Глоссарий
Что такое PCI DSS — стандарт безопасности для работы с данными платёжных карт
PCI DSS — международный стандарт безопасности для бизнеса, который работает с данными платёжных карт. Разбираем, на кого он распространяется, что требует — шифрование, контроль доступа, мониторинг — и самый безопасный вариант из всех: не хранить данные карт у себя. Подход через защиту.
PCI DSS не обойти, если вы работаете с данными карт. Вот область применения и суть — и самый безопасный выбор из всех, «не хранить их», — в терминах защиты.
Что он требует (в общих чертах)
Дело не столько в одной технологии, сколько в позиции эксплуатации: защищать чувствительные данные в минимальной области, эшелонированно и вести записи.
Защищайте (шифрование, контроль доступа)
Шифруйте хранимые данные с управлением ключами, шифруйте данные при передаче и обеспечьте контроль доступа по принципу наименьших привилегий (сузьте круг тех, кто может касаться данных карт). Аутентификация vs авторизация — это фундамент.
Укрепляйте (никаких значений по умолчанию, управление уязвимостями)
Устраните пароли по умолчанию и слабые учётные данные, а также мониторьте CVE в зависимостях и патчите. Защита от вредоносного ПО включена.
Записывайте (логирование, мониторинг, регулярное тестирование)
Ведите журналы того, кто, что и когда сделал, и мониторьте. Регулярно сканируйте и тестируйте, чтобы поддерживать стандарт.
Самый безопасный выбор: сузить область применения
Взгляд этого сайта: лучшая защита — не хранить это
Выполнять каждое требование PCI DSS по одному — большая работа; сильнее всего помогает конструкция, при которой вы вообще не храните номера карт в своей системе. Передайте обработку карт совместимому провайдеру и работайте только с токенизированной ссылкой — и область применения вашей среды резко сузится. Тот же принцип, которому следует этот сайт: с чувствительными данными не храните, не размещайте, минимизируйте — это и соответствие, и самая сильная защита. Проверьте, что экраны и трафик обработки карт никогда не попадают в публичные каталоги или журналы (→ не держите секреты в публичных каталогах).
Связанная идея
Расширение области применения (тяжело)
- хранение номеров карт в своей БД
- множество серверов и людей могут касаться данных карт
- поверхность аудита и шифрования растёт, нагрузка раздувается
Сужение области применения (безопасно)
- передача обработки карт совместимому провайдеру
- вы работаете только с токенизированной ссылкой
- область применения минимизирована, риск утечки сужается вместе с ней
Читать дальше
- Основы: аутентификация vs авторизация (наименьшие привилегии доступа) · криптография с открытым ключом (фундамент шифрования)
- Практика: не держите секреты в публичных каталогах · мониторинг CVE в зависимостях
- Связанное: GDPR (защита персональных данных) · OWASP Top 10 · история безопасности (хронология)
Источник
- PCI Security Standards Council (официально): pcisecuritystandards.org
FAQ
QНа кого распространяется PCI DSS?
На любой бизнес, который хранит, обрабатывает или передаёт данные платёжных карт (номера карт и т. п.) — интернет-магазины, физические магазины, SaaS с обработкой платежей. Строгость доказательства масштабируется с объёмом транзакций, но «малый объём» не означает «освобождён». Как только вы касаетесь данных карт, стандарт вступает в игру.
QЧто PCI DSS требует на деле?
В общих чертах: защитить сеть (файрволы и т. п.), шифровать хранимые данные с управлением ключами, устранить значения по умолчанию и слабые учётные данные, контроль доступа по принципу наименьших привилегий, шифрование данных при передаче, управление уязвимостями (патчи, защита от вредоносного ПО), логирование и мониторинг, регулярное тестирование. Дело не столько в одной технологии, сколько в позиции эксплуатации: защищать чувствительные данные в минимальной области, эшелонированно и вести записи.
QКак лучше всего снизить нагрузку по соответствию?
Вообще не хранить номера карт в своей системе. Передайте обработку карт совместимому платёжному провайдеру и работайте только с токенизированной ссылкой — и область применения вашей среды резко сузится. Данные, которых у вас нет, не утекут — самая сильная защита, далеко за пределами карт.