PCI DSS - Standard internațional pentru securitatea informațiilor în domeniul cardurilor de plată. Soluție Construiți și mențineți rețele și sisteme securizate

Organizațiile care stochează, procesează și transmit datele cardurilor de plată ale sistemelor internaționale de plată (Visa, MasterCard, American Express, Discover, JCB) sunt obligate să respecte cerințele standardului PCI DSS. Sistemele de plată au determinat frecvența și forma confirmării conformității cu cerințele standardului, precum și sancțiuni pentru nerespectarea și compromiterea datelor cardului de plată.

Pentru a ajuta organizațiile să îndeplinească cerințele standardului, Informzashita oferă diverse opțiuni pentru serviciile de conformitate cu PCI DSS, ținând cont de sarcinile și specificul clientului. Printre ei:

• Conformitate PCI DSS. Serviciul presupune aducerea nivelului de securitate a informațiilor companiei în conformitate cu cerințele standardului PCI DSS de la zero. Include:
• Audit preliminar cu elaborarea unui plan de conformitate;
• Direct treapta de reducere;
• Auditul final de certificare.
• Menținerea conformității PCI DSS. Serviciul implică asistență pentru organizațiile care au deja un certificat de conformitate PCI DSS și sunt interesate de următoarea confirmare a acestuia.
• Audit de certificare PCI DSS. Serviciul este destinat organizațiilor care au implementat în mod independent măsurile de protecție PCI DSS necesare și sunt interesate doar de evaluarea finală a conformității.
• Certificare software conform cerințelor standardului PA-DSS.În 2008, Consiliul de securitate al industriei cardurilor de plată (PCI SSC) a adoptat un standard de securitate a aplicațiilor de plată - Standardul de securitate a datelor aplicației de plată (PA-DSS), menit să susțină conformitatea cu cerințele standardului PCI DSS. Conform cerințelor sistemelor de plată VISA și MasterCard, toate aplicațiile „cutie” implicate în procesarea tranzacțiilor de autorizare sau efectuarea plăților cu carduri de plată trebuie să fie certificate conform standardului PA-DSS.
  Sistemele de plată VISA și MasterCard au stabilit un termen limită pentru finalizarea tranziției agenților și întreprinderilor din rețelele comerciale și de servicii la utilizarea aplicațiilor certificate - 1 iulie 2012.
  Certificarea PA-DSS a aplicațiilor poate fi efectuată numai de un auditor care are desemnarea PA-QSA. Informzashita este prima companie din Rusia care are acest statut.
  Specialiștii Informzashita efectuează audituri pentru conformitatea cu standardul PA-DSS din 2009. Pe parcursul activității noastre, am certificat peste 10 aplicații: software de procesare, aplicații pentru terminale de plată și comerț electronic. Experiența acumulată ne permite să stabilim schema optimă pentru ca dezvoltatorul să efectueze lucrări pregătitoare și certificare. Implementarea cerințelor pentru asigurarea dezvoltării și întreținerii în siguranță a software-ului se realizează ținând cont de procesele existente. Nivelul documentelor finale și practica stabilită asigură perioada minimă de trecere a procedurii obligatorii de control al calității de către PCI SSC.
• Mențineți conformitatea software-ului cu cerințele PA-DSS. Modificările aduse aplicațiilor de plată certificate PA-DSS sunt supuse revizuirii și, în unele cazuri, au ca rezultat recertificarea obligatorie. Domeniul de aplicare și documentele de raportare ale certificării efectuate depind de tipul modificărilor.
  Auditorii certificați ai Informzashita au experiență în dezvoltarea politicilor de lansare ținând cont de cerințele standardului și de realitățile furnizorului, efectuând recertificare pentru toate tipurile de modificări definite de standard și coordonând documentele finale cu PCI SSC.
  Abordarea de a asigura recertificarea se formează pe baza dorințelor dezvoltatorului și este ghidată de practica existentă de lansare a actualizărilor din partea dezvoltatorului de aplicații.
• Scanare PCI ASV, scanare aplicație WEB. Compania Informzashita este un furnizor certificat (certificat nr. 4159-01-08) de scanări PCI ASV. Scanarea PCI ASV asigură conformitatea cu clauza 11.2.2 din standardul PCI DSS. Pe lângă conformitatea formală cu standardul, scanarea PCI ASV vă permite să evaluați securitatea perimetrului rețelei externe, să identificați vulnerabilitățile și configurațiile incorecte.
• Test cuprinzător de penetrare conform cerințelor PCI DSS. Serviciul include o evaluare practică a posibilității accesului neautorizat la datele cardului de plată sau la resursele rețelei care procesează datele cardului de plată (cerința clauzei 11.3 PCI DSS).
• Dezvoltarea unui program pentru conformitatea comerciantilor cu cerintele PCI DSS pentru bancile achizitionare. Conform cerințelor sistemelor internaționale de plată, băncile achizitoare sunt responsabile pentru a se asigura că comercianții lor respectă cerințele standardului PCI DSS. Ca parte a serviciului, este în curs de dezvoltare un program de monitorizare a conformității comercianților cu cerințele standardului PCI DSS bazat pe programele de securitate ale sistemelor internaționale de plată Securitatea informațiilor contului și Protecția datelor site-ului.
• Asistență în completarea fișei de autoevaluare PCI DSS. Serviciul este destinat comercianților și furnizorilor de servicii cu volume mici de tranzacții. Ca parte a serviciului, Informzashita oferă asistență în efectuarea evaluărilor de conformitate cu completarea unei fișe de autoevaluare PCI DSS.

Lucrarea ne va permite să îndeplinim cerințele standardului, să reducem riscurile de a compromite datele cardului de plată și să evităm sancțiunile din partea sistemelor internaționale de plată.

