PCI DSS szabványról röviden Krasznay Csaba kancellár.hu Kft.
Mi az a PCI DSS szabvány? A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB. Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít.
Mi az a PCI DSS szabvány? Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek biztonsági menedzsmentjével, szabályzati rendszerével, hálózati architektúrájával, szoftvereivel és más védelmi megoldásaival kapcsolatos követelményeket támaszt. Más szabványokkal szemben a követelményeket nem egy bizottság, hanem az élet alkotta.
Előzmények Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak. Ezt Cardholder Information Security Programnak (CISP) hívták. A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki. A két cég 2004-ben kezdett együttműködni, és 2004. végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak.
A PCI DSS tartalma Biztonságos hálózat építése és üzemeltetése: 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. A kártyabirtokos adatainak védelme: 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait.
A PCI DSS tartalma Sérülékenység-kezelési program fenntartása: 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. Erős hozzáférés-védelmi megoldások alkalmazása: 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni.
A PCI DSS tartalma A hálózatok rendszeres monitorozása és tesztelése: 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. Információbiztonsági szabályzat fenntartása: 12. követelmény: Információbiztonsági szabályzatot kell fenntartani.
A PCI DSS tartalma A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik. Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: Nem validált input, Feltört hozzáférés-vezérlés (pl. visszaélés az azonosítókkal),
A PCI DSS tartalma Feltört hitelesítés és session kezelés (visszaélés a cookie-kal), Cross-site scripting támadás, Puffer túlcsordulás, Injektálásos támadások (pl. SQL injection), Nem megfelelő hibakezelés, Nem biztonságos tárolás, Túlterheléses támadás, Nem biztonságos konfigurációmenedzsment.
A kártyabirtokos adatai
Kire vonatkozik az előírás? A kereskedőkre: E-boltok, Hagyományos boltok, Az elfogadókra: Bankok, Kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal A szolgáltatókra: Akik több e-boltot üzemeltetnek, Bankkártya adatokat gyűjtenek a kibocsátók nevében.
Kire nem vonatkozik az előírás? A bankkártya kibocsátó bankokra A tranzakciók jóváhagyóira, akik nem befogadói a tranzakcióknak Azokra a kereskedőkre, akik nem kezelnek bankkártya adatokat. A kereskedők és más entitások megfelelőségéről az elfogadónak kell gondoskodnia!
Miért érdemes megfelelni a szabványnak? Amennyiben a kártyainformációk kiszivárognak, és az érintett nem felel meg a PCI DSS-nek, a kibocsátó büntetést szabhat ki. Ez az elfogadónál akár 500.000 $-os büntetést is jelenthet, amit kiszivárgott kártyaadatonként akár 25 $-ral is kiegészíthetnek. Az elfogadó csak akkor mentesülhet a büntetés alól, ha a kereskedői megfelelnek a PCI DSS-nek. Emellett elvileg minden félnek jól felfogott érdeke biztonságban tudni a rendszerét. Egy bankkártyaadat a Symantec információja szerint 0.50-5 $-t ér az internetes feketepiacon.
A megfelelőség ellenőrzésének módjai Helyszíni vizsgálat: évente kötelező a Level 1 kereskedőknek és a Level 1, 2 szolgáltatóknak. A kereskedők belső vagy független auditot hajthatnak végre, a szolgáltatóknak a PCI DSS auditra felhatalmazott tanácsadót kell alkalmazniuk. Önfelmérő tesztek: évente kötelező a Level 2, 3, 4 kereskedőknek és a Level 3 szolgáltatóknak. Hálózatbiztonsági ellenőrzés: a weboldalak biztonságának ellenőrzése a célja. A Level 1, 2, 3 kereskedőknek és minden szolgáltatónak kötelező negyedévente végrehajtani.
Kire hogyan vonatkozik PCI DSS megfelelőség? Level 1 kereskedő: Minden olyan kereskedő, akinek feltörték a rendszerét, vagy adatok szivárogtak ki tőle. Minden olyan kereskedő, aki évente 6 milliónál több kártyatranzakciót hajt végre. Level 2 kereskedő: Minden online kereskedő, aki évente 150.000-6 millió tranzakciót hajt végre. Level 3 kereskedő: Minden online kereskedő, aki évente 20.000-150.000 tranzakciót hajt végre. Level 4 kereskedő: Aki nem tartozik ebbe a kategóriába, annak opcionális a megfelelés.
Kire hogyan vonatkozik PCI DSS megfelelőség? Level 1 szolgáltató: Aki a Level 1 és 2 kereskedő nevében tárol adatot. Level 2 szolgáltató: Aki Level 3 kereskedő nevében tárol adatot. Level 3 szolgáltató: Azok, akik a fenti kategóriába nem férnek be.
Kik végezhetik el a tesztelést? A PCI DSS-t összefogó szerv jelöli ki azokat a cégeket, akik a helyszíni ellenőrzést és a hálózati ellenőrzést elvégezhetik. A Qualified Security Assessor-ok végzik a helyszíni ellenőrzést. Az Approved Scanning Vendor-ok végzik a hálózati ellenőrzést. Rájuk komoly minőségi elvárások vonatkoznak. A közép-kelet-európai régióban alig található ilyen szolgáltató. Magyarországot egyetlen szolgáltató vállalta fel.
Magyarországon ez mennyire számít? A Level 1 kereskedők mintegy 35%-a rendelkezik PCI DSS megfelelőséggel. Magyarországon egyetlen projektről sikerült információt szerezni. A Google magyar vonatkozásban nem túl bőbeszédű. Azonban ha szigorúan vesszük a követelményeket, legalábbis a PCI DSS FAQ szerint, akár az IP alapú POS terminálok is érintettek lehetnek. Elfogadóként mindenesetre érdemes utánanézni a kibocsátók követelményeinek…
Köszönöm szépen! krasznay.csaba@kancellar.hu