Игорь Легкодимов
Директор и основатель Сейфбейз Секьюрити и UnionFlame
Если вы сейчас захотите внепланово пройти PCI DSS аудит, то окажетесь в ситуации автолюбителя осенью, когда выпал первый снег, а он все еще на летней резине. У большинства аудиторов работы расписаны минимум на два месяца вперед, до конца марта, — пока еще можно пройти аудит по привычной версии стандарта PCI DSS 3.2.1, которая действует с мая 2018 года. С тех времен, когда мир еще не знал, что такое Covid-19, массовая удаленная работа и что оккупанты решатся на полномасштабное вторжение. Но за данный период эта версия стандарта PCI DSS морально устарела и требовала существенных и качественных обновлений.
На данный момент действуют обе версии стандарта — и 3.2.1 и 4.0, а вот с 1 апреля аудит PCI DSS можно пройти только по версии PCI DSS стандарта 4.0, поэтому многие торопятся и хотят сделать это раньше необходимого срока ре-сертификации, чтобы иметь в запасе год на внедрение дополнительных требований.
Но не все изменения требований «одинаково пугающие», в новую версию стандарта PCI DSS вносятся три типа изменений.
Часть из них касается изменения структуры стандарта, его формата и пунктов, включая пересмотренную нумерацию требований, изменения в разделении или группировке требований для лучшего представления информации. Изменения в структуре направлены на упрощение навигации по стандарту, улучшение логической последовательности и облегчение процесса его реализации и аудита.
Вторая часть изменений — это разъясняющие требования, которые направлены на улучшение понимания и ясности существующих требований стандарта. Разъясняющие изменения помогают устранить двусмысленность и обеспечивают более однозначное понимание того, какие действия необходимо предпринять для соответствия стандарту, а также минимизируют избыточность между требованиями стандарта и процедурами проверки.
И наконец, самая важная часть изменений — это дополняющие изменения, которые включают в себя введение новых требований или усиление существующих в ответ на развитие технологий и изменения ландшафта угроз, с которыми сталкиваются организации, которые работают с карточными данными. Они могут адресовать новые или ранее недостаточно освещенные аспекты безопасности, такие как расширенное использование шифрования, улучшенные методы аутентификации или меры противодействия новым видам атак.
Пожалуй, одно из самых существенных и фундаментальных изменений в версии стандарта PCI DSS 4.0 — это добавление индивидуального подхода (customized approach) к выполнению компаниями требований стандарта PCI DSS. Ранее все требования должны были выполняться по единому для всех компаний подходу (defined approach), «так как гласит стандарт». И иногда QSA аудиторы сталкивались с ситуацией, когда «вроде бы клиент сделал все правильно, но не по стандарту, а значит это не может быть принято. Надо переделывать».
А индивидуальный подход предлагает более гибкие варианты к выполнению требований PCI DSS стандарта. Компания может самостоятельно выбирать средства и методы достижения соответствия требованиям стандарта PCI DSS. А аудитор должен убедиться, что данное выполнение требований достигает самой цели по защите карточных данных, указанных в конкретном требовании; проверяет полноту анализа рисков и методов предварительных проверок по каждому такому случаю, чтобы удостовериться в эффективности принятых мер.
Интересное по теме: Как будет развиваться банковский сектор: приоритеты, риски и ожидания
Конечно, нельзя придумать уникальный способ для ряда требований стандарта, которые касаются шифрования критичных данных, или запрета на хранение критичных аутентификационных данных после авторизации транзакции, или, например, при проведении регулярных внешних ASV-сканирований. Но в целом новый стандарт предоставляет большую гибкость и свободу в выборе решений по внедрению исправлений несоответствий с требованиями стандарта PCI DSS.
Новые требования в стандарте PCI DSS версии 4.0 можно разделить на технические и организационные.
Стандарт PCI DSS версии 4.0 вносит ряд изменений и уточнений, касающихся оборудования и сетевой инфраструктуры, с целью усиления защиты данных держателей карт. Вот некоторые из ключевых изменений, связанных с оборудованием и сетями.
Более строгая сегментация сети
PCI DSS 4.0 уделяет больше внимания необходимости сегментации сети для ограничения доступа к данным держателей карт. Сегментация должна быть выполнена таким образом, чтобы системы, которые не обрабатывают, не хранят и не передают данные держателей карт, были физически или логически отделены от тех, которые это делают. И правила сегментации должны пересматриваться не реже 1 раза в год.
Более строгие требования к шифрованию
Обновленные требования к шифрованию включают использование устойчивых ко взлому криптографических стандартов для защиты данных держателей карт при передаче через открытые, общедоступные сети. Запрещено использовать одинаковые криптографические ключи для шифрования карточных данных в тестовых и продакшн средах.
Обновления в управлении уязвимостями
Версия 4.0 подчеркивает важность регулярного сканирования и тестирования на уязвимости, чтобы быть уверенным, что все системы и приложения защищены от известных угроз. Введены более детализированные требования к процессам управления уязвимостями, включая разработку и реализацию процессов для быстрого устранения обнаруженных уязвимостей.
Улучшенное управление конфигурацией
Требования к стандартным конфигурациям устройств и систем усилены, чтобы минимизировать риски, связанные с неправильной настройкой. Организации должны регулярно проверять и обновлять конфигурации, чтобы обеспечить соответствие стандартам безопасности.
Читайте популярное: 15 ведущих украинских платежных компаний — обзор
Расширенные требования к обнаружению и предотвращению вторжений и защите от вредоносного ПО
Введение обновленных требований к системам обнаружения и предотвращения вторжений (IDS/IPS), обеспечивающих мониторинг и защиту сетевой инфраструктуры от атак. А на всех публично доступных web-приложениях необходимо внедрить Web Application Firewall (WAF) как обязательное средство защиты.
Даже само понятие как антивирус, которое в предыдущей версии стандарта был вынесен в заголовок 5 раздела стандарта, в новой версии стандарта заменено на более широкое значение «защита от вредоносного ПО» («anti-malware») для поддержки более широкого спектра технологий, используемых для достижения целей безопасности, традиционно решаемых антивирусным программным обеспечением.
При этом и область применения антивируса расширилась и стала обязательным для выявления вирусов и наличия вредоносного по на съемных носителях, которые используются для работы с карточными данными.
Безопасное управление сетевыми устройствами
Повышены требования к безопасности управления сетевыми устройствами, включая маршрутизаторы, коммутаторы и межсетевые экраны, с акцентом на использование безопасных методов аутентификации и шифрованного доступа.
Примечательно, что первый раздел стандарта, который ранее назывался «Install and maintain a firewall configuration to protect cardholder data» в новой версии изменил название на «Install and Maintain Network Security Controls», что делает более широкие акценты на всех компонентах системы и расширяет скоуп применения стандарта. И все изменения в конфигурациях средств контроля сетевой безопасности (Network Security Controls — NSC) должны проходить по процедуре управления изменениями и пересматриваться раз в полгода.
Конечно, для многих компаний, для которых информационная безопасность и соблюдение стандартов безопасности является важной, хоть и рутинной работой, многие требования не новы и уже внедрены. Но и для многих компаний эти изменения требуют тщательного пересмотра и, возможно, модернизации их сетевой инфраструктуры и оборудования для обеспечения соответствия повышенным стандартам безопасности данных. Основная цель заключается в минимизации рисков утечки данных и обеспечении защиты данных держателей карт на всех этапах обработки, передачи и хранения.
Вторая часть изменений, на которые стандарт PCI DSS обращает внимание, касается организационной культуры и процессов работы сотрудников, и работы с клиентами.
Интересное по теме: Как женщины развивают свой бизнес в Украине: аналитический обзор и примеры стартапов
Повышение осведомленности о безопасности среди сотрудников
Версия 4.0 подчеркивает важность регулярного обучения всех сотрудников вопросам безопасности данных и PCI DSS, и в эту программу теперь требуется добавить материалы по противодействию фишинговым атакам и социальной инженерии, и регулярно, минимум раз в год пересматривать и обновлять. Требуется обеспечить, чтобы сотрудники понимали свои обязанности в области защиты данных и были осведомлены о возможных последствиях инцидентов, связанных с безопасностью.
Управление идентификацией и доступом
Улучшенные требования к управлению доступом подразумевают строгую политику идентификации, аутентификации и контроля доступа сотрудников к системам и данным. Это включает в себя многофакторную аутентификацию для доступа к чувствительным системам и данным.
Ролевая модель доступа и принцип наименьших привилегий
Стандарт требует от организаций применять ролевую модель доступа и принцип наименьших привилегий, чтобы сотрудники имели доступ только к тем данным и системам, которые необходимы для выполнения их работы.
Ответственность за управление данными платежных карт
Введение четких правил и процедур, касающихся обработки и защиты данных платежных карт, требуя от сотрудников соблюдения этих правил в своей повседневной деятельности.
Компании необходимо распределить ответственность и обязанности за выполнение требований каждого раздела стандарта PCI DSS версии 4.0 путем создания матрицы ответственности (RACI matrix that includes who is responsible, accountable, consulted, and informed).
А в повседневной работе акцент делается на запрете копирования, вставки и сохранения данных платежных карт при удаленном доступе для всех работников за исключением тех, кому такой доступ согласован и необходим для выполнения должностных обязанностей.
Читайте также: Что ждет банковский сектор: технологические изменения и противостояние киберугрозам
Процессы реагирования на инциденты и коммуникация с клиентами
Разработка и внедрение четких процессов реагирования на инциденты безопасности, включая требования к уведомлению и обучению сотрудников действиям в случае обнаружения угрозы безопасности.
Эти требования не только в отношении сотрудников организации, которая проходит аудит PCI DSS, а также и в отношениях между организациями, сервис-провайдерами и мерчантами — необходимо оповещать своих клиентов об инцидентах информационной безопасности и идентифицированных уязвимостях.
Также открытость должна соблюдаться и в отношениях с клиентами: по запросу своих клиентов о статусе соответствия PCI DSS, сервис-провайдер должен предоставить данную информацию с указанием кто за какие требования несет ответственность: за какие требования отвечает сервис-провайдер, а за какие — клиенты-мерчанты.
Политики ИБ и их поддержание
Регулярный пересмотр и обновление политики безопасности, включая требования к сотрудникам по соблюдению этой политики и проведение аудитов для проверки соответствия. Добавились требования регулярного пересмотра и актуализации документации, описывающую область применимости PCI DSS, и не раз в год (перед приходом аудитора), а каждые 6 месяцев.
Эти изменения требуют от организаций не только пересмотра и обновления своих технических и процедурных контрольных мер, но и культурных поведенческих изменений в отношении безопасности данных среди сотрудников, включая обучение, осведомленность и каждодневные аспекты работы.
NB: Конечно, в конце важно сообщать и хорошие новости и это то, что хоть стандарт и вступает в силу с 31 марта 2024, большинство перечисленных требований становятся обязательными с 31 марта 2025 года. Так что еще есть время подготовиться и обезопасить свои ресурсы и данные своих клиентов.
Ознакомьтесь с другими популярными материалами:
Украинские венчурные фонды: кто может получить инвестиции в идею
Как украинским предприятиям получить грант на развитие собственного дела — интервью с EU4Business