PCI DSS : защита данных карт

Министерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования «Российский экономический университет им. Г.В. Плеханова» Московский промышленно – экономический колледж Подготовила: Бушуенкова Елена БД24 Преподаватель: Кузнецова О.А. PCI DSS : защита данных карт Стандарт безопасности для обработки платёжных данных

ЧТО ТАКОЕ PCI DSS PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных, разработанный для защиты информации о платёжных картах. Создан: организацией PCI, учреждённой крупнейшими платёжными системами (Visa, MasterCard, American Express, Discover и др.). Цель: предотвратить кражу и утечку данных держателей карт (номер карты, срок действия, CVC2/CVV2, имя держателя).

КОГО КАСАЕТСЯ ЭТОТ СТАНДАРТ Стандарт обязателен для любой организации, которая хранит данные карт, обрабатывает транзакции, передает данные платежных карт: розничных магазинов, принимающих карточные платежи; онлайн-магазинов, обрабатывающих платежи онлайн; финансовых учреждений (банки, процессинговые центры); торговых точек и терминалов с карточными платежами; сервисов обработки платежей (платёжные шлюзы); третьих сторон, обрабатывающих данные по поручению.

Уровни соответствия PCI DSS Стандарт разделён на 4 уровня (в зависимости от объёма транзакций в год): Уровень 1: > 6 млн транзакций — требуется внешний аудит QSA и отчёт в PCI. Уровень 2: 1–6 млн транзакций — внешний аудит или заполнение опросного листа (SAQ). Уровень 3: 20 000 – 1 млн транзакций — заполнение SAQ + внутренние тесты безопасности. Уровень 4: < 20 000 транзакций — заполнение SAQ + базовые требования безопасности.

12 основных требований PCI DSS Создание и поддержка безопасной сети. Защита данных держателей карт. Поддержание ПО и систем в безопасности. Мониторинг и тестирование сетей. Поддержание политики безопасности. Использование безопасных паролей и настроек. Ограничение доступа к данным. Физическая защита серверов и данных. Управление уязвимостями ПО. Ведение журналов безопасности. Тестирование на проникновение. Обучение персонала.

КЛЮЧЕВЫЕ МЕТОДЫ ТЕХНИЧЕСКОЙ ЗАЩИТЫ Направлены на обеспечение безопасности сети, защиту данных держателей карт, управление уязвимостями и контроль доступа. Стандарт обязателен для всех организаций, которые хранят, обрабатывают или передают данные карт, включая торгово-сервисные предприятия, сервис-провайдеров, процессинговые центры, банки и финансовые организации

СЕТЬ Установка и поддержание надёжных межсетевых экранов (фаерволов). Они фильтруют трафик и сегментируют участки сети, где обрабатываются данные карт. Некоторые требования: документирование схем сетевых соединений; фильтрация входящего и исходящего трафика; правило deny-by-default. Запрет использования стандартных паролей и параметров безопасности. Стандарт требует заменять все предустановленные логины и пароли, отключать ненужные службы, применять безопасные конфигурации. Сегментация сети. Например, использование внутренних межсетевых экранов или маршрутизаторов с надёжным списком контроля доступа, которые ограничивают доступ к определённым сегментам сети.

ДАННЫЕ Шифрование данных при их хранении. PAN (Primary Account Number) должен защищаться алгоритмами не слабее AES-128, а критичные данные, такие как CVV2 или PIN-блоки, не могут храниться после авторизации. Ключевые меры: криптографическая защита PAN, токенизация, маскирование данных при отображении, надёжное управление криптографическими ключами, регулярные проверки отсутствия запрещённых данных. Шифрование передачи данных через открытые сети. Данные карт, передающиеся между системами, должны быть защищены современными протоколами криптографии. Необходимые меры: корректная конфигурация протоколов, отказ от слабых протоколов шифрования, защита API, предотвращение downgrade-атак, проверка сертификатов. Защита от вредоносного ПО. PCI DSS требует использовать антивирусные решения, автоматически обновлять сигнатуры, контролировать журналы работы, предотвращать отключение механизмов защиты.

УЯЗВИМОСТИ Регулярное тестирование систем на уязвимости. Включает внешние и внутренние аудиты безопасности. Устранение выявленных уязвимостей в IT-инфраструктуре согласно уровню критичности. После ликвидации слабых мест безопасности проводятся повторные сканирования уязвимостей. Использование IDS/IPS-систем для обнаружения скрытых каналов передачи вредоносного программного обеспечения. Ежегодно проводить инвентаризацию физического оборудования и ПО, которые подпадают под требования PCI DSS. Регулярно актуализировать документацию, которая описывает области применимости стандарта.

ДОСТУП Ограничение доступа к критическим системам и данным только уполномоченным сотрудникам. Использование многофакторной аутентификации (MFA) для входа в важные части инфраструктуры. В версии PCI DSS 4.0 MFA стала обязательной для всех административных и удалённых пользователей. Контроль физического доступа к серверам и другим устройствам с данными. Например, организации обязаны защищать серверные и ЦОДы, фиксировать доступ сотрудников и подрядчиков, применять видеонаблюдение, контролировать доступ к POS-терминалам. Ведение логов всех операций, связанных с данными карт, чтобы быстро выявлять и расследовать возможные нарушения.

НОВЫЕ ТРЕБОВАНИЯ В СТАНДАРТЕ : PCI DSS 4.0 Усиление требований к аутентификации. Многофакторная аутентификация (MFA) стала обязательной для всех видов доступа к среде обработки данных карт (CDE) — административного, удалённого и внутреннего. Введён акцент на защиту от фишинга и поддержку новых методов аутентификации, таких как Passkeys и FIDO. Увеличение минимальной длины паролей — до 12 символов (или 8, если система не поддерживает 12). Есть рекомендации по смене пароля и условиям для этого, особенно если пароль — единственный фактор аутентификации. Расширение и детализация требований по защите сетей и данных. Уточнены и расширены контрольные меры по разделению доверенных и недоверенных сетей, усилены требования к шифрованию данных и криптографической инфраструктуре. Появление понятия «технологический провайдер» (Third-Party service providers). К этой группе относятся технологические компании, не вовлечённые в непосредственную обработку данных платёжных карт, но способные на неё повлиять (например, дата-центры, облачные провайдеры). Для таких организаций и их процессов введены специализированные требования по защите. Обязательное назначение ответственного за процесс обеспечения защищённости. Назначается сотрудник или подразделение, которое проверяет процесс в целом, а также развивает и корректирует его при необходимости.

ПОСЛЕДСТВИЯ НЕСОБЛЮДЕНИЯ СТАНДАРТА Штрафы: Со стороны платежных систем. Репутационные потери: Потеря доверия клиентов. Ограничения: Отключение от возможности принимать платежи по картам. Убытки: Расходы на расследование инцидентов и компенсации

ЗАКЛЮЧЕНИЕ PCI DSS — это не «разовая акция», а непрерывный процесс обеспечения безопасности. Безопасность данных — это основа доверия в цифровой экономике.