Какво е PCI DSS стандарт: дефиниция и изисквания

PCI DSS (Payment Card Industry Data Security Standard) е стандарт за сигурност, предвиден борбата срещу нарастващите заплахи в дигиталното пространство. 

Той действа качествена и многослойна защита на платежните методи на водещите картови доставчици.

Тази статия ти предоставя отговори на всички релевантни въпроси по темата:

• Какво точно представлява т.нар. PCI DSS стандарт?
• Какви са причините да се използва за предпазването на финансовите средства на потребителите онлайн?
• Какви принципи и изисквания стоят зад начина, по който се определя и функционира този метод за сигурност?
• Как е възможно един сайт или доставчик да се сертифицира за PCI DSS?
• Какъв е смисълът от провеждане на профилактични одити и тестове за съответствие със стандарта за защита на плащанията с карти?
• Кои са някои подходи, които се окуражават за безопасното пребиваване онлайн, когато става дума за финансови данни, защитени от този стандарт?

С цел удобство при търсене на информацията в официалната документация на PCI DSS в статията са предоставени и оригиналните изисквания, принципи и термини, както са на английски език. 

Да започваме!

Дефиниция и обхват на PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS е международен стандарт за сигурност, който се фокусира върху защитата на данните при провеждане на плащания с кредитни и дебитни карти. Произношението на абревиатурата PCI DSS е пи-си-ай ди-ес-ес, а пълното название на стандарта родом от английски е Payment Card Industry Data Security Standard.

Разработката на този стандарт се налага от организациите-лидери, чийто бизнес се върти около транзакциите с карти, поради нуждата от безопасност при прехвърлянето на пари по дигитален път и защита против изтичане на данни. 

Групата, отговорна за регулирането и развитието на стандарта, се нарича PCI Security Standards Council (PCI SSC; пи-си-ай ес-ес-си) или Съвет на PCI DSS. 

В нейния изпълнителния комитет влизат 6 фирми:

• Visa;
• MasterCard;
• American Express;
• Discover Financial Services;
• UnionPay;
• JCB International. 

Те съглеждат изпълнението на 15 различни стандарта с фокус върху защитата при плащанията, приложими в зависимост от картовите доставчици, търговците и др. 

Към момента има над 700 организации от над 60 държави, участващи в Съвета с цел подобряване на на PCI стандартите за сигурност чрез предложения и разработка на нови стандарти.

Освен тях се изисква съответствие (англ. PCI DSS compliance) от всички други предприятия, които обработват, съхраняват или предават данни на картоносители, както и от организации с влияние върху сигурността на съответните данни.

Водещите компании за дебитни и кредитни карти първоначално съставят свои собствени програми за сигурност, като те са както следва: 

• Visa’s Cardholder Information Security Program;
• Mastercard’s Site Data Protection;
• American Express’s Data Security Operating Policy;
• Discover’s Information Security and Compliance;
• JCB’s Data Security Program.

Всички тези програми имат еднакво предназначение – да подсигурят допълнително ниво на защита за издателите на карти, като поставят стандарт за минимална защита за търговците, които съхраняват, обработват и прехвърлят данните на картодържателя. 

За унифицирането на усилията и разрешаването на отделните затруднения, възникнали със съществуващите стандарти, в края на 2004 г. се въвежда версия 1.0 на PCI DSS.

През следващите няколко години се наблюдават обновления и ревизии в стандарта, засягащи промените в рисковете и заплахите, както и документацията около тази технология. През 2010 г. се въвежда версия 2.0, последвана от версия 3.0 през 2013 г. и версия 4.0 през март 2022 г. 

Най-новата версия е с обновена мрежова защита за поддръжка на повече технологии, които покриват изискванията на защитните стени, въвежда многофакторно удостоверяване (англ. multi-factor authentication; MFA; 2FA), добавя функционалности за демонстрация на защитните процеси и по-прецизен контрол на рисковите анализи според нуждите на отделните бизнеси.

Защо е необходим PCI DSS: рискове и заплахи

Необходимостта от стандарт, който да предпазва картодържателите в интернет, се налага с разпространяването на онлайн транзакциите като метод за плащане в края на XX в. Днес повечето от нас редовно правят покупки чрез своите телефони и компютри – до голяма степен благодарение на подобни мерки за сигурност като PCI DSS.

Рисковите ситуации около транзакциите онлайн са безброй и те могат да доведат не само до изтичане на данни, но и до банкрутиране на компанията. 

Дори “гигантите” могат да пострадат. Така стана с веригата магазини Target през 2013-2014 г., когато бе установен пробив, довел до изтичането на информацията на над 32 милиона потребители. Липсата на подходяща защита коства на компанията над 160 милиона щатски долара (по-долу щд) в първите месеци и още повече в съдебни процеси през последвалите години.

За много предприятия изтичането на данни може да е достатъчно да ги погуби като бизнеси. Причините са пораженията върху фирмената репутация, сумите за покриване на причинените щети и допълнителните наказания, отредени след финалното отсъждане на законовите органи. Наличието на капитал и приходи бе причината Таргет да се справи с тази криза.

Разходите в подобни ситуации могат да са големи. 

По сметки на Security Metrics те могат да са в рамките на 77 и 875 хил. щд и да включват: 

• Глоба за компрометиране на търговския процесор: 5 000 – 50 000 щд;
• Такси за компрометиране на марката на картата: 5 000 – 500 000 щд;
• Съдебно разследване: 12 000 – 100 000 щд;
• Оценки на място от QSA (Qualified Security Assessor; бълг. квалифициран оценител на сигурността) след нарушението: 20 000 – 100 000 щд;
• Безплатен кредитен мониторинг за засегнатите лица: 10 – 30 щд/карта;
• Наказания за повторно издаване на карта: 3 – 10 щд/карта;
• Актуализации на сигурността: 15,000+ щд;
• Хонорари на адвокати: над 5 000 щд;
• Разходи за уведомяване за нарушение: 1,000+ щд;
• Ремонт на технологии: 2 000+ щд;
• Загуба на доверието на клиентите: потенциална загуба на ок. 40% от клиентите;
• Разходи за съдебно разследване: 10 000 – 100 000 щд.

Основни принципи и изисквания на PCI DSS

Изискванията на PCI DSS могат да се разбият на 6 групи от принципи, наричани управленчески цели (control objectives). 

Групирането на изискванията се променя с всяка версия на стандарта, но самите те не се променят по бройка (12) и съдържание.

Всеки принцип има подточки, като могат да се наблюдават три секции, по които те се съставят и разграничават: 

• Изисквания на PCI DSS: Определя се изискването, а заверката на PCI DSS се извършва, когато то е изпълнено.
  
• Тестване: Процесите и методологиите, извършвани от оценителя за потвърждаване на правилната имплементация.
  
• Ръководство: Обяснява целта на изискването и съответното съдържание, което може да подпомогне правилното му определяне.

Шестте принципа и дванадесетте изисквания в превод и оригинал са:

Изграждане и поддържане на сигурна мрежа и системи (Build and maintain a secure network and systems)

1. Инсталирай и поддържай защитна стена за защита данните на картодържателите (Install and maintain a firewall system to protect cardholder data)
   
2. Избягвай настройките по подразбиране за системни пароли и други параметри за сигурност, предоставени от доставчика (Avoid vendor-supplied defaults for system passwords and other security parameters)

Защита на данните на картодържателите (Protect cardholder data)

3. Защитавай съхраняваните данни на картодържателите (Protect stored cardholder data)
   
4. Криптирай предаването на данни на картодържателите в отворени, публични мрежи (Encrypt transmission of cardholder data on open, public networks)
   

Поддържане на програма за управление на уязвимостите (Maintain a vulnerability management program)

5. Защитавай всички системи от зловреден софтуер и актуализирай антивирусния софтуер или програми (Protect all systems against malware, and update anti-virus software or programs)
   
6. Разработвай и поддържай защитени системи и приложения (Develop and maintain secure systems and applications)

Прилагане на строги мерки за контрол на достъпа (Implement strong access-control measures)

7. Ограничавай достъпа до данните на картодържателите само до бизнес представителите, които се нуждаят от него (Restrict access to cardholder data by business need-to-know)
   
8. Идентифицирай и удостоверявай достъпа до системните компоненти (Identify and authenticate access to system components)
   
9. Ограничавай физическия достъп до данните на картодържателите (Restrict physical access to cardholder data)

Редовно наблюдение и тестване на мрежите (Regularly monitor and test networks)

10. Проследявай и наблюдавай достъпа до мрежови ресурси и данни на картодържатели (Track and monitor access to network resources and cardholder data)
    
11. Редовно тествай системите и процесите за сигурност (Regularly test security systems and processes)
    

Поддържане на политика за информационна сигурност (Maintain an information security policy)

12. Поддържай политика за информационна сигурност, която се отнася до целия персонал (Maintain an information security policy which addresses information security for all personnel)

Процес на сертификация и съответствие

За да се възползва от предимствата на PCI DSS технологията една организация, обработваща плащания с дебитни и кредитни карти, тя трябва да премине през процес на сертификация. По този начин се потвърждава нейното съответствие с изискванията на стандарта и се поставя оценка за сигурността ѝ.

Но преди да изясним процеса по сертифициране – кой въобще трябва да е в съответствие с PCI? Краткият отговор е: всички търговци и доставчици на услуги и продукти онлайн, за които може да се плати с карта.

• Търговци (merchants) са всички организации, които приемат плащания с кредитни или дебитни карти за своите услуги и продукти; в това число и онези, които разчитат на трети лица за обработването на транзакциите.
  
• Доставчици на услуги (service providers) са бизнесите, които директно се занимават с обработката, съхранението и прехвърлянето на данни на картодържатели от името на друга организация.

Сертификацията за PCI преминава през няколко стъпки за установяване и поддържане на съответствието със стандарта в дългосрочен план.

Стъпка 1: Установи какви са изискванията за твоята организация

Има общо 4 нива на съответствие с PCI според броя на транзакциите.

• Ниво 1 са организации, които:
  • Обработват над 6 милиона транзакции годишно с Visa/MasterCard или над 2.5 милиона транзакции с American Express;
  • Са имали случай на изтичане на данни;
  • Се считат за организации от първо ниво според условията на който и да е издател на карти като Visa, Mastercard и т.н.
    
• Ниво 2 са организации, обработващи между 1 и 6 милиона транзакции годишно.
  
• Ниво 3 са организации, които:
  • Обработват между 20 000 и 1 мил. транзакции годишно;
  • Всички e-commerce търговци.
    
• Ниво 4 са организации, обработващи по-малко от 20 000 транзакции годишно.

Изискванията според съответните нива се различават. 

За ниво 1 те са: 

• Годишен доклад за съответствието (Annual Report on Compliance; ROC) – наричан и Level 1 on-site assessment – съставен от QSA или вътрешен одитор на фирмата; 
• Мрежово сканиране за тримесечието (quarterly network scan) от одобрен оператор (Approved Scan Vendor; ASV);
• Атестация за съответствие (Attestation of Compliance; AOC).

За нива 2-4 изискванията са:

• Годишна себеоценка чрез PCI DSS въпросник (Self-Assessment Questionnaire; SAQ) – един от деветте вида: A, A-EP, B, B-IP, C-VT, C, P2PE, D;
• Мрежово сканиране за тримесечието от одобрен оператор;
• Атестация за съответствие според вида SAQ.

Стъпка 2: Направи списък с местата, през които преминават данните

Преди да тръгнеш да предпазваш данните на картодържателите, първо се налага да знаеш по какъв начин ще се осъществяват плащанията – чрез онлайн количка за пазаруване, физически плащания на терминал или поръчки през телефона.

След като установиш това, е важно да потвърдиш с IT екипа си или техническо лице през какви точки минават данните, къде биват съхранявани и кой има достъп до тях. Накрая остава да идентифицираш вътрешните системи или технологиите, които боравят с тези данни като мрежи, бази данни и облачни пространства.

Стъпка 3: Провери настройките и протоколите си за сигурност

Щом си наясно през какви места е възможно да минат данните, следва да предприемеш нужните мерки, за да знаеш, че текущите ти протоколи (пр. TLS) и настройки за сигурност са достатъчно устойчиви. Повечето изисквания тук са подобни на тези, срещани в Общия регламент за защита на личните данни (GDPR).

Стъпка 4: Следи и поддържай нивото на съответствие

Съответствието с PCI не е еднократен процес, а такъв, който изисква поддръжка. 

Според това с кои доставчици работиш изискванията може да са различни, като понякога това включва предаване на тримесечни или шестмесечни доклади.

Регулярни одити и тестове за съответствие

Честите одити и тестове за съответствие позволяват да поддържаш транзакциите с дебитни и кредитни карти. 

За цялостната поддръжка се изисква взаимна работа между отделите на предприятието, тъй като процесът засяга различни аспекти от бизнеса. Препоръчително е да има екип от отговорници, които да се занимават с това периодично, когато се налага.

В такъв екип биха се включили следните представители:

• Сигурност. Екипите на Chief Security Officer (CSO) и Chief Information Security Officer (CISO) се грижат за това всички инвестиции в мерки за сигурност и защита да са добре обосновани.
  
• Плащания. Тук Chief Technology Officer (CTO) и екипът му изпълняват функции за подбиране и интегриране на подходящи инструменти за инфраструктурата на организацията.
  
• Финанси. Плащанията и местата, през които те минават, се наблюдават от екипа на Chief Financial Officer (CFO).
  
• Юрисдикция. Правният екип се занимава с легалните аспекти на съответствието с PCI DSS.

Съвети и добри практики

Ефективността е топ приоритет в повечето предприятия. Това не е изключение, когато става дума за съответствието с PCI DSS. 

Препоръчително е да вземеш предвид възможности, за да направиш по-лесна поддръжката:

• Съхранявай единствено данни на картодържателите, които са нужни, за да се изпълняват дейностите на предприятието.
  
• Създай и следвай метрики за проследяване на съответствието с PCI.
  
• Добави допълнителен защитен слой, който да е разработен специално за нуждите на предприятието ти.
  
• Задай процеси за откриване на и действие при нарушения на сигурността или изтичане на данни.
  
• Отдели ресурси за следене на и подобряване сигурността против заплахите в киберпространството.

Защитата на потребителската информация винаги трябва да е на първо място, за да бъде един бизнес смятан за надежден. Стандартът PCI DSS е един от методите това да стане, когато се отнася до покупките, извършени с кредитни или дебитни карти.

Източници

1. Съвет на PCI стандарти за сигурност – https://www.pcisecuritystandards.org 
2. Течът на данни от Target – https://www.infosecurity-magazine.com/news/target-breach-costs-could-total-1bn/ 
3. Насоки за оценка на риска на PCI DSS – https://listings.pcisecuritystandards.org/documents/PCI_DSS_Risk_Assmt_Guidelines_v1.pdf 
4. PCI DSS v4.x: Ръководство за целеви анализ на риска – https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Supporting%20Document/PCI_DSS_V4.x_TRA_Guidance.pdf 
5. Значението на PCI DSS – https://www.securitymetrics.com/blog/importance-pci-dss-why-you-should-get-compliant 
6. Кратко справочно ръководство за PCI DSS – https://www.pcisecuritystandards.org/documents/PCI_DSS-QRG-v3_2_1.pdf?agreement=true 
7. Стандарти за сигурност на индустрията за платежни карти – https://listings.pcisecuritystandards.org/documents/PCI_SSC_Overview.pdf