Рисунок 1. Пример обычной трехуровневой модели вычислений в ЭТ
3.2.1 Веб-серверы
Веб-серверы ЭТ предоставляют свободный доступ к информации в виде веб-страниц, форм, рекламы, каталогов товаров и корзин покупок, отображаемых в браузере клиента. Так как веб-серверы открыты для всеобщего доступа, на них ни в коем случае не должна храниться критичная и конфиденциальная информация — такая, как ДПК (см. требование 1.3.7 PCI DSS). Веб-серверы зачастую обмениваются данными с другими, более критичными серверами, в частности, с серверами приложений и серверами БД, которые находятся за межсетевым экраном (далее — МЭ).
Область применения PCI DSS: Так как веб-серверы принимают ДПК от клиентов и (или) передают эти данные в приложения и БД ТСП (которые могут располагаться в хостинге), веб-серверы являются неотъемлемой частью среды ДДК и включаются в область применения стандарта PCI DSS.
3.2.2 Серверы приложений
Серверы приложений выполняют целый ряд функций обработки данных, поэтому они никогда не должны быть общедоступны. В большинстве случаев клиенты не взаимодействуют напрямую с такими серверами, так как серверы приложений принимают запросы от веб-сервера на обработку, преобразование и подготовку данных к хранению или передаче. Серверы приложений могут также принимать ответы от серверов БД или извлекать их содержимое, а затем передавать результаты на веб-сервер для отображения их клиенту.
Область применения PCI DSS: Серверы приложений считаются частью среды ДДК и входят в область применения стандарта PCI DSS, так как они в первую очередь используются в обработке и (или) передаче ДПК.
3.2.3 Хранение данных
Уровень хранения данных включает в себя серверы БД и все прочие системы или носители, служащие для хранения данных. Так как в БД может храниться критичная информация, в том числе ДПК, серверы БД никогда не должны быть общедоступны (согласно требованию 1.3.7 PCI DSS). В трехуровневой модели база данных принимает и отвечает только на те запросы, которые имеют корректный формат и поступают от аутентифицированных источников, обычно от сервера приложений.
Область применения PCI DSS: Серверы БД зачастую хранят ДПК, следовательно, считаются частью среды данных платежных карт, и входят в область применения стандарта PCI DSS.
3.3 Компоненты ЭТ
Следующие компоненты характерны только для решений ЭТ.
3.3.1 Приложение типа «корзина покупок»
«Корзина покупок» — ПО, с помощью которого ТСП помогает клиентам совершать покупки через Интернет, позволяя им составлять список приобретаемых товаров или услуг. «Корзина покупок» помогает завершить покупку, зачастую предоставляет возможность собрать платежные данные клиента через веб-приложение, и может также предоставлять иные функциональные возможности, помогающие ТСП ЭТ управлять интернет-магазином. В сценариях, когда ПО «торговой корзины» используется для ввода платежных данных клиента, оно взаимодействует с интерфейсом API, как правило, предоставляемым ПЦ ЭТ. Данные платежных карт через API передаются в платежный шлюз ЭТ, а затем перенаправляются в ПЦ для авторизации платежа. ТСП может получить функциональные возможности «корзины покупок» различными способами, например: 1) разработать внутреннее приложение собственными силами;
2) заказать приложение у сторонних разработчиков;
3) приобрести стандартное приложение типа «корзины покупок»;
4) оформить подписку на обслуживание встроенной страницы оплаты, предоставляемой поставщиком услуг хостинга и (или) платежным шлюзом.
Область применения PCI DSS: На приложения типа «корзина покупок» распространяется действие PCI DSS, a в некоторых случаях и PA-DSS. Приложение типа «корзина покупок» и платежные приложения должны разрабатываться безопасно и в соответствии с PA-DSS для того, чтобы соблюдались следующие требования:
1). не разрешается хранить ДДК после авторизации;
2). в случае служебной необходимости в хранении ДДК после авторизации, такие данные во время хранения должны быть защищены в соответствии с требованием 3.4 PCI DSS (например, с помощью шифрования, усечения или хеширования). Важно помнить, что согласно требованию 3.2 PCI DSS запрещается хранить такие критичные аутентификационные данные, как CAV2, CVC2, CVV2, CID, после завершения авторизации, даже в зашифрованном виде.
3.3.2 Шифрование с использованием Secure Sockets Layer/Transport Layer Security (SSL/TLS)
Информация, которой обменивается клиент и ТСП, а также ТСП и платежный шлюз, шифруется с использованием протоколов SSL/TLS. Согласно требованию 4.1 PCI DSS, необходимо защищать ДПК при передаче по сетям общего пользования (включая Интернет). Корректная реализация обмена данными по протоколу SSL/TLS отвечает этому требованию. О том, что используется SSL, можно судить по префиксу HTTPS в адресе веб-страницы, на которой вводятся ДПК. Кроме того, большинство браузеров отображают значок в виде замочка в верхней или нижней части окна (чаще всего в адресной строке). Наличие такого значка указывает на то, что данные шифруются; щелкнув по значку мышью, пользователь может просмотреть сведения о веб-сайте и его сертификате SSL.