Compania Informzashchita a fost prima din Federația Rusă care a primit stările QSA și ASV, dând dreptul de a efectua audituri de certificare PCI DSS și scanări ASV externe. În ceea ce privește numărul de auditori certificați QSA, Informzashita depășește alte companii rusești. Astfel, un specialist personal lucrează cu fiecare client. Compania a trecut cu succes controlul de calitate al rapoartelor de către PCI SSC, care a confirmat calitatea înaltă a serviciilor oferite clienților. Din 2006, compania a finalizat peste 90 de proiecte pentru bănci, centre de procesare independente, furnizori de servicii, centre de date și comercianți pentru a obține conformitatea și certificarea PCI DSS.

PCI DSS (Payment Card Industry Data Security Standard) este un document care descrie regulile pentru asigurarea securității informațiilor despre deținătorii de carduri de plată în timpul procesării, transmiterii sau stocării acestuia.

Standardul PCI DSS a fost dezvoltat de către Payment Card Industry Security Standards Council (PCI SSC). PCI SSC a fost fondată de sistemele internaționale de plată de top - Visa, MasterCard, American Express, JCB, Discover. PCI SSC publică informații despre activitățile sale pe site-ul său web.

Cerințele standardului PCI DSS se aplică organizațiilor care procesează informații despre deținătorii de carduri de plată. Dacă o organizație stochează, procesează sau transmite informații despre cel puțin o tranzacție cu cardul sau proprietarul cardului de plată în cursul anului, atunci trebuie să respecte cerințele standardului PCI DSS. Exemple de astfel de organizații sunt întreprinderile de comerț și servicii (magazine de vânzare cu amănuntul și servicii de comerț electronic), precum și furnizorii de servicii legate de procesarea, stocarea și transmiterea informațiilor despre carduri (centre de procesare, gateway-uri de plată, centre de apeluri, medii de stocare de rezervă, organizații). , implicat în personalizarea cardurilor etc.).

Prin aducerea infrastructurii dumneavoastră de informații în conformitate cu cerințele PCI DSS, veți crește nivelul de securitate al mediului de procesare a datelor cardului dumneavoastră. Procedând astfel, veți reduce riscul pierderilor financiare din incidente de securitate a informațiilor și veți respecta cerințele sistemelor internaționale de plată de a respecta acest standard.

Scopul principal al conformității cu cerințele standardului PCI DSS este creșterea nivelului de securitate al infrastructurii informaționale, tocmai de aceea a fost dezvoltat standardul. Din aceasta putem concluziona că standardul va fi util tuturor celor care se gândesc la securitatea informațiilor lor.

Standardul PCI DSS conține cerințe detaliate de securitate a informațiilor, împărțite în 12 secțiuni tematice:

• utilizarea firewall-urilor;
• reguli de instalare a echipamentelor;
• protecția datelor stocate despre deținătorii de carduri de plată;
• utilizarea mijloacelor criptografice de protecție la transmiterea datelor;
• utilizarea agenților antivirali;
• dezvoltarea și suportul sigur al aplicațiilor și sistemelor;
• gestionarea accesului utilizatorilor la date;
• managementul contului;
• asigurarea securității fizice;
• monitorizarea securității datelor;
• testarea regulată a sistemelor;
• dezvoltarea și sprijinirea politicii de securitate a informațiilor.

Standardul PCI DSS nu conține cerințe pentru utilizarea unor soluții tehnice specifice, modele hardware și versiuni de software. PCI DSS stabilește cerințe pentru organizarea proceselor de securitate a informațiilor, funcționalitatea instrumentelor de securitate a informațiilor, configurarea acestora și setările aplicației.

Puteți descărca versiunea actuală 1.2 a standardului PCI DSS.

Toate cerințele PCI DSS sunt obligatorii. Este posibil ca unele cerințe să nu se aplice organizației dumneavoastră din cauza lipsei anumitor componente ale infrastructurii informaționale, de exemplu, dacă nu utilizați rețele fără fir, atunci compania dumneavoastră nu este supusă cerințelor de securitate a rețelei fără fir. Dacă nu puteți îndeplini o anumită cerință a unui standard din cauza limitărilor impuse de lege, procesele de afaceri sau tehnologie, puteți utiliza măsuri compensatorii. Regula de bază pentru selectarea măsurilor compensatorii este că măsura compensatoare trebuie să reducă același risc ca și cerința standardului care nu poate fi îndeplinită din cauza limitărilor.

Cerințele standardului PCI DSS se aplică sistemelor utilizate pentru procesarea, stocarea și transmiterea datelor despre deținătorii de carduri de plată, precum și sistemelor care au o conexiune la rețea cu aceștia (sisteme, conexiuni la care nu sunt protejate de un firewall).

Da, subsistemele ATM individuale implicate în procesarea, stocarea și transmiterea datelor despre deținătorii de carduri de plată sunt incluse în domeniul de aplicare al standardului PCI DSS.

Pe măsură ce standardul PCI evoluează, SSC face modificări textului și publică noi versiuni ale documentului pe site-ul web www.pcisecuritystandards.org. De la 1 octombrie 2008 până în prezent, versiunea 1.2 a standardului PCI DSS este actuală.

Conform programelor de verificare a conformității cu cerințele PCI DSS stabilite de sistemele internaționale de plată, o serie de organizații sunt obligate să facă un audit anual. Programele de testare a conformității diferă pentru comercianți și furnizori de servicii.

Comercianții care efectuează peste șase milioane de tranzacții cu cardul pe an trebuie să fie supuși unui audit anual. În ceea ce privește furnizorii de servicii, sistemul internațional de plăți VISA necesită un audit anual la toate centrele de procesare, precum și la furnizorii de servicii care procesează peste 300.000 de tranzacții pe an, și MasterCard - de la toate centrele de procesare, precum și la furnizorii de servicii care procesează mai mult de un milion de tranzacții. pe an . Puteți găsi o descriere detaliată a procedurilor de verificare a conformității PCI DSS.

Companiile cu statutul de QSA (Evaluator de securitate calificat) au dreptul de a efectua audituri pentru conformitatea cu standardul PCI DSS. Lista oficială a companiilor cu acest statut este disponibilă pe site-ul PCI SSC. O companie cu statut QSA trebuie să angajeze auditori QSA certificați.

