Аудит безопасности платежных систем по стандарту PCI DSS

О стандарте безопасности платежных систем

Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации, в частности:

• Visa Europe & other regions: Account Information Security (AIS);
• Visa USA: Cardholder Information Security (CISP);
• MasterCard: Site Data Protection (SDP).

Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный Уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований Стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года PCI DSS введен международной платежной системой VISA на территории региона EMEA как обязательный, соответственно его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям Стандарта.

Цели и критерии аудита

Целью аудита является проверка соответствия платежных систем Заказчика и поддерживающей их ИТ-инфраструктуры требованиям стандарта PCI DSS, определяющего следующие 6 областей контроля и 12 основных требований по безопасности:

1. Построение и сопровождение защищенной сети:

• Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей карт;
• Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

2. Защита данных держателей карт:

• Требование 3: обеспечение защиты данных держателей карт в ходе их хранения;
• Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

3. Поддержка программы управления уязвимостями:

• Требование 5: использование и регулярное обновление антивирусного программного обеспечения;
• Требование 6: разработка и поддержка защищенных систем и приложений.

4. Реализация мер по строгому контролю доступа:

• Требование 7: разграничение доступа к данным по принципу служебной необходимости;
• Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;
• Требование 9: ограничение физического доступа к данным держателей карт.

5. Регулярный мониторинг и тестирование сети:

• Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
• Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

6. Поддержка политики информационной безопасности:

• Требование 12: наличие и исполнение в организации политики информационной безопасности.

Порядок проведения работ

Работы по аудиту на соответствие стандарту PCI DSS включают в себя три последовательных этапа:

1. Сбор исходных данных и анализ документации

• Получение от Заказчика схемы сети, организационно-распорядительных документов по обеспечению информационной безопасности и других необходимых документов;
• Проверка полноты и качества документов, оценка соответствия документов требованиям Стандарта;
• Интервьюирование специалистов Заказчика, заполнение и обработка анкеты для проверки выполнения требований Стандарта;
• Подготовка Отчета о расхождениях с требованиями Стандарта.

2. Анализ защищенности периметра и инфраструктуры корпоративной сети

• Сканирование внешнего периметра корпоративной сети, исследование обнаруженных уязвимостей, анализ настроек сетевого оборудования;
• Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;
• Сканирование ресурсов корпоративной сети изнутри;
• Анализ конфигурации серверов и рабочих станций корпоративной сети при помощи специализированных программных средств;
• Анализ и обобщение полученных результатов, выработка рекомендаций, подготовка, согласование и оформление отчетных документов.

3. Проверка реализации требований Стандарта на объекте аудита

• Проверка актуальности предоставленной схемы сети и других документов;
• Проверка выполнения требований внутренних организационно-распорядительных документов в организации;
• Проверка реализации требований стандарта в выбранных аудитором сегментах корпоративной сети Заказчика;
• Подготовка сводного отчета о результатах аудита, содержащего выводы о несоответствиях и рекомендации по их устранению;
• Согласование и презентация отчетных документов.

Основные результаты работы

Основными результатами работы будут являться:

1. Формирование общественного мнения о честном имени и стабильном положении организации Заказчика на рынке и как следствие повышение доверия со стороны клиентов и партнеров;
2. Снижение  величины рисков информационной безопасности, связанных с компрометацией карточных платежных систем и разглашением конфиденциальной информации;
3. Повышение осведомленности персонала организации Заказчика в вопросах обеспечения информационной безопасности платежных систем.

 Кроме того, проведение аудита позволит:

1. Получить структурированную информацию об информационной инфраструктуре и используемых в организации Заказчика средствах защиты информации;
2. Оценить полноту и качество существующей организационно-распорядительной документации организации Заказчика в области информационной безопасности и получить рекомендации по ее совершенствованию;
3. Идентифицировать и оценить существующие уязвимости информационной инфраструктуры организации Заказчика и получить рекомендации по их уменьшению или ликвидации.