Ігор Легкодимов
Директор та засновник Сейфбейз Секюріті та UnionFlame
Якщо ви зараз захочете позапланово пройти PCI DSS аудит, то опинитеся в ситуації автолюбителя восени, коли випав перший сніг, а він усе ще на літній гумі. У більшості аудиторів роботи розписані щонайменше на два місяці наперед, до кінця березня, — поки ще можна пройти аудит за звичною версією стандарту PCI DSS 3.2.1, яка діє з травня 2018 року. З тих часів, коли світ ще не знав, що таке Covid-19, масова віддалена робота і що окупанти наважаться на повномасштабне вторгнення. Але за даний період ця версія стандарту PCI DSS морально застаріла і потребувала суттєвих та якісних оновлень.
Наразі діють обидві версії стандарту — і 3.2.1, і 4.0, а ось з 1 квітня аудит PCI DSS можна пройти лише за версією PCI DSS стандарту 4.0, тому багато хто поспішає та хоче зробити це раніше від необхідного терміну ре-сертифікації, щоб мати в запасі рік на впровадження додаткових вимог.
Але не всі зміни вимог «однаково лякають», до нової версії стандарту PCI DSS вносяться три типи змін.
Частина з них стосується зміни структури стандарту, його формату та пунктів, включно з переглянутою нумерацією вимог, змінами в розподілі або групуванні вимог для кращого представлення інформації. Зміни в структурі спрямовані на спрощення навігації по стандарту, поліпшення логічної послідовності та полегшення процесу його реалізації та аудиту.
Друга частина змін — це роз’яснювальні вимоги, які спрямовані на поліпшення розуміння та ясності наявних вимог стандарту. Вони допомагають усунути двозначність і забезпечують більш однозначне розуміння того, які дії необхідно вжити для відповідності стандарту, а також мінімізують надмірність між вимогами стандарту і процедурами перевірки.
І нарешті, найважливіша частина змін — це доповнювальні зміни, які включають у себе введення нових вимог або посилення наявних у відповідь на розвиток технологій і зміну ландшафту загроз, з якими стикаються організації, що працюють із картковими даними. Вони можуть адресувати нові або раніше недостатньо висвітлені аспекти безпеки, як-от розширене використання шифрування, поліпшені методи автентифікації або заходи протидії новим видам атак.
Мабуть, однією з найістотніших і найфундаментальніших змін у версії стандарту PCI DSS 4.0 є додавання індивідуального підходу (customized approach) до виконання компаніями вимог стандарту PCI DSS. Раніше всі вимоги мали виконуватися за єдиним для всіх компаній підходом (defined approach), «так як говорить стандарт». І іноді QSA аудитори стикалися з ситуацією, коли «начебто клієнт зробив усе правильно, але не за стандартом, а значить це не може бути прийнято. Треба переробляти».
А індивідуальний підхід пропонує більш гнучкі варіанти до виконання вимог PCI DSS стандарту. Компанія може самостійно обирати засоби та методи досягнення відповідності вимогам стандарту PCI DSS. А аудитор повинен переконатися, що дане виконання вимог досягає самої мети щодо захисту карткових даних, зазначених у конкретній вимозі; перевіряє повноту аналізу ризиків і методів попередніх перевірок за кожним таким випадком, щоб упевнитися в ефективності вжитих заходів.
Детальний огляд PCI DSS 4.0: які зміни будуть прийняті в березні 2024 Фото: freepik.com, pngwing.com
Цікаве по темі: Як розвиватиметься банківський сектор: пріоритети, ризики та очікування
Звісно, не можна вигадати унікальний спосіб для низки вимог стандарту, що стосуються шифрування критичних даних, або заборони на зберігання критичних аутентифікаційних даних після авторизації транзакції, або, наприклад, під час проведення регулярних зовнішніх ASV-сканувань. Але загалом новий стандарт надає більшу гнучкість і свободу у виборі рішень щодо впровадження виправлень невідповідностей до вимог стандарту PCI DSS.
Нові вимоги в стандарті PCI DSS версії 4.0 можна розділити на технічні та організаційні.
Стандарт PCI DSS версії 4.0 вносить низку змін і уточнень, що стосуються обладнання та мережевої інфраструктури, з метою посилення захисту даних власників карток. Ось деякі з ключових змін, пов’язаних з обладнанням і мережами.
Суворіша сегментація мережі
PCI DSS 4.0 приділяє більше уваги необхідності сегментації мережі для обмеження доступу до даних власників карток. Сегментація має бути виконана таким чином, щоб системи, які не обробляють, не зберігають і не передають дані власників карток, були фізично або логічно відокремлені від тих, які це роблять. І правила сегментації повинні переглядатися не рідше 1 разу на рік.
Суворіші вимоги до шифрування
Оновлені вимоги до шифрування включають використання стійких до злому криптографічних стандартів для захисту даних власників карток під час передачі через відкриті, загальнодоступні мережі. Заборонено використовувати однакові криптографічні ключі для шифрування карткових даних у тестових і продакшн середовищах.
Оновлення в управлінні вразливостями
Версія 4.0 підкреслює важливість регулярного сканування і тестування на вразливості, щоб бути впевненим, що всі системи і додатки захищені від відомих загроз. Введено більш деталізовані вимоги до процесів управління вразливостями, включно з розробкою та реалізацією процесів для швидкого усунення виявлених вразливостей.
Покращене управління конфігурацією
Вимоги до стандартних конфігурацій пристроїв і систем посилено, щоб мінімізувати ризики, пов’язані з неправильним налаштуванням. Організації повинні регулярно перевіряти й оновлювати конфігурації, щоб забезпечити відповідність стандартам безпеки.
Читайте популярне: 15 провідних українських платіжних компаній — огляд
Розширені вимоги до виявлення та запобігання вторгнень і захисту від шкідливого ПЗ
Введення оновлених вимог до систем виявлення та запобігання вторгненням (IDS/IPS), що забезпечують моніторинг і захист мережевої інфраструктури від атак. А на всіх публічно доступних web-застосунках необхідно впровадити Web Application Firewall (WAF) як обов’язковий засіб захисту.
Навіть саме поняття як антивірус, яке в попередній версії стандарту було винесено в заголовок 5 розділу стандарту, у новій версії стандарту замінено на ширше значення «захист від шкідливого ПЗ» («anti-malware») для підтримки ширшого спектра технологій, які використовуються для досягнення цілей безпеки, які традиційно вирішуються антивірусним програмним забезпеченням.
При цьому і сфера застосування антивірусу розширилася і стала обов’язковою для виявлення вірусів і наявності шкідливого ПО на знімних носіях, які використовуються для роботи з картковими даними.
Безпечне управління мережевими пристроями
Підвищено вимоги до безпеки управління мережевими пристроями, включно з маршрутизаторами, комутаторами та міжмережевими екранами, з акцентом на використання безпечних методів автентифікації та шифрованого доступу.
Примітно, що перший розділ стандарту, який раніше називався «Install and maintain a firewall configuration to protect cardholder data», у новій версії змінив назву на «Install and Maintain Network Security Controls», що робить ширші акценти на всіх компонентах системи і розширює сферу застосування стандарту. І всі зміни в конфігураціях засобів контролю мережевої безпеки (Network Security Controls — NSC) повинні проходити за процедурою управління змінами і переглядатися раз на півроку.
Звісно, для багатьох компаній, для яких інформаційна безпека та дотримання стандартів безпеки є важливою, хоч і рутинною роботою, багато вимог не нові і вже впроваджені. Але і для багатьох компаній ці зміни вимагають ретельного перегляду і, можливо, модернізації їхньої мережевої інфраструктури та обладнання для забезпечення відповідності підвищеним стандартам безпеки даних. Основна мета полягає в мінімізації ризиків витоку даних і забезпеченні захисту даних власників карток на всіх етапах оброблення, передавання та зберігання.
Друга частина змін, на які стандарт PCI DSS звертає увагу, стосується організаційної культури та процесів роботи співробітників і роботи з клієнтами.
Детальний огляд PCI DSS 4.0: які зміни будуть прийняті в березні 2024 Фото: freepik.com
Цікаве за темою: Як жінки розвивають свій бізнес в Україні: аналітичний огляд та приклади стартапів
Підвищення обізнаності про безпеку серед співробітників
Версія 4.0 підкреслює важливість регулярного навчання всіх співробітників питанням безпеки даних і PCI DSS, і в цю програму тепер потрібно додати матеріали з протидії фішинговим атакам і соціальній інженерії, і регулярно, мінімум раз на рік переглядати й оновлювати. Потрібно забезпечити, щоб співробітники розуміли свої обов’язки в галузі захисту даних і були обізнані про можливі наслідки інцидентів, пов’язаних із безпекою.
Управління ідентифікацією та доступом
Покращені вимоги до управління доступом мають на увазі сувору політику ідентифікації, аутентифікації та контролю доступу співробітників до систем і даних. Це передбачає багатофакторну аутентифікацію для доступу до чутливих систем і даних.
Рольова модель доступу та принцип найменших привілеїв
Стандарт вимагає від організацій застосовувати рольову модель доступу та принцип найменших привілеїв, щоб співробітники мали доступ тільки до тих даних і систем, які необхідні для виконання їхньої роботи.
Відповідальність за управління даними платіжних карток
Введення чітких правил і процедур, що стосуються обробки та захисту даних платіжних карт, вимагаючи від співробітників дотримання цих правил у своїй повсякденній діяльності.
Компанії необхідно розподілити відповідальність і обов’язки за виконання вимог кожного розділу стандарту PCI DSS версії 4.0 шляхом створення матриці відповідальності (RACI matrix, що включає who is responsible, accountable, consulted, and informed).
А в повсякденній роботі акцент робиться на забороні копіювання, вставки та збереження даних платіжних карток під час віддаленого доступу для всіх працівників за винятком тих, кому такий доступ узгоджено та необхідно для виконання посадових обов’язків.
Читайте також: Що чекає на банківський сектор: технологічні зміни та протистояння кіберзагрозам
Процеси реагування на інциденти та комунікація з клієнтами
Розроблення та впровадження чітких процесів реагування на інциденти безпеки, включно з вимогами до повідомлення та навчання співробітників діям у разі виявлення загрози безпеці.
Ці вимоги не тільки щодо співробітників організації, яка проходить аудит PCI DSS, а також і у відносинах між організаціями, сервіс-провайдерами та мерчантами — необхідно сповіщати своїх клієнтів про інциденти інформаційної безпеки та ідентифіковані вразливості.
Також відкритість повинна дотримуватися і у відносинах із клієнтами: за запитом своїх клієнтів щодо статусу відповідності PCI DSS, сервіс-провайдер має надати цю інформацію із зазначенням, хто за які вимоги несе відповідальність: за які вимоги відповідає сервіс-провайдер, а за які — клієнти-мерчанти.
Політики ІБ та їх підтримання
Регулярний перегляд і оновлення політики безпеки, включно з вимогами до співробітників щодо дотримання цієї політики та проведення аудитів для перевірки відповідності. Додалися вимоги регулярного перегляду та актуалізації документації, що описує сферу застосовності PCI DSS, і не раз на рік (перед приходом аудитора), а кожні 6 місяців.
Ці зміни вимагають від організацій не тільки перегляду та оновлення своїх технічних і процедурних контрольних заходів, а й культурних поведінкових змін щодо безпеки даних серед співробітників, включно з навчанням, обізнаністю та щоденними аспектами роботи.
NB: Звісно, наприкінці важливо повідомляти і хороші новини, і це те, що хоч стандарт і набуває чинності з 31 березня 2024 року, більшість перелічених вимог стають обов’язковими з 31 березня 2025 року. Тож ще є час підготуватися і убезпечити свої ресурси і дані своїх клієнтів.