Технологические требования платежных систем

News, Premium2, Банковские карты

Стандарт безопасности данных индустрии платежных карт PCI DSS продолжает эволюционировать вместе с технологиями. Версия 4.0, выпущенная в марте 2022 года, представляет собой значительный шаг вперед в развитии стандартов безопасности платежной индустрии, вводя новые концепции и расширенные требования к защите данных банковских карт.

Часть 1: Эволюция и основы платежных систем

В современном мире электронные платежи стали неотъемлемой частью повседневной жизни. За каждой успешной транзакцией стоит сложная инфраструктура, соответствующая строгим технологическим требованиям международных платежных систем. VISA и Mastercard, являясь лидерами индустрии, устанавливают высокие стандарты для всех участников платежного рынка, обеспечивая безопасность и надежность каждой операции.

История развития технологических требований платежных систем неразрывно связана с эволюцией самой отрасли. От первых карт с механическим импринтером до современных бесконтактных платежей – каждый этап развития сопровождался появлением новых стандартов и требований. Сегодня эти требования представляют собой комплексную систему правил, охватывающую все аспекты обработки платежей: от физической безопасности центров обработки данных до криптографической защиты передаваемой информации.

Современная инфраструктура платежной системы представляет собой сложный технологический комплекс, включающий множество взаимосвязанных компонентов. В его основе лежат центры обработки данных (ЦОД), соединенные высокоскоростными каналами связи. Каждый элемент этой системы должен соответствовать строгим требованиям по производительности, надежности и безопасности.

Базовые технологические требования начинаются с инфраструктуры. Платежные системы требуют наличия как минимум двух географически разнесенных ЦОД – основного и резервного. Оба центра должны соответствовать уровню надежности не ниже Tier III, что подразумевает доступность на уровне 99,982% и возможность проведения любых плановых работ без остановки обслуживания. Каждый ЦОД должен быть оборудован системами бесперебойного питания, климат-контроля и физической безопасности.

Сетевая инфраструктура требует обязательного дублирования каналов связи от разных провайдеров. Основной канал должен обеспечивать пропускную способность не менее 1 Гбит/с, а время переключения на резервный канал не должно превышать нескольких секунд. Особое внимание уделяется маршрутизации – обязательно использование протоколов динамической маршрутизации, таких как BGP и OSPF, для обеспечения отказоустойчивости.

Часть 2: Техническая реализация и требования к оборудованию

Серверное оборудование, используемое в платежных системах, должно соответствовать высочайшим стандартам надежности. Это предполагает использование серверов корпоративного класса с процессорами Intel Xeon или AMD EPYC последних поколений, значительным объемом оперативной памяти (от 256 ГБ) и высокопроизводительными системами хранения данных на базе RAID массивов. Все критические компоненты должны иметь возможность горячей замены и резервирования.

Особые требования предъявляются к системам хранения данных. Они должны обеспечивать не только высокую производительность и надежность, но и соответствовать требованиям по безопасности хранения конфиденциальной информации. Это достигается использованием современных систем шифрования данных в состоянии покоя и при передаче.

Программное обеспечение, используемое в платежных системах, должно поддерживать обработку транзакций в соответствии со спецификацией ISO 8583, являющейся международным стандартом для финансовых транзакций. Операционные системы и базы данных должны быть корпоративного уровня с поддержкой кластеризации и репликации данных.

Важнейшим аспектом является производительность системы. Время отклика на авторизационный запрос не должно превышать 2 секунд, а система должна быть способна обрабатывать не менее 1000 транзакций в секунду. При этом общая доступность сервиса должна составлять не менее 99,999%, что допускает всего около 5 минут простоя в год.

Часть 3: Стандарт безопасности PCI DSS

Отдельного внимания заслуживает стандарт безопасности данных индустрии платежных карт (PCI DSS), являющийся краеугольным камнем безопасности всей платежной индустрии. Этот стандарт был разработан советом PCI SSC, созданным крупнейшими платежными системами, и является обязательным для всех организаций, работающих с банковскими картами.

PCI DSS представляет собой комплексный набор требований, направленных на обеспечение безопасности данных держателей карт. Стандарт включает в себя шесть основных категорий требований, каждая из которых содержит детальные указания по реализации мер безопасности.

Первая категория требований касается построения и поддержания защищенной сети. Это включает правильную настройку межсетевых экранов, маршрутизаторов и других сетевых устройств, а также запрет использования параметров безопасности, установленных производителем по умолчанию. Особое внимание уделяется сегментации сети и изоляции компонентов, обрабатывающих данные держателей карт.

Вторая категория посвящена защите данных держателей карт. Здесь устанавливаются строгие правила по шифрованию данных при передаче через публичные сети, хранению критичной информации и управлению криптографическими ключами. Важным требованием является запрет на хранение чувствительных данных аутентификации после авторизации, включая полные данные магнитной полосы и CVV2/CVC2 коды.

Третья категория требований относится к управлению уязвимостями. Организации должны регулярно обновлять антивирусное программное обеспечение, проводить сканирование на уязвимости и применять актуальные патчи безопасности. Особое внимание уделяется разработке и поддержке безопасных систем и приложений, включая регулярное тестирование на проникновение.

Четвертая категория охватывает меры по строгому контролю доступа. Это включает требования по идентификации и аутентификации пользователей, управлению доступом к системным компонентам и ограничению физического доступа к данным держателей карт. Каждому пользователю должен быть присвоен уникальный идентификатор, а доступ к данным должен предоставляться только по принципу служебной необходимости.

Пятая категория посвящена мониторингу и тестированию сети. Организации должны отслеживать и протоколировать все действия с системными компонентами и данными держателей карт, регулярно тестировать системы безопасности и процессы. Журналы аудита должны храниться как минимум в течение года, а их анализ должен проводиться ежедневно.

Шестая категория требований касается поддержки политики информационной безопасности. Организации должны разработать и поддерживать в актуальном состоянии комплексную политику безопасности, регулярно проводить обучение персонала и проверять благонадежность сотрудников при найме.

В зависимости от объема обрабатываемых транзакций, организации подразделяются на четыре уровня соответствия PCI DSS. Для организаций первого уровня (более 6 миллионов транзакций в год) требуется ежегодный аудит на месте квалифицированным аудитором и ежеквартальное сканирование сети. Организации более низких уровней могут проводить самостоятельную оценку соответствия, но также должны регулярно проходить сканирование сети.

Процесс сертификации PCI DSS включает несколько этапов, начиная от определения области сертификации и заканчивая получением аттестата соответствия. Важным аспектом является непрерывность соответствия – организации должны постоянно поддерживать все требования стандарта, а не только во время прохождения аудита.

Несоблюдение требований PCI DSS может привести к серьезным последствиям, включая крупные штрафы, повышение комиссий за эквайринг и даже приостановку права обработки карточных платежей. Кроме того, в случае утечки данных организация может понести существенные репутационные потери и стать объектом судебных исков со стороны пострадавших держателей карт.

В целом, технологические требования платежных систем и стандарт PCI DSS образуют комплексную систему мер, направленную на обеспечение безопасности и надежности платежной инфраструктуры. Постоянное развитие технологий и появление новых угроз безопасности приводит к регулярному обновлению этих требований, что требует от организаций постоянного внимания к вопросам соответствия и безопасности.

Часть 4: Эволюция стандарта PCI DSS и переход на версию 4.0

В марте 2022 года Совет PCI SSC выпустил новую версию стандарта безопасности данных индустрии платежных карт — PCI DSS v4.0. Этот документ объемом в 360 страниц знаменует собой значительный шаг вперед в развитии стандартов безопасности платежной индустрии, представляя новые концепции и расширенные требования.

Разработка PCI DSS v4.0 во многом была обусловлена отзывами представителей индустрии. В процессе создания новой версии было проведено три этапа сбора комментариев (RFC), получено более 6000 отзывов и учтен опыт более 200 компаний. Учитывая масштаб изменений, внедрение новой версии будет происходить поэтапно в течение следующих трех лет. При этом текущая версия PCI DSS v3.2.1 останется активной до 31 марта 2024 года, чтобы организации могли плавно перейти на новые требования. Полное вступление в силу всех новых требований запланировано на 31 марта 2025 года.

Главной особенностью новой версии стандарта является его гибкость. В условиях стремительного развития технологий и трансформации бизнес-процессов, новые требования призваны «обеспечить соответствие стандарта потребностям безопасности платежной индустрии». Стандарт поддерживает более широкий спектр методологий обеспечения безопасности и продвигает концепцию безопасности как непрерывного, а не статичного процесса.

Часть 5: Ключевые изменения в аутентификации и управлении доступом

Многофакторная аутентификация (MFA)

Одним из важнейших изменений в версии 4.0 стало расширение требований к многофакторной аутентификации. По данным исследований, правильное использование MFA может предотвратить до 99,9% атак на учетные данные. В новой версии стандарта MFA требуется для всего доступа к среде данных держателей карт (CDE), в дополнение к существующему требованию MFA для удаленного доступа извне сети организации.

Пароли и парольные фразы

Значительные изменения коснулись требований к паролям. Учитывая рост вычислительной мощности современных компьютеров, минимальная длина пароля увеличена с 7 до 12 символов. При этом требование о смене паролей каждые 90 дней сохраняется только для систем, не использующих MFA.

Групповые и общие учетные записи

В отличие от версии 3.2.1, которая полностью запрещала использование групповых и общих учетных записей, версия 4.0 допускает их использование при условии надлежащего управления. Это включает:

  • Ограниченный срок использования
  • Обязательное одобрение
  • Возможность отслеживания действий конкретных пользователей
  • Регулярный аудит использования

Часть 6: Новые подходы к оценке соответствия

Версия 4.0 вводит два метода валидации соответствия требованиям стандарта:

Определенный подход (Defined Approach)

Это традиционный метод, который следует четко определенным требованиям и процедурам тестирования PCI DSS. Он оптимален для организаций, чьи системы безопасности уже выстроены в соответствии с текущими требованиями стандарта.

Настраиваемый подход (Customized Approach)

Новый метод, ориентированный на достижение целей безопасности, а не на соответствие конкретным техническим требованиям. Он позволяет организациям самостоятельно определять и внедрять механизмы контроля для достижения целей безопасности, обозначенных в требованиях PCI DSS.

Часть 7: Технологические требования платежных систем

В контексте новой версии PCI DSS технологические требования платежных систем также претерпели изменения. Особое внимание уделяется следующим аспектам:

Инфраструктурные требования

  • Обязательное наличие основного и резервного ЦОД с уровнем надежности не ниже Tier III
  • Географическое разнесение центров обработки данных
  • Резервирование каналов связи от разных провайдеров
  • Минимальная пропускная способность основного канала — 1 Гбит/с
  • Использование протоколов динамической маршрутизации (BGP, OSPF)

Требования к производительности

  • Время отклика на авторизационный запрос не более 2 секунд
  • Способность обработки минимум 1000 транзакций в секунду
  • Доступность систем на уровне 99,999%
  • Максимальное время простоя — 5 минут в год

Требования к безопасности

  • Шифрование данных при передаче и хранении
  • Регулярное тестирование на проникновение
  • Мониторинг безопасности в режиме реального времени
  • Обязательное резервное копирование с шифрованием

Часть 8: Практические аспекты внедрения

Переход на новую версию стандарта требует тщательного планирования и подготовки. Организациям рекомендуется:

  1. Провести анализ текущего состояния безопасности
  2. Определить наиболее подходящий подход к оценке соответствия
  3. Разработать план перехода на новую версию
  4. Обучить персонал новым требованиям
  5. Обновить документацию и процедуры
  6. Провести тестирование новых механизмов контроля

В целом, новая версия PCI DSS отражает современные тенденции в области информационной безопасности и предоставляет организациям больше гибкости в выборе методов защиты данных держателей карт. При этом сохраняется главный принцип — обеспечение высокого уровня безопасности платежной инфраструктуры.

Важно помнить, что соответствие требованиям PCI DSS — это непрерывный процесс, а не разовое мероприятие. Организациям следует постоянно отслеживать изменения в требованиях стандарта и своевременно адаптировать свои системы безопасности под новые угрозы и вызовы.