Momentul auditului depinde de dimensiunea domeniului de aplicare al standardului PCI DSS, precum și de caracteristicile infrastructurii companiei. În medie, un audit la sediul unei companii durează trei zile.

Pe baza rezultatelor auditului privind conformitatea infrastructurii dumneavoastră informaționale cu cerințele standardului, auditorul QSA va pregăti un Raport de conformitate care conține informații detaliate despre implementarea fiecăreia dintre cerințele PCI DSS. Rezultatele auditului vor oferi o perspectivă asupra unde trebuie direcționate mai întâi resursele pentru a îmbunătăți securitatea mediului de procesare a cardurilor de plată.

În conformitate cu cerințele sistemelor internaționale de plată, dacă sunt identificate inconsecvențe în infrastructura informațională cu cerințele standardului PCI DSS, trebuie să pregătiți un Plan de acțiune pentru a le elimina. Recomandările auditorului QSA care a efectuat evaluarea conformității vor ajuta la pregătirea Planului de acțiuni.

Sistemele internaționale de plată prevăd impunerea de penalități organizațiilor care trebuie să fie supuse unui audit extern anual de conformitate cu PCI DSS, dar nu îl trec.

În acest caz, pentru a respecta cerința sistemelor internaționale de plată de a fi supuse unui audit extern anual, va trebui modificată politica de securitate care, conform PCI DSS, trebuie să țină cont de toate cerințele standardului.

Un certificat de conformitate este emis în urma unui audit, dacă infrastructura de plată a companiei respectă pe deplin cerințele standardului PCI DSS.

Efectuarea testelor de penetrare externă și internă este reglementată de cerința 11.3 din standardul PCI DSS. Un test de penetrare ar trebui efectuat anual și, de asemenea, după ce au fost aduse modificări semnificative în infrastructura de plăți a unei companii. O încercare de penetrare efectuată de un specialist care implementează un set de vulnerabilități în conformitate cu un model de atacator dat demonstrează clar nivelul de securitate al mediului de plată. Vă rugăm să rețineți că un test de penetrare efectuat de un specialist nu are nimic în comun cu o scanare automată.

Scanarea trimestrială a perimetrului extern al infrastructurii de plăți a unei companii, efectuată de un furnizor de scanare aprobat (ASV), este o parte obligatorie a procedurilor de conformitate cu PCI DSS. Puteți găsi o descriere detaliată a procedurilor de verificare a conformității PCI DSS.

Dacă nu ai găsit răspunsul la întrebarea ta, nu dispera. Trimite-ne-o și vom încerca cu plăcere să-i răspundem cât mai curând posibil.

Nume și prenume:

E-mail:

Despre standard

PCI DSS (Payment Card Industry Data Security Standard) este un standard de securitate a datelor din industria cardurilor de plată dezvoltat de Payment Card Industry Security Standards Council (PCI SSC), care a fost stabilit de Visa, MasterCard, American Express, JCB și Discover.

Cerințele standardului se aplică tuturor companiilor care lucrează cu sisteme de plată internaționale: bănci, întreprinderi comerciale și de servicii, furnizori de servicii tehnologice și alte organizații ale căror activități sunt legate de procesarea, transmiterea și stocarea datelor despre deținătorii de carduri de plată.

PCI DSS - Ghid cuprinzător de securitate

Standardul PCI DSS propune cerințe pentru securitatea componentelor infrastructurii în care informațiile despre cardurile de plată sunt transmise, procesate sau stocate. Verificarea infrastructurii de plată pentru respectarea acestor cerințe relevă motive care îi reduc semnificativ nivelul de securitate. Testele de penetrare, care sunt incluse în lista activităților obligatorii reglementate de standardul PCI DSS, arată nivelul real de securitate al resurselor informaționale ale unei companii atât din poziția unui atacator aflat în afara perimetrului studiat, cât și din poziția unui angajat al companiei care are acces „din interior”.

Consiliul PCI DSS a formulat cerințe cheie pentru organizarea protecției datelor în documentul „Standard de securitate a datelor din industria cardurilor de plată (PCI DSS). Cerințe și proceduri de evaluare a siguranței. Versiunea 3.0". Aceste cerințe sunt grupate astfel încât să simplifice procedura de audit de securitate.

Descărcați PCI DSS în rusă.

Cerințe și proceduri de evaluare a securității PCI DSS

Construiți și mențineți rețele și sisteme securizate

• Cerința 1: „Stabiliți și mențineți configurații de firewall pentru a proteja datele deținătorilor de card.”
• Cerința 2. „Nu utilizați parole de sistem și alte setări de securitate stabilite implicit de producător.”

Protejați datele deținătorului cardului

• Cerința 3. „Protejați datele stocate ale titularului de card”.
• Cerința 4: „Criptați datele deținătorului cardului atunci când sunt transmise prin rețele publice”.

Mențineți un program de gestionare a vulnerabilităților

• Cerința 5: „Protejați toate sistemele de malware și actualizați regulat software-ul antivirus”.
• Cerința 6: „Dezvoltați și mențineți sisteme și aplicații securizate”.

Implementați măsuri stricte de control al accesului

• Cerința 7. „Limitați accesul la datele deținătorului cardului în conformitate cu nevoile afacerii.”
• Cerința 8: „Identificați și autentificați accesul la componentele sistemului”.
• Cerința 9. „Limitați accesul fizic la datele deținătorului cardului”.

Efectuați monitorizarea și testarea periodică a rețelelor

• Cerința 10: „Urmăriți și monitorizați tot accesul la resursele de rețea și datele deținătorului cardului.”
• Cerința 11. „Testați sistemele și procesele de securitate în mod regulat”

Menține politica de securitate a informațiilor

• Cerința 12. „Menținerea unei politici de securitate a informațiilor pentru toți angajații”.

„Monitorizarea prospectivă” ajută băncile, întreprinderile comerciale și de servicii și dezvoltatorii de servicii financiare să se pregătească pentru un audit pentru conformitatea cu PCI DSS și oferă asistență de specialitate în îndeplinirea cerințelor standardului.

