Επισκόπηση PCI DSS (Μέρος 1ο)

Συγγραφέας: Γεράσιμος Κασσάρας IT Risk Consultant Msc in Information Security, CISSP
Μετάφραση: Γεράσιμος Κασσάρας IT Risk Consultant Msc in Information Security, CISSP

Πηγή 1: PCI Security Standards Council
Πηγή 2: PCISTUFF

Συνοπτική επισκόπηση του PCI DSS
Το PCI DSS ή διαφορετικά το Payment Card Industry Data Security Standard είναι ένα πρότυπο που αποτελείται από 12 απαιτήσεις που πρέπει να ικανοποιηθούν για να θεωρηθεί πως κάποιος είναι συμβατός με αυτό.

Ιστορία του PCI DSS
Το PCI DSS δημιουργίθηκε το Δεκέμβριο του 2004, με την προτροπή αλλά και την υποστήριξη της VISA και της MasterCard (και όχι μόνο), για να καλύψει την ανάγκη δημιουργίας ενός μόνο προτύπου ηλεκτρονικής ασφαλείας που θα καλύπτει όλες τις ανάγκες για ηλεκτρονικές συναλλαγές από τους διάφορους ιστίο τόπους που κάνουν χρήση των υπηρεσιών της VISA, της MasterCard, της American Express και της JCB. Σε αυτό το κομμάτι θα ήταν χρήσιμο να πούμε πως πριν από τη δημιουργία του PCI DSS Visa και η American Express προωθούσαν δύο διαφορετικά πρότυπα:

1. Visa: Cardholder Information Security Program (CISP)
2. MasterCard: Site Data Protection Program (SDP)
3. American Express

Για λόγους απλότητας όμως δημιουργήθηκε με κοινοπραξία το PCI DSS.

Το Σεπτέμβριο του 2006 δημιουργείται επίσημα το PCI Security Standards Council απο τις παρακάτω εταιρίες: American Express, Discover Financial Services, JCB, MasterCard Worldwide, και Visa International

Γιατί PCI DSS;
Η απάντηση είναι πολύ απλή ΌΛΟΙ οι οργανισμοί που κάνουν χρήση πιστωτικών καρτών για ηλεκτρονικές συναλλαγές πρέπει να είναι συμβατοί με το πρότυπο PCI DSS. Το 2006 μόνο η VISA συνέλεξε το ποσό των 4.6 εκατομμυρίων δολαρίων από πρόστιμα μη συμβατότητας με το πρότυπο PCI DSS.

Ποιους αφορά το PCI DSS;
Οι δημιουργοί του προτύπου χωρίζουν τους υπευθύνους σε τρεις κατηγορίες, τους εμπόρους ( ή Merchants) , τους παροχείς υπηρεσιών (ή διαφορετικά τους service providers) και τους εκδότες πιστωτικών καρτών (δηλαδή τις τράπεζες). Οι έμποροι ορίζονται ως αυτοί που τυπικά δέχονται απευθείας την πληρωμή από τους πελάτες. Οι παροχείς υπηρεσιών ορίζονται ως αυτοί που τυπικά επεξεργάζονται τις ηλεκτρονικές συναλλαγές για λογαριασμό των εμπόρων.  Τώρα και οι δύο κατηγορίες, οι έμποροι και οι παροχείς υπηρεσιών, υποδιαιρούνται σε υποκατηγορίες, ανάλογα με το μέγεθος των ετήσιων συναλλαγών:

Έμποροι: Επίπεδα 1 εώς 4

Παροχείς υπηρεσιών: Επίπεδα 1 εώς 3

Όσο πιο υψηλό είναι τι μέγεθος των ετήσιων συναλλαγών ή όσο πιο υψηλό είναι το ρίσκο το συναλλαγών, τόσο πιο περίπλοκες γίνονται οι απαιτήσεις ικανοποίησης του PCI DSS (και μάλλον πιο ακριβές) αλλά και τόσο περισσότερο αυξάνει και το κόστος των προστίμων, σε περίπτωση μη συμβατότητας. Ανάλογα τώρα με την επικινδυνότητα και το χρηματικό ποσό που διακινεί ένας πελάτης της VISA μπορεί να αποφασιστεί να σταλεί ελεγκτής ασφάλειας πληροφορικής (External Information Security Auditor) από τη VISA. Τα πρόστιμα ανήκουν σε δύο κατηγορίες αυτά που επιβάλλονται σε περίπτωση υπονόμευσης του πληροφοριακού συστήματος του πελάτη (reactive penalties) και αυτά που επιβάλλονται για τη μη συμβατότητα το πελάτη με το PCI DSS (non compliance penalties) μετά από καταπάτηση των χρονικών περιθωρίων που έχει δώσει η VISA.

Αν η VISA διαπιστώσει πως κάποιος έμπορας έχει υπονομευθεί ΤΌΤΕ ΑΥΤΟΜΆΤΩΣ ΑΝΑΒΑΘΜΊΖΕΤΕ σε έμπορα κατηγορία επιπέδου 1 (η κατηγορία επιπέδου 1 έχει και τα ποιο ποιο ακριβά πρόστιμα).

Απαιτήσεις του PCI DSS

(A) Δημιουργία και συντήρηση ασφαλούς δικτύου
α. Εγκατάσταση και συντήρηση firewall για την προστασία των δεδομένων των πιστωτικών καρτών.
β. Βεβαίωση μη χρήσης default passwords και άλλων default παραμέτρων ασφάλειας.

(B) Προστασία των δεδομένων των πιστωτικών καρτών
α. Προστασία των αποθηκευμένων δεδομένων στα διάφορα ηλεκτρονικά μέσα.
β. Προστασία των δεδομένων των πιστωτικών καρτών κατά την μετάδοση τους από και προς δημόσια και ανοικτά δίκτυα.

(Γ) Διατήρηση προγράμματος επικινδυνότητας
α. Χρήση αντιβιοτικού  συχνά ενημερωμένου.
β. Ανάπτυξη και χρήση ασφαλών εφαρμογών

(Δ) Ισχυρά μέτρα ασφάλειας πρόσβασης
α. Περιορισμός των δεδομένων των πιστωτικών καρτών σε μόνο άτομα που απαιτητέ (need to know)
β. Χρήση μοναδικού αναγνωριστικού ανά άτομο με πρόσβαση μέσω υπολογιστή στα δεδομένα των πιστωτικών καρτών (unique ID assignment).
γ. Έλεγχος στη φυσική πρόσβαση των δεδομένων των πιστωτικών καρτών.

(E) Παρακολούθηση και έλεγχος δικτυακής υποδομής
α. Παρακολούθηση όλων δικτυακών προσβάσεων στα δεδομένα  των δικαιούχων των πιστωτικών καρτών
β. Συχνά τεστ σε επίπεδο ασφάλειας των συστημάτων που διαχειρίζονται τα δεδομένα.

(Ζ) Διατήρηση πολιτικών ασφαλείας
α. Διατήρηση και πολιτικών και συνεχή παρακολούθηση των θεμάτων που αφορούν την ασφάλεια του συστήματος.

Επίλογος
Ο σηματικότερος λόγος για να επιδιώξει κάποιος ιδιοκτήτης μιας μέσου ή μικρού μεγέθους εταιρίας συμβατότητα με το PCI DSS ειναι κυριώς οι αγορές μέσο διαδικτύου (πχ τα λεγόμενα e-shops). Πρότυπα όπως το BS7799 ή το ISO20071 part1 και part2 ειναι πολύ καλα στο να δώσουν μια καλή αντίληψη του τι σιμαίνει good security practises, δυστυχως η ελληνική αγορά ειναι πολύ ανώριμη να συμβαδίσει με αυτά τα πρότυπα και θα υπαρξουν πολλές προχειρότητες και κακές υλοποιήσεις μεχρι να αποκτηθει η κατάληλη ωριμότητα….

Advertisements

4 Responses to “Επισκόπηση PCI DSS (Μέρος 1ο)”


  1. 1 adamo November 25, 2008 at 12:48 pm

    “ΌΛΟΙ οι οργανισμοί που κάνουν χρήση πιστωτικών καρτών για ηλεκτρονικές συναλλαγές πρέπει να είναι συμβατοί με το πρότυπο PCI DSS.

    Citation needed. Τι σημαίνει ΟΛΟΙ. Πως υποχρεώονται; Από διεθνείς συνθήκες; Από τοπικές νομοθεσίες; Από τι;

    Το 2006 μόνο η VISA συνέλεξε το ποσό των 4.6 εκατομμυρίων δολαρίων από πρόστιμα μη συμβατότητας με το πρότυπο PCI DSS.”

    Again, citation needed. Με ποιο τρόπο και πως επιβάλλονται αυτά τα πρόστιμα και κυρίως από ποιον;

  2. 2 Kostas P. November 25, 2008 at 2:42 pm

    Όλοι σημαίνει όλοι. Πρακτικά αν θες να συναλλάσσεσαι με τη Visa πρέπει να είσαι compliant. Αντίστοιχα η Visa επιβάλλει τα πρόστιμα. Μερικά πρόχειρα links:
    http://www.visa.gr/aboutvisa/security/ais/requirements.jsp
    http://usa.visa.com/merchants/risk_management/cisp_merchants.html
    Visa sets global PCI DSS deadlines: http://www.net-security.org/secworld.php?id=6740

    Πληροφορές για τα πρόστιμα κλπ. υπάρχουν σε δελτίο τύπου της Visa που έχει χρησιμοποιηθεί για διάφορα άρθρα, π.χ.: http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1293836,00.html

  3. 3 nikosk November 14, 2011 at 8:40 am

    “α. Χρήση αντιβιοτικού συχνά ενημερωμένου.” siga na min xreiazetai kai anarwtiki adeia :p I believe it’s “xrisi anti-iikou” re paidia

  4. 4 Brenna July 31, 2013 at 7:53 pm

    When I originally commented I seem to have clicked on the -Notify me when new comments are
    added- checkbox and now whenever a comment is added I recieve four emails with the exact
    same comment. There has to be a means you can
    remove me from that service? Many thanks!


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s





%d bloggers like this: