Соответствие стандарту pci. Сертификация PCI DSS: все, что нужно знать. Анализ разграничения доступа

№ 4 (180) ’2012

Годы внедрения стандарта PCI DSS в России уже принесла свои плоды в виде наличия сертифицированных инфраструктур компаний — участников платежного процесса. Однако, как и любая другая предметная область, за прошедшие годы тематика PCI DSS обросла большим количеством нетривиальных вопросов. Представляю Вашему вниманию первую статью цикла, посвященную обзору индустрии платежных карт и системе сертификации PCI DSS. Для профессионалов отрасли некоторые моменты покажутся очевидными, однако моей целью является представление читателю целостного описания.

Индустрия платежных карт

Для приведения к общему знаменателю терминологии и основных понятий, о которых пойдет речь в цикле статей, посвященном управлению соответствием требованиям стандарта PCI DSS, предлагаю краткий обзор платежной индустрии. Большая часть информации в этом обзоре, без сомнения, является очевидной для многих читателей. Известно, что международные платежные системы Visa и MasterCard представляют собой сообщества банков-эмитентов, выпускающих платежные карты, и банков-эквайеров, принимающих платежные транзакции по этим картам. Банки имеют различные уровни участия в платежных системах и делятся на принципалов и аффилированных членов. Платежные транзакции из магазинов и других торговых точек могут идти к банкам-эквайерам напрямую, либо через платежные шлюзы. Все участники индустрии платежных карт с точки зрения международных платежных систем делятся на две категории — торгово-сервисные предприятия, они же мерчанты (от англ. merchant — торговец), и поставщики услуг. Мерчанты — это все компании, которые принимают платежные карты в оплату за свои товары или услуги. Примерами таких компаний являются розничные и Интернет-магазины, рестораны, парикмахерские, автозаправочные станции и т. д. Поставщики услуг — это компании, которые предоставляют сервис, чаще всего в сфере информационных технологий, способствующий выполнению платежных транзакций. Это банки, платежные шлюзы, дата-центры, поставщики услуг эмиссии карт, и прочие организации, обслуживающие платежный процесс. Структура индустрии наглядно представлена на рисунке 1.

Следует помнить о том, что международные платежные системы возлагают всю ответственность за обеспечение безопасности данных в индустрии платежных карт на банки-эквайеры. Они ответственны за безопасность карточных данных, поступающих к ним от нижестоящих организаций — мерчантов и поставщиков услуг. То есть за утечку перечня номеров карт в информационной инфраструктуре магазина ответственность перед международными платежными системами понесет банк-эквайер. Существуют механизмы переноса ответственности в индустрии платежных карт, например применение технологии 3-D Secure, однако здесь следует различать ответственность за мошеннические транзакции и ответственность за утечку карточных данных.

Рис. 1. Торгово-сервисные предприятия и поставщики услуг

Стандарты PCI DSS и PCI PA-DSS

Объединив однажды усилия в борьбе с нарушениями безопасности платежных транзакций, международные платежные системы создали в 2006 году общий международный регулирующий орган в сфере безопасности платежных карт — Совет PCI SSC. На эту организацию возложены задачи развития стандартов PCI DSS, PCI PA-DSS и PCI PTS, а также обучения, сертификации и контроля качества работы аудиторов безопасности — QSA-аудиторов.

Все годы существования стандартов ведется дискуссия на тему того, является ли стандартизация правил обеспечения информационной безопасности по принципу контрольной карты, то есть перечня конкретных мер, оптимальным способом защиты карточных данных, или же это излишня формальность. Ведь существует положительно зарекомендовавший себя риск-ориентированный подход, при котором нет предустановленного заранее перечня мер, а есть правило регулярного выполнения оценки актуальных угроз и выявления уязвимостей защищаемой системы. Решение этой дилеммы состоит в том, что стандартизация перечня конкретных мер по примеру PCI DSS полезна на том уровне зрелости системы обеспечения информационной безопасности, когда риск-ориентированная система менеджмента еще не выполнила достаточное количество итераций цикла «анализ рисков — внедрение контрмер — оценка — корректировка», чтобы сформировать эффективную защиту. Примером может служить то, как мама учит малыша не трогать горячую поверхность утюга. Пока утюг еще недостаточно изучен ребенком, или не получен болезненный опыт прикосновения, единственным способом попробовать избежать ожога могут быть только слова взрослой мамы, гласящие: «не трогай утюг, будет больно!».

