VARNOST KARTIČNEGA POSLOVANJA – PCI DSS
Transcription
VARNOST KARTIČNEGA POSLOVANJA – PCI DSS
VARNOST KARTIČNEGA POSLOVANJA – PCI DSS (PAYMENT CARD INDUSTRY DATA SECURITY STANDARD) Alenka Glas FMC d.o.o. alenka.glas@fmc.si Povzetek Današnja družba temelji na informacijah, njihovi izmenjavi, obdelavi in hranjenju. Kriminalci se vedno zelo hitro prilagajajo novim razmeram, pogosto so en korak naprej. Njihovo delovanje je danes čedalje bolj usmerjeni h kraji podatkov. Ta jim največkrat omogoči finančno korist, pogosto pa tudi veča njihov ugled in zmanjšuje ugled žrtve njihovega dejanja. Pred napadi se je mogoče zaščititi na različne načine, uspešno dobro prakso predstavljajo standardi iz družine PCI. PCI DSS je globalni varnostni standard. Namenjen je vsem organizacijam, ki zajemajo, obdelujejo, hranijo ali posredujejo podatke o plačilnih karticah in njihovih imetnikih. Sprejet je bil na pobudo vodilnih izdajateljev plačilnih kartic. Finančne institucije in trgovci so tako postavljeni pred dejstvo, da mora njihovo poslovanje in rokovanje s plačilnimi karticami postati skladno z zahtevami, ki jih postavlja PCI DSS. Na prvi pogled nemogoča in nerazumna zahteva? Abstract Information security in credit card business – PCI DSS (Payment Card Industry Data Security standard Today's society is based on exchanging, processing and storing information. Criminals are always very quick to adapt to new situations and are often one step ahead. Their work is now increasingly directed to theft of data. This can give them financial gain and often increase their reputation and reduce the reputation of the victim. Before attacks one can protect themselves in different ways especially with the standards of the PCI family. PCI DSS is a global security standard. It is intended for organizations that process, store or transmit information on credit cards. The security standard was adopted on the initiative of the leading issuers of credit cards. Financial institutions and retailers are faced with the fact that their business, who handle credit cards, have to become consistent with the requirements imposed by PCI DSS. At first glance is it an impossible and unreasonable request? Ključne besede Varovanje informacij, PCI DSS, plačilna kartica, trgovec, banka, procesni center, PAN (številka kartice), imetnik plačilne kartice, zlorabe Key words Information security, PCI DSS, credit card, merchant, bank/acquirer/issuer, service provider, PAN (primary account number), cardholder, credit card fraud 1. UVOD Elektronsko poslovanje je omogočilo nove poslovne poti, ki se zanašajo na učinkovit program za varovanje informacij, s katerim si lahko podjetje pridobi zaupanje strank. Današnja družba temelji na informacijah, njihovi izmenjavi, obdelavi in hranjenju. Kriminalci se vedno zelo hitro prilagajajo novim razmeram, pogosto so en korak naprej. Njihovo delovanje je danes čedalje bolj usmerjeni h kraji podatkov. Ta jim največkrat omogoči finančno korist, pogosto pa tudi veča njihov ugled in zmanjšuje ugled žrtve njihovega dejanja. Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 1 Sodobni potrošniki smo odvisni od plačevanja blaga in storitev s plastičnim denarjem – plačilnimi karticami. Prvi v verigi plačevanja s plačilnimi karticami so trgovci, drugi v vrsti so različni obdelovalci in posredovalci podatkov o plačilnih karticah, to so vezni členi med trgovcem in banko. Tretji so banke, ki imajo pogodbeno razmerje z imetniki plačilnih kartic in s trgovci, ki so plačilne kartice pripravljeni sprejemati. Pred napadi se je mogoče zaščititi na različne načine, uspešno dobro prakso predstavljajo standardi iz družine PCI. PCI DSS je globalni varnostni standard. Namenjen je vsem organizacijam, ki zajemajo, obdelujejo, hranijo ali posredujejo podatke o plačilnih karticah in njihovih imetnikih. Sprejet je bil na pobudo vodilnih izdajateljev plačilnih kartic. V naslednjem letu bodo tej tematiki morali veliko pozornosti posvetiti bančniki in trgovci v Sloveniji in sosednjih državah. Finančne institucije in trgovci so tako postavljeni pred dejstvo, da mora njihovo poslovanje in rokovanje s plačilnimi karticami postati skladno z zahtevami, ki jih postavlja PCI DSS. Na prvi pogled nemogoča in nerazumna zahteva? 2. Začetek standardizacije varovanja informacij v industriji plačilnih kartic Vodilni kartični brandi MasterCard, Visa, American Express, DiscoverCard so že zelo zgodaj začeli bankam in procesnim centrom predpisovati standardizirano poslovanje. Namen teh predpisov je bilo zagotavljanje varnega in neprekinjenega delovanja plačilnih shem. Med drugim so kartične organizacije standardizirale tudi varnostne postopke, s katerimi so želeli v največji meri zaščititi kartično poslovanje. Plačilne kartice so namreč že zelo zgodaj postale zaželena tarča kriminalnih dejavnosti, saj so kriminalci ugotovili, da plačilne kartice lahko enostavno in hitro ukradejo. Varnostne standarde so v svoje poslovanje uvedli vsi kartični brandi, aktualne varnostne standarde lahko najdemo na teh naslovih: - MasterCard Worldwide: www.mastercard.com/sdp; - Visa Inc: www.visa.com/cisp; Visa Europe: www.visaeurope.com/ais; 3. - American Express: www.americanexpress.com/datasecurity; - Discover Financial Services: www.discovernetwork.com/fraudsecurity/disc.html; - JCB International: www.jcb-global.com/english/pci/index.html. Ustanovitev Payment Card Industry Security Standards Council (PCI SSC) Prej omenjeni vodilni kartični brandi so v letu 2005 ustanovili Payment Card Industry Security Standards Council (PCI SSC), ki je postal koordinator priprave in izdajatelj varnostnih standardov na področju kartičnega poslovanja. PCI SSC izdaja tri glavne sklope standardov: • Payment Card Industry Data Security Standard (PCI DSS); • Payment Application Data Security Standard (PCI PA DSS); • PIN Transaction (PTS) Security Requirements (PCI PTS) Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 2 (vir: https://www.pcisecuritystandards.org/security_standards/documents.php). PCI DSS je namenjen upravljanju varovanja informacij o karticah v finančnih institucijah, procesnih centrih in pri trgovcih. Sestavljen je iz zahtev, ki predvidevajo implementacijo tehnično-tehnoloških rešitev in implementacijo organizacijsko formalnih rešitev. PCI PA DSS je namenjen razvoju varne programske opreme za obdelavo transakcij plačilnih kartic. Zahteve v tem standardu opredeljujejo predvsem varnost programske opreme skozi faze razvoja, uvedbe in vzdrževanja. PCI PTS je namenjen razvoju varne strojne opreme za zajem podatkov, ki so potrebni za izvedbo transakcije s plačilno kartico. Standard natančno opredeljuje tehnično-tehnološke zahteve za varen zajem in prenos najbolj kritičnih podatkov v procesu kartičnega poslovanja, kot so PAN (številka kartice), PIN (osebna številka), zapis z magnetne steze ali čipa. 4. Paymet Card Industry Data Security Standard PCI DSS je odprt, globalni varnostni standard, ki združuje tehnične in poslovne zahteve. Sprejet je bil na pobudo vodilnih izdajateljev plačilnih kartic. PCI DSS je najpomembnejši varnostni standard, ki ga morajo pri svojem delu upoštevati vsi, ki »zajemajo, obdelujejo, hranijo ali posredujejo podatke o plačilnih karticah in njihovih imetnikih«, torej procesni centri, prodajna mesta (trgovci), banke podpisnice pogodb s prodajnimi mesti (acquirer), banke izdajateljice kartic (issuer) (Payment Card Industry (PCI) Data Security Standard, ver. 2.0). Standard je namenjen zavarovanju teh podatkov. PCI DSS standard je razdeljen na šest področij, dvanajst zahtev in množico podzahtev. Za uresničitev vseh zahtev (vse zahteve so obvezne) je potrebno uvajati tako organizacijska (politike, predpisi) kot tehnično – tehnološka nadzorstva. Standard se od drugih, podobnih standardov razlikuje po tem, da ga sestavljajo zahteve, in ne, kot na primer ISO/IEC 27001, priporočila. Vsi, ki so dolžni standard upoštevati, morajo skladno s svojim obsegom poslovanja upoštevati vse zahteve in ne smejo opustiti nobene zahtevane kontrole. Izjemo lahko predstavljajo tiste kontrole, ki so v nasprotju z lokalno zakonodajo. 5. Podatki, ki jih je potrebno varovati Zahteve standarda se nanašajo na tiste poslovne procese in sredstva, ki zagotavljajo delovanje teh poslovnih procesov, kjer se »zajemajo, obdelujejo, hranijo ali posredujejo podatke o plačilnih karticah in njihovih imetnikih«. Podatki, ki jih je treba varovati, so: Podatki o plačilni kartici Vrsta podatka Shranjevanje Zahtevana Kriptiranje zaščita podatkov Številka kartice (PAN) Da Da Da Imetnikovo ime Da Da Ne Servis koda Da Da Ne Datum veljavnosti Da Da Ne Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 3 Občutljivi podatki za odobritev plačila Celoten magnetni zapis Ne N/A N/A CAV2 / CVC2 / CVV2 / CID Ne N/A N/A PIN / PIN blok Ne N/A N/A Tabela 1: Varovani podatki po PCI DSS Vsi omenjeni podatki se nahajajo na plačilni kartici, v bazah podatkov pri upravljavcih in uporabnikih plačilnih sistemov ter v komunikacijskih zapisih, ki nastajajo v procesih plačevanja s plačilnimi karticami. Za lažjo predstavo o tem, na katere podatke se zahteve nanašajo, služi opredelitev kritičnih podatkov na plačilni kartici. Nekateri podatki so na plačilnih karticah vidni1, drugi pa so zapisani v elektronski obliki in se nahajajo na magnetnem traku ali na čipu. Slika 1: Podatki na plačilni kartici, ki so vidni (vir: PCI DSS Quick Reference Guide) 1 Ob izdelavi (personalizaciji) kartice se podatki, ki so lastni imetniku kartice, na plastiko lahko zapišejo na več načinov. Med njimi so najpogostejši: - embosiranje – zapis je izbočen nad površino kartice, taka kartica je namenjena tudi ročnemu odtisu potrdila o nakupu; - graviranje – zapis je v plastiko vgraviran, tak zapis je trajnejši; - tiskanje – manj zahtevna tehnika izdelave kartice. Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 4 Slika 2: Podatki na plačilni kartici, zapisani v elektronski obliki (vir: Navigating PCI DSS) 6. Struktura standarda PCI DSS sestavlja šest glavnih področij. Področja se delijo na dvanajst zahtev, zahteve pa so natančno opredeljene z množico podzahtev2: Področje PCI DSS zahteva Vzpostavitev in vzdrževanje varnega omrežja 1 – Vzpostaviti in vzdrževati konfiguracijo požarne pregrade Varovanje podatkov o imetniku plačilne kartice 3 – Zavarovati shranjene podatke o imetniku plačilne kartice Vzdrževati program za upravljanje z ranljivostmi sistema 5 – Uporabljati in redno posodabljati protivirusno