Вступительный доклад конференции, с которым выступил международный директор Совета PCI SSC Джереми Кинг, был посвящен приоритетам и программам Совета на 2018 год. Значение инициативы PCI SSC трудно переоценить: основополагающий стандарт безопасности PCI DSS и сопутствующие рекомендации оказывают большое влияние на платежную индустрию. Помимо этого, за 15 лет существования стандарта сформировался новый специализированный сегмент рынка информационной безопасности. Так, существует набор программ сертификации, при прохождении которых вендоры могут оказывать услуги участникам платежного рынка по консультированию, подготовке, аудиту в рамках PCI DSS и т.д. Тренинги под эгидой PCI SSC ежегодно проходят более 6500 специалистов, поделился статистикой Джереми Кинг.

Известные, если не сказать банальные проблемы безопасности: уязвимые пароли, несвоевременное обновление программного обеспечения, использование незащищенного удаленного доступа — все еще актуальны. На повестке дня остаются такие старые фокусы злоумышленников, как вредоносное ПО и SQL-инъекции. Однако наблюдается и увеличение активности по относительно новым направлениям: уязвимость бесконтактных и онлайн-платежей, мобильных кошельков, человеческий фактор, в том числе внутри атакуемой организации, и пр. Люди, процессы, технологии — вот те три столпа, на которых базируется эффективная информационная безопасность, и ресурсы PCI-сообщества очень полезны для этого, убежден Джереми Кинг.

Существует 9 стандартов PCI Security, которые регулируют безопасность таких ключевых аспектов, как программное обеспечение, платежные терминалы, токенизация, 3D-secure и пр. Выход полноценной новой версии стандарта PCI DSS намечен на 2020 год, однако в мае этого года была опубликована его промежуточная версия 3.2.1. Помимо прочего, в ней уточняются некоторые сроки, устанавливается обязательная многофакторная аутентификация для получения административного доступа не из консоли. Также появилось требование о переходе на более защищенные протоколы шифрования данных, после 30 июня 2018 года необходимо использовать TLS 1.2. или выше. Только POS/POI-терминалы и их узлы подключения к сети поставщика могут продолжать использовать SSL/TLS ниже версии 1.2., поскольку в SSLv3 и ранних версиях TLS обнаружили уязвимости, которые дают хакерам возможность извлечь из зашифрованного канала связи закрытую информацию. Важность этого требования подчеркнул и Джереми Кинг, уделив особое внимание процессу взаимодействия проверяемой компании и аудитора (ASV, Approved Scanning Vendor).

Происходит обновление программы SPoC (Software-based PIN Entry on COTS), которое позволяет реализовать ввод PIN-кода на серийных коммерческих устройствах (COTS, commercial off-the-shelf), например, специальных планшетов для продавцов. Этот класс решений открывает новые возможности для торговцев в таких кейсах, как торговля на рынках и мероприятиях, оплата заказа при доставке, обслуживание покупателей в очереди. Для сертификации SPoC-решений потребуется задействовать ресурсы аккредитованной лаборатории, которая будет оценивать защищенность решения с разных сторон, в том числе бэкенд-мониторинга и угроз внешней среды.

Ряд важных улучшений получила версия 2.0 протокола 3D-Secure, обеспечивающего аутентификацию карточных онлайн-платежей. Предусмотрена поддержка мобильных приложений, функционал для торговцев для интеграции процесса аутентификации в их процедуры проверки. Для эмитентов появилась возможность одобрения операции на основе анализа рисков, проведения «гладкой» авторизации. Становится доступной аутентификация клиента без оплаты контрольной суммы, например для идентификации и проверки мобильных кошельков, и защищенного запроса токенов. Также новая версия обеспечивает более безопасное и удобное для пользователя решение, в том числе с поддержкой биометрических данных и однократного код доступа через SMS или e-mail. В выступлении также шла речь о новациях в стандартах разработки программного обеспечения, в том числе в рамках фреймворков и облачных решений; приоритетах в работе с партнерами Совета из числа поставщиков решений и сервисов для обеспечения безопасности.

Еще один интересный аспект нововведений касается участия мерчантов в обеспечении безопасности платежей. Как известно, стандарты PCI DSS устанавливают требования и к торговым предприятиям, принимающим к оплате банковские карты. Так для категории наиболее крупных торговцев, обрабатывающих более 6 млн транзакций в год, действует обязательства по прохождению ежеквартального ASV-сканирования, а также ежегодного аудита уполномоченной QSA-компанией. Для торговцев с меньшим оборотом предусмотрено несколько уровней сертификации с более щадящими требованиями (в том числе заполнение листов самооценки). В любом случае, это обременение для мерчантов, которого они стремятся избежать, либо переложить на плечи банка-эквайера.

Появление стандарта PCI P2PE (Point-to-point Encryption) в том числе стало реакцией на де-факто сложившуюся на рынке ситуацию, и призвано облегчить обеспечение безопасности для торговых компаний. PCI P2PE описывает требования к специализированным платежным решениям, применяющим технологию шифрования данных «точка-точка».

Закодированные внутри платежного терминала карточные данные могут быть расшифрованы только в специальной защищенной среде в контуре процессингового центра. Между этими двумя точками информация передается исключительно в формате шифртекста, который практически невозможно взломать. Применение такого решения значительно уменьшает область применения стандартов PCI DSS к инфраструктуре магазина. В результате сильно упрощаются и удешевляются процедуры регулярного подтверждения соответствия.

Одно из интереснейших выступлений форума было посвящено этой теме, а именно сертификации платежного приложения Сбербанка по стандарту P2PE solution. Среди преимуществ решения докладчики отметили снижение трудозатрат на контроль крупных мерчантов (уровня L1 и L2) в части их соответствия PCI DSS, а в технологической части — использование гарантированной производителем технологии защиты данных. Проект Сбербанка стал первым сертифицированным P2PE-решением на российском рынке.

Задача оказалась совсем не тривиальной: не говоря о самой разработке и изменении технологических и бизнес-процессов, из-за новизны стандарта возникли дополнительные сложности. В том числе связанные с документацией и разночтением в терминологии, невозможностью использования типовых решений, необходимости создания выделенной физической среды для серверов. В ходе проекта были поддержаны специфические требования стандарта о шифровании чувствительных данных и процедуре загрузке ключей шифрования, предусматривающей использование аппаратного модуля безопасности, строгий контроль доступа в помещение и пр. Жестко регламентированы сценарии подписания программного обеспечения, которое задействовано в работе с терминалами и ключами.

Хотя процесс получения PCI P2PE сертификата является довольно сложным, но усилия себя оправдывают: во-первых, надежно защищают цепочку транзакции от утечки данных, а также упрощают прохождение PCI DSS сертификации. В силу этой сложности большое значение приобретает поддержка вендора терминального решения на всех этапах: от разработки и внедрения приложения до прохождения аудита.

В рамках практического семинара PCI DSS Training, проходившего во второй день конференции, рассматривались и другие стандарты. PCI TSP содержит набор дополнительных требований для поставщиков услуг токенизации. Card Production регулирует стандарты физической и логической безопасности для эмитентов платежных карт. Набор дополнительных требований для компаний, которым международные платежные системы или банк-эквайер присвоили статус Designated Entity, опубликован как стандарт DESV.

Спикеры тренинга охватили спектр тем, начиная с базовых схем карточных платежей до нюансов проведения аудита, которые представляли интерес для специалистов разного уровня подготовки. Для участников, посетивших этот тренинг или воркшоп по работе с уязвимостями, конференция «Безопасность платежей 2018» принесла пользу не только как профессиональная площадка выступлений и обмена мнениями, но максимально ориентированное на практику мероприятие.