Pentesti reeglid: PCI DSS audit. PCI DSS – International Payment Card Information Security Standard PCI dss nõuded
Visa ja MasterCard on viimasel ajal üha enam nõudnud PCI DSS standardi täitmist nii makselüüsidelt, nendega ühendatud kaupmeestelt kui ka teenusepakkujatelt, kes võivad mõjutada kaardiandmete turvalisust. Sellega seoses muutub PCI DSS standardi nõuete täitmise küsimus oluliseks mitte ainult maksekaarditööstuse suurtele tegijatele, vaid ka väikekaupmeestele. Käesolevas artiklis vastame peamistele küsimustele, mis puudutavad organisatsioone, kes seisavad silmitsi PCI DSS standardi järgse sertifitseerimise ülesandega.
PCI DSS-i KKK neile, kes on huvitatud sertifitseerimisest
# Keda hõlmab PCI DSS?
Esiteks määratleb standard nõuded organisatsioonidele, kelle infoinfrastruktuur salvestab, töötleb või edastab andmeid. maksekaardid, samuti organisatsioonidele, kes võivad nende andmete turvalisust mõjutada. Standardi eesmärk on üsna ilmne - tagada maksekaartide ringluse turvalisus. Alates 2012. aasta keskpaigast peavad kõik WPC salvestamise, töötlemise ja edastamisega seotud organisatsioonid järgima PCI DSS nõudeid ning territooriumil asuvad ettevõtted. Venemaa Föderatsioon ei ole erand.
Et mõista, kas teie organisatsioon peab järgima PCI DSS-i kohustuslikku vastavust, soovitame kasutada lihtsat vooskeemi.
Joonis 1. Määramine, kas PCI DSS-i järgimine on vajalik
Esimene samm on vastata kahele küsimusele:
- Kas teie organisatsioonis säilitatakse, töödeldakse või edastatakse maksekaardi andmeid?
- Kas teie organisatsiooni äriprotsessid võivad maksekaardiandmete turvalisust otseselt mõjutada?
# Millised on PCI DSS-i nõuded?
Vastavus standardile eeldab nõuete täitmist, mis on kokku võetud allolevas tabelis näidatud kaheteistkümnes jaotises.
Tabel 1. Tipptasemel PCI DSS nõuded
Natuke süvenedes nõuab standard umbes 440 taatlusprotseduuri läbimist, mis peaks nõuetele vastavuse kontrollimisel andma positiivse tulemuse.# Kuidas ma saan kontrollida PCI DSS-i vastavust?
PCI DSS standardi nõuetele vastavuse kontrollimiseks on erinevaid viise, mis seisnevad läbiviimises organisatsiooni välisaudit (QSA), siseaudit (ISA) või enesehinnang (SAQ). Iga nende omadused on illustreeritud tabelis.
Tabel 2. PCI DSS-i vastavuse kontrollimise meetodid
Välise auditi QSA (kvalifitseeritud turbehindaja) | ISA siseaudit (Siseturvalisuse hindaja) | SAQ enesehindamine (Enesehindamise küsimustik) |
| Esitatud välised auditeerimisorganisatsioon QSA sertifitseeritud PCI SCC nõukogu poolt. | Esitatud sisemine koolitatud ja sertifitseeritud PCI SSC nõukogu programmiga audiitor.Saab läbi viia ainult siis, kui esmane vastavus on kinnitatud QSA-auditiga. | Esitatud omapäi täites enesehinnangulehe. |
| Kontrollimise tulemusena QSA audiitorid koguda tulemuslikkuse tõendid | Kontrollimise tulemusena ISA audiitorid, nagu välisauditi puhul, koguda tulemuslikkuse tõendid standardi nõuetele ja säilitada neid kolm aastat. | Tõendite kogumine vastavad standardi nõuetele pole nõutud. |
| Vastavalt auditi tulemustele Vastavusaruanne on koostamisel- ROC(vastavuse aruanne). | Isetäituv SAQ enesehindamise leht. |
# Millises olukorras ja millises olukorras on vaja läbi viia välisaudit- interjöör? Või piisab sellest, kui piirdume organisatsiooni enesehinnanguga?
Vastused neile küsimustele sõltuvad organisatsiooni tüübist ja aastas töödeldavate tehingute arvust. See ei tohiks olla juhuslik valik, kuna on dokumenteeritud reeglid, mis reguleerivad, millist viisi organisatsioon standardile vastavuse kontrollimiseks kasutab. Kõik need nõuded on kehtestatud rahvusvaheliselt maksesüsteemid, populaarseimad neist Venemaal on Visa ja MasterCard. On olemas isegi klassifikatsioon, mille järgi eristatakse kahte tüüpi organisatsioone: kaubandus- ja teenindusettevõtted (kaupmehed) ning teenusepakkujad.
