ТРЕБОВАНИЯ К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ УЧАСТНИКОВ РЫНКА ТРАНЗАКЦИОННОЙ ИНФРАСТРУКТУРЫ
Е.Л. Екимов, аспирант
Московский финансово-промышленный университет «Синергия» (Россия, г. Москва)
Аннотация. В статье рассматриваются требования к информационной безопасности для участников рынка транзакционной инфраструктуры, данные требования описаны в стандарте PCI DSS, разработанном при участии международных платежных систем. Автором описываются 6 областей контроля, описанных в стандарте: построение и сопровождение защищенной сети; защита данных держателей карт; поддержка программы управления уязвимостями; реализация мер по строгому контролю доступа; регулярный мониторинг и тестирование сети; поддержка политики информационной безопасности. Раскрывается проблематика каждой из областей контроля и подробно препарируются требования стандарта PCI DSS.
Ключевые слова: PCI DSS, PCI SSC, платежная система, держатель банковской карты, банк-эмитент, банк-эквайер, процессинговый центр.
Платежная система устанавливает правила работы для банков-эмитентов и банков-эквайеров с собственными продуктами - банковскими картами [1, 63 стр.]. Основной задачей платежной системы является обеспечение взаимодействия при проведении платежа от потребителя к продавцу и осуществление эффективного и бесперебойного функционирования обслуживаемой части платежного оборота [2, с. 17]. Международными платежными системами Visa, MasterCard, American Express, Discover и JCB основан международный совет по стандартам безопасности индустрии банковских и платежных карт Payment Card Industry Security Standards Council (далее - PCI SSC). PCI SSC разработал документ, в которых регламентируется стандарт обеспечения безопасности данных держателей банковских карт, стандарт носит название Payment Card Industry Data Security Standard или сокращенно PCI DSS.
PCI DSS - это стандарт защиты информации в индустрии банковских карт, данный стандарт объединяет в себе требования по защите данных об банковских картах и их держателях.
Требования Стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами, например с Visa или
MasterCard. В рамках требований PSI DSS для данных компаний предусматриваются ежегодные аудиторские проверки по регламентированному перечню вопросов, а также ежеквартальные сканирования обслуживаемых торговых точек.
С сентября 2006 года стандарт PCI DSS введен на территориях Европы, России, СНГ и Африканского континента, как обязательный к выполнению для всех участников транзакционного рынка. В связи с этим, все банки-эмитенты и банки-эквайеры, а также иные участники, обеспечивающие тран-закционную инфраструктуру (например процессинговые центры, обслуживающие банки-эмитенты и банки-эквайеры, интернет-провайдеры, дата-центры, платежные шлюзы и тд.), работающие на прямую с сетевым сервисом взаимодействия с платежной системой должны пройти процедуру аудита на соответствие требованиям стандарта PSI DSS. Автор считает необходимым принять во внимание, что процессинго-вый центр участвует как со стороны банка-эквайера, так и со стороны банка-эмитента [4]. Также следует учесть, что на сегодняшний день рынок эквай-ринга эволюционировал, сформировав новый вид участника рынка - платежную систему, обеспечивающую воз-
можность банкам-эмитентам создавать эмуляцию банковской карты на базе уже существующей карты сторонней платежной системы [3, стр. 131], а это значит что стандарт PCI DSS распространяется также и на эти платежные системы, обеспечивающие возможность банкам-эмитентам создавать эмуляцию банковской карты на базе уже существующей карты сторонней платежной системы.
Международная платежная система Visa использует сетевой сервис взаимодействия VisaNet, а международная платежная система MasterCard использует сетевой сервис взаимодействия BankNet.
Стандарт определяет требования к организациям, в которых хранятся, обрабатываются или передаются данные банковских карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта -обеспечить безопасность обращения банковских карт. Таким образом все организации, вовлеченные в процесс хранения, обработки и передачи данных банковских карт должны соответствовать требованиям PCI DSS.
PCI DSS включает в себя 6 областей контроля и 12 основных требований по безопасности:
Область контроля №1, построение и сопровождение защищенной сети:
• Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей банковских карт;
• Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности.
Межсетевой экран - это основа обеспечения безопасности. Грамотное проектирование циркулируемого траффика приводит инфраструктуру участника транзакционной индустрии в системный и управляемый формат. Тем не менее, в последней версии стандарта PSI DSS делается некоторое смягчение формулировки первого требования и подразумевается факт фильтрации и блокировки траффика не только средствами меж-
сетевого экрана, но и иными промышленными решениями.
Помимо осуществления блокировки и фильтрации сетевого траффика на основных компонентах рассматриваемой системы, также подразумеваются персональные межсетевые экраны на рабочих станциях сотрудников компании с соответствующей конфигурацией.
Иными словами, межсетевой экран -это элемент сети, осуществляющий контроль и фильтрацию поступающей информации, который должен пресечь несанкционированный доступ в сеть. Согласно этому же требованию сотрудник компании не может изменять параметры работы межсетевого экрана - это самая трудноконтролируемая процедура со стороны администратора информационной безопасности организации. Второе требование напоминает администраторам информационной безопасности организации об обязательном изменении системных параметров, заданных производителем по умолчанию.
Область контроля №2, защита данных держателей банковских карт:
• Требование 3: обеспечение защиты данных держателей банковских карт в ходе их хранения;
• Требование 4: обеспечение шифрования данных держателей банковских карт при их передаче через сеть интернет.
Данная группа требований регламентирует критичные методы защиты данных, а именно использование политики ключей безопасности и иных методов шифрования, а также раскрывает область их применения, в то время как остальные методы защиты информации, описанные в других требованиях, позиционируются в качестве средств снижения рисков компрометации данных банковских карт. Так как хранение данных о владельцах банковских карт в зашифрованном виде позволяет исключить факт их незаконного использования злоумышленником, если данные каким-либо образом попадут в распоряжение злоумышленника.
Требования данной области контроля носят максимально жесткую формули-
ровку, что позволяет однозначно ее интерпретировать объектом и субъектом аудита, а также исключить разночтения. Полезной практикой при хранении данных о держателях банковских карт, относящихся к персональным данным физических лиц - держателей банковских карт, является их «обезличивание» - процедура удаления или независимого хранения фрагментов персональных данных физических лиц - держателей банковских карт, которые в в случае компрометации в декомазированном виде не могут однозначно идентифицировать своего владельца.
Область контроля №3, поддержка программы управления уязвимостями:
• Требование 5: использование и регулярное обновление антивирусного программного обеспечения;
• Требование 6: разработка и поддержка защищенных систем и приложений.
Под управлением уязвимостями понимается своевременная установка актуальных обновлений, включающих антивирусное программное обеспечение. Также требование распространяется на разработку, поддерживание и использование безопасных приложений, в том числе и веб-ориентированных.
Область контроля №4, реализация мер по строгому контролю доступа:
• Требование 7: разграничение доступа к данным по принципу служебной необходимости;
• Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;
• Требование 9: ограничение физического доступа к данным держателей банковских карт.
Требования носят организационно-технический характер обеспечения защиты информации с использованием как организационных мер обеспечения безопасности, так и механизмов физического доступа и мониторинга.
Область контроля №5, регулярный мониторинг и тестирование сети:
• Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
• Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.
Необходимость выполнения данных требований требует систематического тестирования системы безопасности и порождает на рынке информационной безопасности спектр услуг в виде внутренних и внешних тестов на проникновение, сканирования инфраструктуры на уязвимости от разных поставщиков. Таким образом формируя узкопрофильную нишу на рынке услуг информационной безопасности.
Область контроля №6, поддержка политики информационной безопасности:
• Требование 12: наличие и исполнение в организации политики информационной безопасности.
Данное требование по масштабам своей реализации является одним из трудоемких в плане реализации. Требование заключается в формировании собственной политики информационной безопасности участника транзакци-онной инфраструктуры, включающей все вышеизложенные требования стандарта PCI DSS, также допускается собственные инновации в части усиления мер информационной безопасности.
Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении:
• внешнего аудита;
• внутреннего аудита;
• проведении организацией самооценки.
Внешний аудит выполняется внешней аудиторской организацией, сертифицированной Советом PCI SSС. В ходе проверки аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их на период длительностью в три года.
Внутренний аудит выполняется внутренним, прошедшим обучение и
сертифицированным по программе Совета PCI SSC, аудитором.
Что касается самооценки, то она выполняется самостоятельно путем заполнения регламентированного чек-листа самооценки. В этом случае сбор свидетельств выполнения требований стандарта не требуется.
Соответствие требованиям стандарта PCI DSS свидетельствует о том, что у участника транзакционной инфраструктуры, например у банка-эмитента или банка-эквайера, созданы условия для минимизации операционных и репута-ционных рисков в части процесса обслуживания банковских карт и основной целью соответствия данным стандартам является и стремление защитить данные держателей банковских карт и имидж компании.
Заключение
Резюмируя вышеизложенное, стандарт PCI DSS распространяется на всех участников, обеспечивающих инфраструктуру транзакционного рынка и
построение и сопровождение защищенной сети; защита данных держателей банковских карт; поддержка программы управления уязвимостями; реализация мер по строгому контролю доступа; регулярный мониторинг и тестирование сети; поддержка политики информационной безопасности.
В каждой описанных областей контроля описаны требования, предъявляемые стандартом PCI DSS к участникам рынка транзакционной инфраструктуры. В статье раскрывается проблематика каждой из областей контроля и подробно препарируются требования стандарта PCI DSS.
Автор намеренно не раскрывает инструменты исполнения требований стандарта PCI DSS, введу того, что специфика деятельности участника рынка транзакционных услуг напрямую влияет на избираемые инструменты удовлетворения требований стандарта PCI DSS и этот вопрос требует подробного рассмотрения за пределами данной статьи.
включает в себя 6 областей контроля:
Библиографический список
1. Екимов Е.Л. Межбанковская комиссия во взаиморасчетах между банком-эмитентом и банком-эквайером // Вестник Академии. 2017. №4. с. 62
2. Дубова С.Е., Обаева А.С., Валинурова А.А., Кутузова А.К., Мазина Ю.Ю., Степанова Н.В. Платежные системы. Учебное пособие, МЦНИП, 2014. - 1189 с.
3. Хабаров В.И., Екимов Е.Л. Исследование рынка эквайринга в розничной торговле Российской Федерации // Научное обозрение. 2017. №3.
4. Екимов Е.Л. Участники сделки купли-продажи при использовании электронных денег // XV Международная научно-практическая конференция «Научный диалог: Экономика и менеджмент» от 08.06.2018, г. Санкт-Петербург.
REQUIREMENTS FOR INFORMATION SECURITY FOR PARTICIPANTS OF THE TRANSACTION INFRASTRUCTURE MARKET
E.L. Ekimov, postgraduate
Moscow financial-industrial university "Synergy" (Russia, Moscow)
Abstract. The article considers information security requirements for participants of the transactional infrastructure market, these requirements are described in the PCI DSS standard, developed with the participation of international payment systems. The author describes the six control areas described in the standard: the construction and maintenance of a secure network; data protection for cardholders; support for the vulnerability management program; implementation of measures for strict access control; regular monitoring and testing of the network; support of the information security policy. The problems of each of the control areas are disclosed and the requirements of the PCI DSS standard are prepared in detail.
Keywords: PCI DSS, PCI SSC, payment system, bank card holder, issuing bank, acquiring bank, processing center.