Jak przygotować IT do certyfikatu PCI DSS
Czym jest certyfikat PCI?
PCI DSS jest normą bezpieczeństwa wydaną przez Payment Card Industry Security Standards Council, która powstała, aby zapewnić wysoki i spójny poziom bezpieczeństwa we wszystkich środowiskach, w których przetwarzane są dane posiadaczy kart płatniczych.
Kto potrzebuje PCI DSS?
Każda firma i instytucja zajmująca się przetwarzaniem danych z kart kredytowych zobowiązana jest do przestrzegania restrykcyjnych norm bezpieczeństwa i przetwarzania danych. Przedsiębiorstwo, które nie wdrożą normy może utracić całkowitą możliwość akceptowania płatności kartami.
Wszystkie firmy pośredniczące w płatnościach online, udostępniające bramki do płatności dla klientów, muszą mieć wdrożoną normę bezpieczeństwa, która weryfikowana jest przez zewnętrznego audytora.
Wymagania stojące przed IT
Wdrożenie normy PCI DSS jest dużym wyzwaniem dla IT. Przed uzyskaniem certyfikatu konieczne jest przystosowanie infrastruktury IT pod wysokie standardy bezpieczeństwa i przetwarzania danych.
Bezpieczeństwo sieci:
Połączenia pomiędzy sieciami niezaufanymi (untrusted networks) a dowolnym komponentem środowiska danych kartowych muszą być ograniczone przez zaporę typu firewall. Ruch przychodzący i wychodzący musi być ograniczony wyłącznie do ruchu koniecznego z perspektywy środowiska danych kartowych.
Dla urządzeń typu firewall oraz router muszą być zdefiniowane standardy konfiguracji
Połączenia pomiędzy sieciami publicznymi (np. GPRS, Internet) a dowolnym komponentem środowiska danych kartowych muszą być oddzielone przez komponenty lub usługi pośredniczące zlokalizowane w strefie DMZ. Konfiguracja środowiska musi uniemożliwiać ujawnienie informacji o wewnętrznej adresacji IP jak i o routingu
Połączenia pomiędzy sieciami niezaufanymi (untrusted networks) a dowolnym komponentem środowiska danych kartowych muszą być ograniczone przez zaporę typu firewall. Ruch przychodzący i wychodzący musi być ograniczony wyłącznie do ruchu koniecznego z perspektywy środowiska danych kartowych.
Zdalny dostęp do sieci przez pracowników, administratorów i osób trzecich musi być zabezpieczony dwuskładnikową autentykacją.
Niekonsolowy dostęp administracyjny musi być szyfrowany. Dopuszczonymi technologiami są SSH, VPN lub TLS.
Systemy typu Intrusion Detection / Prevention muszą monitorować ruch w punktach krytycznych oraz na obrzeżach sieci środowiska danych kartowych.
Bezpieczeństwo systemów:
Wszystkie systemy podatne na działanie złośliwego oprogramowania (w szczególności komputery osobiste i serwery) muszą być chronione przez oprogramowanie antywirusowe, umożliwiające wykrywanie, usuwanie i ochronę przed wszystkimi znanymi typami złośliwego oprogramowania.
Wszystkie komputery przenośne oraz komputery będące własnością pracowników, posiadające dostęp do sieci firmowej muszą być wyposażone w zaporę typu firewall. Podczas pracy w sieci firmowej wszelki zewnętrzny ruch musi być ograniczony poprzez zaporę.
Wszystkie komponenty systemu oraz oprogramowanie musi mieć zainstalowane najnowsze dostarczone przez sprzedawcę łaty bezpieczeństwa. Krytyczne łaty bezpieczeństwa muszą być zainstalowane w przeciągu jednego miesiąca od daty ich wydania.
Nowo wykryte luki bezpieczeństwa muszą być zidentyfikowane oraz musza mieć nadane stosowne poziomy ryzyka.
Informacja o podatnościach dotyczących aplikacji własnych firmy z wysoką oceną ryzyka muszą być bezzwłocznie przekazywana do zespołu programistów w celu przygotowania stosownych poprawek oraz wyeliminowaniu wystąpieniu tego typu podatności w przyszłości.
W celu zapewnienia detekcji wszelkich modyfikacji krytycznych plików systemowych musi być zastosowane oprogramowanie do monitorowania integralności (file integrity monitoring software). Proces porównywania krytycznych plików musi być wykonywany, co najmniej raz w tygodniu.
W trakcie transmisji oraz podczas przechowywania wszystkie hasła muszą być przekształcane na postać nieczytelną przy wykorzystaniu silnej kryptografii.
Najpóźniej po 15 minutach nieaktywności podczas interaktywnej pracy z systemem sesja ta musi zostać rozłączona lub aktywować się wygaszacz ekranu. W celu ponownej aktywacji sesji użytkownik terminala musi wprowadzić hasło.
Wszystkie fabryczne ustawienia domyślne muszą zostać zmienione przed instalacją systemu w sieci.
Komponenty systemowe przechowujące dane kartowe muszą być zlokalizowane w sieci wewnętrznej.
Kopie Zapasowe:
Wszystkie istotne dane produkcyjne, w tym bazy danych systemu rzeczywistego oraz back-office, pliki raportowe, konfiguracja systemu, itd. muszą być archiwizowane. Częstotliwość wykonywania kopii zapasowych zależy od ważności danych i nie może być mniejsza od raz dziennie dla danych krytycznych.
Kopie zapasowe na wymiennych nośnikach danych muszą być przechowywane w lokalizacji typu off-site. Lokalizacja ta podlega przeglądowi, co najmniej raz w roku.
W celu zachowania ścisłej kontroli nad wymiennymi nośnikami kopii zapasowych należy okresowo wykonywa
Co jeszcze?
Niezbędna jest dokumentacja oraz dobrze napisana polityka bezpieczeństwa i przetwarzania informacji. Należy w niej ująć wszystkie instrukcje przetwarzania danych oraz określić czynności jakie wykonywane są w ramach spełniania wymogów bezpieczeństwa. Poza najważniejszymi punktami dla IT, należy określić czynności takie jak:
Logowanie i auditing
Zabezpieczenia serwerów oraz stacji roboczych
Zarządzanie dostępem
Konta użytkowników i hasła
Uprawnienia użytkowników
Konta osobiste
Struktura kont administracyjnych, technicznych i awaryjnych
Bezpieczeństwo fizyczne
Rozwój i wdrożenia
Jak się do tego zabrać?
Zaczynamy od audytu i inwentaryzacji. Po udokumentowaniu stanu bieżącego, należy przygotować dokumentacje pod certyfikat PCI DSS, a następnie porównać dokumenty i wskazać różnice, które muszą zostać zaktualizowane. Dobrze opisane środowisko pozwala na łatwiejszą i szybszą konfiguracje systemów oraz zaprojektowanie rozwiązań pomagających utrzymać i spełnić wszystkie wymagania bezpieczeństwa.
W razie potrzeby zapraszamy do kontaktu. Mamy doświadczenie we wdrażaniu normy PCI DSS, doradztwie oraz audycie firm.
Kommentare