение для всей безопасности данных владельца карточки. Организованные преступные синдикаты часто используют создателей вирусов для разработки средств считывания информации о владельце карточки. И, конечно же, некачественные самописные приложения могут создать опасность для данных владельца. PCI-DSS требует от ритейлеров принимать активные меры во избежание подобных угроз для программного обеспечения.

Данные требования создают два вида сложностей для отделов ИТ. Первая сложность состоит в постоянной борьбе за систему без вирусов и взломов, обе эти задачи должны решаться одним и тем же инструментом или утилитой. Вторая сложность состоит в том, чтобы внедрить систему управления, которая позволит разработчикам, тестерам и администраторам иметь изолированный управляемый доступ к системам и обеспечить аудируемые и наблюдаемые разработку, тестирование и внедрение вновь разработанного программного кода.

Требование № 5: Использование и регулярное обновление антивирусного ПО. В требовании № 5 PCI-DSS говорится об использовании антивирусных утилит для защиты, изоляции и исправлении программного обеспечения при вирусных атаках. Хорошо, что современное антивирусное программное обеспечение является доступным. Но также важно интегрировать данные о защите от вирусов в отчеты и системы оповещения. Подробные требования для раздела № 5 PCI-DSS включают:

  • использование антивирусного программного обеспечения для всех систем, подверженных заражению;
  • обеспечение корректной работы данных систем и каталогизацию их ответов;
  • постоянное обновление антивирусных механизмов.

Требование № 6: Разработка и поддержка безопасных систем и приложений. PCI-DSS признает, что неправильное использование данных сотрудниками является проблематичным в той же мере, что и атака извне и рекомендует обезопасить развитие, использование и процессы тестирования программного обеспечения. Подробные требования для раздела № 6 PCI-DSS включают:

  • поддержка обновления систем;
  • определение новых угроз для системы безопасности;
  • использование лучших решений и руководств по безопасности при развитии системы.
  • документирование и строгие процедуры в управлении изменениями.

Решения Novell для требований № 5 и № 6 приведены в таблице 3.

Продолжение в ДИС №1 2008

2007.12.20
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".