Журнал ПЛАС » Архив » 2019 » Журнал ПЛАС №7 »

Концептуальные изменения стандарта PCI DSS

Совет по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC) продолжает вести плановую подготовку по выпуску новой версии стандарта безопасности Payment Card Industry Data Security Standard (PCI DSS) 4.0. Предыдущие версии строились по единому принципу – от версии к версии добавлялось небольшое количество новых требований или вносились корректировки в существующие. В версии же 4.0 будет изменен принцип изложения требований, а также их формулировки. Проанализируем, с чем придется столкнуться участникам рынка на практике.

Андрей Гайко
начальник Отдела контроля киберрисков платежной системы «Мир», АО «НСПК»

Анна Гольдштейн
независимый эксперт

За последние десять лет информационные технологии, подходы к администрированию и разработке программного обеспечения заметно изменились. Появились и стали широко применяться облачные технологии, технологии контейнеризации, программно-определяемые сети, практики Continuous Integration and Continuous Delivery (CI\CD), методика Agile и многое другое. В связи с этим становится сложно применять текущие требования PCI DSS в современных инфраструктурах.

Основное отличие новой версии стандарта от предыдущих – механизм компенсационных мер теперь будет встроен в тело стандарта. Для каждого требования будут определены контрольные цели, которые должны быть достигнуты. При этом у потребителей стандарта остается выбор – реализовывать требования так, как это описано в стандарте, или альтернативным способом. Организация сможет сама определить альтернативный набор защитных мер в зависимости от результатов оценки рисков.

До выпуска новой версии стандарта действует принцип компенсационных мер. Предполагалось, что они должны носить временный характер и действовать до тех пор, пока организация не сможет выполнить исходное требование так, как оно регламентируется стандартом. Сегодня компенсационные меры являются легитимной возможностью выполнить требование иным способом, чем предлагает стандарт. Компенсационная мера для конкретного требования PCI DSS должна быть направлена на снижение большего риска, чем исходное требование. При применении компенсационной меры организация должна иметь четкую аргументацию, почему эта компенсационная мера необходима и почему компания затрудняется выполнить требование, как предлагает стандарт.

Новый принцип построения стандарта придаст ему необходимую гибкость и актуальность. Теперь организации смогут использовать собственные подходы при реализации требований на постоянной основе, если предлагаемый стандартом вариант не может быть применен в силу каких-либо особенностей организации. Главное – это достижение цели исходного требования. Механизм компенсационных мер будет отменен.

Вариативность в выборе мер снижения рисков заставляет аудиторов самим определять состав тестовых процедур и необходимых свидетельств. Таким образом, увеличивается роль QSA-аудиторов. Аудиторам придется глубже вникать в особенности организаций, изучать защитные меры и оценивать их достаточность и эффективность.


Компенсационные меры. Статистика

Согласно предоставленным отчетам о соответствии PCI DSS отечественных участников ПС «Мир», чаще всего компенсационные меры применяются для требований раздела 6 (1-е место) и 3 (2-е место). Многим компаниям трудно обеспечить шифрование карточных данных при их хранении. Поэтому для обеспечения конфиденциальности карточных данных часто используются компенсационные меры.

Ситуация на глобальном рынке и рынке России несколько отличается. Так, в отчете Verizon в топе требования раздела 8 (на первом месте) и только потом 3 и 6 (второе и третье соответственно).


Новая форма изложения стандарта

В каждом разделе будут верхнеуровнево определены цели безопасности (Security Objectives). Для каждой  цели безопасности определены исходные цели (Intents), а для исходных целей – требования. Цель безопасности будет считаться достигнутой, если реализованы все вложенные исходные цели. В руководстве к каждому требованию будет описан вариант реализации требования. Исходные цели являются не чем иным, как описанием риска, который должен быть обработан.

Подход, основанный на целях безопасности, применяется и в других стандартах PCI SSC. Например, в PCI Software Security Framework.

Несомненно, будут добавлены и новые требования, продиктованные современными угрозами и вызовами, которые появились в индустрии платежных карт.

Стандарт Software Security Framework

Любое платежное приложение должно отвечать определенному набору требований по обеспечению безопасности вне зависимости от того, является ли это решение собственной разработкой организации или стороннего поставщика. У платежных систем существует возможность проверки выполнения этих требований для «коробочных» решений в рамках сертификации на соответствие PCI Payment Application Data Security Standard (PA-DSS). Для ранее сертифицированных приложений в рамках аудита по PCI DSS аудитором проверяется только корректность использования такого ПО в платежной инфраструктуре – настройки соответствуют указанным в Implementation Guide (руководство по настройке ПО от производителя для соблюдения требований PCI DSS, которое поставляется с каждым ПО, сертифицированным по PCI PA-DSS).