Recent, Visa și MasterCard au cerut din ce în ce mai mult conformitatea PCI DSS de la gateway-urile de plată, comercianții conectați la acestea, precum și de la furnizorii de servicii care pot afecta securitatea datelor cardului. În acest sens, problema conformității cu standardul PCI DSS devine importantă nu numai pentru marii jucători din industria cardurilor de plată, ci și pentru micile comercianți și întreprinderile de servicii. În acest articol, vom răspunde la principalele întrebări care privesc organizațiile care se confruntă cu sarcina de certificare PCI DSS.

Standard PCI DSS a fost dezvoltat de PCI SSC (Payment Card Industry Security Standards Council), care a fost înființat de sistemele internaționale de plată Visa, MasterCard, American Express, JCB, Discover. Standardul reglementează o listă predefinită de cerințe, atât din punct de vedere tehnic, cât și organizatoric, implicând o abordare integrată cu un grad ridicat de exactitate în asigurarea securității datelor cardului de plată (PDC).

# Cine este acoperit de PCI DSS?

În primul rând, standardul definește cerințe pentru organizațiile în a căror infrastructură informațională sunt stocate, procesate sau transmise datele cardului de plată, precum și pentru organizațiile care pot influența securitatea acestor date. Scopul standardului este destul de evident - asigurarea securității cardurilor de plată. De la jumătatea anului 2012, toate organizațiile implicate în procesul de stocare, procesare și transfer DPC trebuie să respecte cerințele PCI DSS, iar companiile din Federația Rusă nu fac excepție.

Pentru a înțelege dacă organizația dvs. este supusă conformității obligatorii cu PCI DSS, vă sugerăm să utilizați o diagramă simplă.

Figura 1. Stabilirea dacă aveți nevoie de conformitatea PCI DSS

Primul pas este să răspunzi la două întrebări:

• Datele cardului de plată sunt stocate, procesate sau transmise în cadrul organizației dumneavoastră?
• Procesele de afaceri ale organizației dvs. pot avea un impact direct asupra securității datelor cardului de plată?

Dacă răspunsurile la ambele întrebări sunt negative, nu este nevoie să deveniți certificat PCI DSS. În cazul a cel puțin unui răspuns pozitiv, așa cum se poate observa în Figura 1, este necesară respectarea standardului.

# Care sunt cerințele PCI DSS?

Pentru a respecta standardul, trebuie îndeplinite cerințe, care sunt rezumate în cele douăsprezece secțiuni prezentate în tabelul de mai jos.

Tabelul 1. Cerințe de nivel superior ale standardului PCI DSS

Dacă mergem puțin mai adânc, standardul impune trecerea a aproximativ 440 de proceduri de verificare, care ar trebui să dea un rezultat pozitiv la verificarea conformității cu cerințele.

# Cum puteți confirma conformitatea cu standardul PCI DSS?

Există diferite modalități de a confirma conformitatea cu cerințele PCI DSS, care includ: audit extern (QSA), audit intern (ISA) sau autoevaluare (SAQ) a organizației. Caracteristicile fiecăruia dintre ele sunt ilustrate în tabel.

Tabelul 2. Metode de confirmare a conformității cu standardul PCI DSS

În ciuda aparentei simplități a metodelor prezentate, clienții întâmpină adesea neînțelegeri și dificultăți atunci când aleg metoda potrivită. Un exemplu în acest sens sunt întrebările emergente de mai jos.

# În ce situație este necesar să se efectueze un audit extern și în care - unul intern? Sau este suficient să ne limităm la autoevaluarea organizației?

Răspunsurile la aceste întrebări depind de tipul de organizație și de numărul de tranzacții procesate pe an. Nu poate fi o alegere aleatorie, deoarece există reguli documentate care guvernează ce metodă va folosi o organizație pentru a demonstra conformitatea cu un standard. Toate aceste cerințe sunt stabilite de sistemele internaționale de plată, dintre care cele mai populare în Rusia sunt Visa și MasterCard. Există chiar și o clasificare în funcție de care se disting două tipuri de organizații: întreprinderile de comerț și servicii (comercianți) și furnizorii de servicii.

Comerț- serviciucompanie este o organizație care acceptă carduri de plată pentru plata bunurilor și serviciilor (magazine, restaurante, magazine online, benzinării etc.).

Furnizor de servicii- o organizație care furnizează servicii în industria cardurilor de plată legate de procesarea tranzacțiilor de plată (centre de date, furnizori de hosting, gateway-uri de plată, sisteme internaționale de plată etc.).

În funcție de numărul de tranzacții procesate pe an, comercianții și furnizorii de servicii pot fi clasificați în diferite niveluri.

Să presupunem că o întreprindere comercială și de servicii procesează până la 1 milion de tranzacții pe an folosind comerțul electronic. Conform clasificării Visa și MasterCard (Fig. 2), organizația va aparține nivelului 3. Prin urmare, pentru a confirma conformitatea cu PCI DSS, este necesar să se efectueze o scanare externă trimestrială a vulnerabilităților componentelor infrastructurii informaționale ASV (Aprobat). Scanning Vendor) și un SAQ anual de autoevaluare. În acest caz, organizația nu trebuie să colecteze dovezi de conformitate, deoarece acest lucru nu este necesar pentru nivelul actual. Documentul de raportare va fi fișa de autoevaluare SAQ completată.

Scanare ASV (furnizor de scanare aprobat)— verificarea automată a tuturor punctelor de conectare ale infrastructurii informaționale la internet pentru a identifica vulnerabilități. În conformitate cu cerințele standardului PCI DSS, această procedură trebuie efectuată trimestrial.

Sau luați în considerare exemplul unui furnizor de servicii cloud care procesează peste 300 de mii de tranzacții pe an. Conform clasificării stabilite a Visa sau MasterCard, furnizorul de servicii va fi clasificat la nivelul 1. Aceasta înseamnă, așa cum este indicat în Figura 2, este necesar să se efectueze o scanare externă trimestrială a vulnerabilităților componentelor infrastructurii informaționale ASV, precum și un audit anual extern QSA.

Este de remarcat faptul că banca implicată în procesul de acceptare a cardurilor de plată pentru plata bunurilor sau serviciilor, așa-numita banca achizitoare, precum și sistemele internaționale de plată (IPS) poate trece peste nivelul comerciantul conectat la acestea sau furnizorul de servicii utilizat, conform propriei evaluări a riscurilor. Nivelul atribuit va avea prioritate față de clasificarea sistemului internațional de plăți indicat în Figura 2.

Figura 2. Clasificarea nivelurilor și cerințelor pentru confirmarea conformității cu standardul PCI DSS

# O încălcare unică a termenelor limită de scanare ASV reprezintă un risc serios din perspectiva conformității PCI DSS?

O organizație care primește statutul PCI DSS trebuie să îndeplinească în mod regulat anumite cerințe, cum ar fi efectuarea de scanări ASV trimestriale. În timpul auditului inițial, este suficient să aveți o procedură de scanare ASV documentată și rezultatele a cel puțin unei execuții cu succes în ultimele trei luni. Toate scanările ulterioare ar trebui să fie trimestriale, perioada de timp nu trebuie să depășească trei luni.

Încălcarea programului de scanare a vulnerabilităților externe atrage după sine impunerea unor cerințe suplimentare asupra sistemului de management al securității informațiilor din organizație. În primul rând, va fi încă necesar să se efectueze o scanare ASV pentru vulnerabilități și să se realizeze un raport „verde”. Și în al doilea rând, va fi necesară dezvoltarea unei proceduri suplimentare care să nu permită astfel de încălcări ale programului în viitor.

In cele din urma

Principalele concluzii pot fi exprimate într-un citat din Peter Shapovalov, inginer în securitatea informațiilor la Deuterium LLC:

„În ciuda faptului că Federația Rusă a început deja să opereze propriul sistem național de carduri de plată (NSCP), cerințele sistemelor internaționale de plată nu au fost abolite. Dimpotrivă, recent au existat mai dese scrisori de la Visa și MasterCard către băncile achizitoare prin care acestea din urmă cer respectarea standardului PCI DSS de la gateway-uri de plată, comercianți conectați la acestea, precum și de la furnizorii de servicii care pot influența securitatea cardului. date . În acest sens, problema conformității cu standardul PCI DSS devine importantă nu numai pentru marii jucători din industria cardurilor de plată, ci și pentru micile comercianți și întreprinderile de servicii.

În prezent relevante pentru piața rusă sunt serviciile gestionate. Constă în faptul că furnizorul de servicii oferă clienților nu doar echipamente sau infrastructură informatică virtuală spre închiriere, ci și servicii pentru administrarea acestuia în conformitate cu cerințele standardului PCI DSS. Acest lucru este util în special pentru întreprinderile mici de comerț și servicii care nu au propriile departamente de tehnologie și securitate a informațiilor. Apelarea la furnizorii de servicii certificați ajută la simplificarea semnificativă a procesului de certificare PCI DSS pentru comercianți și la asigurarea protecției datelor cardurilor de plată la nivelul corespunzător.”

Ca exemplu de companie care furnizează servicii PCI DSS gestionate (nu doar închirierea infrastructurii PCI DSS, ci și administrarea acesteia în conformitate cu cerințele standardului), putem cita.

Orice testare de penetrare obiectivă și semnificativă trebuie
efectuate ținând cont de recomandări și reguli. Cel puțin să fie
un specialist competent si sa nu rateze nimic. Prin urmare, dacă doriți să vă legați
activități profesionale cu pentesting - asigurați-vă că citiți
standardele. Și în primul rând – cu articolul meu.

Regulile și cadrul de pentestare a informațiilor sunt prezentate în metodologii
OSSTMMȘi OWASP. Ulterior, datele obținute pot fi ușor
se adaptează pentru evaluarea conformității cu orice industrie
standarde și „cele mai bune practici mondiale”, cum ar fi, Cobit,
standarde de serie ISO/IEC 2700x, recomandari CIS/SANS/NIST/etc
și – în cazul nostru – standardul PCI DSS.

Desigur, datele acumulate obținute în timpul testării pentru
penetrare, pentru a efectua o evaluare completă în conformitate cu standardele industriei
nu va fi suficient. Dar de aceea este un pentest, nu un audit. În plus, pentru
implementarea unei astfel de evaluări numai cu date tehnologice
Nu va fi suficient pentru nimeni. O evaluare completă necesită intervievarea angajaților
diferite divizii ale firmei evaluate, analiza administrativ
documentație, diverse procese IT/IS și multe altele.

În ceea ce privește testarea de penetrare, după cum este necesar
standard pentru securitatea informațiilor în industria cardurilor de plată - nu este mult
diferă de testarea convențională efectuată folosind tehnici
OSSTMMȘi OWASP. Mai mult, standardul PCI DSS recomandat
Pentru a respecta regulile OWASP la desfășurarea atât a unui pentest (AsV) cât și
audit (QSA).

Principalele diferențe între testare PCI DSS de la testare la
penetrarea în sensul larg al cuvântului sunt următoarele:

1. Standardul nu reglementează (și, prin urmare, nu necesită) atacuri cu
   folosind ingineria socială.
2. Toate inspecțiile efectuate trebuie să minimizeze amenințarea „Refuzului de a
   service" (DoS). Prin urmare, testarea efectuată ar trebui
   efectuate folosind metoda „cutie gri” cu avertisment obligatoriu
   administratorii sistemelor relevante.
3. Scopul principal al unei astfel de teste este încercarea de implementare
   acces neautorizat la datele cardului de plată (PAN, numele titularului cardului și
   etc.).

Metoda „cutie gri” se referă la implementarea diverselor
tip de verificări cu primirea prealabilă a unor informații suplimentare despre
sistemul studiat în diferite etape de testare. Acest lucru reduce riscul
refuzul serviciului atunci când desfășoară o astfel de muncă în legătură cu informații
resurse care funcționează 24/7.

