PCI стандартите, или как се изгражда доверие

Категория: Информационна Сигурност
Етикети:
Силвия Хаджикръстева
17.12.2006
Новосъздаденият Съвет по стандартите за PCI сигурност (PCI Security Standards Council) ще трябва да свърши доста работа, докато успее да убеди бизнеса в сериозността на проблема за сигурността на кредитните карти. Със създаването на този Съвет търговците на едро, онлайн търговците на дребно, консултантите, счетоводителите и всяка виртуална организация, която ползва онлайн плащания, ще бъдат много улеснени в работата си от PCI Data Security Standards (DSS). Чрез новосформираната институция например ще стане възможно предприемачите, които закупуват банки, да имат право на глас при по-нататъшното усъвършенстване на стандартите.
Създаването на PCI DSS беше първата важна стъпка на индустрията, свързана с плащанията, в опита й да спечели доверието на потребителите, предпочитащи да пазаруват по Интернет. Докато пионерите MasterCard и Visa напредваха в тази област, като цяло все още трябваше да се преодоляват опасенията и изискванията на издателите на кредитни карти. Например докато MasterCard разполага с глобална програма за гарантиране сигурността на плащанията, от Visa залагат на регионални програми. Сега вече има единна, обща и унифицирана система от стандарти по сигурността, която се поддържа от най-големите картоиздатели American Express, JCB, MasterCard Worldwide и Visa International.
    Целите на PCI са :
  • Да защитава информацията за притежателя на картата в съответствие със световните станадарти за сигурност на данните.
  • Да помага за намаляване на разходите и времето, необходими за изпълнението на изискванията на PCI DSS.
  • Да поддържа списък от компании - квалифицирани доставчици на решения за сигурността.
  • Да организира курсове и тренинги, както и да провежда сертифициране на оценители на сигурността (Qualified Security Assessors -QSA) и одобрени доставчици на сканиращи решения (Approved Scanning Vendors - ASV), които осигуряват един-единствен източник на тези сертфикати, признат от петте членове – основатели.
  • Да осигурява по всяко време прозрачна информация и възможност за обратна връзка на всички акционери за развитието на процеса по създаване на стандартите за сигурността на данните, препоръките или несъгласието с тях.

Особено добра е новината, че в Съвета активно ще участват всички, които имат отношение към системите за онлайн разплащания, включително търговците, финансовите институции и операторите по въвеждане на данни. Учредителките ще съставляват една трета от организацията, а останалите две трети ще се избират от Борд на съветниците измежду всички участващи компании. За първи път, например, ако търговците смятат, че някои от изискванията по стандартите са твърде тежки, те ще могат да се свързват чрез директна линия със Съвета и така да търсят съответното разрешение на проблема. Нещо повече, по този начин те ще сътрудничат за намиране начини за подобряване на програмата.
Последната версия на стандарта 1.1 е от септември 2006 г. и вече предоставя отлична рамка за опазване на данните от кредитните карти посредством защитни стени, кодиране, контрол на достъпа на крайния клиент, както и с изисквания за повече внимание (в сравнение с варианта 1.0) към сигурността на приложенията.
Намаляване на рисковете
Правилното сканиране би трябвало да помогне при оценката на ИТ активите на компанията – мрежи, приложения, бази данни, сървъри, настолни компютри и всякаква друга техника, която може да бъде атакувана. Сканирането също така би трябвало да доведе до намаляване на рисковете от атаки, като се елиминират уязвимостите, след което да се автоматизира процесът на предоставяне на доклади на съответните банкови институции.
Докато PCI изискват всички външни IP адреси, сървъри, Web апликации и клиентски приложения да се сканират, все още остава критичен проблемът с периодичното сканиране на вътрешните мрежи, които са свързани със системите за електронна търговия и онлайн плащания. А PCI стандартите са създадени с цел защита на данните по време на целия жизнен цикъл от момента на издаването на картата.
Съвети за изграждане на програма за устойчиво прилагане на PCI DSS
  • Периодичен контрол и сканиране на уязвимостите, който да се осъществява поне веднъж месечно.
  • Сканиране на системите след всяка една промяна (като конфигуриране на мрежата или добавяне на нови приложения)
  • Смяна на паролите на всеки 60 – 90 дни.
  • Да не се ползват паролите на производителя при конфигуриране на мрежата.
  • Съхраняване на данни за клиентите на подходящо място и гарантиране на тяхната сигурност.
  • Добре е всички дистанциони връзки с мрежата да могат да се контролират чрез виртуална частна мрежа (VPN).
  • Кодиране на цялата информация от кредитните карти и данните на клиентите.
  • Тестване и верификация на всички системи за сигурността и процесите чрез годишни тестове на инфраструктурата от независими компании.
    Новите PCI стандарти са актуални едва от 18 месеца, но те вече помагат съществено да се повиши сигурността на системите за извършване на онлайн търговските плащания. Сформираният Съвет по PCI стандартите ще трябва да извърви дълъг път, докато постигне целите си, а именно – да помогне на индустрията не само да осъзнае проблемите със сигурността на данните от кредитните карти, а и да работи за подобряване на програмата за действие. С времето това ще доведе и до нарастване доверието на потребителите към електронната търговия, а полза от това ще имат всички.