Zaštititi podatke vlasnika kartica

Izvor: SIS Wiki
Skoči na: orijentacija, traži

PCI-DSS Norma, sukladnost sa PCI-DSS normom

Područje zaštite podataka vlasnika kartica najviše pozornosti posvećuje kriptografskim ključevima i skrivanju broja računa i sličnih osobnih podataka.

Sastoji se od dva osnovna zahtjeva, opisana u nastavku.

Sadržaj

3. zahtjev: Zaštititi pohranjene podatke vlasnika kartica

Sasvim logičan zahtjev je zaštita pohranjenih podataka. Osim što ih treba zaštiti od napada (kriptiranjem i sl.), treba i očuvati njihov integritet u slučaju nekakve prirodne katastrofe ili u slučaju požara i sličnih oblika prijetnji. Područje trećeg zahtjeva se bavi i skrivanjem PAN i PIN-a, što su osnovni broj računa (PAN - primary account number) i osobni identifikacijski broj (PIN - personal identification number). Detaljan opis ovog zahtjeva s procedurama za testiranje je u tablici 3.

Tablica 3. Detaljni opis 3. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 28 - 34)

PCI DSS zahtjev

Procedura za testiranje

3.1. Održavati spremnik podataka o vlasnicima kartica na minimumu, impelementirajući politike pohrane i odlaganja podataka, procedura i procesa na sljedeći način:

3.1. uspostaviti i ispitati politike, procedure i procese za pohranu i odlaganje podataka i napraviti sljedeće:

3.1.1.implementirati politiku pohrane i odlaganja podataka što uključuje:

·         ograničavanje veličine spremišta i vremena pohrane na ono koje je potrebno za legalno i normalno poslovanje

·         sigurno brisanje procesa kada podaci više nisu potrebni

·         specifične zahtjeve za pohranu za podatke o vlasniku kartice

·         kvartalne automatske ili ručne procesa za otkrivanje i sigurno brisanje pohranjenih podataka o vlasniku kartica, koji ne zadovoljavaju definirane zahtjeve pohrane

3.1.1.a potvrditi da su politike i procedure implementirane i uključuju legalne i regularne poslovne zahtjeve za pohranu podataka, uključujući specifične zahtjeve za pohranu podataka o vlasnicima kartica

3.1.1.b potvrditi da politike i procedura uključuju odredbe za sigurno odlaganje podataka kada podaci nisu više potrebni za legalno i regularno poslovanje

3.1.1.c potvrditi da politike i procedure uključuju pokrivanje svih spremišta podataka vlasnika kartice

3.1.1. d potvrditi da politike i procedure obuhvačaju barem jedno od sljedećeg:

programirani proces za kvartalno uklanjanje nepotrebnih pohranjenih podataka o vlasnicima kartica

zahtjeve za kvartalni pregled za utrvđivanje da pohranjeni podaci ne prelaze zahtjeve definirane u politici za pohranu podataka

3.1.1. e za dio sustavskih komponenti, koje pohranjuju podatke o vlasnicima kartica, potvrditi da pohranjeni podaci ne prelaze zahtjeve definirane u politici o pohrani

3.2. ne pohranjivati osjetljive autentikacijske podatke nakon autorizacije (čak ni ako su kriptirani)

3.2.a za tvrtke koje pohranjuju osjetljive autentikacijske podatke (to su npr. PAN, ime vlasnika kartice, datum isteka…) potvrditi da postoji poslovno opravdanje za pohranu tih podataka i su podaci sigurni

3.2.b za sve druge entitete, ako primaju ili brišu osjetljive autentikacijske podatke kreirati i pregledati procese za sigurno brisanje podataka da bi se potvrdilo da su podaci nepovratno obrisani

3.2.c za svaki osjetljici podatak iz sljedećih zahtjeva napraviti:

3.2.1. ne pohranjivati cijeli sadržaj niti jedne trake (magnetska traka na poleđini kartice).

3.2.1. za dio sustavskih komponenti provjeriti izvore podataka i potvrditi da sadržaj magnetske trake ili čipa ne sadrži ni u kom slučaju sljedeće podatke:

·         podatke o dolaznim transakcijama

·         logovi

·         povijesne datoteke

·         datoteke za praćenje

·         sheme baze podataka

·         sadržaj baza podataka

3.2.2. ne pohranjivati verifikacijski kod kartice (troznamenkasti ili četveroznamenkasti broj otisnut na kartici) korišten za potvrđivanje transakcija bez kartice

3.2.2. za dio sustavskih komponenti provjeriti izvore podataka i potvrditi da troznamenkasti ili četveroznamenkasti kod otisnut na prednjoj ili stražnjoj strani kartice ne sadrži ni u kom slučaju sljedeće podatke:

·         podatke o dolaznim transakcijama

·         logovi

·         povijesne datoteke

·         datoteke za praćenje

·         sheme baze podataka

·         sadržaj baza podataka

3.2.3. ne pohranjivati osobni identifikacijski broj (PIN) ili kriptirani PIN blok

3.2.3. za dio sustavskih komponenti provjeriti izvore podataka i potvrditi da PIN i PIN blokovi ne pohranjuju ni kom slučaju sljedeće podatke:

·         podatke o dolaznim transakcijama

·         logovi

·         povijesne datoteke

·         datoteke za praćenje

·         sheme baze podataka

·         sadržaj baza podataka

3.3. zamaskirati PAN (primary account number) kada se treba prikazati (prvih 6 i zadnje 4 znamenke su maksimalno što se smije prikazati)

3.3. uspostaviti i ispitati napisane politike i ispitati prikaz PAN-a da bi se potvrdilo da je PAN maskiran kada se prikazuju podaci o vlasniku kartice, osim u slučaju kada se PAN mora u potpunosti vidjeti

3.4. učiniti PAN nečitljivim na svim mjestima gdje je pohranjen na sljedeće načine:

  • jednosmjerno hashiranje s jakom kriptografijom
  • skračivanje (hashiranjem se ne može zamijeniti odrezani segment PAN-a)
  • indeksirani tokeni i blokovi (blokovi se moraju sigurno pohraniti)
  • jaka kriptografija s procesima i procedurama za upravljanje ključevima

3.4.a pronaći i ispitati dokumentaciju, koja se koristi za zaštitu PAN-a. Potvrditi da je PAN zaštićen nekom od sljedećih metoda:

  • jednosmjerno hashiranje s jakom kriptografijom
  • skračivanje
  • indeksirani tokeni i blokovi
  • jaka kriptografija s procesima i procedurama za upravljanje ključevima

3.4.b ispitati nekoliko tablica ili datoteka iz repozitorija s uzorcima podataka za se potvrdi da je PAN nečitljiv

3.4.c ispitati nekoliko prijenosnih medija da se potvrdi da je PAN nečitljiv

3.4.d ispitati nekoliko logova da se potrvdi da je PAN ili nečitljiv ili uklonjen iz logova

3.4.1. ako se koristi kriptiranje diska, upravljanje logičkim pristup mora biti odvojen od kontrole pristupa u operacijskom sustavu. Dekripcijski ključ ne smije biti vezan za korisnički račun.

3.4.1.a ako se koristi kriptiranje diska, potvrditi da je za logički pristup zaštićenim datotekama implementiran mehanizan koji je odvojen od mehanizma operacijskog sustava

3.4.1.b potvrditi da su kriptografski ključevi pohranjeni sigurno (npr. na mediju koji je zaštićen jako kontrolom pristupa)

3.4.1.c potvrditi da su podaci o vlasniku kartice na prijenosnom mediju kriptirani prilikom pohrane

3.5. zaštititi ključeve korištene za zaštitu podataka o vlasnicima kartica od zlouporabe:

3.5. potvrditi procese za zaštitu ključeva, korištenih za zaštitu podataka o vlasnicima kartica od zlouporabe na sljedeći način:

3.5.1. ograničiti pristup kriptografskim ključevima na što manji mogući broj osoba

3.5.1.ispitati listu korisnika koji imaju pristup podacima i potvrditi da lista uključuje samo nužne osobe

3.5.2. pohraniti kriptografske ključeve sigurno na što manje lokacija i oblika

3.5.2.a ispitati sustavske kofiguracijske datoteke da bi se potrvdilo da su ključevi pohranjeni u kriptiranom obliku i da su ključevi za kriptiranje ključeva pohranjeni odvojeni od ključeva za kriptiranje podataka

 3.5.2.b identificirati lokacije spremišta da bi se potvrdilo da su ključevi pohranjeni na najmanji mogući broj lokacija

3.6. potpuno dokumentirati i implementirati sve procese za upravljanje ključevima koji se koriste za zaštitu podataka o vlasnicima kartica:

3.6.a potvrditi da postoje procedure za upravljanje ključevima, koji se koriste za zaštitu podataka i vlasnicima kartica

3.6.b za pružatelje usluga: ako pružatelj usluga dijeli ključeve sa svojim klijentima za prijenos ili pohranu podataka o vlasnicima kartica potvrditi da postoji dokumentacija kojom su utrđene smjernice za sigurni prijenos ili pohranu tih ključeva

3.6.c ispitati procedure za upravljanje ključevima i učiniti sljedeće:

3.6.1. generirati jake kriptografske ključeve

3.6.1. potvrditi da su procedure za upravljanje ključevima implementirane tako da zahtjevaju generiranje jakih ključeva

3.6.2.distribuirati kriptografske ključeve na siguran način

3.6.2. potvrditi da su procedure za upravljanje ključevima implementirane tako da zahjevaju sigurnu distribuciju ključeva

3.6.3. pohranjivati kriptografske ključeve na siguran način

3.6.3. potvrditi da su procedure za upravljanje ključevima implementirane tako da zahtjevaju sigurnu pohranu ključeva

3.6.4. bilježiti promjene kriptografskih ključeva nakon što kljčevima istekne rok valjanosti kako je definirano kod vlasnika ključa ili zadano aplikacijom

3.6.4. potvrditi da su procedure za upravljanje ključevima implementirane tako da zahtjevaju periodične provjere ključeva

3.6.5. zamijeniti ili staviti u mirovanje ključeve kada je integritet ključeva narušen

3.6.5.a potvrditi da su procedure za upravljanje ključevima implementirane tako da zahtjevaju stavljanje u mirovanej ključeva čiji je integritet oslabio

3.6.5.b potvrditi da su procedure za upravljanje ključevima implementirane tako da zahtjevaju zamjenu poznatih ili sumnjivih ključeva

3.6.5.c ako su ključevi stavljeni u mirovanje ili zamijenjeni, potvrditi da se ti ključevi ne koriste za kriptiranje

3.6.6. ako se koriste operacije upravljanja ključeva s čistim tekstom, te operacije moraju biti kontrolirane korištenjem podjele znanja i dualnom kontrolom (npr. za provesti nešto treba odobrenje više osoba)

3.6.6. potvrditi da operacije upravljanja ključeva s čistim tekstom zahtjevaju podjelu znanja ili dualnu kontrolu

3.6.7. spriječiti neautoriziranu zamjenu kriptografskih ključeva

3.6.7. potvrditi da su procedure za upravljanje ključevima implementirane tako da zahjtevaju prevenciju neautorizirane zamjene kriptografskih ključeva

3.6.8. zahtjevati da čuvari kriptografskih ključeva znaju i razumiju svoje odgovornosti

3.6.8. potvrditi da su procedure za upravljanje ključevima implementirane tako da zahtjevaju da čuvari ključeva pismeno potvrde da razumiju i prihvaćaju svoje odgovornosti

Treći zahtjev je detaljno opisao postupanje s kriptiranjem podataka i ponašanjem u vezi kriptografskih ključeva.

4. zahtjev: Kriptirati transmisiju podataka o karticama kroz javne mreže

Uz zaštitu pohranjenih podataka vlasnika kartice je logično da treba kriptirati prijenos tih podataka kroz javne mreže. Četvrti zahtjev, koji je detaljno opisan u tablici 4., se bavi sigurnosnim protokolima i kriptiranjem podataka koji se šalju kroz mrežu.

Tablica 4. Detaljni opis 4. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 35 - 36)

PCI DSS zahtjev

Procedura za testiranje

4.1. koristiti kriptografske i sigurnosne protokole za zaštitu osjetljivih podataka o vlasniku kartice tijekom prijenosa u otvorenim javnim mrežama (npr. u Internetu, bežičnim mrežama, GPRS-u…)

4.1. potvrditi da se koriste sigurnosni protokoli svaki put kada se prenose podaci o vlasniku kartice preko javne mreže. Potvrditi da se koristi jaka kriptografija tijekom prijenosa na sljedeći način:

4.1.a odabrati uzorak transakcija, nakon primanja i pratiti transakcije tijekom provjere da su podaci o vlasniku kartice kriptirani tijekom prijenosa

4.1.b potvrditi da su korišteni samo povjerljivi ključevi i certifikati

4.1.c potvrditi da je protokol implementiran tako da koristi samo sigurne konfiguracije i ne podržava nesigurne verzije konfiguracija

4.1.d potvrditi da je korištena ispravna jačina enkripcije u skladu s metodom enkripcije

4.1.e za SSL/TLS implementacije:

potvrditi  da je HTTPS pojavljuje kao dio URL u pregledniku; potvrditi da ne traže nikakve podaci o vlasniku kartice dok nema HTTPS u URL-u

4.1.1. utvrditi da bežične mreže, kroz koje se prenose podaci o vlasniku kartice ili koje su spojene na okolinu vlasnika kartice, koriste najbolje industrijske standarde i da implementiraju jaku nekripciju za autentifikaciju i transmisiju

4.1.1. za bežične mreže, kroz koje se prenose podaci o vlasniku kartice ili koje su spojene na okolinu vlasnika kartice, potvrditi da koriste najbolje industrijske standarde i da implementiraju jaku nekripciju za autentifikaciju i transmisiju

4.2. Nikada ne slati nezaštićene PAN informacije preko tehnologija za komuniciranje na strani krajnjeg korisnika

4.2.a potvrditi da su PAN informacije ili nečitke ili osigurane jakim kriptografskim tehnikama kada se šalju preko tehnologija za komuniciranje na strani krajnjeg korisnika

4.2.b potvrditi da postoji politika kojom se utvrđuje da ne šalju PAN informacije preko tehnologija za komuniciranje na strani krajnjeg korisnika

PCI-DSS Norma, sukladnost sa PCI-DSS normom

obradila Jaskafka 13:13, 29. prosinca 2011. (CET)

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima