briefly about pci dss standard (in hungarian)
DESCRIPTION
Payment Card Industry (PCI) Data Security Standard (DSS) is discussed frequently in the press. This standard deals with the secure storage, process and transition of cardholder data. Information is not yet available in Hungarian so I tried to prepare a base presentation.TRANSCRIPT
PCI DSS szabványról röviden
Krasznay Csabakancellár.hu Kft.
Mi az a PCI DSS szabvány?
A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg.
Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB.
Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél.
Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít.
Mi az a PCI DSS szabvány?
Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek biztonsági menedzsmentjével, szabályzati rendszerével, hálózati architektúrájával, szoftvereivel és más védelmi megoldásaival
kapcsolatos követelményeket támaszt. Más szabványokkal szemben a követelményeket
nem egy bizottság, hanem az élet alkotta.
Előzmények
Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak.
Ezt Cardholder Information Security Programnak (CISP) hívták.
A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki.
A két cég 2004-ben kezdett együttműködni, és 2004. végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak.
A PCI DSS tartalma
Biztonságos hálózat építése és üzemeltetése: 1. követelmény: A kártyabirtokos adatainak
védelméért tűzfalat kell telepíteni és üzemeltetni. 2. követelmény: Nem szabad a gyártók által használt
alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni.
A kártyabirtokos adatainak védelme: 3. követelmény: Védeni kell a kártyabirtokosok tárolt
adatait. 4. követelmény: A nyílt hálózatokon történő
adatátvitel során titkosítani kell a kártyabirtokos adatait.
A PCI DSS tartalma
Sérülékenység-kezelési program fenntartása: 5. követelmény: Vírusvédelmi megoldásokat kell
használni, és rendszeresen frissíteni. 6. követelmény: Biztonságos rendszereket és
alkalmazásokat kell fejleszteni és üzemeltetni. Erős hozzáférés-védelmi megoldások alkalmazása:
7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik.
8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval.
9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.
A PCI DSS tartalma
A hálózatok rendszeres monitorozása és tesztelése: 10. követelmény: A hálózati erőforrásokhoz
és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell.
11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell.
Információbiztonsági szabályzat fenntartása: 12. követelmény: Információbiztonsági
szabályzatot kell fenntartani.
A PCI DSS tartalma
A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik.
Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: Nem validált input, Feltört hozzáférés-vezérlés (pl. visszaélés az
azonosítókkal),
A PCI DSS tartalma
Feltört hitelesítés és session kezelés (visszaélés a cookie-kal),
Cross-site scripting támadás, Puffer túlcsordulás, Injektálásos támadások (pl. SQL injection), Nem megfelelő hibakezelés, Nem biztonságos tárolás, Túlterheléses támadás, Nem biztonságos konfigurációmenedzsment.
A kártyabirtokos adatai
Kire vonatkozik az előírás?
A kereskedőkre: E-boltok, Hagyományos boltok,
Az elfogadókra: Bankok, Kártyafeldolgozók, akik kapcsolatban állnak
a kibocsátókkal A szolgáltatókra:
Akik több e-boltot üzemeltetnek, Bankkártya adatokat gyűjtenek a kibocsátók
nevében.
Kire nem vonatkozik az előírás?
A bankkártya kibocsátó bankokra A tranzakciók jóváhagyóira, akik nem befogadói
a tranzakcióknak Azokra a kereskedőkre, akik nem kezelnek
bankkártya adatokat. A kereskedők és más entitások
megfelelőségéről az elfogadónak kell gondoskodnia!
Miért érdemes megfelelni a szabványnak?
Amennyiben a kártyainformációk kiszivárognak, és az érintett nem felel meg a PCI DSS-nek, a kibocsátó büntetést szabhat ki.
Ez az elfogadónál akár 500.000 $-os büntetést is jelenthet, amit kiszivárgott kártyaadatonként akár 25 $-ral is kiegészíthetnek.
Az elfogadó csak akkor mentesülhet a büntetés alól, ha a kereskedői megfelelnek a PCI DSS-nek.
Emellett elvileg minden félnek jól felfogott érdeke biztonságban tudni a rendszerét.
Egy bankkártyaadat a Symantec információja szerint 0.50-5 $-t ér az internetes feketepiacon.
A megfelelőség ellenőrzésének módjai
Helyszíni vizsgálat: évente kötelező a Level 1 kereskedőknek és a Level 1, 2 szolgáltatóknak. A kereskedők belső vagy független auditot hajthatnak végre, a szolgáltatóknak a PCI DSS auditra felhatalmazott tanácsadót kell alkalmazniuk.
Önfelmérő tesztek: évente kötelező a Level 2, 3, 4 kereskedőknek és a Level 3 szolgáltatóknak.
Hálózatbiztonsági ellenőrzés: a weboldalak biztonságának ellenőrzése a célja. A Level 1, 2, 3 kereskedőknek és minden szolgáltatónak kötelező negyedévente végrehajtani.
Kire hogyan vonatkozik PCI DSS megfelelőség?
Level 1 kereskedő: Minden olyan kereskedő, akinek feltörték a
rendszerét, vagy adatok szivárogtak ki tőle. Minden olyan kereskedő, aki évente 6 milliónál több
kártyatranzakciót hajt végre. Level 2 kereskedő:
Minden online kereskedő, aki évente 150.000-6 millió tranzakciót hajt végre.
Level 3 kereskedő: Minden online kereskedő, aki évente 20.000-150.000
tranzakciót hajt végre. Level 4 kereskedő:
Aki nem tartozik ebbe a kategóriába, annak opcionális a megfelelés.
Kire hogyan vonatkozik PCI DSS megfelelőség?
Level 1 szolgáltató: Aki a Level 1 és 2 kereskedő nevében tárol
adatot. Level 2 szolgáltató:
Aki Level 3 kereskedő nevében tárol adatot. Level 3 szolgáltató:
Azok, akik a fenti kategóriába nem férnek be.
Kik végezhetik el a tesztelést?
A PCI DSS-t összefogó szerv jelöli ki azokat a cégeket, akik a helyszíni ellenőrzést és a hálózati ellenőrzést elvégezhetik.
A Qualified Security Assessor-ok végzik a helyszíni ellenőrzést.
Az Approved Scanning Vendor-ok végzik a hálózati ellenőrzést.
Rájuk komoly minőségi elvárások vonatkoznak. A közép-kelet-európai régióban alig található
ilyen szolgáltató. Magyarországot egyetlen szolgáltató vállalta
fel.
Magyarországon ez mennyire számít?
A Level 1 kereskedők mintegy 35%-a rendelkezik PCI DSS megfelelőséggel.
Magyarországon egyetlen projektről sikerült információt szerezni.
A Google magyar vonatkozásban nem túl bőbeszédű.
Azonban ha szigorúan vesszük a követelményeket, legalábbis a PCI DSS FAQ szerint, akár az IP alapú POS terminálok is érintettek lehetnek.
Elfogadóként mindenesetre érdemes utánanézni a kibocsátók követelményeinek…