Стандарт PCI DSS применим к организациям, обрабатывающим, хранящим и передающим данные о держателях карт. Забегая вперед, необходимо уточнить, что Интернет магазины, не обрабатывающие номера карт на своем сайте, а пересылающие клиента на сайт аутсорсного платежного шлюза для выполнения оплаты, тоже попадают под сертификацию по PCI DSS. Однако с точки зрения способа подтверждения соответствия, к ним применим наиболее простой опросный лист (SAQ) типа «А», содержащий в себе всего тринадцать проверочных процедур из двухсот восьмидесяти восьми имеющихся в стандарте PCI DSS версии 2.0.

Объектом применения родственного стандарта PA-DSS, в отличие от PCI DSS, является конкретное платежное приложение, разрабатываемое для продажи неограниченному кругу конечных пользователей — участников индустрии платежных карт. Примерами таких приложений являются программные модули POS-теминалов, авторизационные приложения, а также иные коробочные решения для обработки карточных транзакций. С июля 2012 года согласно требованиям международных платежных систем Visa и MasterCard мерчанты обязаны использовать только сертифицированные по стандарту PA-DSS платежные приложения. Контроль над выполнением этого требования возложен на банки-эквайеры. Существует перечень из тринадцати вопросов, которые позволяет более точно сказать, попадает приложение под программу сертификации по PA-DSS или нет. Этот документ доступен на официальном сайте Совета PCI SSC.

Внедрение PCI DSS

Классический проект по внедрению стандарта PCI DSS в организации обычно состоит из следующих этапов:

Анализ исходного уровня соответствия
Приведение к требуемому уровню соответствия
Подтверждение соответствия
Поддержка соответствия

Любой из этих этапов может быть выполнен как самостоятельно организацией, так и привлеченным консультантом. Единственное действие, которое не может быть выполнено самостоятельно — внешний сертификационный аудит, если таковой требуется для организации.
Оптимальным и наиболее часто применяемым на практике вариантом является такой, когда часть работ выполняется самой организацией, а часть отдается на аутсорсинг внешнему консультанту.

Схема такого проекта приведена на рисунке 2. Работы по исходной оценке соответствия и разработке рекомендаций по выполнению требований стандарта осуществляются привлеченным консультантом, а непосредственное внедрение изменений в информационные системы осуществляется системными администраторами организации-заказчика. При этом консультант оказывает поддержку и подготавливает сопроводительную документацию, необходимую для сертификации. Затем следуют итоговые проверки защищенности информационной инфраструктуры и процедура подтверждения соответствия стандарту.

Рис. 2. Типовой проект по внедрению PCI DSS

Отдельно следует сказать про варианты подтверждения соответствия стандарту PCI DSS. Для участников индустрии платежных карт существуют три способа подтвердить соответствие — это внешний аудит, внутренний аудит, и заполнение листа самооценки. Внешний аудит выполняется сотрудником внешней аудиторской организацией (Qualified Security Assessor, QSA), сертифицированной Советом PCI SSC. Внутренний аудит проводится прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором (Internal Security Assessor, ISA). Третий вариант подтверждения выполняется самостоятельно сотрудниками организации путем заполнения листа самооценки (Self-Assessment Questionnaire, SAQ). Правила, регулирующие, каким именно способом подтверждается соответствие стандарту, определяются международными платежными системами индивидуально для разных видов мерчантов и поставщиков услуг, но могут быть переопределены банками-эквайерами. Актуальная версия правил в общем виде всегда доступна на официальных сайтах международных платежных систем.

Следует отметить, что форма листа самооценки SAQ бывает нескольких типов (A, B, C, C-VT, D), а выбор типа листа зависит от специфики обработки карточных данных в организации. Схема применимости различных вариантов подтверждения соответствия приведена в таблице.

В следующей статье цикла «Управление соответствием PCI DSS» я расскажу про определение области применимости PCI DSS в информационной инфраструктуре организации, методы ее уменьшения с целью снижения расходов на внедрение стандарта, а также отвечу на вопрос, подлежит ли сертификационному аудиту процесс эмиссии платежных карт.

Таблица. Варианты подтверждения соответствия PCI DSS

Вариант	Применимость	Количество проверочных процедур
SAQ A	Мерчанты, выполняющие card-not-present транзакции, отдавшие все функции по электронной обработке, хранению и передаче карточных данных поставщику услуг, подтвердившему соответствие PCI DSS.	13
SAQ B	Мерчанты, использующие POS-терминалы, использующие телефонную линию, не передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных.	29
SAQ C	Мерчанты, использующие POS-терминалы или платежные приложения, передающие карточные данные через Интернет, и не имеющие электронных хранилищ карточных данных.	40
SAQ C-VT	Мерчанты, использующие через Интернет виртуальные веб-терминалы от поставщика услуг, подтвердившего соответствие PCI DSS, и не имеющие электронных хранилищ карточных данных.	51
SAQ D	Все мерчанты и все поставщики услуг, кроме тех, кому согласно требованиям МПС или эквайера необходим ISA- или QSA-аудит.	288
ISA-аудит	Все мерчанты, кроме тех, кому согласно требованиям МПС или эквайера необходим QSA-аудит.	288
QSA-аудит	Все мерчанты и все поставщики услуг.	288

Организации, хранящие, обрабатывающие и передающие данные платежных карт международных платежных систем (Visa, MasterCard, American Express, Discover, JCB), обязаны выполнять требования стандарта PCI DSS. Платежными системами определены периодичность и форма подтверждения соответствия требованиям стандарта, а также санкции за их невыполнение и компрометацию данных платежных карт.

Для помощи организациям в выполнении требований стандарта компания «Информзащита» предлагает различные варианты услуги по обеспечению соответствия PCI DSS, учитывающие задачи и специфику клиента. В их числе:

PCI DSS Compliance. Услуга предполагает приведение уровня информационной безопасности компании в соответствие требованиям стандарта PCI DSS c «нуля». Включает в себя:

Предварительный аудит с разработкой плана приведения в соответствие;
Непосредственно этап приведения;
Финальный сертификационный аудит.

Поддержание соответствия требованиям PCI DSS. Услуга предполагает помощь организациям, уже имеющим сертификат соответствия PCI DSS и заинтересованным в его очередном подтверждении.
Сертификационный аудит PCI DSS. Услуга предназначена для организаций, самостоятельно реализовавших требуемые PCI DSS меры защиты и заинтересованных только в итоговой оценке соответствия.
Сертификация программного обеспечения по требованиям стандарта PA-DSS. В 2008 году Советом по безопасности индустрии платежных карт (PCI SSC) принят стандарт безопасности платежных приложений – Payment Application Data Security Standard (PA-DSS), направленный на поддержку выполнения требований стандарта PCI DSS. По требованиям платежных систем VISA и MasterCard все «коробочные» приложения, участвующие в обработке транзакций авторизации или проведении расчетов по платежным картам, должны быть сертифицированы по стандарту PA-DSS.
Платежными системами VISA и MasterСard определен срок по завершению перехода агентов и предприятий торгово-сервисной сети на использование сертифицированных приложений – 1 июля 2012 г.
Сертификацию приложений на соответствие стандарту PA-DSS может проводить только аудитор, имеющий статус PA-QSA. «Информзащита» – первая в России компания, имеющая данный статус.
Специалисты «Информзащиты» с 2009 года проводят аудиты на соответствие стандарту PA-DSS. За время проведения работ нами сертифицировано более 10 приложений: процессинговое программное обеспечение, приложения платежных терминалов и электронной коммерции. Накопленный опыт позволяет определить оптимальную для разработчика схему проведения подготовительных работ и сертификации. Внедрение требований обеспечения безопасной разработки и сопровождения программного обеспечения осуществляется с учетом существующих процессов. Уровень итоговых документов и наработанная практика обеспечивают минимальный срок прохождения обязательной процедуры контроля качества со стороны PCI SSC.
Поддержание соответствия программного обеспечения требованиям стандарта PA-DSS. Изменения, вносимые в сертифицированные PA-DSS платежные приложения, подлежат анализу и в ряде случаев влекут за собой обязательную процедуру повторной сертификации. Объем и отчетные документы проводимой сертификации зависит от типа изменений.
Сертифицированные аудиторы Информзащиты обладают опытом в формировании политик релизов с учетом требований стандарта и реалий вендора, проведения повторной сертификации для всех определенных стандартом типов изменений, согласовании итоговых документов с PCI SSC.
Подход к обеспечению повторных сертификаций формируется на основании пожеланий разработчика и ориентируется на существующую практику выпуска обновлений со стороны разработчика приложений.
Сканирование PCI ASV, сканирование WEB приложений. Компания «Информзащита» является сертифицированным (сертификат №4159-01-08) поставщиком сканирований PCI ASV. Сканирование PCI ASV обеспечивает выполнение пункта 11.2.2 стандарта PCI DSS. Помимо формального соответствия стандарту, сканирование PCI ASV позволяет оценить защищенность Вашего внешнего сетевого периметра, выявить уязвимости и некорректные конфигурации.
Комплексный тест на проникновение по требованиям PCI DSS. Услуга включает практическую оценку возможности осуществления несанкционированного доступа к данным платежных карт или сетевым ресурсам, обрабатывающим данные платежных карт (требование пункта 11.3 PCI DSS).
Разработка для банков-эквайеров программы соответствия мерчантов требованиям PCI DSS. Согласно требованиям международных платежных систем, банки-эквайеры несут ответственность за выполнение своими мерчантами требований стандарта PCI DSS. В рамках услуги осуществляется разработка программы контроля соответствия мерчантов требованиям стандарта PCI DSS на основе программ безопасности международных платежных систем Account Information Security и Site Data Protection.
Помощь в заполнении листа самооценки PCI DSS. Услуга предназначена для мерчантов и сервис-провайдеров с небольшими объемами транзакций. В рамках услуги компания «Информзащита» оказывает помощь в проведении оценки соответствия с заполнением листа самооценки PCI DSS.

Проведение работ позволит выполнить предъявляемые стандартом требования, снизить риски компрометации данных платежных карт и избежать санкций со стороны международных платежных систем.

Компания «Информзащита» первой в РФ получила статусы QSA и ASV, дающие право выполнять сертификационные аудиты PCI DSS и внешние ASV-сканирования. По количеству сертифицированных QSA-аудиторов «Информзащита» превосходит другие российские компании. Таким образом, с каждым клиентом работает персональный специалист. Компания успешно прошла контроль качества отчетов со стороны PCI SSC, подтвердивший высокое качество предоставляемых клиентам услуг. С 2006-го года компания выполнила для банков, независимых процессинговых центров, сервис-провайдеров, дата-центров и мерчантов более 90 проектов по приведению к соответствию и сертификации PCI DSS.

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB, Discover. Стандарт регламентирует предопределенный перечень требований, как с технической, так и с организационной стороны, подразумевая комплексный подход с высокой степенью требовательности к обеспечению безопасности данных платежных карт (ДПК).

# На кого распространяются требования стандарта PCI DSS?

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.

Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.

Рисунок 1. Определение необходимости соответствия стандарту PCI DSS

Первым делом следует ответить на два вопроса:

Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?

При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.

# Каковы требования стандарта PCI DSS?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

# Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.

Таблица 2. Способы подтверждения соответствия стандарту PCI DSS

Внешний аудит QSA (Qualified Security Assessor)	Внутренний аудит ISA (Internal Security Assessor)	Самооценка SAQ (Self Assessment Questionnaire)
Выполняется внешней аудиторской организацией QSA , сертифицированной Советом PCI SSС.	Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором .Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом.	Выполняется самостоятельно путём заполнения листа самооценки.
В результате проверки QSA -аудиторы собирают свидетельства выполнения	В результате проверки ISA -аудиторы , как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт.	Сбор свидетельств выполнения требований стандарта не требуется.
По результатам проведённого аудита подготавливается отчёт о соответствии — ROC (Report on Compliance).		Самостоятельно заполняется лист самооценки SAQ .

Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.

# В какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

Торгово - сервисное предприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).

Поставщик услуг - организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций (дата-центры, хостинг-провайдеры, платежные шлюзы, международные платежные системы и т. д.).

В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

Стоит отметить, что банк, участвующий в процессе приёма платёжных карт к оплате за товары или услуги, так называемый банк-эквайер , а также международные платежные системы (МПС) могут переопределить уровень подключённого к ним торгово-сервисного предприятия или используемого поставщика услуг согласно своей собственной оценке рисков. Присвоенный уровень будет иметь приоритет перед классификацией международной платёжной системы, указанной на рисунке 2.

Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS

# Представляет ли однократное нарушение сроков ASV-сканирования серьёзный риск с точки зрения соответствия PCI DSS?

Организация, получившая статус PCI DSS, должна регулярно выполнять ряд требований, например проводить ежеквартальное ASV-сканирование. При первичном прохождении аудита достаточно иметь документированную процедуру ASV-сканирования и результаты хотя бы однократного её успешного выполнения за последние три месяца. Все последующие сканирования должны быть ежеквартальными, отрезок времени не должен превышать трёх месяцев.

Нарушение расписания внешнего сканирования на уязвимости влечет за собой наложение дополнительных требований к системе менеджмента информационной безопасности в организации. Во-первых, необходимо будет все же провести ASV-сканирование на уязвимости, добиться «зеленого» отчета. А во-вторых, потребуется разработать дополнительную процедуру, которая не будет допускать подобных нарушений расписания в будущем.

В заключение

Основные выводы можно выразить цитатой Петра Шаповалова, инженера по защите информации ООО «Дейтерий» :

«Несмотря на то, что на территории Российской Федерации уже начала функционировать своя Национальная система платежных карт (НСПК), требования международных платежных систем не упразднили. Наоборот, в последнее время от Visa и MasterCard участились письма банкам-эквайерам о том, чтобы последние требовали соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий.

Актуальной для российского рынка сейчас является услуга по управляемым сервисам. Заключается она в том, что поставщик услуг предоставляет клиентам не только оборудование или виртуальную информационную инфраструктуру в аренду, но и услуги по ее администрированию в соответствии с требованиями стандарта PCI DSS. Особенно полезно это для небольших торгово-сервисных предприятий, которые не имеют своих подразделений информационных технологий и информационной безопасности. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации по стандарту PCI DSS для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне».

В качестве примера компании, предоставляющей услуги по управляемым сервисам PCI DSS (не только аренда инфраструктуры PCI DSS, но и её администрирование в соответствии с требованиями стандарта), можно привести .

#PCI

Внимание! Эта статья о шине PCI и её производных PCI64 и PCI-X("Пи-си-ай Икс")! Не путайте её с более новой шиной ("Пи-си-ай Экспресс"), которая полностью несовместима с шинами, описанными в данном FAQ.

PCI 2.0 - первая версия базового стандарта, получившая широкое распространение, использовались как карты, так и слоты с сигнальным напряжением только 5В.

PCI 2.1 - отличалась от 2.0 возможностью одновременной работы нескольких bus-master устройств (т.н. конкурентный режим), а также появлением универсальных карт расширения, способных работать как в 5В, так и в 3.3В слотах. Способность работать с 3.3В картами и наличие соответствующих линий питания в версии 2.1 являлась опциональной.Появились расширения PCI66 и PCI64.

PCI 2.2 - версия базового стандарта шины, допускающая подключение карт расширения с сигнальным напряжением как 5В, так и 3.3В. 32-битные версии этих стандартов являлись наиболее распространённым типом слотов на на момент написания FAQ. Используются слоты типа 32-бита, 5В.
Cделанные в соответствии с этими стандартами карты расширения имеют универсальный разъём и способны работать практически во всех более поздних разновидностях слотов шины PCI, а также, в некоторых случаях, и в слотах 2.1.

PCI 2.3 - следующая версия общего стандарта на шину PCI, слоты расширения, соответствующие этому стандарту, несовместимы с картами PCI 5В, несмотря на продолжающееся использование 32-битных слотов с 5В-ключом. Карты расширения имеют универсальный разъём, но не способны работать в 5В-слотах ранних версий (до 2.1 включительно).
Напоминаем, что напряжение питания (не сигнальное!) 5В сохраняется абсолютно на всех версиях разъёмов шины PCI.

PCI 64 - расширение базового стандарта PCI, появившееся в версии 2.1, удваивающее число линий данных, и, следовательно, пропускную способность. Cлот PCI64 является удлинённой версией обычного PCI-слота. Формально совместимость 32-битных карт с 64-битным слотами (при условии наличия общего поддерживаемого сигнального напряжения) полная, а совместимость 64-битной карты с 32-битным слотами является ограниченной (в любом случае произойдёт потеря производительности), точные данные в каждом конкретном случае можно узнать из спецификаций устройства.
Первые версии PCI64 (производные от PCI 2.1)использовали слот PCI 64-бита 5В и работали на тактовой частоте 33МГц.

PCI 66 - появившееся в версии 2.1 расширение стандарта PCI с поддержкой тактовой частоты 66МГц, также, как и PCI64 позволяет удвоить пропускную способность. Начиная с версии 2.2 использует 3.3В-слоты (32-битный вариант на ПК практически не встречается), карты имеют универсальный либо 3.3В форм-фактор. (Имелись и основанные на версии 2.1 казуистически редкие на рынке ПК 5В 66МГц решения, подобные слоты и платы были совместимы только между собой)

PCI 64/66 - комбинация двух вышеописанных технологий, позволяет учетверить скорость передачи данных по сравнению с базовым стандартом PCI, и использует 64 бита 3.3В слоты, совместимые только с универсальными и 3.3В 32-битными картами расширения. Карты стандарта PCI64/66 имеют универсальный (имеющий ограниченную совместимость с 32-битными слотами) либо 3.3В форм-фактор(последний вариант принципиально не совместим с 32-битными 33МГц слотами популярных стандартов)
В настоящее время под термином PCI64 подразумевается именно PCI64/66, поскольку 33МГц 5В 64-битные слоты не применяются уже достаточно давно.

PCI-X 1.0 - Расширение PCI64 с добавлением двух новых частот работы, 100 и 133МГц, а также механизма раздельных транзакций для улучшения производительности при одновременной работе нескольких устройств. Как правило, обратно совместима со всеми 3.3В и универсальными PCI-картами.
PCI-X карты обычно выполняются в 64-бит 3.3В формате и имеют ограниченную обратную совместимость со слотами PCI64/66, а некоторые PCI-X карты - в универсальном формате и способны работать (хотя практической ценности это почти не имеет) в обычном PCI 2.2/2.3.
В сложных случаях для того, чтобы быть полностью уверенным в работоспособности выбранной вами комбинации из мат.платы и карты расширения, случае надо посмотреть таблицы совместимости (compatibility lists) производителей обоих устройств.

PCI-X 2.0 - дальнейшее расширение возможностей PCI-X 1.0, добавлены скорости в 266 и 533МГц, а также коррекция ошибок чётности при передаче данных.(ECC). Допускает расщепление на 4 независимых 16-битных шины, что применяется исключительно во встраиваемых и промышленных системах, сигнальное напряжение снижено до 1.5В, но сохранена обратная совместимость разъёмов со всеми картами, использующими сигнальное напряжение 3.3В.

PCI-X 1066/PCI-X 2133 - проектируемые будущие варианты шины PCI-X, c результирующими частотами работы 1066 и 2133МГц соответственно, изначально предназначенные для подключения 10 и 40Гбит Ethernet адаптеров.

Для всех вариантов шины PCI-X существуют следующие ограничения по количеству подключаемых к каждой шине устройств:
66МГц - 4
100МГц - 2
133МГц - 1 (2, если одно или оба устройства не находятся на платах расширения, а уже интегрированы на одну плату вместе с контроллером)
266,533МГц и выше -1.

Вот почему в некоторых ситуациях для обеспечения стабильности работы нескольких установленных устройств необходимо ограничивать максимальную частоту работы использованной шины PCI-X (обычно это делается джамперами)

СompactPCI - стандарт для разъёмов и карт расширения, применяемый в промышленных и встраиваемых компьютерах. Механически не совместим ни с одним из "общих" стандартов.

MiniPCI - стандарт для плат и разъёмов для интеграции в ноутбуки (обычно используется для адаптеров беспроводной сети) и непосредственно на поверхность . Также механически ни с чем кроме себя не совместим.

Типы PCI-карт расширения:

Сводная таблица конструктивов карт и слотов в зависимости от версии стандарта:

Cводная таблица совместимости карт и слотов в зависимости от версии и конструктива:

	Карты
Слоты	PCI 2.0/2.1 5B	PCI 2.1 универсальный	PCI 2.2/2.3 универсальный	PCI64/5B (33МГц)	PCI64/универсальный	PCI64/3.3B	PCI-X/3.3B	PCI-X универсальный
PCI 2.0	Совместимы	Совместимы	Несовместимы		Ограниченно совместимы с потерей производительности	Несовместимы
PCI 2.1	Совместимы	Совместимы	Ограниченно совместимы	Ограниченно совместимы с потерей производительности	Ограниченно совместимы с потерей производительности	Несовместимы
PCI 2.2	Совместимы			Ограниченно совместимы с потерей производительности	Ограниченно совместимы с потерей производительности	Несовместимы	Несовместимы	Ограниченно совместимы с потерей производительности
PCI 2.3	Несовместимы	Ограниченно совместимы	Совместимы	Несовместимы	Ограниченно совместимы с потерей производительности	Несовместимы	Несовместимы	Ограниченно совместимы с потерей производительности
PCIБ 64/5B(33МГц)	Совместимы	Совместимы	Ограниченно совместимы	Совместимы	Ограниченно совместимы с потерей производительности	Несовместимы	Несовместимы	Ограниченно совместимы с потерей производительности
PCI64/3.3B	Несовместимы	Ограниченно совместимы	Совместимы	Несовместимы	Совместимы	Совместимы	Ограниченно совместимы с потерей производительности	Ограниченно совместимы с потерей производительности
PCI-X	Несовместимы	Ограниченно совместимы	Совместимы	Несовместимы	Совместимы

В нескольких ранних публикация мы с вами уже рассматривали некоторые международные стандарты в области информационной безопасности. Однако, преимущественно они относились к in-house , т.е. внутренней инфраструктуре компании. Наиболее явственно понимание ИБ приходит, когда безопасность напрямую связана с финансами, когда в цифрах показывает свое существенное влияние на бизнес. Поэтому сегодня мы поговорим о безопасности в финансовых институтах, таких как банки, кредитные организации, платежные агенты и т.д. Все они занимаются денежными переводами, а значит попадают по действие отраслевого стандарта PCI DSS (Payment Card Industry Data Security Standard)

Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa , MasterCard и другими. Стандарт разработан сообществом PCI Security Standards Council , в которое входят мировые лидеры на рынке платежных карт, такие как American Express , Discover Financial Services, JCB, MasterCard Worldwide и Visa International . Требования стандарта PCI DSS распространяются на все компании , которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.). В России соответствие стандарту PCI DSS стало обязательным к применению в соответствующих организациях с 2007 года.

Согласно результатам исследования Analysys Mason , примерно 42% поставщиков облачных сервисов соблюдают стандарты безопасности данных отрасли платежных карточек (PCI DSS, Payment Card Industry Data Security Standard). Они действуют во всем мире и касаются всех организаций, которые обрабатывают кредитные карты, а также хранят или передают информацию об их держателях. Этот стандарт был введен, чтобы дать отрасли платежных карт больше контроля за конфиденциальными данными и исключить возможность их утечки. Также, он призван гарантировать защиту потребителей от мошенничества или кражи идентификационной информации при использовании ими кредитных карт.

Как по классификации Visa, так и по классификации MasterCard, системы, обрабатывающие, хранящие или передающие данные о более чем 6млн транзакций в год, относятся к первому уровню (Level 1) и обязаны ежегодно проходить аудит .

ИСТОРИЯ РАЗВИТИЯ СТАНДАРТА

1.0 — первоначальная версия стандарта.

1.1 — принята в сентябре 2006 года.

1.2 — принята в октябре 2008 года.

2.0 — принята в октябре 2010 года.

3.0 — принята в ноябре 2013 года.

3.1 — принята в апреле 2015 года.

PCI DSS, версия 3.0

`Новая версия PCI-DSS 3.0 превратит стандарт в органичную часть обычных бизнес-операций, — рассказал eWeek Боб Руссо, главный управляющий совета Payment Card Industry Security Standards Council (PCI SSC). — Мы хотим попытаться отучить людей считать, что PCI-DSS можно заняться раз в год, а потом про него не думать. В реальной обстановке нередко возникают бреши`.

PCI-DSS зачастую рассматривался лишь как основа для проверки компании на соответствие нормативам, когда можно поставить галочку, что в данный момент все в порядке, и спокойно переходить к другим делам. Боб Руссо подчеркнул, что в новом стандарте PCI-DSS 3.0 сделан акцент на обучении и политике, делающий безопасность платежей повседневной задачей и элементом постоянно поддерживаемого порядка. Суть в том, что стандарт поможет вести более согласованный процесс-ориентированный контроль, что особенно важно для крупных организаций. И в нем также усилен акцент на постоянной ответственности, а не только на эпизодическом PCI-DSS-аудите.

Один из аспектов критики стандарта PCI-DSS — отсутствие ясности в его положениях. Например, стандарт может потребовать, чтобы организация развернула Web Application Firewall (WAF) без детализации нужной конфигурации сетевого экрана или даже объяснения, почему он так необходим. Такую критику в четкой и резкой форме высказывали члены PCI SCC, и это потребовало разработки нового улучшенного стандарта.

В прошлых версиях стандарта всегда присутствовали две колонки, объяснявшие то или иное требование по контролю безопасности. В первой колонке формулировалось требование, а во второй давались подробности процедуры тестирования. В стандарте PCI-DSS 3.0 должна появиться третья колонка, где, по словам Лича, будут содержаться жизненные примеры рисков, на уменьшение которых направлена данная мера контроля безопасности.

Так, в случае WAF новый стандарт будет объяснять, что умеет делать эта технология и какие типы рисков она поможет смягчить.

Одно из важных изменений в стандарте PCI-DSS 3.0 связано с использованием паролей. В последние три года PCI SCC провел ряд исследований по надежности паролей, которые помогли сформулировать новые требования.

Одним из требований PCI-DSS 3.0, которое торговле необходимо будет выполнить, является своевременное обнаружение вредоносного кода. Положение 5.1.2 было добавлено, чтобы любое лицо, обрабатывающее данные платежных карт, владело надежным процессом управления рисками в этой области.

В стандарте PCI-DSS 3.0 постоянно подчеркивается необходимость гибкости при управлении безопасностью, которая должна обеспечиваться различными постоянно совершенствуемыми способами.

PCI DSS, версия 2.0

28 октября 2010 года увидела свет новая версия стандарта PCI DSS , а именно – версия 2.0. Внесенные в регулирующий отрасль документ изменения радикальными назвать сложно, в основном они носят характер уточнений и разъяснений. Кроме того, некоторые проверочные процедуры были по-новому сгруппированы с целью упрощения их восприятия и выполнения при прохождении аудита.

Несмотря на то, что стандарт версии 2.0 вступил в силу с 1 января 2011 года, участники индустрии платежных карт могут использовать предыдущую версию до конца 2011 года. Подобная инициатива Совета PCI SSC позволяет выполнить постепенный переход на новую версию. Следующая версия будет подготовлена Советом PCI SSC в течение трехлетнего жизненного цикла.

Требования стандарта PCI DSS

PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

Построение и сопровождение защищённой сети

Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Защита данных держателей карт

Требование 3: обеспечение защиты данных держателей карт в ходе их хранения.
Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

Поддержка программы управления уязвимостями

Требование 5: использование и регулярное обновление антивирусного программного обеспечения.
Требование 6: разработка и поддержка безопасных систем и приложений.
Реализация мер по строгому контролю доступа
Требование 7: ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
Требование 8: присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
Требование 9: ограничение физического доступа к данным держателей карт.

Регулярный мониторинг и тестирование сети

Требование 10: контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

Поддержка политики информационной безопасности

Требование 12: разработка, поддержка и исполнение политики информационной безопасности.

Не смотря на всю открытость стандарты у многих накапливаются вопросы. На некоторые из них, мы и попытаемся ответить ниже.

1. На кого распространяются требования стандарта PCI DSS?

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS , и компании на территории Российской Федерации не являются исключением. Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS , предлагаем воспользоваться несложной блок-схемой.

Первым делом следует ответить на два вопроса:

Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?

Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?

При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.

2. Каковы требования стандарта PCI DSS?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже:

3. Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS , которые заключаются в проведении внешнего аудита (QSA) , внутреннего аудита (ISA) или самооценки (SAQ) организации.

Особенности каждого из них проиллюстрированы в таблице.

4. В какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard . Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

Торгово-сервисное предприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее). Торгово-сервисноепредприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard , поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

Стоит отметить, что банк, участвующий в процессе приёма платёжных карт к оплате за товары или услуги, так называемый банк-эквайер, а также международные платежные системы (МПС ) могут переопределить уровень подключённого к ним торгово-сервисного предприятия или используемого поставщика услуг согласно своей собственной оценке рисков. Присвоенный уровень будет иметь приоритет перед классификацией международной платёжной системы, указанной на рисунке 2.