Сертификация по стандарту PCI DSS является крайне важным аспектом для успешной деятельности современных организаций. В этом материале мы в деталях рассмотрим, что нужно для соответствия PCI DSS требованиям и как лучше пройти сертификацию в целом.
Кому необходима сертификация PCI DSS?
Данная сертификация должна быть у каждой организации, которая имеет дело с кредитными картами. Даже если вы используете, храните или передаете данные лишь с одной кредитки, вы обязаны получить PCI DSS. Давайте попытаемся понять, какой именно компании это может пригодиться?
Для понимания сути, ответьте всего на два вопроса:
- Обрабатывает ли ваша компания персональные данные владельцев кредитных карт?
- Может ли деятельность вашей компании как-либо повлиять на безопасность хранения этих карт?
В том случае, если вы дадите положительный ответ на все вопросы, то вам однозначно понадобиться сертификация PCI DSS. Если вы проигнорируете это, то вы рискуете получить внушительный штраф, который варьируется в пределах (между 10 и 200 тыс. долларов) в зависимости от ряда условий: какую платежную систему использует компания, каким статусом она обладает и как часто нарушалось это правило.
1-й шаг: сбор документации
Для прохождения аудита по стандарту PCI DSS, компания обязана предоставить ряд нормативно-распорядительных документов, касающихся информационной безопасности.
Важным моментом является составление политики ИБ, где будут описываться инструменты и шаги, предпринимаемые для обеспечения безопасности. Стоит также привести в порядок внутренний регламент по определению уязвимостей и борьбы с ними.
Помните, что все нормативные документы необходимо пересматривать каждый год, тем более, если это относится к ИТ-компании.
2-й шаг: подготовка инфраструктуры
Компании, которой необходимо пройти аудит согласно требованиям сертификации PCI DSS впервые, стоит уделить особое внимание формированию инфраструктуры, которая будет заниматься обеспечением норм, предусмотренных данной сертификацией. Это очень важно потому, что при неправильной подготовке, компании придется заново получать PCI DSS.
Чтобы все соответствовало нормам, необходимо создать выделенную сеть с соответствующими серверами. Например, аппаратная часть может быть обеспечена в виде ESX, vSphere и vCenter. За безопасность также будут отвечать отдельно созданные сетевые узлы, которые разбиваются с помощью коммутаторов. И конечно, не стоит забывать про бэкап, схему маршрута кабелей и аппаратную схему.
ИТ-инфраструктура согласно требованиям PCI DSS обязана обеспечить изолированную сеть, которая будет работать вместе с отдельным интерфейсом. С этим вам поможет хорошо известный VPN, с помощью которого вы можете с легкостью условно разбить компанию на секторы.
Создание инфраструктуры также подразумевает организацию внутреннего NTP-сервера. Необходимо создать специальные средства для отражения хакерских атак и обеспечить целостность хранимых данных.
3-й шаг: Этап 3: пентест
На этом шаге аудиторская компания проверит, насколько ваша фирма соответствует сертификату PCI DSS. Специальная команда попытается получить несанкционированный доступ к персональным данным владельцев карт, а также определит потенциальные уязвимости вашей сети.
Первое, что от вас потребуют, предоставить перечень приложений и прочих сервисов, которые будут использоваться компанией с целью их тестирования. После этого, будет необходимо продемонстрировать ОС рабочей станции и доступные права потенциальных пользователей.
Итак, как же проводится пентест?
- Nmap-сканирование: Специалисты подвергнут проверке список ваших белых IP-адресов.
- Тестирование внутренней сети и VPN: аудиторы попытаются скомпрометировать внутреннюю сеть компании, а также задействуют недоверенное соединение.
- Подключение с помощью активной учетной записи: аудиторы использую учетную запись одного из ваших сотрудников для несанкционированной авторизации внутри инфраструктуры. При наличии правильного сегментирования, этот этап не страшен.
Зачастую компании не справляются с внешними атаками на сеть, из-за нестабильной работы межсетевого экрана. Это уязвимость высокого уровня. Чтобы избежать неприятностей, можно использовать распространенное решение с развертыванием Apache и встроенного модуля Modsecurity. Конечно, никто не отменял своевременное обновление сигнатур межсетевого экрана.
К уязвимостям среднего уровня можно отнести активированный метод TRACE, встречающийся в инфраструктуре компаний. С его помощью, вы становитесь жертвой скриптинга. Также стоит обратить внимание на безопасность пользовательского интерфейса, а именно, на безопасные HTTP-заголовки. Они должны быть обеспечены вашим сервером.
Сертификация PCI DSS относит к среднему уровню угроз нерегулярное обновление ПО, поэтому не игнорируйте этот вопрос.
Уязвимости низкого уровня связаны со слабыми паролями, не использующимся и, тем не менее, установленным ПО, а также с лишними хэшами. Избавиться от этих проблем достаточно легко.
Если вы провалили первый пентест, вы можете претендовать на повторное тестирование.
4-й шаг: заключительная проверка
Аудиторская компания на финальном этапе будет осматривать комплектацию вашей ИТ-инфраструктуры. Это касается как топологии сети, так и параметров работающих ПК. Также подвергнут проверке сегментирование инфраструктуры, используемое ПО и многое другое. Неожиданностью для многих становится опрос сотрудников на знание действующей документации.
Некоторые недочеты вам разрешат исправить прямо на месте — они не будут учитываться в подведении итогов.
Главное, убедитесь, что при внесении каких-либо изменений, проводимые работы будут соответствовать требованиям сертификации PCI DSS.
Если вы сомневаетесь что ваша инфраструктура соответствует критериям сертификата, обращайтесь. Мы проведем ее комплексный аудит и обеспечим полное соответствие стандартам PCI DSS.