Использование решения ЭТ на подрядной основе и ручной ввод платежных данных: разрешен ли ОЛС?
Многие ТСП, передающие на подрядной основе транзакции ЭТ стороннему поставщику услуг, отвечающему требованиям PCI DSS, рассчитывают использовать ОЛС А для сертификации. Однако зачастую оказывается, что им по-прежнему приходится обрабатывать транзакции как с предоставлением карты, так и без предоставления карты (операции по факсу, заказы по телефону или по почте). Нередко, для удобства клиентов (например, при отсутствии у клиента доступа к Интернету), сотрудники ТСП на местах со своих компьютеров заходят на страницу заказа, установленную на сайте ТСП, и вручную проводят за клиентов транзакцию. Иногда, в целях упрощения работы сотрудников ТСП, поставщик услуг даже предоставляет специальные страницы оплаты.
В результате, когда сотрудники вводят на веб-странице через свои компьютеры данные для транзакции — вручную либо, в присутствии владельца карты, проводя (вставляя) платежную карту через (в) подключенный к компьютеру считыватель — данные компьютеры фактически становятся «виртуальными терминалами».
К ТСП, которые проводят операции при наличии карты, ОЛС А не применим, равно как и к ТСП, которые хранят, обрабатывают либо передают ДДК в электронной форме на своей территории. Вследствие того, что платежные данные вводятся вручную, область проверки на соответствие PCI DSS у таких предприятий может быть расширена, и они могут лишиться права использовать сокращенные ОЛС. Для сужения области применения PCI DSS к инфраструктуре ЭТ в подобных ситуациях, следует, как минимум, выделить в сегмент, изолированный от остальной среды обработки данных ЭТ ТСП, компьютеры, с которых вручную вводятся платежные данные. ТСП следует проконсультироваться с сертифицированным аудитором и (или) своим эквайером (розничным банком) чтобы определить, вправе ли ТСП заполнить ОЛС, и если да, то какой именно ОЛС ему подходит.
3.5 Распределение ролей и ответственности в ЭТ
В решениях ЭТ распределение ролей и ответственности может быть следующим.
Собственные решения: ТСП полностью управляет всеми компонентами ЭТ и использует свою собственную инфраструктуру ИТ. Решение на подрядной основе: ТСП передает на подрядной основе управление и хостинг всех компонентов ЭТ поставщику услуг хостинга и (или) ПЦ ЭТ. Решение на частично подрядной основе: ТСП размещает и контролирует одну часть компонентов ЭТ у себя, а другую часть на подрядной основе — сторонним организациям.В собственных решениях ЭТ ТСП контролирует все компоненты системы ЭТ и несет полную ответственность за соблюдение всех применимых требований PCI DSS.
В решениях ЭТ на подрядной основе ответственность за соблюдение требований PCI DSS будет разделена в том или ином соотношении между ТСП и поставщиком (поставщиками) услуг. Тем не менее, ТСП в конечном итоге отвечает за то, чтобы каждый поставщик услуг защищал целостность и конфиденциальность ДПК, которые хранятся, обрабатываются или передаются по поручению ТСП.
На рис. 7 показан пример распределения ответственности между ТСП и поставщиками услуг в зависимости от структуры решения и типа его управления.
Примечание. Некоторые требования PCI DSS имеют силу независимо от того, передает ли ТСП свое решение ЭТ (или его часть) на подрядную основу. В частности это касается всех ситуаций, когда обрабатываются, хранятся либо передаются ДПК — например, в момент их ввода или во время передачи сторонней организации. Кроме того, ТСП обязано реализовать и поддерживать политики и процедуры в отношении поставщиков услуг в следующих ситуациях:
— при совместном использовании ДДК;
— при хранении, обработке или передаче данных поставщиком услуг по поручению ТСП;
— в иных случаях, где поставщик услуг может оказывать воздействие на безопасность среды ДДК.
Кто такой поставщик услуг? Как узнать, что он отвечает требованиям PCI DSS?
В «Глоссарии PCI DSS…», версии 2.0 поставщику услуг дано следующее определение:
Организация, которая, не являясь МПС, непосредственно вовлечена в процесс обработки, хранения или передачи ДДК по поручению другой организации. К поставщикам услуг относятся также организации, предоставляющие услуги, которые контролируют безопасность ДДК или могут на нее воздействовать. Примерами таких компаний являются поставщики управляемых услуг (Managed Service Providers – MSP), предоставляющие услуги по межсетевому экранированию, обнаружению вторжений и прочие услуги, а также поставщики услуг хостинга и иные организации. К поставщикам услуг не относятся такие организации, как телекоммуникационные компании, предоставляющие только каналы связи без доступа к их прикладному уровню.
В соответствии с этим определением, если организация не занимается хранением, обработкой или передачей ДДК, это еще не означает, что она не является поставщиком услуг. Если ее услуги могут каким-либо образом «воздействовать на безопасность ДДК», то организация относится к поставщикам услуг и должна соответствовать требованиям PCI DSS. Примеры таких услуг: предоставление ЦОДов в аренду, архивное хранение или уничтожение документов.
Согласно стандарту PCI DSS, сторонние поставщики услуг могут подтвердить свое соответствие ему двумя способами: 1) самостоятельно проходить аудит PCI DSS и предоставлять клиентам свидетельства о соответствии стандарту;
2) включать свои услуги в область проверки при каждом прохождении своими клиентами аудита на соответствие стандарту PCI DSS.
Если поставщик услуг самостоятельно прошел аудит PCI DSS, аудитор ТСП должен удостовериться, что срок действия свидетельства о прохождении поставщика услуг не истек, что в область аудита вошли все услуги, предоставляемые поставщиком услуг ТСП или используемые ТСП, и что выполнены все требования, применимые к средам и системам, вошедшим в область проверки.
Нижеприведенные вопросы помогут ТСП определить распределение ролей и ответственности в рамках решения ЭТ и, следовательно, того, кто отвечает за выполнение каждого конкретного требования стандарта PCI DSS.
■ Разрабатывало ли ТСП приложение типа «корзина покупок» самостоятельно или приобрело готовое приложение?
o За безопасность программного кода отвечает его разработчик.
o Ответ на вопрос позволит узнать, носит ли PA-DSS обязательный характер — для кода, приобретенного у сторонних разработчиков, или рекомендательный — для кода, разработанного ТСП самостоятельно.
■ Какие из компонентов контролирует сторонняя организация (организации)?
o За соблюдение соответствующих требований PCI DSS в отношении этих компонентов отвечает сторонняя организация.
■ Какие из компонентов контролирует, устанавливает, настраивает и т. д. ТСП?
o За соблюдение соответствующих требований PCI DSS в отношении этих компонентов отвечает ТСП.
■ Где и как собираются ДДК? Куда и как они передаются? Примечание. ответ на этот вопрос должен учитывать ответы на предыдущие вопросы в рамках конкретного решения ЭТ.
o Ответ позволит определить сторону и компоненты инфраструктуры, осуществляющие хранение, обработку и передачу ДДК.
Например, если ТСП размещает систему ЭТ на серверах, предоставляемых поставщиком услуг хостинга или облачных сервисов, поставщик обязан обеспечить выполнение требований PCI DSS в среде, где расположены серверы. Если к тому же ТСП пользуется приложением типа «корзина покупок», предоставленным ПЦ ЭТ, то ПЦ ЭТ будет отвечать за соблюдение требований PCI DSS и (или) PA-DSS в отношении приложения и его функций.
Если ТСП планирует использовать часть решения ЭТ для своей среды ДДК на подрядной основе, оно должно изучить особенности предлагаемых решений и тщательно оценить потенциальные риски от их внедрения. Роли и ответственность за выполнение требований PCI DSS могут быть разделены между несколькими сторонами, а могут быть сосредоточены в одной организации. В любом случае, согласно требованию 12.8 стандарта PCI DSS, ответственность за выполнение требований PCI DSS и иных защитных мер, которые могут воздействовать на безопасность ДДК, должна быть четко определена между участвующими сторонами и документально зафиксирована (например, в соглашении о качестве предоставляемых услуг или в договоре). Более подробная информация указана в пункте 5.4 «Управление рисками, связанными с привлечением на подрядной основе сторонних поставщиков услуг».Приложение B. В приложении B «Ответственность ТСП и сторонних организаций за соблюдение стандарта PCI DSS» предоставлен опросник, который может быть использован ТСП и поставщиками услуг для документирования своих сфер ответственности.
