Безопасность банковских карт

Введение.

 

Данная аналитическая  записка содержит обзор требований по защите информации международных  платежных систем :

• China UnionPay
• MasterCard
• Visa International
• Diners Club

Все вышеперечисленные платежные  системы соответствуют стандарту  по защите информации карточных данных-PCI-DSS.

PCI-DSS (Payment Card Industry Data Security Standard) представляет собой требования по защите информации, разработанные и принятые в январе 2005 года международными платежными системами Visa и MasterCard. Данный стандарт поддерживают другие платежные системы - American Express, Discover, Diners Club и JCB, China UnionPay. Поэтому, разбор систем защиты платежных систем начну с PCI-DSS и подробно остановлюсь на требованиях к защите Visa и MasterCard. 

 

Основные  определения

Банк - эквайер – банк , осуществляющий расчёты с организациями торговли (услуг) по операциям, совершаемым с использованием платёжных карт, и (или) выдают наличные денежные средства держателям платёжных карт, не являющимся клиентами указанных кредитных организаций (эквайринг)

Банк – эмитент  –банк, осуществляющий эмиссию банковских карт.

Торгово-сервисное  предприятие (ТСП) – организация, принимающая  платежные карты к оплате за товары и услуги.

Схема взаимодействия с платежной системой

 

• На первом шаге покупатель предъявляет карту к оплате в магазине;
• На втором- запрос магазина на авторизацию транзакции по карте в банк-эквайер;
• Банк-эквайер передает запрос в платежную систему;
• Платежная система проверяет счет клиента и списывает/отказывает в списание денежных средств платежной системе;

 

 

PCI-DSS

Объектом применения стандарта является каждая организация, хранящая, обрабатывающая или передающая в своих информационных системах номера платежных карт, выпущенных под брендом любой из вышеуказанных  международных платежных систем.

Ключевые требования по организации защиты данных о держателях карт сформулированы в документе  «Стандарт безопасности данных индустрии  платежных карт. Требования и процедуры  аудита безопасности. Версия 2.0(PCI-DSS).Требования стандарта сфокусированы на обеспечении безопасности информационной инфраструктуры на всех уровнях. В защищенных помещениях размещаются корректно настроенные сетевые устройства и серверы, используемые безопасно разработанными приложениями и базами данных. Актуальность защиты обеспечивается непрерывным мониторингом и регулярным аудитом. Обученный персонал администрирует информационные системы в соответствии с установленными процедурами.

Разберем подробнее  список из 12 требований, находящийся  в основе стандарта и объединенных в группы по типам процедур аудита и их краткий анализ.

1) Требование 1. «Установить  и обеспечить функционирование  межсетевых экранов для защиты  данных о держателях карт». 
2) Требование 2. «Не использовать пароли и другие системные параметры, заданные производителем по умолчанию».

Первая группа носит название «Построение и обслуживание защищенной сети» (требования 1 и 2). С первого требования становится понятно, насколько важен процесс сегментации целевой инфраструктуры и на основе каких средств строится этот процесс. Межсетевой экран – основа обеспечения безопасности. В последней версии стандарта делается некоторое смягчение формулировки первого требования и подразумевается факт фильтрации и блокировки траффика не только средствами межсетевого экрана. 
 
Помимо осуществления блокирования и фильтрации сетевого траффика на основных компонентах рассматриваемой системы, первое требование содержит пункт 1.4, который подразумевает персональные межсетевые экраны на рабочих станциях сотрудников компании с должной конфигурацией (пользователь не может изменять параметры работы файрволла) – это самая трудноконтролируемая процедура со стороны администратора организации. Второе требование напоминает администраторам сети об обязательном изменении системных параметров, заданных производителем по умолчанию. 
 

3) Требование 3. «Обеспечить безопасное хранение данных о держателях карт». 
4) Требование 4. «Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования». 
 
Группа требований «Защита данных о держателях карт» (требования 3 и 4) рассматривает критичные методы защиты данных (шифрование, политики ключей безопасности и т.п.) и область их применения, в то время как остальные методы защиты информации, описанные в других требованиях, позиционируются в качестве средств снижения рисков компрометации. Данная совокупность требований описывает политику и жизненный цикл ключей безопасности. В связи с тем, что хранение данных о владельцах пластиковых карт в зашифрованном виде позволяет исключить факт их незаконного использования злоумышленником (если тот каким-либо образом он преодолел остальные рубежи защиты), пункты этой группы носят довольно жесткую формулировку, что позволяет однозначно ее интерпретировать объектом и субъектом аудита. Полезной техникой при хранении данных о держателях пластиковых карт, относящихся к персональным данным (информация, относящаяся к определенному физическому лицу), является их «обезличивание» — процедура удаления или независимого хранения фрагментов этих данных, которые сами по себе не могут однозначно идентифицировать своего владельца. 
 
5) Требование 5. «Использовать и регулярно обновлять антивирусное программное обеспечение». 
6) Требование 6. «Разрабатывать и поддерживать безопасные системы и приложения». 
 
Группа, объединяющая в себе требования 5 и 6, называется «Управление уязвимостями». Под управлением уязвимостями понимается своевременная установка актуальных обновлений, в том числе и на антивирусное программное обеспечение, разработка, поддерживание и использование безопасных приложений, в том числе и веб-ориентированных. 
 
7) Требование 7. «Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью». 
8) Требование 8. «Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре». 
9) Требование 9. «Ограничить физический доступ к данным о держателях карт». 
 
Требования 7, 8, 9 объединены в группу «Внедрение строгих мер контроля доступа» и носят организационно-технический характер обеспечения защиты информации с использованием как организационных мер обеспечения безопасности, так и механизмов физического доступа и мониторинга. 
 
10) Требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт». 
11) Требование 11. «Регулярно выполнять тестирование систем и процессов обеспечения безопасности». 
 
Примечательной для аудитора является группа требований «Регулярные мониторинг и тестирование сети» (требования 10, 11). Не каждое торгово-сервисное предприятие может позволить себе содержание внутренней службы информационной безопасности и своими силами регулярно выполнять профилактические тесты на проникновение и мониторинг процессов обеспечения безопасности. Потребность в осуществлении этих систематических процедур рождает на рынке информационной безопасности спектр услуг в виде внутренних и внешних тестов на проникновение, сканирования инфраструктуры на уязвимости от совершенно разных поставщиков. Аудитор в процессе оценки соответствия требованиям стандарта PCI DSS, должен ознакомиться с результатами последнего профилактического теста на проникновение и ASV-сканирования (подпункты 11.2 «Ежеквартальное сканирование на уязвимости» и 11.3 «Ежегодные тесты на проникновение») и убедиться, что все выявленные уязвимости устранены. Тот факт, что результаты эти могут быть получены в результате услуг тестов на проникновение и сканирования на уязвимости, предоставленных третьей организацией и, как следствие, вывод аудитора строится на доверии к данным, полученным в ходе оказания этой услуги третьей стороной. 
 
12) Требование 12. «Разработать и поддерживать политику информационной безопасности». 
Торгово-сервисные предприятия и сервис-провайдеры, которые проходят сертификацию, должны разработать свою политику безопасности или пересмотреть текущую в соответствии с требованиями стандарта.

Программы обеспечения безопасности MasterCard и Visa

Программа Visa AIS(Visa Account Information Security)

Программа безопасности учетной  записи разработана Visa для Европы (аналогичная программа Visa для США — Cardholder Information Security Program) с целью помочь торгово-сервисным предприятиям и сервис-провайдерам улучшить свои меры обеспечения безопасности данных держателей платежных карт Visa и информации о транзакциях. 
 
Требования программы Visa AIS, которые должны быть выполнены организацией, зависят от числа ежегодно хранимых, обрабатываемых и передаваемых ею учетных данных Visa. В соответствии с этими данными эквайер присваивает определенный уровень торгово-сервисному предприятию. Ниже представлен список требований программы для торгово-сервисных предприятий и сервис провайдеров. 
 
Требования к торгово-сервисным предприятиям (merchants): 
 
1) ежегодный аудит на соответствие требованиям PCI DSS (любое ТСП, обрабатывающее более 6 млн. транзакций по Visa в год или интернациональные ТСП, которым был присвоен 1 уровень Visa в другом регионе или стране); 
 
2) ежегодное самостоятельное заполнение опросного листа (SAQ) (ТСП, обрабатывающие от 1 млн. до 6 млн. транзакций по Visa в год по всем платежным каналам или ТСП, обрабатывающие от 20 000 до 1 млн. транзакций электронной торговли по Visa в год); 
 
3) ежеквартальное сканирование сети поставщиком услуг сканирования (ASV); 
 
4) наличие аттестата соответствия (для всех уровне ТСП); 
 
5) проверка соответствия требованиям, выполняемая эквайером (ТСП, обрабатывающие менее 20 000 транзакций электронной торговли по Visa в год, или все другие ТСП, обрабатывающие до 1 млн. транзакций в год). 
 
Требования, предъявляемые Visa к сервис-провайдерам (Service Providers): 
 
1) ежегодный аудит на соответствие требованиям PCI DSS; 
 
2) ежегодное заполнение SAQ (любой поставщик услуг, обрабатывающий менее 300 000 транзакций по Visa в год); 
 
3) ежеквартальное сканирование сети в соответствии со стандартом PCI DSS; 
 
4) наличие аттестата соответствия.

 

Программа MasterCard SDP

Программа MasterCard Site Data Protection (SDP), утвержденная MasterCard, предназначена для обеспечения безопасного хранения ТСП и сервис-провайдерами данных учетных записей MasterCard в соответствии со стандартом PCI DSS. Ниже представлен список требований программы для торгово-сервисных предприятий и сервис провайдеров. 
 
Требования, предъявляемые MasterCard торгово-сервисным предприятиям (merchants): 
 
а) ТСП уровня 1 (все ТСП, с ежегодным оборотом более 6 миллионов транзакций ежегодно по картам MasterCard и Maestro; все ТСП, пострадавшие от взлома или атаки, результатом которого была утечка данных; любое ТСП, которое было отнесено к уровню 1, по усмотрению MasterCard) должны выполнять следующие требования: 
 
1) ежегодный аудит, выполняемый QSA; 
2) ежеквартальное сканирование сети, выполняемое ASV; 
3) обязательное выполнение процедур подтверждения соответствия. 
 
б) ТСП уровня 2 (все ТСП с оборотом более 1 миллиона, но менее либо равным 6 миллионам транзакций ежегодно по картам MasterCard и Maestro; все ТСП, соответствующие уровню 2 другой платежной системы) должны выполнять следующие требования: 
 
1) ежегодный аудит, проводимый QSA; 
2) ежегодное заполнение опросного листа SAQ  
3) ежеквартальное сканирование сети, проводимое ASV; 
4) выполнение начальных процедур проверки соответствия  
 
в) ТСП уровня 3 (все ТСП, количество транзакций электронной торговли по MasterCard и Maestro превышает 20 000 в год, но общее количество транзакций электронной торговли по MasterCard и Maestro не превышает 1 миллиона; все ТСП, соответствующие уровню 3 другой платежной системы) должны выполнять следующие требования: 
 
1) ежегодное заполнение опросного листа SAQ; 
2) ежеквартальное сканирование сети, проводимое ASV; 
3) обязательное выполнение процедур подтверждения соответствия.  
 
г) ТСП уровня 4 (все ТСП, не относящиеся к первым трем уровням) должны выполнять следующие требования: 
 
1) ежегодное заполнение опросного листа SAQ; 
2) ежеквартальное сканирование сети, проводимое ASV; 
3) консультация с эквайером о дате выполнения процедур проверки соответствия. 
 
Требования, предъявляемые MasterCard сервис-провайдерам (Service Providers): 
 
а) Сервис-провайдеры уровня 1 (все сторонние процессинги; все организации хранения данных, которые хранят, передают или обрабатывают ежегодно более 300 000 транзакций MasterCard и Maestro) должны выполнять следующие требования: 
 
1) ежегодный аудит, проводимый QSA; 
2) ежеквартальное сканирование сети, проводимое ASV. 
 
б) Сервис-провайдеры уровня 2 (все организации хранения данных, которые хранят, передают или обрабатывают ежегодно менее 300 000 транзакций MasterCard и Maestro) должны выполнять следующие требования: 
 
1) ежегодное заполнение опросного листа SAQ; 
2) ежеквартальное сканирование сети, проводимое ASV. 

Помимо вышеперечисленных  правил MasterCard и Visa представила нормативные документы (операционные правила ):

• Visa Regional Operation Regulations
• MasterCard Security Rules and Procedures

Требования представленные в этих документах схожи, и с ними можно ознакомиться на официальных сайтах MasterCard и Visa.

MC SRaP:

1. Обязательства участника
1. Каждый участник платёжной системы должен соответствовать требованиям и стандартам MC
2. Исключения касаются только возникающих противоречий с законодательством конкретной страны
3. Каждый участник должен предоставить контакт по вопросам безопасности
2. Требования к выпуску карт. Основные требования
1. Соответствие эмитента стандартам выпуска карт:Card Design Standart Manual, Logical Security Requirements for Card Personalization, MasterCard Physical Security Standarts for Plastic Card Vendors, Security SStandarts for Instant Card Issuance
2. Взаимодействие с компанией регистрацией кард (Card Registration Comp.)
3. Взаимодействие с вендорами(Инспекция вендоров, глобальная программа сертификации вендоров)
4. Производство, транспортировка и хранение карт и заготовок .
3. Требования дизайна
1. Физическая спецификация карта
2. Требования к лицевой стороне карты
3. Требования к оборотной стороне карты
4. Card Validations Codes (CVC,CVC2)
5. Сервис коды (Service Codes)
4. Требования безопасности для ПИН-кода
1. ПИН-коды
1. Payment Card Industry PIN Security Requirements
2. Payment Card Industry POS PIN Entry Device Security Requirements
3. Payment Card Industry Encrypting PIN Pad Security Requirements
2. Требования к выбору ПИН-кода
3. Требования к использованию ПИН-кода(Передача ПИН-кода держателю, использование ПИН-кода держателем, ввод и обработка ПИН-кода)
4. Требования к ПИН терминалам
5. Требования к шифрования ПИН-кода(ISO 9564-1(Формат пин-блока), ISO 9564-2(алгоритмы))
6. Требования к PIN Entry Device
1. Payment Card Industry PIN Security
7. Управление криптографическими ключами(Иерархия ключей: Master File Key, Key Exchange Key, PIN Encryption Key)
8. Генерация и верификация ПИН-кода
9. Организационные процедуры управления ключами
10. Требования к гибрид терминалам (M/Chip Requirements)
11. Требования к беспроводным и IP интернет терминалам
5. Требования захвата и возврата карты
1. Общие требования захвата и возврата карт(Захват в ТСП, захват в банкомате, вознаграждения, оповещение о поддельных картах, оповещение об украденных/утерянных картах)
2. Проведение расследований (в т.ч. в связи с поддельными картами)
6. Стандарты управления потерями от мошенничества
1. Требования обязательны для участника
2. Требования к проведению авторизации: Матрица решений по обработке CVC1, CVC2, CVC3, срока действия карты, track1; лимиты по суммам и числу операций
3. Стандарты управления потерями для эмитентов и эквайеров
4. Стандарты управления потерями в связи с поддельными картами
5. Отчеты по мониторингу мошенничества
7. Требования проверки и мониторинга ТСП
1. Проверка ТСП
1. Проверка учредителей и счетов
2. Проверка лицензии, помещений, оборудования
3. Запрос Member Alert To Control High – risk merchants
4. Анализ предыдущих соглашений по эквайрингу
2. Постоянный мониторинг работы ТСП и обучение персонала
8. Программа управления потерями от мошенничества для ТСП
1. Представление только валидных транзакций эквайеру
2. Программа аудита торговцев(Global Merchant Audit Program)
3. Программа эквайера по ответственности за мошенничество и опротестования
4. Противодействие сговору держателя карты с ТСП
9. Программа регистрации
1. Телекоммуникационные сервисы с ручным вводом данных(key-entered)
2. Некоторые ТСП в сфере электронной коммерции
3. Сервисы азартных игр в Интернете (MCC 7995)
4. Сервисы удаленного (non-face-to-face) заказа лекарств (MCC 5122 и 5912)
5. Сервисы удаленной торговли табачной продукцией (MCC 5993)
10. Требования и программы защиты данных счета
1. Требования защиты данных транзакции
1. Считывание карты в терминале
2. Хранение в CVC2
3. Беспроводные подключения терминалов
2. События компрометации счетов
3. Выявление точек компроментации
4. Программа SDP (Site Data Protection)
11. Система MATCH – Member Alert To Control High-risk merchants

Система создана  для ведения БД по ТСП, в ходе работы с которыми выявилась некоторая  негативная информация по ним:

• Компрометация данных
• Common Point of Purchase
• Отмывание
• Превышение уровня опротестований по операциям
• Превышение уровня мошенничества
• Банкротство
• Результаты аудиторской проверки
• Нарушение требований и стандартов
• Сговор
• Нелегальные операции

12.Система SAFE

12.1.Система по борьбе с мошенничеством System to Anvoid Fraud Effectively

Представляет собой  хранилище данных по мошенническим  транзакциям, получаемых от эмитентов

13.Система TAMP

Программа оценки управления риском Risk Assessment Management Program:

• Проверка эмитента( организационная структура, операционная статистика, управление счетами, авторизация, борьба с мошенничеством и т.д.)
• Проверка эквайера

14.Оповещение

Система работает с  октября 1999 года

Цель – оповещение участников об инцидентах

• Компрометация данных
• Расследования по СРР
• Возможности средств для эмитентов
• Почтовые уведомления

15.Служба клиринга  для эмитентов

Служба обязательна  только для эмитентов в США

Цель – сокращение потерь от мошеннического и чрезмерного  использования кредитных счетов и карт.

 

 

 

 

 

Аудит по стандарту  PCI-DSS

Этап  № 1: Проверка документов и определение зоны контроля. На данном этапе аудиторы анализируют и проверяют пакет необходимой документации клиента – компании, выступающей заказчиком прохождения аудита на соответствие требованиям стандарта PCI DSS. В числе данных документов: схема сети с указанием всех подключений к части сети, в которой производится хранение, обработка или передача данных, содержащих информацию о держателях карт, реестр ресурсов, стандарты и политики, принятые в компании, документированные процедуры и процессы. 

 

Зона контроля включает в себя:

·        все устройства и сетевые сегменты, в которых производится хранение, обработка

или передача данных, содержащих информацию о держателях платежных карт;

·        все сетевые сегменты и устройства, подключенные к этим сегментам (в том числе активное сетевое оборудование).