În general, testarea de penetrare PCI ar trebui
indeplinesc urmatoarele criterii:

• clauza 11.1(b) – Analiza securității rețelelor fără fir
• clauza 11.2 – Scanarea rețelei de informații pentru vulnerabilități (AsV)
• clauza 11.3.1 – Efectuarea verificărilor la nivel de rețea (Network-layer
  teste de penetrare)
• clauza 11.3.2 – Efectuarea verificărilor la nivel de aplicație (Application-layer
  teste de penetrare)

Aici se termină teoria și trecem la practică.

Definirea limitelor studiului

Primul pas este să înțelegeți limitele testării de penetrare,
să stabilească și să convină asupra succesiunii acțiunilor care trebuie efectuate. La cel mai bun mod
În acest caz, departamentul de securitate a informațiilor poate obține o hartă a rețelei pe care
arată schematic modul în care centrul de procesare interacționează cu generalul
infrastructură. În cel mai rău caz, va trebui să comunicați cu administratorul de sistem,
care este conștient de propriile greșeli și obține date cuprinzătoare despre
sistemul informatic va fi îngreunat de reticența lui de a-și împărtăși
cunoștințe unice (sau nu atât de unice – nota lui Forb). Într-un fel sau altul, să se realizeze
Pentestul PCI DSS necesită, cel puțin, următoarele informații:

• Segmentarea rețelei (utilizator, tehnologic, DMZ, procesare și
  etc.);
• firewalling la limitele subrețelei (ACL/ITU);
• aplicații Web și SGBD utilizate (atât de testare, cât și productive);
• rețele fără fir utilizate;
• orice detalii de siguranță care trebuie luate în considerare în
  în timpul sondajului (de exemplu, blocarea conturilor când N
  încercări incorecte de autentificare), caracteristici de infrastructură și general
  dorințe în timpul testării.

Cu toate informațiile necesare enumerate mai sus, puteți
organizează-ți adăpostul temporar în cel mai optim segment de rețea și
începe examinarea sistemului informațional.

Teste de penetrare la nivel de rețea

Pentru început, merită să analizați traficul de rețea care trece prin utilizare
orice analizor de rețea în modul de funcționare „promiscuu” al plăcii de rețea
(mod promiscuu). Ca analizor de rețea în scopuri similare
potrivire excelentă sau CommView. Pentru a finaliza această etapă vor fi suficiente 1-2 ore de muncă
adulmecă. După acest timp, se vor fi acumulate suficiente date pentru a conduce
analiza traficului interceptat. Și în primul rând, atunci când o analizăm, ar trebui
Acordați atenție următoarelor protocoale:

• protocoale de comutare (STP, DTP etc.);
• protocoale de rutare (RIP, EIGRP etc.);
• protocoale dinamice de configurare a gazdei (DHCP, BOOTP);
• protocoale deschise (telnet, rlogin etc.).

În ceea ce privește protocoalele deschise, probabilitatea ca acestea să se încadreze
Timpul necesar pentru a mirosi traficul care trece într-o rețea comutată este destul de scurt.
Cu toate acestea, dacă există o mulțime de astfel de trafic, atunci în rețeaua monitorizată se observă clar
probleme cu setările echipamentelor de rețea.

În toate celelalte cazuri, există posibilitatea de a efectua atacuri frumoase:

• atac clasic MITM (Man in the middle) atunci când este folosit
  DHCP, RIP
• obţinerea rolului de nod rădăcină STP (Root Bridge), care permite
  interceptarea traficului din segmentele învecinate
• transferul portului în modul trunk folosind DTP (activare trunking);
  vă permite să interceptați tot traficul din segmentul dvs
• si etc.

Este disponibil un instrument excelent pentru a ataca protocoalele de comutare.
Yersinia. Să presupunem că în timpul procesului de analiză a traficului a fost identificat trafic zburător.
pachetele DTP trecute (vezi captura de ecran). Apoi trimiterea pachetului DTP ACCESS/DESIRABLE
poate permite ca portul comutatorului să fie pus în modul trunk. Mai departe
dezvoltarea acestui atac vă permite să ascultați cu urechea segmentul dvs.

După testarea stratului de legătură, ar trebui să vă îndreptați atenția asupra celui de-al treilea
Nivelul OSI. A venit rândul să efectueze un atac de otrăvire cu ARP. Totul este simplu aici.
Alegem un instrument, de exemplu,

și discutați cu angajații de securitate a informațiilor detaliile acestui atac (inclusiv
necesitatea de a efectua un atac care vizează interceptarea SSL-ului unidirecțional).
Chestia este că dacă un atac de otrăvire ARP este implementat cu succes împotriva
din întregul său segment, poate apărea o situație când computerul atacatorului nu o face
face față fluxului de date primite și, în cele din urmă, acest lucru poate deveni
provoca o refuz de serviciu pentru un întreg segment de rețea. Prin urmare, cel mai corect
va selecta ținte unice, de exemplu, joburi de administrator și/sau
dezvoltatori, orice servere specifice (eventual un controler de domeniu,
DBMS, server terminal, etc).

Un atac de otrăvire cu ARP de succes vă permite să obțineți un text clar
parole pentru diverse resurse de informații - SGBD, director de domeniu (dacă
scăderea autentificării NTLM), șir de comunitate SNMP etc. În mai puțin
Într-un caz de succes, valorile hash pot fi obținute din parolele pentru diferite sisteme,
pe care va trebui să încercați să îl restaurați în timpul pentestului
folosind tabele curcubeu, un dicționar sau un atac frontal. Interceptat
parolele pot fi folosite în altă parte și ulterior acest lucru este necesar
confirma sau infirma.

În plus, merită să analizați tot traficul interceptat pentru prezență
CAV2/CVC2/CVV2/CID/PIN transmis în text clar. Pentru a face acest lucru, puteți sări peste
fișierul cap salvat prin NetResident și/sau
.
Al doilea, apropo, este excelent pentru analiza traficului acumulat în ansamblu.

Teste de penetrare a stratului de aplicare

Să trecem la al patrulea nivel OSI. Aici, în primul rând, totul se rezumă la
scanarea instrumentală a rețelei sondate. Cum să-l cheltuiești? Alegerea este greșită
prea mare. Scanarea inițială se poate face folosind Nmap în
Modul „Scanare rapidă” (tastele -F -T Agresiv|Insane), și în etapele următoare
testare, scanare pe anumite porturi (comutator -p), de exemplu,
în cazurile în care cei mai probabili vectori de penetrare asociate cu
vulnerabilități în anumite servicii de rețea. În același timp, merită să rulați scanerul
securitate - Nessus sau XSpider (cel din urmă va avea rezultate carnoase) în
modul de a efectua numai verificări sigure. Când scanați
vulnerabilităților, este necesar să se acorde atenție prezenței sistemelor învechite
(de exemplu, Windows NT 4.0), deoarece standardul PCI le interzice
utilizarea la prelucrarea datelor deținătorului cardului.

Dacă descoperiți o vulnerabilitate critică în orice serviciu, nu ar trebui să o faceți imediat
sau grăbiți-vă să-l exploateze. Abordarea corectă pentru testarea PCI este:
aceasta este, în primul rând, pentru a obține o imagine mai completă a stării de securitate a subiectului
sisteme (este această vulnerabilitate aleatorie sau este omniprezentă),
și în al doilea rând, să își coordoneze acțiunile pentru a exploata vulnerabilitățile identificate în
anumite sisteme.

Rezultatele examinării instrumentale ar trebui să ofere o imagine de ansamblu
implementate procese de securitate a informațiilor și o înțelegere superficială a stării securității
infrastructură. În timp ce lucrați la scanări, puteți cere să vă familiarizați cu
politica de securitate a informațiilor utilizată în Companie. Pentru auto-dezvoltare generală :).

Următoarea etapă este selectarea țintelor pentru penetrare. În această etapă ar trebui
analizați toate informațiile colectate obținute în timpul ascultării
scanarea traficului și a vulnerabilităților. Probabil că până acum va exista deja
urmărirea sistemelor vulnerabile sau potențial vulnerabile. De aceea a venit
Este timpul să profităm de aceste neajunsuri.

După cum arată practica, munca se desfășoară în următoarele trei direcții.

1. Exploatarea vulnerabilităților în serviciile de rețea

Există o perioadă în trecutul îndepărtat în care exploatarea a fost soarta unui număr aleși,
capabil să colecteze cel puțin codul altcuiva și (doamne!) să pregătească propriul cod shell.
În prezent, exploatează vulnerabilități în serviciile de rețea, cum ar fi inundațiile
tampoanele și altele asemenea sunt disponibile pentru toată lumea. În plus, procesul seamănă din ce în ce mai mult
joc în genul quest. Luați Core Impact, care reduce întregul pentest
pentru a face clic cu mouse-ul pe diferite meniuri derulante într-un înveliș frumos GUI.
Astfel de instrumente economisesc mult timp, ceea ce în timpul testării interne
nu atat de mult. Pentru că glumele sunt glume, iar setul de funcții este implementat în Core Impact
permite, fără prea mult efort, efectuarea consecventă a operațiunii, ridicării
privilegii, colectarea de informații și eliminarea urmelor prezenței dumneavoastră în sistem. ÎN
datorită căruia Core Impact este deosebit de popular în rândul auditorilor occidentali şi
pentesteri.

Dintre instrumentele de acest fel disponibile public, pot fi menționate următoarele:
ansambluri: Core Impact, CANVAS, SAINTexploit și Cadrul Metasploit preferat al tuturor.
În ceea ce privește primele trei, acestea sunt toate produse comerciale. Adevărat, unii
versiuni vechi ale ansamblurilor comerciale s-au scurs pe internet la un moment dat. Dacă se dorește
le puteți găsi în rețeaua globală (în mod firesc, exclusiv în scopul
autoeducatie). Ei bine, toate exploit-urile noi gratuite sunt disponibile în Metasploit
Cadru. Desigur, există versiuni zero-day, dar sunt bani complet diferiti.
În plus, există o opinie controversată că atunci când se efectuează un pentest, utilizarea lor
nu este pe deplin sincer.

Pe baza datelor de scanare a rețelei, puteți juca puțin hacker :).
După ce ați convenit în prealabil asupra listei de ținte, efectuați exploatarea celor detectate
vulnerabilități și apoi efectuați un audit local superficial al sistemelor capturate.
Informațiile colectate privind sistemele vulnerabile le pot îmbunătăți
privilegii asupra altor resurse de rețea. Adică dacă în timpul atacului
Dacă ați distrus Windows, nu ar strica să eliminați baza de date SAM (fgdump) din acesta pentru a
recuperarea ulterioară a parolei, precum și secretele LSA (Cain&Abel), în care
Adesea, o mulțime de informații utile pot fi stocate în formă deschisă. Apropo,
După ce toate lucrările au fost finalizate, informațiile colectate despre parole pot fi considerate ca
contextul conformității sau nerespectării cerințelor standardului PCI DSS (clauza 2.1,
clauza 2.1.1, clauza 6.3.5, clauza 6.3.6, clauza 8.4, clauza 8.5.x).

2. Analiza controlului accesului

Analiza controlului accesului trebuie efectuată asupra tuturor informațiilor
resursele cu care a fost posibilă implementarea DSN. Și pe partajări de fișiere
Windows (SMB), pe care este deschis și accesul anonim. Acest lucru permite adesea
obțineți informații suplimentare despre resursele care nu au fost descoperite în
timpul de scanare a rețelei sau să dau peste alte informații, diferit
grad de confidențialitate, stocat într-un format clar. După cum am spus deja, când
efectuarea testării PCI, în primul rând, căutarea are ca scop detectarea
datele deținătorului cardului. Prin urmare, este important să înțelegeți cum ar putea arăta aceste date și
caută-le în toate resursele informaţionale cărora le există o corespondenţă
acces.

3. Atacul de forță brută

Este necesar, cel puțin, să verificați valorile implicite și combinațiile simple de conectare-parolă.
Verificări similare trebuie efectuate, în primul rând, în legătură cu rețeaua
echipamente (inclusiv pentru SNMP) și interfețe de administrare la distanță.
Când se efectuează scanarea AsV conform PCI DSS, nu este permis să se efectueze „grele”
forță brută, care poate duce la o condiție DoS. Dar în cazul nostru vorbim
despre Pentest PCI intern și, prin urmare, merită într-o formă rezonabilă și fără fanatism
efectuează un atac pentru a selecta combinații simple de parole pentru diverse
resurse informaționale (DBMS, WEB, OS etc.).

Următoarea etapă este analiza securității aplicațiilor Web. La testarea prin PCI
Nu se vorbește despre analiza profundă a Web-ului. Să lăsăm asta pe seama auditorilor QSA. Aici
este suficient să efectuați o scanare cutie neagră cu verificare selectivă
vulnerabilități exploatabile la nivelul serverului/clientului. Pe lângă cele deja menționate
scanerele de securitate pot folosi scanere concepute pentru analiză
Web. Soluția ideală este cu siguranță HP WebInspect sau
(care, apropo, este excelent la detectarea erorilor în AJAX). Dar toate acestea -
lux scump și inaccesibil și, dacă da, atunci w3af, care în
a câștigat recent avânt în ceea ce privește detectarea diferitelor tipuri
vulnerabilități în aplicațiile Web.

În ceea ce privește verificarea manuală a vulnerabilităților de pe Web! Este necesar, cel puțin,
verificați mecanismele de autentificare și autorizare, utilizați simplu
combinații de autentificare-parolă, valori implicite, precum și injecțiile SQL preferate ale tuturor,
inclusiv fișiere și executarea comenzilor pe server. În ceea ce privește partea clientului
vulnerabilitati, atunci, pe langa verificarea posibilitatii de exploatare a vulnerabilitatii, aici
nu mai este nevoie de nimic. Dar, cu partea de server, trebuie să mânuiești puțin,
pentru că este încă un pentest, deși conform PCI DSS. După cum am menționat mai devreme, căutăm PAN,
Numele titularului cardului și CVC2/CVV2 opțional. Cel mai probabil, astfel de date
sunt conținute în DBMS și, prin urmare, dacă se găsește o injecție SQL, merită să evaluați numele
tabele, coloane; Este recomandabil să se facă mai multe probe de testare
confirma sau infirma prezenta unor astfel de date in baza de date in
formă necriptată. Dacă întâlniți o injecție Blind SQL, atunci este mai bine să incitați
către serverul Web (de la
switch --dump-all), care funcționează în prezent cu MySQL, Oracle,
PostgreSQL și Microsoft SQL Server. Aceste date vor fi suficiente pentru a demonstra
exploatarea vulnerabilității.

Următoarea etapă este o analiză a securității SGBD. Din nou, există unul grozav
instrument - AppDetective de la „Application Security Inc.”, dar este scump
plăcere. Din păcate, nu există un scanner de securitate similar care să fie afișat
cantitatea de informații pe care AppDetective o poate face și a suportat aceeași cantitate
SGBD-ul nu există în prezent. Și de aceea trebuie să ținem cont
multe produse separate, fără legătură, care sunt adaptate
lucrul cu anumiți furnizori. Deci, pentru Oracle setul minim
pentester va fi după cum urmează:

• Oracle Database Client - mediu de lucru cu DBMS
• Toad pentru Oracle – client pentru lucrul cu PL/SQL
• Oracle Assessment Kit - Spalarea utilizatorilor și a SID-urilor bazei de date
• diverse scripturi PL/SQL (de exemplu, audit de configurare sau
  capacitatea de a coborî la nivelul execuției comenzii OS)

Etapa finală a testării de penetrare PCI este analiza
securitatea rețelelor wireless, sau mai degrabă, nici măcar analiză, ci căutarea punctelor de acces,
folosind configurații vulnerabile, cum ar fi Open AP, WEP și WPA/PSK. Cu altul
Pe de altă parte, standardul PCI nu interzice analize mai profunde, inclusiv
cu recuperarea cheilor pentru conectarea la o rețea fără fir. Pentru că are sens
efectuează astfel de lucrări. Instrumentul principal în această etapă este
desigur că va fi aircrack-ng. În plus, puteți efectua un atac care vizează
clienți wireless, cunoscuți sub numele de „Caffe Latte”, folosind același
instrument. Când efectuați un sondaj privind rețeaua fără fir, puteți în siguranță
se ghidează după datele de pe site
wirelessdefense.org.

În loc de concluzie

Pe baza rezultatelor testării, toate informațiile colectate sunt analizate în
în contextul respectării cerințelor tehnice ale standardului PCI DSS. Și cum sunt deja
notat de la bun început, în același mod, datele obținute în timpul unui pentest pot fi
interpretat în contextul oricărui alt document la nivel înalt,
conţinând criterii tehnice şi recomandări pentru sistemul de management
securitatea informatiei. Referitor la modelul de raportare utilizat
Documente PCI - puteți utiliza cerințele MasterCard pentru raportarea PCI
Scanare AsV. Acestea prevăd împărțirea raportului în două documente -
un document de nivel superior pentru manager care conține grafice frumoase
și este indicat procentul de conformitate a stării curente a sistemului cu cerințele PCI DSS,
și un document tehnic care conține un protocol de testare efectuat pentru
penetrare, vulnerabilități identificate și exploatate, precum și recomandări pentru
aducerea sistemului informatic în conformitate cu cerințele MasterCard.
Acum pot să-mi iau rămas bun și să-ți urez succes în cercetare!

WWW

pcisecuritystandards.org - Consiliul pentru standarde de securitate PCI.
pcsecurity.ru – portal,
dedicat PCI DSS de la Informzashchita.
pcdss.ru – un portal dedicat
PCI DSS de la Digital Security.
isecom.org/osstmm - Deschide
Manualul Metodologiei de Testare a Securității Sursei.
owasp.org - Deschideți aplicația web
Proiect de securitate.