Что нового ждать от изменений стандартов безопасности индустрии платежных карт?

Наличие у ПО сертификата PCI PA-DSS говорит о том, что при разработке были соблюдены требования к процессу безопасной разработки, обновление и поддержка этого ПО выполняются безопасным образом, а также свидетельствует о безопасности конкретной версии сертифицируемого приложения.

В начале 2019 года был разработан новый фреймворк оценки безопасности приложений и процессов их разработки PCI Software Security Framework (PCI SSF), который замещает стандарт PCI PA-DSS. При его создании учтены современные подходы к построению процессов разработки программного обеспечения. В состав PCI SSF входят два стандарта: PCI Secure SLC Standard и PCI Secure Software Standard. Первый стандарт нацелен на организацию процесса безопасной разработки. Второй – на безопасность самого приложения. В будущем в рамках этого фреймворка планируется разработка дополнительных стандартов.

Стандарты PCI SSF независимы от PCI PA-DSS. Это значит, что если продукт сертифицирован по одному стандарту, то он не становится автоматически сертифицированным по второму.

Процедуры сертификации по стандартам PCI SSF не отличаются от процедуры сертификации по PCI PA-DSS. Как и раньше, вендор должен выбрать аккредитованного PCI SSC аудитора на сайте совета. Далее аудитор проводит необходимые проверочные процедуры и направляет свое заключение в PCI SSC на проверку. Если со стороны PCI SSC замечания отсутствуют, то информация о сертифицированном продукте или компании-разработчике публикуются в соответствующих списках на сайте PCI SSC. Если у PCI SSC возникнут замечания по предоставленным материалам, то вендор и/или аудитор должны будут их устранить и направить повторный запрос в PCI SSC. Единственным отличием в проверке соответствия программного обеспечения является то, что вендоры, сертифицированные по стандарту PCI Secure SLC, для незначительных изменений (т. н. «дельта» изменений) вправе проводить самооценку самостоятельно без привлечения внешнего аудитора.

На сегодняшний день в PCI SSC ведется проработка Руководства к программе аудиторов по стандартам PCI Software Security Framework, а также разработка обучающих курсов. Программа для нового фреймворка должна быть принята до конца 2019 года. Именно тогда должны появиться первые аудиторы, и ориентировочно с первого квартала 2020 года станет возможна сертификация по стандартам фреймворка.

В 2022 году PCI PA-DSS перестает действовать, и с осени 2022 года сертификация будет возможна только по PCI Secure Software Standard.

Software-based PIN Entry on COTS (SPOC)

О мобильных POS-решениях (mPOS) рынку известно еще с 2010 года. Целевой аудиторией таких решений являются мелкие ТСП, которым дорого покупать и обслуживать обычные POS-терминалы.

Изначально предполагалось, что функции по считыванию данных платежных карт и ввода ПИН-кода будут выполняться на выделенных доверенных устройствах. Но после у индустрии появился запрос на ввод ПИН-кода на экране мобильного устройства.

Для mPOS – смартфонов с ОС Android и оборудованных NFC-ридером – будет разработан отдельный стандарт безопасности

Стандарт Software-based PIN Entry on COTS определяет требования к решениям, которые представляют собой мобильное устройство (смартфон или планшет) с подключенным к нему внешним устройством по Bluetooth, USB или через гнездо наушников. Такое устройство позволяет считывать данные платежных карт безопасным образом. Мобильное устройство выступает в качестве интерфейса для ввода ПИН-кода и передачи данных в процессинговую систему.

В мае 2019 года были выпущены отдельные требования к считывателям магнитной полосы, которые могут использоваться в SPOC-решениях (Software-based PIN Entry on COTS Magnetic Stripe Readers Annex). Для России такие решения не являются актуальными, так как доля операций по магнитной полосе на отечественном рынке незначительная.

Сегодня ведется активная разработка стандарта Contactless Payments on COTS (CPOC) и системы сертификации. Требования стандарта будут применяться для решений, которые представляют собой мобильные POS-терминалы, построенные на базе обычных смартфонов без дополнительных периферийных устройств. Продавцы смогут прийти в банк-эквайрер и подписать договор эквайрингового обслуживания. Банк направит ТСП ссылку для загрузки мобильного приложения из магазина приложений. Продавец загрузит это приложение на свой смартфон, имеющий NFC-модуль, и получит mPOS с возможностью принимать бесконтактные платежи на своем смартфоне.

