Статья

Как обеспечить безопасность платежных сервисов

Облачные технологии
мобильная версия
, Текст: Соломатин Павел

Любая компания, работающая с платежными картами, должна обеспечить соответствие своей ИКТ-инфраструктуры требованиям стандарта PCI DSS. Сделать это своими силами достаточно сложно и дорого. Гораздо выгоднее переложить эту обязанность на плечи сервис-провайдера, который уже обладает опытом прохождения такой сертификации.

В последние годы интерес к профессиональным облачным сервисам существенно увеличился. Эксперты связывают это с экономической ситуацией в стране, санкциями, а также с ростом зрелости заказчиков, которые надеются таким образом оптимизировать затраты компании на ИТ.

Динамика объема российского рынка IaaS, pмлрд

Источник: J&P, 2015

«По нашему опыту, наибольший интерес к облачным сервисам проявляют кредитно-финансовые и страховые, торгово-сервисные, медиа-компании», – рассказывает Иван Гузев, директор по информационной безопасности IBS DataFort.

Попытки перенести информационные системы к провайдеру, как правило, сопровождаются некоторыми сложностями и ограничениями. Часть из них связаны с соблюдением требований различного рода нормативных документов в области информационной безопасности: ФЗ «О персональных данных», ФЗ «О национальной платежной системе», стандарта Банка России СТО БР ИББС, PCIDSS.

Что такое PCIDSS

PCI DSS – это стандарт безопасности данных индустрии платежных карт. Требования стандарта нацелены на обеспечение конфиденциальности данных карт международных платежных систем VISA и MasterCard. Им должна соответствовать любая организация, которая в своей инфраструктуре обрабатывает, хранит или передает данные платежных карт (номер, имя владельца карты, сервисный код, срок действия карты, CVV2/CVC2 коды и PIN/PIN-блок). Таким образом, они распространяются на торгово-сервисные предприятия, интернет-магазины, банки, платежные шлюзы, процессинговые центры, а также на сервис-провайдеров, которые оказывают услуги, влияющие на безопасность платежных карт.

В случае аутсорсинга каких-либо функций по работе с данными платежных карт, согласно пункту 12.8 стандарта PCIDSS каждая организация должна убедиться, что поставщик услуг соответствует целому ряду требований. Таким образом, если компания пользуется услугами облачного провайдера, она должна или включить его в область собственной проверки, или найти уже сертифицированного подрядчика, что существенно сократит время аудита и финансовые затраты.

Требования к аутсорсингу по PCIDSS

С развитием услуг, которые предоставляют провайдеры, увеличивались и зоны ответственности, которые клиенты могли передать на аутсорсинг в рамках стандарта PCIDSS. Сегодня это физическая безопасность используемого оборудования, администрирование и обеспечение безопасности сетевых устройств (межсетевые экраны, системы обнаружения и предотвращения вторжений (IPS/IDS), защита от DDOS и т.д.), безопасность виртуальной инфраструктуры и администрирование операционных систем, приложений и баз данных.

Эволюция услуг провайдеров в рамках PCI DSS

Источник: IBS DataFort, 2015

В современном стандарте PCI DSS содержится 12 разделов – категорий требований. Требования первого раздела касаются функционирования межсетевых экранов для защиты данных держателей карт. Облачный провайдер может взять на себя полное управление системой межсетевого экранирования и обеспечить максимальную сетевую защиту данных платежных карт заказчика. «В рамках услуги DF Cloud осуществляется межсетевое экранирование сетей, в том числе, с помощью сертифицированного ФСТЭК оборудования», – уточняет Иван Гузев.

Требования второго раздела касаются внесения изменений в системные пароли и другие параметры безопасности,  выставленные по умолчанию производителями программных и программно-аппаратных средств. Это требование облачный провайдер будет выполнять для систем заказчика, которые находятся в его зоне ответственности. В частности, в IBS DataFort это процессы выполнятся только на базе процедур и регламентов, прошедшие сертификацию по стандарту ISO 27001.

Требования третьего раздела определяют порядок обеспечения защиты данных держателей карт при их хранении. Эти требования в большей степени ложатся на заказчиков. «IBS DataFort, со своей стороны, предлагает услугу шифрования данных при их хранении, что позволяет закрыть часть требований данного раздела», – говорит Иван Гузев.

Четвертый раздел требований определяет способы защиты данных платежных карт при передаче по открытым каналам связи. Облачный провайдер должен обеспечить шифрование при передаче данных за пределы собственной контролируемой инфраструктуры. «Мы предлагаем заказчикам использовать либо выделенные каналы передачи данных, либо различные варианты VPN шифрования трафика в случае передачи информации посредством сети интернет. В том числе возможно использование сертифицированных средств, использующих российские алгоритмы шифрования (услуга ГОСТ VPN)», – комментируют в IBS DataFort.

Пятый раздел содержит требования по антивирусной защите. В данном случае облачный провайдер может обеспечить защиту систем заказчика от вирусов. IBS DataFort предлагает в виде услуги несколько вариантов сканирования на наличие вирусов различными антивирусными решениями, в том числе отечественной разработки, с учетом требований корпоративной политики клиента.

Шестой раздел касается контроля внесения изменений в инфраструктуру и безопасной разработки приложений. Безопасность разработки приложений является зоной ответственности заказчика. В свою очередь IBS DataFort в рамках процедуры управления изменениями обеспечивает контроль и предварительное тестирование всех вносимых изменений на инфраструктуре. Процедуры управления изменениями предусмотрены стандартом ISO 20000 «Управление ИТ-услугами».

Седьмой и восьмой разделы касаются создания и изменения учетных записей в системах, подлежащих сертификации по требованиям PCIDSS. Как правило, данные требования выполняет заказчик, но IBS DataFort использует специализированные программные комплексы, которые обеспечивают заказчиков полным набором сервисов по контролируемому созданию, изменению и удалению учетных записей в различных системах.

Девятый раздел предъявляет требования к обеспечению физической безопасности данных платежных карт. В данном случае облачный провайдер берет на себя всю ответственность за эту область стандарта перед заказчиком. «Это требование закрывается мерами по физической безопасности размещения в ЦОД платформы предоставления услуг и соответствующим инструктажем обслуживающего инженерного персонала», – говорит Иван Гузев.

Требования десятого раздела касаются контроля всех данных о событиях и инцидентах информационной безопасности. IBS DataFort осуществляет непрерывный мониторинг и логирование событий информационной безопасности предоставляемой инфраструктуры, а также предлагает этот сервис своим клиентам для мониторинга их информационных систем.

Одиннадцатый раздел требований предусматривает регулярное тестирование систем и процессов обеспечения информационной безопасности. В качестве решения по закрытию этого раздела IBS DataFort предлагает заказчикам проведение регулярного сканирования на уязвимости инфраструктуры и приложений сертифицированными средствами.

Двенадцатый раздел в основном касается документационного обеспечения. В случае с облачным провайдером его активно-используемые проверенные процедуры и регламенты могут быть использованы заказчиком при прохождении аудита. IBS DataFort обладает полным комплектом необходимой документации, что, в том числе, подтверждается успешным прохождением сертификации по стандарту ISO 27001.

Кто отвечает за PCI DSS

«Заказчику необходимо разграничить ответственность по выполнению требований PCI DSS между организацией и облачным провайдером, документально зафиксировав это разграничение в виде подписанной матрицы ответственности по выполнению требований стандарта», – говорит Евгений Бабицкий, заместитель генерального директора компании Compliance Control.

Матрица ответственности клиентов

Источник: IBS DataFort, 2015

Именно в рамках матрицы ответственности провайдер профессиональных облачных сервисов (в отличие от традиционного поставщика ЦОД) может взять на себя выполнение практически всех требований по перечисленным двенадцати пунктам, начиная с физического размещения оборудования и заканчивая администрированием операционных систем и приложений.

Обычно матрица с разделением ответственности по каждому пункту стандарта PCI DSS содержится в приложении к договору между поставщиком услуг и заказчиком. Приложение определяет, какие пункты стандарта лежат в зоне ответственности облачного провайдера, и позволяет заказчикам снизить собственные трудозатраты на достижение соответствия требованиям стандарта PCI DSS. В случае предоставления профессиональных облачных сервисов матрица ответственности обязательно связана с SLA на данные услуги. У IBS DataFort есть практика заключения SLA на исполнение указанных требований, включая компенсации в случае его нарушения.

Аудит облачного провайдера отличается от аудита заказчика только тем, что облачный провайдер проверяет соответствие своей инфраструктуры не всем требованиям стандарта, а только тем, которые применимым к тем сервисам, которые он оказывает заказчикам.

Сертификацию провайдеров облачных сервисов может проводить только организация, аккредитованная советом PCI SSC (Payment Card Industry Security Standards Council) для работы в определенном регионе. «Для провайдеров облачных услуг сертификация – это возможность показать своим заказчикам, что они заботятся о безопасности их данных не только на словах, – говорит Иван Гузев. – Также это поможет принять на себя часть рисков клиентов при их собственной сертификации». В результате использования сертифицированного облачного провайдера компания может получить большую часть инфраструктуры по сервисной модели и тем самым снизить уровень сложности и стоимость собственного аудита, т.к. часть требований будет считаться выполненный за счет сертификации используемого сервис-провайдера.

«При составлении матрицы ответственности  важно обратить внимание, какие именно области входят в зону сертификации облачного провайдера. Убедиться в этом можно, запросив у провайдера официальный документ Attestation of Compliance (AOC), который является неотъемлемой частью прохождения сертификации по стандарту PCI DSS», – говорит Евгений Бабицкий.

Компания IBS DataFort обладает необходимым опытом для обеспечения соответствия заказчиков требованиям PCI DSS с использованием профессиональных облачных и сопутствующих сервисов, причем с учетом различного состава зоны ответственности, возлагаемого на нас как на партнера, нашими корпоративными клиентами. На данный момент IBS DataFort внедрил все необходимые организационные и технические меры по всему указанному перечню пунктов и начинает процедуру сертификации PCI DSS.

Таким образом, возможность передачи ряда функций на аутсорсинг сервис-провайдеру была и раньше, но развитие информационных технологий и, как следствие, самих сервис-провайдеров, дало возможность значительно расширить область передаваемых функций. Использование услуг сервис-провайдера, обладающего опытом прохождения сертификации совместно с клиентами, а также необходимыми техническими средствами и административными регламентами, снижает трудовые, финансовые, временные затраты на подготовку и прохождение проверки на соответствие требованиям стандарта PCI DSS и  обеспечивает ее предсказуемый результат. А потребление услуг позволяет работать по операционной модели с ежемесячной оплатой, без собственных значительных инвестиций в информационную безопасность, так как эффективно используются инвестиции, уже произведенные поставщиком услуг для предоставления типового сервиса многим заказчикам.

Наталья Рудычева/CNews