Область применения PCI DSS: Требование 4.1 PCI DSS содержит конкретные требования к реализации протоколов SSL/TLS. Протокол SSL основан на подлинности сертификата; конфигурация протокола должна быть безопасной и отвечать требованиям стойкой криптографии. Следует помнить, что версия 2 протокола SSL уже считается небезопасной и не должна использоваться для транзакций в ЭТ. Если ТСП сомневается, что некоторые клиенты с устаревшими версиями браузеров смогут пользоваться его сайтом после перехода на SSL версии 3.0, рекомендуется в доступной форме объяснить клиентам о том, как обновить браузер, и, возможно, о том, как актуальная версия браузера поможет надежно защитить свои ДПК.
3.3.3 Сетевые компоненты и инфраструктура обслуживания ЭТ
Сетевые компоненты обеспечивают соединение и обмен данными между различными системами (например, между серверами приложений и серверами БД), а также между ТСП, клиентом и ПЦ ЭТ.
Инфраструктура обслуживания ЭТ включает в себя все компьютеры и сетевые технологии, такие как веб-серверы, серверы приложений, серверы БД, маршрутизаторы, МЭ, системы обнаружения и (или) предотвращения вторжений (IDS/IPS), а также все прочие технологии, выполняющие в инфраструктуре ЭТ функции обмена данными, обработки данных, мониторинга и защиты информации.
У крупных ТСП ЭТ и поставщиков услуг инфраструктура обслуживания может также включать в себя средства интеграции различных технологий (например, сервис-ориентированную архитектуру), а также технологии для оптимизации операций ЭТ, такие как распределение нагрузки, средства аппаратного ускорения SSL, кэширование содержимого.
Каждая среда подлежит тщательному анализу для того, чтобы обеспечить надлежащую идентификацию и безопасность всех технологий.
Область применения PCI DSS: Все сетевые компоненты, соединяющие между собой системы и (или) передающие ДДК, входят в область применения PCI DSS. ТСП обязано четко понимать, где именно в его сети проходят ДДК, а также когда и как эти данные передаются поставщику услуг хостинга или в ПЦ ЭТ.
3.4 Основные решения ЭТ
Ниже приведен список наиболее популярных решений ЭТ (а также их описаний и примеров):
■ Решения ЭТ, контролируемые ТСП:
o Приложение типа «корзина покупок» и (или) платежное приложение собственной разработки или разработанные на заказ
o Готовые приложения типа «корзина покупок» и (или) платежные приложения, приобретаемые на рынке ПО
■ Решения ЭТ на частично подрядной основе:
o Интерфейсы API сторонних организаций с использованием метода Direct Post
o Фреймы (iframe) для встраивания в веб-страницы ТСП платежных форм сторонних организаций
o Встроенные веб-страницы сторонних организаций, которые перенаправляют клиента на страницу, находящуюся на совершенно другом домене, для ввода платежных данных.
■ Решения ЭТ на полностью подрядной основе
Приведенные примеры — лишь немногие из наиболее популярных решений ЭТ. Разумеется, они ни в коем случае не отражают все многообразие возможных вариантов архитектур, аппаратных и программных компонентов, а также моделей хостинга и предоставления услуг.
В следующих разделах вышеперечисленные решения описаны более подробно; кроме того, даны рекомендации по применению к ним основных требований PCI DSS.
3.4.1 Решения ЭТ, контролируемые ТСП
Решения ЭТ, находящиеся непосредственно под контролем ТСП, являются решениями, где:
1). ТСП разрабатывает само или оплачивает услуги по разработке собственного платежного приложения;
2). ТСП приобретает готовое платежное приложение. Оба сценария описаны ниже.
Область применения PCI DSS: В общем случае веб-приложения ТСП и инфраструктура ЭТ входят в область применения всех соответствующих требований PCI DSS.
Для ТСП, разрабатывающих собственные приложения ЭТ, стандарт PA-DSS при разработке приложений носит рекомендательный характер. Это обеспечит безопасную разработку приложений и поможет ТСП соблюдать требования стандарта PCI DSS. ТСП также рекомендуется, взяв за основу требования к «Руководству по внедрению PA-DSS» (PA-DSS Implementation Guide), разработать для внутреннего использования руководство по безопасному внедрению приложения, которое будет предназначено для внутреннего пользования и в котором будут рекомендации по обеспечению выполнения требований PCI DSS и при установке и обслуживании приложения в среде, соответствующей требованиям PCI DSS.
В случае приобретений готовых платежных приложений и приложений типа «корзина покупок», рекомендуется, чтобы они имели сертификат соответствия PA-DSS, входили в список платежных приложений, одобренных PCI SSC, и были помечены в этом списке как «допущенные к повторной реализации». Разработка и использование в соответствии с «Руководством по внедрению PA-DSS» приложений, имеющих сертификат соответствия PA-DSS, впоследствии облегчит прохождение аудит PCI DSS.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