На первый взгляд такие решения выглядят удобными и дешевыми. Но к ним возникает большое количество вопросов, если анализировать их с точки зрения безопасности. Здесь и вопросы к самому смартфону, и к серверной части такого решения. Для того чтобы платежи проходили безопасно, нужно гарантировать, что смартфон не является взломанным, что работа с секретными величинами ведется безопасным образом, что владелец смартфона не может повлиять на логику работы решения при операциях возврата средств. Поэтому для таких решений будет большой набор требований и отдельная программа сертификации.

Данный стандарт концептуально схож со SPOC. В CPOC, как и в SPOC, появится необходимость контролировать неизменность программной среды смартфона, реализовывать мониторинг и аттестацию смартфона на серверной стороне, разрабатывать программный код с применением практик безопасного программирования, обеспечить защищенность процессинговой части на серверной стороне согласно требованиям PCI DSS.

Основное отличие CPOC-решений от SPOC-решений в том, что в SPOC-решениях чтение карты происходит на отдельном защищенном устройстве, а в CPOC-решениях – с помощью штатного NFC-модуля смартфона. Поэтому для снятия рисков, которые возникают при использовании небезопасного считывателя смартфона, в стандарте CPOC будут отдельные требования.

Разработка стандарта CPOC завершится в этом году. Однако каждый оператор платежной системы будет устанавливать свои требования по схеме применения NFC mPOS-решений и этого стандарта в своей платежной системе.


Экспертный совет по безопасности НСПК

В 2017 году Национальная система платежных карт (НСПК, оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) в качестве аффилированного члена. Данный вид участия дает возможность стать участником рабочих групп PCI SSC и активно участвовать в процессах разработки стандартов PCI.

Платежная система «Мир» основывает свои требования по безопасности данных платежных карт на международных стандартах PCI. НСПК доступно использование общепризнанной системы сертификации PCI. Поэтому от субъектов ПС «Мир» требуется подтверждать свое соответствие требованиям стандартов PCI SSC с привлечением сертифицированных аудиторов PCI.

В конце 2018 года в НСПК был создан Экспертный совет по безопасности, участниками которого являются банки, аудиторские компании, а с 2019 года – и представители поставщиков услуг и крупных торгово-сервисных предприятий. Совет создан для обсуждения с участниками платежной индустрии инициатив НСПК в области регулирования вопросов безопасности в ПС «Мир», получения обратной связи и предложений к изменениям в стандартах PCI.


Жизненный цикл стандарта

Процесс выпуска стандартов подразумевает многошаговость. Первоначально идеи обсуждаются в рамках конкретной рабочей группы при PCI SSC. Оценивается актуальность того или иного предложения. Далее ведется проработка решений. Если в ходе обсуждения консенсус найти не удается, то вопрос эскалируют в наблюдательный орган при PCI SCC или в другие рабочие группы для получения дополнительного мнения или принятия решения.

Платежный рынок в разных странах имеет свои особенности. Например, специфика платежного рынка России и стран СНГ существенно отличается от южноазиатского рынка. На нашем рынке большое распространение получили EMV-технологии. В Азии до сих пор в ходу карты только с магнитной полосой. Исходя из этого, формируются несколько иные акценты.

После проработки новых версий стандартов или изменений в текущих проходит сбор отзывов от представителей международного сообщества. Дается время на предоставление PCI SSC обратной связи для того, чтобы понять, нет ли каких-либо противоречий, и т. д.

После того как будет подготовлена первая версия драфта новых правил, до момента их принятия и официального вступления в действие может пройти от полугода.

Разработка новой версии Стандарта (PCI DSS 4.0) ведется с 2018 года до конца лета 2019-го. Далее будут проходить прием и обработка обратной связи по драфту Стандарта в рамках процесса Request for comment (RFC) (четвертый квартал 2019 и второй квартал 2020 года). Порядок проведения RFC описан на официальном сайте.

До конца 2020 года будут актуализироваться сопутствующие документы (шаблоны отчетов, программы сертификации аудиторов, обучающие и информационные материалы), будет финализироваться итоговая версия PCI DSS и финальные версии документов, которые обнародуют в четвертом квартале 2020 года.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных