VARNOST KARTIČNEGA POSLOVANJA – PCI DSS

VARNOST KARTIČNEGA POSLOVANJA – PCI DSS (PAYMENT
CARD INDUSTRY DATA SECURITY STANDARD)
Alenka Glas
FMC d.o.o.
alenka.glas@fmc.si
Povzetek
Današnja družba temelji na informacijah, njihovi izmenjavi, obdelavi in hranjenju. Kriminalci se
vedno zelo hitro prilagajajo novim razmeram, pogosto so en korak naprej. Njihovo delovanje je danes
čedalje bolj usmerjeni h kraji podatkov. Ta jim največkrat omogoči finančno korist, pogosto pa tudi
veča njihov ugled in zmanjšuje ugled žrtve njihovega dejanja. Pred napadi se je mogoče zaščititi na
različne načine, uspešno dobro prakso predstavljajo standardi iz družine PCI. PCI DSS je globalni
varnostni standard. Namenjen je vsem organizacijam, ki zajemajo, obdelujejo, hranijo ali posredujejo
podatke o plačilnih karticah in njihovih imetnikih. Sprejet je bil na pobudo vodilnih izdajateljev
plačilnih kartic. Finančne institucije in trgovci so tako postavljeni pred dejstvo, da mora njihovo
poslovanje in rokovanje s plačilnimi karticami postati skladno z zahtevami, ki jih postavlja PCI DSS.
Na prvi pogled nemogoča in nerazumna zahteva?
Abstract
Information security in credit card business – PCI DSS (Payment Card Industry Data Security
standard
Today's society is based on exchanging, processing and storing information. Criminals are always
very quick to adapt to new situations and are often one step ahead. Their work is now increasingly
directed to theft of data. This can give them financial gain and often increase their reputation and
reduce the reputation of the victim. Before attacks one can protect themselves in different ways
especially with the standards of the PCI family. PCI DSS is a global security standard. It is intended
for organizations that process, store or transmit information on credit cards. The security standard
was adopted on the initiative of the leading issuers of credit cards. Financial institutions and retailers
are faced with the fact that their business, who handle credit cards, have to become consistent with the
requirements imposed by PCI DSS. At first glance is it an impossible and unreasonable request?
Ključne besede
Varovanje informacij, PCI DSS, plačilna kartica, trgovec, banka, procesni center, PAN (številka
kartice), imetnik plačilne kartice, zlorabe
Key words
Information security, PCI DSS, credit card, merchant, bank/acquirer/issuer, service provider, PAN
(primary account number), cardholder, credit card fraud
1.
UVOD
Elektronsko poslovanje je omogočilo nove poslovne poti, ki se zanašajo na učinkovit program
za varovanje informacij, s katerim si lahko podjetje pridobi zaupanje strank. Današnja družba
temelji na informacijah, njihovi izmenjavi, obdelavi in hranjenju. Kriminalci se vedno zelo
hitro prilagajajo novim razmeram, pogosto so en korak naprej. Njihovo delovanje je danes
čedalje bolj usmerjeni h kraji podatkov. Ta jim največkrat omogoči finančno korist, pogosto
pa tudi veča njihov ugled in zmanjšuje ugled žrtve njihovega dejanja.
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
1
Sodobni potrošniki smo odvisni od plačevanja blaga in storitev s plastičnim denarjem –
plačilnimi karticami. Prvi v verigi plačevanja s plačilnimi karticami so trgovci, drugi v vrsti
so različni obdelovalci in posredovalci podatkov o plačilnih karticah, to so vezni členi med
trgovcem in banko. Tretji so banke, ki imajo pogodbeno razmerje z imetniki plačilnih kartic
in s trgovci, ki so plačilne kartice pripravljeni sprejemati.
Pred napadi se je mogoče zaščititi na različne načine, uspešno dobro prakso predstavljajo
standardi iz družine PCI. PCI DSS je globalni varnostni standard. Namenjen je vsem
organizacijam, ki zajemajo, obdelujejo, hranijo ali posredujejo podatke o plačilnih karticah in
njihovih imetnikih. Sprejet je bil na pobudo vodilnih izdajateljev plačilnih kartic. V
naslednjem letu bodo tej tematiki morali veliko pozornosti posvetiti bančniki in trgovci v
Sloveniji in sosednjih državah.
Finančne institucije in trgovci so tako postavljeni pred dejstvo, da mora njihovo poslovanje in
rokovanje s plačilnimi karticami postati skladno z zahtevami, ki jih postavlja PCI DSS. Na
prvi pogled nemogoča in nerazumna zahteva?
2.
Začetek standardizacije varovanja informacij v industriji plačilnih kartic
Vodilni kartični brandi MasterCard, Visa, American Express, DiscoverCard so že zelo zgodaj
začeli bankam in procesnim centrom predpisovati standardizirano poslovanje. Namen teh
predpisov je bilo zagotavljanje varnega in neprekinjenega delovanja plačilnih shem. Med
drugim so kartične organizacije standardizirale tudi varnostne postopke, s katerimi so želeli v
največji meri zaščititi kartično poslovanje. Plačilne kartice so namreč že zelo zgodaj postale
zaželena tarča kriminalnih dejavnosti, saj so kriminalci ugotovili, da plačilne kartice lahko
enostavno in hitro ukradejo. Varnostne standarde so v svoje poslovanje uvedli vsi kartični
brandi, aktualne varnostne standarde lahko najdemo na teh naslovih:
-
MasterCard Worldwide: www.mastercard.com/sdp;
-
Visa Inc: www.visa.com/cisp;
Visa Europe: www.visaeurope.com/ais;
3.
-
American Express: www.americanexpress.com/datasecurity;
-
Discover Financial Services: www.discovernetwork.com/fraudsecurity/disc.html;
-
JCB International: www.jcb-global.com/english/pci/index.html.
Ustanovitev Payment Card Industry Security Standards Council (PCI SSC)
Prej omenjeni vodilni kartični brandi so v letu 2005 ustanovili Payment Card Industry
Security Standards Council (PCI SSC), ki je postal koordinator priprave in izdajatelj
varnostnih standardov na področju kartičnega poslovanja. PCI SSC izdaja tri glavne sklope
standardov:
• Payment Card Industry Data Security Standard (PCI DSS);
• Payment Application Data Security Standard (PCI PA DSS);
• PIN Transaction (PTS) Security Requirements (PCI PTS)
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
2
(vir: https://www.pcisecuritystandards.org/security_standards/documents.php).
PCI DSS je namenjen upravljanju varovanja informacij o karticah v finančnih institucijah,
procesnih centrih in pri trgovcih. Sestavljen je iz zahtev, ki predvidevajo implementacijo
tehnično-tehnoloških rešitev in implementacijo organizacijsko formalnih rešitev.
PCI PA DSS je namenjen razvoju varne programske opreme za obdelavo transakcij plačilnih
kartic. Zahteve v tem standardu opredeljujejo predvsem varnost programske opreme skozi
faze razvoja, uvedbe in vzdrževanja.
PCI PTS je namenjen razvoju varne strojne opreme za zajem podatkov, ki so potrebni za
izvedbo transakcije s plačilno kartico. Standard natančno opredeljuje tehnično-tehnološke
zahteve za varen zajem in prenos najbolj kritičnih podatkov v procesu kartičnega poslovanja,
kot so PAN (številka kartice), PIN (osebna številka), zapis z magnetne steze ali čipa.
4.
Paymet Card Industry Data Security Standard
PCI DSS je odprt, globalni varnostni standard, ki združuje tehnične in poslovne zahteve.
Sprejet je bil na pobudo vodilnih izdajateljev plačilnih kartic.
PCI DSS je najpomembnejši varnostni standard, ki ga morajo pri svojem delu upoštevati vsi,
ki »zajemajo, obdelujejo, hranijo ali posredujejo podatke o plačilnih karticah in
njihovih imetnikih«, torej procesni centri, prodajna mesta (trgovci), banke podpisnice
pogodb s prodajnimi mesti (acquirer), banke izdajateljice kartic (issuer) (Payment Card
Industry (PCI) Data Security Standard, ver. 2.0). Standard je namenjen zavarovanju teh
podatkov.
PCI DSS standard je razdeljen na šest področij, dvanajst zahtev in množico podzahtev. Za
uresničitev vseh zahtev (vse zahteve so obvezne) je potrebno uvajati tako organizacijska
(politike, predpisi) kot tehnično – tehnološka nadzorstva. Standard se od drugih, podobnih
standardov razlikuje po tem, da ga sestavljajo zahteve, in ne, kot na primer ISO/IEC 27001,
priporočila. Vsi, ki so dolžni standard upoštevati, morajo skladno s svojim obsegom
poslovanja upoštevati vse zahteve in ne smejo opustiti nobene zahtevane kontrole. Izjemo
lahko predstavljajo tiste kontrole, ki so v nasprotju z lokalno zakonodajo.
5.
Podatki, ki jih je potrebno varovati
Zahteve standarda se nanašajo na tiste poslovne procese in sredstva, ki zagotavljajo delovanje
teh poslovnih procesov, kjer se »zajemajo, obdelujejo, hranijo ali posredujejo podatke o
plačilnih karticah in njihovih imetnikih«.
Podatki, ki jih je treba varovati, so:
Podatki o
plačilni
kartici
Vrsta podatka
Shranjevanje Zahtevana Kriptiranje
zaščita
podatkov
Številka kartice (PAN)
Da
Da
Da
Imetnikovo ime
Da
Da
Ne
Servis koda
Da
Da
Ne
Datum veljavnosti
Da
Da
Ne
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
3
Občutljivi
podatki za
odobritev
plačila
Celoten magnetni zapis
Ne
N/A
N/A
CAV2 / CVC2 / CVV2 / CID
Ne
N/A
N/A
PIN / PIN blok
Ne
N/A
N/A
Tabela 1: Varovani podatki po PCI DSS
Vsi omenjeni podatki se nahajajo na plačilni kartici, v bazah podatkov pri upravljavcih in
uporabnikih plačilnih sistemov ter v komunikacijskih zapisih, ki nastajajo v procesih
plačevanja s plačilnimi karticami.
Za lažjo predstavo o tem, na katere podatke se zahteve nanašajo, služi opredelitev kritičnih
podatkov na plačilni kartici. Nekateri podatki so na plačilnih karticah vidni1, drugi pa so
zapisani v elektronski obliki in se nahajajo na magnetnem traku ali na čipu.
Slika 1: Podatki na plačilni kartici, ki so vidni (vir: PCI DSS Quick Reference Guide)
1
Ob izdelavi (personalizaciji) kartice se podatki, ki so lastni imetniku kartice, na plastiko lahko zapišejo na več
načinov. Med njimi so najpogostejši:
- embosiranje – zapis je izbočen nad površino kartice, taka kartica je namenjena tudi ročnemu odtisu
potrdila o nakupu;
- graviranje – zapis je v plastiko vgraviran, tak zapis je trajnejši;
- tiskanje – manj zahtevna tehnika izdelave kartice.
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
4
Slika 2: Podatki na plačilni kartici, zapisani v elektronski obliki (vir: Navigating PCI DSS)
6.
Struktura standarda
PCI DSS sestavlja šest glavnih področij. Področja se delijo na dvanajst zahtev, zahteve pa so
natančno opredeljene z množico podzahtev2:
Področje
PCI DSS zahteva
Vzpostavitev in
vzdrževanje
varnega omrežja
1 – Vzpostaviti in vzdrževati konfiguracijo požarne pregrade
Varovanje
podatkov o
imetniku plačilne
kartice
3 – Zavarovati shranjene podatke o imetniku plačilne kartice
Vzdrževati
program za
upravljanje z
ranljivostmi
sistema
5 – Uporabljati in redno posodabljati protivirusno programsko
opremo ali programe
Implementacija
ukrepov za
kontrolo dostopa
do občutljivih
kartičnih podatkov
7 – Omejitev dostopa do podatkov o imetniku plačilne kartice na
najmanjši obseg, ki je potreben za izvršitev transakcije
4 – Šifriranje prenosa podatkov o imetniku plačilne kartice preko
odprtih, javnih omrežjih
6 – Razvijati in vzdrževati varne sisteme in aplikacije
PODZAHTEVE
2 – Ne uporabljati privzetih nastavitev, ki jih dobavi prodajalec
sistema, za sistemska gesla in druge varnostne parametre
8 – Dodeliti edinstveno identifikacijsko številko vsaki osebi, ki
ima dostop do informacijske podpore
9 – Omejiti fizični dostop do podatkov o imetniku plačilne kartice
2
Za poimenovanje posameznih področij in zahtev so uporabljeni prevodi, kot so zapisani v dokumentu
»Varnostne zahteve PCI DSS standarda na področju kartičnega poslovanja« in pripadajočih vprašalnikih v izdaji
Združenja bank Slovenije (Varnostne zahteve PCI DSS standarda na področju kartičnega poslovanja; Delovna
skupina pri Združenju bank Slovenije za PCI DSS, oktober 2009).
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
5
Redno spremljanje
in testiranje
omrežij
10 – Slediti in nadzorovati vse dostope do omrežnih virov in do
podatkov o imetniku plačilne kartice
Vzdrževanje
politike varovanja
informacij
12 – Vzdrževati politiko, ki ureja področje varnosti informacij in
velja za zaposlene in pogodbene izvajalce
11 – Redno testiranje varnostnih sistemov in procesov
Tabela 2: Struktura PCI DSS
Poleg zahtev, ki so zapisane v omenjenih šestih področjih upravljanja varovanja informacij,
standard v uvodu podaja tudi naslednje informacije in zahteve:
• natančna opredelitev področja, kjer je zahteve potrebno upoštevati;
• način opredelitve obsega izvajanja varovanja informacij po PCI DSS;
• način dokazovanja skladnosti z zahtevami PCI DSS.
Med omenjenimi zahtevami je predvsem pomembna zahteva po natančni opredelitvi obsega
upravljanja varovanja informacij, saj je skladno s to zahtevo potrebno zelo natančno opredeliti
vsa sredstva (vire), ki zagotavljajo delovanje plačilnih kartic.
7.
Kako uvajati skladnost s PCI DSS
Pri vzpostavljanju skladnosti s PCI DSS je najpomembnejše, da dobro opredelimo obseg
varovanja informacij po omenjenem standardu, saj v nasprotnem primeru po zelo zahtevnih
pravilih PCI DSS varujemo celotno podjetje in celoten obseg poslovanja.
Opredelitev obsega predstavlja eno najzahtevnejših poglavij pri vzpostavitvi varovanja
informacij po PCI DSS. Standard namreč zahteva, da se varujejo informacije o plačilni kartici
in imetniku, ne glede na to, v kakšni obliki se nahajajo.
Obsega varovanja informacij po PCI DSS se lotimo tako, da se najprej opredeli vse vire, s
katerimi podjetje izvaja svoje poslovne procese. Za lažje izvajanje se viri lahko združujejo v
skupine virov (npr.: prostori in oprema, človeški viri, strojna oprema, komunikacije in
komunikacijska oprema, programska oprema, baze podatkov, ostali dokumenti – v fizični ali
elektronski obliki). V vsako od skupin mora biti uvrščen vir, ki sodeluje v procesu
zagotavljanja storitev uporabe plačilnih kartic.
Vire se opredeli na dva načina:
• z avtomatskim iskalnikom se po bazah podatkov, datotečnih sistemih ipd. se poiščejo
tisti viri, ki vsebujejo podatke o plačilnih karticah in njihovih imetnikih;
• podatke v fizični obliki je potrebno poiskati z analizo poslovnih procesov.
Analiza poslovnih procesov se izvaja tako, da se ugotovi tok podatkov skozi poslovne
procese, kot so:
• otvoritev/sprememba kartičnega računa/kartice,
• izdelava kartice,
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
6
• izplačilo gotovine (bančno okence, ATM),
• avtorizacija,
• knjiženje nakupov,
• poravnava med članicami (vključno s poročili),
• plačilo trgovcem (vključno z izpiskom),
• plačilo imetnika (vključno z izpiskom),
• finančne reklamacije,
• spremljava,
• knjigovodstvo,
• analize,
• poročanje,
• arhiv,
• razvoj in testiranje.
V vsakem procesu je treba ugotoviti:
• kateri podatki nastopajo v procesih,
• kateri od teh podatkov so kritični,
• katere baze oziroma nosilci podatkov so uporabljeni.
V nadaljevanju je treba ugotoviti:
• ali so ugotovljeni podatki v procesu dovoljeni,
• ali so ugotovljeni podatki v procesu potrebni,
• na kakšen način se bodo ugotovljeni podatki varovali.
Če se ugotovi, da podatki v poslovnem procesu niso potrebni, se poslovni proces ustrezno
spremeni.
Na opisan način podjetje ugotovi obseg varovanja informacij po PCI DSS. Vsi viri, ki
ostanejo v okviru obsega, avtomatsko zapadejo pod nadzorstva, ki jih predpisuje PCI DSS.
Na tako opredeljen obseg se uvedejo vse organizacijske ali tehnične kontrole, ki jih predpisuje
PCI DSS.
8.
Učinkovitost PCI DSS
PCI DSS je standard, ki naj bi vse udeležence v procesu plačevanja s plačilnimi karticami
zavaroval pred zlorabami. Če poskušamo potegniti vzporednico med najbolj znanimi
zlorabami in ukrepi, ki jih predpisuje PCI DSS, lahko ugotovimo, da slednji učinkovito
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
7
delujejo kot preventiva ali kot kurativa. PCI DSS nima vpliva na tiste zlorabe, kjer je
varovanje podatkov odvisno predvsem od imetnika plačilne kartice, torej v primeru kraje
plačilne kartice (kraja plastike). Za ostale primere, kjer gre za krajo podatkov o plačilni
kartici, je v spodnji tabeli navedeno, katere tipe zlorab je mogoče preprečevati z
vzpostavitvijo PCI DSS. Tabeli je dodan tip zlorabe, ki v strokovni literaturi ni posebej
opredeljen, postaja pa čedalje verjetnejši scenarij kraje podatkov, to je vdor v bančni avtomat.
Tip zlorabe
Način kraje
podatkov
PCI DSS zahteva
Kartica ni
prisotna
Vdor v sistem
trgovca,
procesnega
centra, banke ipd.
Vse zahteve PCI DSS
Kraja
identitete
(identity
theft)
Kraja podatkov
pri imetniku
plačilne kartice
Ni primerno, drugi načini zmanjševanja tveganj
(ozaveščanje imetnikov kartic)
Skimming
Skimming na
POS terminalih
2 – Ne uporabljati privzetih nastavitev, ki jih dobavi
prodajalec sistema, za sistemska gesla in druge
varnostne parametre
8 – Dodeliti edinstveno identifikacijsko številko vsaki
osebi, ki ima dostop do informacijske podpore
9 – Omejiti fizični dostop do podatkov o imetniku
plačilne kartice
10 – Slediti in nadzorovati vse dostope do omrežnih
virov in do podatkov o imetniku plačilne kartice
12 – Vzdrževati politiko, ki ureja področje varnosti
informacij in velja za zaposlene in pogodbene
izvajalce
Skimming na
bančnih
avtomatih
Ni primerno, drugi načini zmanjševanja tveganj
(antiskimming naprave)
Drugi načini
skimminga
2 – Ne uporabljati privzetih nastavitev, ki jih dobavi
prodajalec sistema, za sistemska gesla in druge
varnostne parametre
8 – Dodeliti edinstveno identifikacijsko številko vsaki
osebi, ki ima dostop do informacijske podpore
9 – Omejiti fizični dostop do podatkov o imetniku
plačilne kartice
10 – Slediti in nadzorovati vse dostope do omrežnih
virov in do podatkov o imetniku plačilne kartice
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
8
12 – Vzdrževati politiko, ki ureja področje varnosti
informacij in velja za zaposlene in pogodbene
izvajalce
Vdor v bančni Vdor v sistem
avtomat
posameznega
bančnega
avtomata
Vse zahteve PCI DSS
BIN attack
Ni primerno, drugi načini zmanjševanja tveganj
(kvalitetna avtorizacija)
Ni kraje podatkov
Tabela 3: Učinkovitost PCI DSS pri posameznih zlorabah plačilnih kartic
9.
Za zaključek
Informacije o plačilnih karticah in njihovih imetnikih so v sodobnem svetu ena najbolj
izpostavljenih informacij in zelo zaželena tarča vseh hekerjev.
Vdori v sisteme lahko povzročijo:
• nedelovanje ali slabo delovanje informacijsko komunikacijskega sistema za podporo
plačevanju s plačilnimi karticami;
• izgubo podatkov o plačilnih karticah in s tem onemogočanje uporabe plačilnih kartic
za imetnike;
• krajo in zlorabo podatkov o plačilnih karticah.
Vsi udeleženci v procesu kartičnega poslovanja so tako izpostavljeni različnim tveganjem,
med katerimi so prav gotovo najpomembnejša:
• finančno tveganje, do katerega pride v primeru kraje in zlorabe podatkov o plačilnih
karticah;
• pravno tveganje, kadar udeleženec v procesu kartičnega poslovanja zaradi katerekoli
posledice vdora v sistem ne more več zagotavljati pogodbenih in zakonskih
obveznosti;
• tveganje izgube ugleda, ki za udeleženca pomeni izgubo tržnega deleža, izgubo strank
in izgubo prihodka.
V izogib omenjenim tveganjem so vsi udeleženci v procesu kartičnega poslovanja zavezani k
upoštevanju osnovnih zahtev za varovanje informacij, kot jih predpisujejo standardi iz družine
PCI, med njimi najpomembnejši PCI DSS.
PCI DSS pomeni omejevanje tveganj in poskuša zagotoviti:
• varno poslovanje s plačilnimi karticami za imetnike kartic,
• varno poslovanje s plačilnimi karticami za trgovce,
• izogibanje finančnim tveganjem,
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
9
• izogibanje tveganjem izgube ugleda,
• skladnost z zakonodajo in regulativo.
V prihodnosti lahko na področju izvajanja plačilnih storitev pričakujemo nove tehnologije,
med katere sodi predvsem prenos produkta plačilnega sredstva iz danes znane plačilne kartice
na druge nosilce, verjetno na mobilno telefonijo.
Po drugi strani, upoštevajoč dejstvo, da so podatki za izvedbo plačila ena najbolj zaželenih
tarč nepridipravov, lahko pričakujemo vedno nove in tudi inovativne načine za izvedbo
zlorabe.
Zaradi obeh dejstev lahko upravičeno pričakujemo nove, izboljšane tehnike in metode
varovanja informacij. Nedvomno bo pri tem ključno vlogo odigral PCI SSC. Predvsem se v
prihodnosti pričakuje zaostritev varnostnih zahtev za vse udeležence v procesu uporabe
plačilnih kartic in vpeljava novih zahtev predvsem na področju preprečevanja odtekanja
informacij preko pooblaščenih uporabnikov (preprečevanje izgube podatkov, angl.: Data Loss
Prevention – DLP).
Hkrati ima PCI DSS velike ambicije, da postane splošno veljavni standard na področju
finančne industrije, kjer bi bilo njegove zahteve možno implementirati tudi na ostala področja
in bi veljal splošno za varovanje podatkov o bančnih računih in njihovih imetnikih.
Prihodnost PCI DSS prav gotovo ima.
VIRI IN LITERATURA
[1] Navigating PCI DSS, oktober 2010
[2] Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures,
ver. 2.0; oktober 2010
[3] PCI DSS Quick Reference Guide, oktober 2010
[4] Varnostne zahteve PCI DSS standarda na področju kartičnega poslovanja; Delovna skupina pri Združenju
bank Slovenije za PCI DSS, oktober 2009
Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012
10