programsko opremo ali programe Implementacija ukrepov za kontrolo dostopa do občutljivih kartičnih podatkov 7 – Omejitev dostopa do podatkov o imetniku plačilne kartice na najmanjši obseg, ki je potreben za izvršitev transakcije 4 – Šifriranje prenosa podatkov o imetniku plačilne kartice preko odprtih, javnih omrežjih 6 – Razvijati in vzdrževati varne sisteme in aplikacije PODZAHTEVE 2 – Ne uporabljati privzetih nastavitev, ki jih dobavi prodajalec sistema, za sistemska gesla in druge varnostne parametre 8 – Dodeliti edinstveno identifikacijsko številko vsaki osebi, ki ima dostop do informacijske podpore 9 – Omejiti fizični dostop do podatkov o imetniku plačilne kartice 2 Za poimenovanje posameznih področij in zahtev so uporabljeni prevodi, kot so zapisani v dokumentu »Varnostne zahteve PCI DSS standarda na področju kartičnega poslovanja« in pripadajočih vprašalnikih v izdaji Združenja bank Slovenije (Varnostne zahteve PCI DSS standarda na področju kartičnega poslovanja; Delovna skupina pri Združenju bank Slovenije za PCI DSS, oktober 2009). Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 5 Redno spremljanje in testiranje omrežij 10 – Slediti in nadzorovati vse dostope do omrežnih virov in do podatkov o imetniku plačilne kartice Vzdrževanje politike varovanja informacij 12 – Vzdrževati politiko, ki ureja področje varnosti informacij in velja za zaposlene in pogodbene izvajalce 11 – Redno testiranje varnostnih sistemov in procesov Tabela 2: Struktura PCI DSS Poleg zahtev, ki so zapisane v omenjenih šestih področjih upravljanja varovanja informacij, standard v uvodu podaja tudi naslednje informacije in zahteve: • natančna opredelitev področja, kjer je zahteve potrebno upoštevati; • način opredelitve obsega izvajanja varovanja informacij po PCI DSS; • način dokazovanja skladnosti z zahtevami PCI DSS. Med omenjenimi zahtevami je predvsem pomembna zahteva po natančni opredelitvi obsega upravljanja varovanja informacij, saj je skladno s to zahtevo potrebno zelo natančno opredeliti vsa sredstva (vire), ki zagotavljajo delovanje plačilnih kartic. 7. Kako uvajati skladnost s PCI DSS Pri vzpostavljanju skladnosti s PCI DSS je najpomembnejše, da dobro opredelimo obseg varovanja informacij po omenjenem standardu, saj v nasprotnem primeru po zelo zahtevnih pravilih PCI DSS varujemo celotno podjetje in celoten obseg poslovanja. Opredelitev obsega predstavlja eno najzahtevnejših poglavij pri vzpostavitvi varovanja informacij po PCI DSS. Standard namreč zahteva, da se varujejo informacije o plačilni kartici in imetniku, ne glede na to, v kakšni obliki se nahajajo. Obsega varovanja informacij po PCI DSS se lotimo tako, da se najprej opredeli vse vire, s katerimi podjetje izvaja svoje poslovne procese. Za lažje izvajanje se viri lahko združujejo v skupine virov (npr.: prostori in oprema, človeški viri, strojna oprema, komunikacije in komunikacijska oprema, programska oprema, baze podatkov, ostali dokumenti – v fizični ali elektronski obliki). V vsako od skupin mora biti uvrščen vir, ki sodeluje v procesu zagotavljanja storitev uporabe plačilnih kartic. Vire se opredeli na dva načina: • z avtomatskim iskalnikom se po bazah podatkov, datotečnih sistemih ipd. se poiščejo tisti viri, ki vsebujejo podatke o plačilnih karticah in njihovih imetnikih; • podatke v fizični obliki je potrebno poiskati z analizo poslovnih procesov. Analiza poslovnih procesov se izvaja tako, da se ugotovi tok podatkov skozi poslovne procese, kot so: • otvoritev/sprememba kartičnega računa/kartice, • izdelava kartice, Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 6 • izplačilo gotovine (bančno okence, ATM), • avtorizacija, • knjiženje nakupov, • poravnava med članicami (vključno s poročili), • plačilo trgovcem (vključno z izpiskom), • plačilo imetnika (vključno z izpiskom), • finančne reklamacije, • spremljava, • knjigovodstvo, • analize, • poročanje, • arhiv, • razvoj in testiranje. V vsakem procesu je treba ugotoviti: • kateri podatki nastopajo v procesih, • kateri od teh podatkov so kritični, • katere baze oziroma nosilci podatkov so uporabljeni. V nadaljevanju je treba ugotoviti: • ali so ugotovljeni podatki v procesu dovoljeni, • ali so ugotovljeni podatki v procesu potrebni, • na kakšen način se bodo ugotovljeni podatki varovali. Če se ugotovi, da podatki v poslovnem procesu niso potrebni, se poslovni proces ustrezno spremeni. Na opisan način podjetje ugotovi obseg varovanja informacij po PCI DSS. Vsi viri, ki ostanejo v okviru obsega, avtomatsko zapadejo pod nadzorstva, ki jih predpisuje PCI DSS. Na tako opredeljen obseg se uvedejo vse organizacijske ali tehnične kontrole, ki jih predpisuje PCI DSS. 8. Učinkovitost PCI DSS PCI DSS je standard, ki naj bi vse udeležence v procesu plačevanja s plačilnimi karticami zavaroval pred zlorabami. Če poskušamo potegniti vzporednico med najbolj znanimi zlorabami in ukrepi, ki jih predpisuje PCI DSS, lahko ugotovimo, da slednji učinkovito Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 7 delujejo kot preventiva ali kot kurativa. PCI DSS nima vpliva na tiste zlorabe, kjer je varovanje podatkov odvisno predvsem od imetnika plačilne kartice, torej v primeru kraje plačilne kartice (kraja plastike). Za ostale primere, kjer gre za krajo podatkov o plačilni kartici, je v spodnji tabeli navedeno, katere tipe zlorab je mogoče preprečevati z vzpostavitvijo PCI DSS. Tabeli je dodan tip zlorabe, ki v strokovni literaturi ni posebej opredeljen, postaja pa čedalje verjetnejši scenarij kraje podatkov, to je vdor v bančni avtomat. Tip zlorabe Način kraje podatkov PCI DSS zahteva Kartica ni prisotna Vdor v sistem trgovca, procesnega centra, banke ipd. Vse zahteve PCI DSS Kraja identitete (identity theft) Kraja podatkov pri imetniku plačilne kartice Ni primerno, drugi načini zmanjševanja tveganj (ozaveščanje imetnikov kartic) Skimming Skimming na POS terminalih 2 – Ne uporabljati privzetih nastavitev, ki jih dobavi prodajalec sistema, za sistemska gesla in druge varnostne parametre 8 – Dodeliti edinstveno identifikacijsko številko vsaki osebi, ki ima dostop do informacijske podpore 9 – Omejiti fizični dostop do podatkov o imetniku plačilne kartice 10 – Slediti in nadzorovati vse dostope do omrežnih virov in do podatkov o imetniku plačilne kartice 12 – Vzdrževati politiko, ki ureja področje varnosti informacij in velja za zaposlene in pogodbene izvajalce Skimming na bančnih avtomatih Ni primerno, drugi načini zmanjševanja tveganj (antiskimming naprave) Drugi načini skimminga 2 – Ne uporabljati privzetih nastavitev, ki jih dobavi prodajalec sistema, za sistemska gesla in druge varnostne parametre 8 – Dodeliti edinstveno identifikacijsko številko vsaki osebi, ki ima dostop do informacijske podpore 9 – Omejiti fizični dostop do podatkov o imetniku plačilne kartice 10 – Slediti in nadzorovati vse dostope do omrežnih virov in do podatkov o imetniku plačilne kartice Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 8 12 – Vzdrževati politiko, ki ureja področje varnosti informacij in velja za zaposlene in pogodbene izvajalce Vdor v bančni Vdor v sistem avtomat posameznega bančnega avtomata Vse zahteve PCI DSS BIN attack Ni primerno, drugi načini zmanjševanja tveganj (kvalitetna avtorizacija) Ni kraje podatkov Tabela 3: Učinkovitost PCI DSS pri posameznih zlorabah plačilnih kartic 9. Za zaključek Informacije o plačilnih karticah in njihovih imetnikih so v sodobnem svetu ena najbolj izpostavljenih informacij in zelo zaželena tarča vseh hekerjev. Vdori v sisteme lahko povzročijo: • nedelovanje ali slabo delovanje informacijsko komunikacijskega sistema za podporo plačevanju s plačilnimi karticami; • izgubo podatkov o plačilnih karticah in s tem onemogočanje uporabe plačilnih kartic za imetnike; • krajo in zlorabo podatkov o plačilnih karticah. Vsi udeleženci v procesu kartičnega poslovanja so tako izpostavljeni različnim tveganjem, med katerimi so prav gotovo najpomembnejša: • finančno tveganje, do katerega pride v primeru kraje in zlorabe podatkov o plačilnih karticah; • pravno tveganje, kadar udeleženec v procesu kartičnega poslovanja zaradi katerekoli posledice vdora v sistem ne more več zagotavljati pogodbenih in zakonskih obveznosti; • tveganje izgube ugleda, ki za udeleženca pomeni izgubo tržnega deleža, izgubo strank in izgubo prihodka. V izogib omenjenim tveganjem so vsi udeleženci v procesu kartičnega poslovanja zavezani k upoštevanju osnovnih zahtev za varovanje informacij, kot jih predpisujejo standardi iz družine PCI, med njimi najpomembnejši PCI DSS. PCI DSS pomeni omejevanje tveganj in poskuša zagotoviti: • varno poslovanje s plačilnimi karticami za imetnike kartic, • varno poslovanje s plačilnimi karticami za trgovce, • izogibanje finančnim tveganjem, Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 9 • izogibanje tveganjem izgube ugleda, • skladnost z zakonodajo in regulativo. V prihodnosti lahko na področju izvajanja plačilnih storitev pričakujemo nove tehnologije, med katere sodi predvsem prenos produkta plačilnega sredstva iz danes znane plačilne kartice na druge nosilce, verjetno na mobilno telefonijo. Po drugi strani, upoštevajoč dejstvo, da so podatki za izvedbo plačila ena najbolj zaželenih tarč nepridipravov, lahko pričakujemo vedno nove in tudi inovativne načine za izvedbo zlorabe. Zaradi obeh dejstev lahko upravičeno pričakujemo nove, izboljšane tehnike in metode varovanja informacij. Nedvomno bo pri tem ključno vlogo odigral PCI SSC. Predvsem se v prihodnosti pričakuje zaostritev varnostnih zahtev za vse udeležence v procesu uporabe plačilnih kartic in vpeljava novih zahtev predvsem na področju preprečevanja odtekanja informacij preko pooblaščenih uporabnikov (preprečevanje izgube podatkov, angl.: Data Loss Prevention – DLP). Hkrati ima PCI DSS velike ambicije, da postane splošno veljavni standard na področju finančne industrije, kjer bi bilo njegove zahteve možno implementirati tudi na ostala področja in bi veljal splošno za varovanje podatkov o bančnih računih in njihovih imetnikih. Prihodnost PCI DSS prav gotovo ima. VIRI IN LITERATURA [1] Navigating PCI DSS, oktober 2010 [2] Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures, ver. 2.0; oktober 2010 [3] PCI DSS Quick Reference Guide, oktober 2010 [4] Varnostne zahteve PCI DSS standarda na področju kartičnega poslovanja; Delovna skupina pri Združenju bank Slovenije za PCI DSS, oktober 2009 Dnevi slovenske informatike 2012, Portorož, 16. - 18. april 2012 10