Таблица 1. Краткое описание распределения ролей и ответственности в типовых решениях ЭТ
Решение ЭТ | Распределение ролей и ответственности | |
ТСП | Поставщик услуг хостинга и (или) ПЦ ЭТ | |
Решения ЭТ, контролируемые ТСП, в том числе приложения типа «корзины покупок» и платежные приложения (разработанные самостоятельно, на заказ или приобретенные в готовом виде) ТСП разрабатывает или покупает программное обеспечение, создает и поддерживает собственную инфраструктуру ЭТ, в том числе ЦОД; как правило, платежные данные отправляет в ПЦ ЭТ. ТСП может сделать свой ЦОД у поставщика услуг хостинга на подрядной основе и (или) отправлять платежные данные в ПЦ ЭТ. | ТСП несет полную ответственность за соответствие своей инфраструктуры ЭТ требованиям PCI DSS. В частности, оно обязано: • Обеспечить безопасную разработку своего приложения • Удостовериться в соответствии приложений сторонних организаций требованиям PA-DSS • Иметь письменные соглашения со всеми сторонними организациями для обеспечения защиты ДДК в соответствии с PCI DSS. | Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие их соответствие. |
Решения ЭТ на частично подрядной основе: Интерфейсы API сторонних организаций с использованием метода Direct Post С помощью API, лицензия на использование которого получена от ПЦ ЭТ, веб-сайт ТСП перенаправляет платежные данные из браузера клиента непосредственно в ПЦ ЭТ, минуя веб-страницу ТСП. | Хотя значительная часть ответственности за хранение, обработку и передачу ДДК лежит на сторонних организациях, ТСП по-прежнему обязаны обеспечивать соответствие некоторых элементов инфраструктуры ЭТ требованиям PCI DSS. Это обусловлено тем, что компрометация сайта ТСП может привести к компрометации API и, как следствие, ДДК. Обязанности ТСП: • Контролировать веб-сайт и серверы (если они размещены на самом предприятии), в том числе на предмет соответствия применимым требованиям PCI DSS • Если размещение веб-сайта или серверов осуществляется на подрядной основе, то необходимо соблюдать соответствующие требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8) • Иметь письменные соглашения со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS, по поручению ТСП. • Защитить веб-страницу (страницы), содержащую (содержащие) код и (или) функции API. | Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие. ПЦ ЭТ должен предоставить ТСП инструкцию и руководство по безопасному внедрению и практике использования API на его веб-сайте. |
Решение ЭТ | Распределение ролей и ответственности | |
ТСП | Поставщик услуг хостинга и (или) ПЦ ЭТ | |
Решения ЭТ на частично подрядной основе: встроенные фреймы Платежная форма ПЦ встраивается на веб-сайт ТСП как отдельный, но незаметный фрейм, и таким образом платежные данные клиента отправляются непосредственно в ПЦ ЭТ, минуя веб-сайт ТСП. | Хотя значительная часть ответственности за хранение, обработку и передачу ДДК лежит на сторонних организациях, ТСП по-прежнему обязаны обеспечивать соответствие некоторых элементов инфраструктуры ЭТ требованиям PCI DSS. Это обусловлено тем, что компрометация сайта ТСП может привести к компрометации встроенного фрейма и, как следствие, ДДК. Обязанности ТСП: ■ Контролировать веб-сайт и серверы (если они размещены на самом предприятии), в том числе на предмет соответствия применимым требованиям PCI DSS ■ Если размещение веб-сайта или серверов осуществляется на подрядной основе, то необходимо соблюдать соответствующие требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8) ■ Иметь соглашения в письменном виде со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS и по поручению ТСП. ■ Защитить веб-страницы, содержащие код встроенного фрейма. | Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие. ПЦ ЭТ должен предоставить ТСП инструкцию и руководство по безопасному внедрению и практике использования встраиваемых фреймов на его веб-сайте. |
Решения ЭТ на частично подрядной основе: Встраиваемые страницы оплаты сторонних организаций Веб-сайт ТСП перенаправляет браузер клиента на веб-сайт ПЦ ЭТ, а клиент вводит туда оплату напрямую. | Хотя значительная часть ответственности за хранение, обработку и передачу ДДК лежит на сторонних организациях, ТСП по-прежнему обязаны обеспечивать соответствие некоторых элементов инфраструктуры ЭТ требованиям PCI DSS. Это обусловлено тем, что компрометация сайта ТСП может привести к компрометации механизма переадресации и, как следствие, к компрометации ДДК. Обязанности ТСП: ■ Контролировать веб-сайт и серверы (если они размещены на самом предприятии), в том числе на предмет соответствия применимым требованиям PCI DSS ■ Соблюдать применимые требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8) ■ Иметь соглашения в письменном виде со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS, по поручению ТСП. ■ Защитить веб-страницу (страницы), содержащую (содержащие) код и (или) функции механизма переадресации. | Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие. ПЦ ЭТ должен предоставить ТСП руководство по безопасному внедрению и практике использования механизма перенаправления. |
Решение ЭТ | Распределение ролей и ответственности | |
ТСП | Поставщик услуг хостинга и (или) ПЦ ЭТ | |
Решения ЭТ на полностью подрядной основе | ТСП передало на подрядную основу максимальное количество функций по хранению, обработке и передаче ДДК, к которым применяются требования стандарта PCI DSS. Обязанности ТСП: ■ Соблюдать применимые требования PCI DSS, касающиеся взаимодействия со сторонними организациями (например, требование 12.8) ■ Иметь письменные соглашения со всеми сторонними организациями и обеспечивать защиту ДДК сторонними организациями в соответствии с PCI DSS, по поручению ТСП. ■ Следить за тем, чтобы инфраструктура, размещенная у сторонних организаций и (или) обслуживаемая ими на подрядной основе, успешно проходила ежеквартальное ASV-сканирование, выполненное надлежащим образом. | Поставщики услуг хостинга, ПЦ и прочие сторонние организации должны соответствовать и подтверждать соответствие применимым требованиям стандарта PCI DSS; а также должны предоставлять своим клиентам-ТСП необходимые документы, подтверждающие такое соответствие. Если ТСП предоставляется веб-интерфейс или пользовательский портал для управления его интернет-магазином, клиентами и т. д., сторонняя организация должна предоставить инструкции и руководство по его использованию ТСП. |
4 Основные уязвимости инфраструктур ЭТ
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