Sõltuvalt aastas töödeldavate tehingute arvust saab kaupmehi ja teenusepakkujaid liigitada erinevatele tasemetele.
Oletame, et kaubandus- ja teenindusettevõte töötleb e-kaubandust kasutades kuni 1 miljon tehingut aastas. Vastavalt Visa ja MasterCardi klassifikatsioonile (joonis 2) klassifitseeritakse organisatsioon tasemele 3. Seetõttu on PCI DSS-i järgimise kinnitamiseks vaja läbi viia kord kvartalis infoinfrastruktuuri komponentide väline haavatavuse kontroll ASV (Approved Scanning). tarnija) ja iga-aastane SAQ enesehindamine. Sel juhul ei pea organisatsioon koguma tõendeid vastavuse kohta, kuna see pole praeguse taseme jaoks vajalik. Aruandlusdokumendiks on täidetud SAQ enesehindamise leht.
Või võtame näiteks pilveteenuse pakkuja, kes töötleb üle 300 000 tehingu aastas. Vastavalt kehtestatud Visa või MasterCardi klassifikatsioonile liigitatakse teenusepakkuja tasemele 1. See tähendab, et nagu on näidatud joonisel 2, on vaja kord kvartalis läbi viia ASV infoinfrastruktuuri komponentide väline haavatavuse kontroll, aga ka väline kontroll. iga-aastane QSA audit.
Joonis 2. PCI DSS standardile vastavuse kinnitamise tasemete klassifikatsioon ja nõuded
# Kas üks USA skannimise ajalõpp kujutab endast olulist ohtu PCI DSS-i vastavusele?Organisatsioon, mis saavutab PCI DSS-i staatuse, peab täitma regulaarselt mitmeid nõudeid, nagu näiteks kord kvartalis USA skaneeringud. Esmase auditi käigus piisab dokumenteeritud ASV-scan protseduurist ja selle vähemalt ühe eduka sooritamise tulemustest viimase kolme kuu jooksul. Kõik järgnevad skaneeringud peavad olema kord kvartalis, kestus ei tohi ületada kolme kuud.
Välise haavatavuse kontrollimise ajakava rikkumine toob kaasa haldussüsteemile lisanõuete kehtestamise infoturbe Organisatsioonis. Esiteks on endiselt vaja läbi viia ASV-skannimine haavatavuste leidmiseks, et saada "roheline" aruanne. Ja teiseks on vaja välja töötada täiendav kord, mis ei võimalda tulevikus selliseid ajakava rikkumisi.
Lõpuks
Peamised järeldused saab väljendada Deuterium LLC infoturbeinseneri Peter Šapovalovi tsitaadiga:
| «Vaatamata sellele, et riiklik maksekaartide süsteem (NSPK) on Vene Föderatsiooni territooriumil juba toimima hakanud, ei ole rahvusvaheliste maksesüsteemide nõudeid kaotatud. Vastupidi, viimasel ajal on sagenenud Visa ja MasterCardi kirjad vastuvõtvatele pankadele, et viimased nõuavad PCI DSS standardi täitmist nii makselüüsidelt, nendega ühendatud kaupmeestelt kui ka teenusepakkujatelt, mis võivad mõjutada kaardi turvalisust. andmed. Sellega seoses muutub PCI DSS standardi nõuete täitmise küsimus oluliseks mitte ainult maksekaarditööstuse suurtele tegijatele, vaid ka väikekaupmeestele. Asjakohane Venemaa turg on nüüd hallatavad teenused. See seisneb selles, et teenusepakkuja ei paku klientidele rendile mitte ainult seadmeid või virtuaalset infoinfrastruktuuri, vaid ka teenuseid selle haldamiseks vastavalt PCI DSS standardi nõuetele. See on eriti kasulik väikestele kaubandus- ja teenindusettevõtetele, kellel pole oma osakondi. infotehnoloogiad ja infoturbe. Sertifitseeritud teenusepakkujate poole pöördumine aitab oluliselt lihtsustada kaupmeeste jaoks PCI DSS-i sertifitseerimisprotsessi ja tagada maksekaardi andmete kaitse õigel tasemel. |
Näitena PCI DSS-i hallatavaid teenuseid pakkuvast ettevõttest (mitte ainult PCI DSS-i infrastruktuuri rentimisest, vaid ka seda vastavalt standardi nõuetele haldavast ettevõttest) võib tuua
Sõbrad, laiendame pakutavate teenuste valikut ja lisame peagi oma veebisaidile võimaluse tellida veebisaitide pahatahtliku koodi kontrollimise teenuseid (ASV-skannimine), mida nõuab PCI DSS-sertifikaat. Sellega seoses alustame uut andmeturbestandardite ja -nõuetega seotud väljaannete rubriiki. Ja kõigepealt tahame rääkida PCI DSS sertifikaadist. Krediitmakse kasutamine ja deebetkaardid näeb ette maksekaardi andmete võimaliku edastamise, säilitamise ja töötlemise, mis suurendab küberkuritegevuse ohtu. Sellega seoses esitavad MasterCard, Visa, American Express ja teised maksesüsteemid teatud turvanõuded kaupmeestele ja teenusepakkujatele, kes töötavad maksekaardiandmetega. Need nõuded on kirjeldatud PCI DSS standardis. Mõistame, mis on PCI DSS-i sertifikaat ja millised on peamised punktid, mida peate teadma.
Mis on PCI DSS?
PCI DSS on lühend sõnadest Payment Card Industry Data Security Standard, mis tähendab maksekaarditööstuse andmeturbe standardit. PCI DSS-i töötas välja PCI SSC (Payment Card Industry Security Standards Council). PCI SSC juhatuse asutajaliikmed – rahvusvahelised maksesüsteemid Visa, MasterCard, American Express, JCB International ja Discover Financial Services on kokku leppinud, et võtavad iga oma andmeturbe vastavusprogrammi spetsifikatsioonide osana kasutusele ühise turvastandardi. Lisaks tunnustab iga asutajaliige PCI SSC kvalifitseeritud turvaaudiitorid(Qualified Security Assessors, QSA) ja heakskiidetud skannimise pakkujad(Kinnitatud skannimismüüjad, ASV). Viimase hulka kuulub ka meie partner Comodo, kelle litsentsitud skannimisteenus HackerGuardian PCI skannimisteenus on peagi meie kodulehel tellimiseks saadaval.Kes vajab PCI DSS sertifikaati?
Maksekaardiandmete turvalisuse eest peaksid hoolitsema kõik, kes töötavad maksekaartidega või mingil moel nende turvalisust mõjutavad, ning need võivad olla:- Igas suuruses kaubandus- ja teenindusettevõtted
- Finants institutsioonid
- Müügikoha terminali tarnijad
- Riist- ja tarkvaratootjad, ühesõnaga kõik, kes loovad ja kasutavad maksete töötlemiseks rahvusvahelist infrastruktuuri.
Seetõttu kehtivad PCI DSS-i standardite nõuded kõikidele organisatsioonidele, olenemata nende suurusest või tehingute arvust, mis võtavad vastu, edastavad, töötlevad või salvestavad krediitkaardiomanike teavet või kui nende organisatsioonide äriprotsessid võivad mõjutada ettevõtte turvalisust. maksekaardid.. PCI DSS nõuded
PCI DSS sertifikaat eeldab vastavust standardile, mis koosneb 12 osast terviklikest nõuetest, mis tagavad kaupmeeste ja teenusepakkujate töötavate maksekaartide omanike teabe turvalisuse. PCI standardi nõuete täitmine eeldab meetmete terviklikku rakendamist turvalisuse tagamiseks maksekaartidega töötamise igal etapil alates andmete edastamisest kuni ettevõtte andmebaasidesse salvestamiseni.| Kontrolli objekte | PCI DSS nõuded |
|---|---|
| Turvalise võrgu loomine ja hooldamine | 1. Tulemüüri konfiguratsiooni paigaldamine ja hooldamine maksekaardi omanike andmete kaitsmiseks |
| 2. Loobuge paroolisüsteemide ja muude turvaseadete vaikesätetest | |
| Maksekaardi omanike andmekaitse | 3. Maksekaardi omanike vastuvõetud andmete kaitse |
| 4. Maksekaardi omanike andmeedastuse krüpteerimine avatud avalike võrkude kaudu | |
| Haavatavuse haldamise programmi tugi | 5. Kasutage ja värskendage regulaarselt viirusetõrjetarkvara kõigis süsteemides, mida pahavara tavaliselt mõjutab |
| 6. Turvaliste süsteemide ja rakenduste arendamine ja tugi | |
| Rakendage tugevat juurdepääsukontrolli | 7. Maksekaardi omanike andmetele juurdepääsu piiramine teadmisvajaduse alusel. |
| 8. Unikaalse määramine identifitseerimisnumber kõigile, kellel on juurdepääs arvutile | |
| 9. Maksekaardi omanike andmetele füüsilise juurdepääsu piiramine | |
| Võrkude regulaarne jälgimine ja kontrollimine | 10. Võrguressurssidele ja maksekaardi omanike andmetele juurdepääsu jälgimine ja jälgimine |
| 11. Turvasüsteemide ja -protsesside regulaarne ülevaatus | |
| Infoturbepoliitika tugi | 12. Andmeturbe tagamisele suunatud poliitikate toetamine |
PCI DSS sertifitseerimistasemed
PCI DSS sertifikaat määratleb neli kaubandus- ja teenindusettevõtete taset Ja teenusepakkujate kaks taset olenevalt maksega tehtud tehingute arvust Visa kaardid(sh krediit-, deebet- ja ettemakstud kaardid) 12 kuu jooksul.Visa määratleb järgmised kaupmeeste tasemed:
| Tase | Kirjeldus | PCI DSS sertifikaat sisaldab: |
|---|---|---|
| 4 | Kaupmehed, kes töötlevad vähem kui 20 000 e-kaubanduse tehingut aastas, ja kõik muud kaupmehed, kes ei ole loetletud teistes tasandites ja kes töötlevad kuni 1 miljon tehingut aastas, olenemata vastuvõtukanalist. | Igal aastal: soovitatav on ohutuse enesehindamise küsimustiku (SAQ) täitmine; Kvartal: USA skaneerimine soovitatav; Vastavusnõuded määrab vastuvõttev pank. |
| 3 | Kaupmehed, kes töötlevad 20 000 kuni 1 miljon e-kaubanduse tehingut aastas. | |
| 2 | Kaupmehed, kes töötlevad 1-6 miljonit tehingut aastas, olenemata nende laekumise kanalist. | Igal aastal: ohutuse enesehindamise küsimustiku (SAQ) täitmine; Kord: USA skannimine soovitatav. |
| 1 | Kaupmehed, kes töötlevad rohkem kui 6 miljonit tehingut aastas, olenemata nende vastuvõtmise kanalist. | Igal aastal: audit tunnustatud turvaaudiitori (QSA) poolt; Kord kvartalis: ASV haavatavuse kontroll. |
Mitmes varasemas väljaandes oleme juba käsitlenud mõningaid rahvusvahelisi standardeid infoturbe valdkonnas. Siiski olid need valdavalt majas , st. ettevõtte sisemine infrastruktuur. Kõige selgem arusaam infoturbest tuleb siis, kui turvalisus on otseselt seotud rahandusega, kui see näitab selle olulist mõju ärile numbrites. Seetõttu räägime täna turvalisusest finants institutsioonid nagu pangad, krediidiorganisatsioonid, makseagendid jne. Kõik nad teevad rahaülekanded, mis tähendab, et need kuuluvad tööstusstandardi allaPCI DSS(Maksekaarditööstuse andmeturbe standard)
Standard PCI DSS
on mõeldud maksekaardi omanike andmete töötlemise, säilitamise ja edastamise turvalisuse tagamiseks rahvusvaheliste maksesüsteemidega töötavate ettevõtete infosüsteemides Visa
, meistrikaart
ja teised. Standardi on välja töötanud kogukond PCI turvastandardite nõukogu, kuhu kuuluvad maksekaardituru maailma liidrid, nagu American Express, Avastage finantsteenused, JCB, MasterCard kogu maailmas Ja Visa International. Standardnõuded PCI DSS
levik kõikidele ettevõtetele
mis töötlevad, salvestavad või edastavad andmeid maksekaardi omanike kohta (pangad, töötlemiskeskused, teenusepakkujad, e-kaubandussüsteemid jne). Venemaal standardi järgimine PCI DSS
sai alates 2007. aastast asjaomastes organisatsioonides kasutamiseks kohustuslik.
Vastavalt uuringu tulemustele Analüüsid Mason, järgib ligikaudu 42% pilveteenuse pakkujatest maksekaarditööstuse andmeturbestandardeid (PCI DSS, Payment Card Industry Data Security Standard). Need kehtivad kogu maailmas ja kehtivad kõigi töötlevate organisatsioonide kohta krediitkaardid ning salvestada või edastada teavet nende omanike kohta. See standard võeti kasutusele, et anda maksekaarditööstusele suurem kontroll tundlike andmete üle ja vältida nende lekkimist. Selle eesmärk on ka tagada, et tarbijad oleksid krediitkaarte kasutades kaitstud pettuse või identiteedivarguse eest.
Nii Visa kui ka MasterCardi klassifikatsioonide kohaselt klassifitseeritakse süsteemid, mis töötlevad, salvestavad või edastavad rohkem kui 6 miljonit tehingut aastas esimene tase (1. tase) ja neid nõutakse igal aastal olema auditeeritud .
STANDARDI ARENDAMISE AJALUGU
1.0 on standardi algversioon.
1.1 – vastu võetud 2006. aasta septembris.
1.2 – vastu võetud 2008. aasta oktoobris.
2.0 – vastu võetud 2010. aasta oktoobris.
3.0 – vastu võetud 2013. aasta novembris.
3.1 - vastu võetud 2015. aasta aprillis.
PCI DSS versioon 3.0
"PCI-DSS 3.0 uus versioon muudab standardi normaalse äritegevuse lahutamatuks osaks," ütles maksekaarditööstuse turvastandardite nõukogu (PCI SSC) tegevjuht Bob Russo eWeekile. — Tahame püüda võõrutada inimesi uskumast, et PCI-DSS-iga saab tegeleda kord aastas, ja siis mitte sellele mõelda. Reaalses olukorras tekivad sageli lüngad.
PCI-DSS nähti tihtipeale vaid ettevõtte nõuetele vastavuse kontrollimise alusena, kus saab linnukesega teha, et hetkel on kõik korras ja rahulikult teiste asjadega edasi minna. Bob Russo rõhutas seda uues standardis PCI-DSS 3.0 rõhk on haridusel ja poliitikal, muutes maksete turvalisuse igapäevaseks ülesandeks ja pidevalt hooldatava korra elemendiks. Põhimõte on see, et standard aitab kaasa järjekindlama protsessikeskse kontrolli saavutamisele, mis on eriti oluline suurte organisatsioonide jaoks. Ja see tugevdab ka keskendumist pidevale vastutusele, mitte ainult juhuslikele PCI-DSS-audititele.
Üks kriitika PCI-DSS standardile on selle sätete ebaselgus. Näiteks võib standard nõuda organisatsioonilt veebirakenduse tulemüüri (WAF) juurutamist ilma nõutavat tulemüüri konfiguratsiooni täpsustamata või isegi selgitamata, miks seda vaja on. Seda kriitikat väljendasid selges ja teravas vormis PCI SCC liikmed ning see eeldas uue ja täiustatud standardi väljatöötamist.
Standardi eelmistes versioonides oli alati kaks veergu, mis selgitasid konkreetset turvakontrolli nõuet. Esimeses veerus esitati nõue ja teises veerus testimisprotseduuri üksikasjad. PCI-DSS 3.0-l peaks olema kolmas veerg, mis Leachi sõnul sisaldab reaalseid näiteid riskidest, mida see turbekontroll on mõeldud maandamiseks.
Seega selgitab uus standard WAF-i puhul, mida see tehnoloogia suudab teha ja milliseid riske see aitab maandada.
Üks olulisi muudatusi PCI-DSS 3.0 standardis on seotud paroolide kasutamisega. Viimase kolme aasta jooksul on PCI SCC läbi viinud mitmeid paroolitugevuse uuringuid, mis on aidanud sõnastada uusi nõudeid.
Üks PCI-DSS 3.0 nõuetest, mida jaemüüjad peavad täitma, on pahatahtliku koodi õigeaegne tuvastamine. Reegel 5.1.2 on lisatud tagamaks, et igale maksekaardi andmeid töötlevale isikule oleks selles valdkonnas usaldusväärne riskijuhtimisprotsess.
PCI-DSS 3.0 on järjekindlalt rõhutanud vajadust paindlikkuse järele turbehalduses, mida tuleb saavutada erinevatel viisidel, mida pidevalt täiustatakse.
PCI DSS versioon 2.0
28. oktoobril 2010 anti välja standardi uus versioon PCI DSS , nimelt versioon 2.0. Valdkonda reguleerivasse dokumenti sisse viidud muudatusi on raske nimetada radikaalseks, need on peamiselt täpsustuste ja täpsustuste iseloomuga. Lisaks on mõned kontrolliprotseduurid rühmitatud uuel viisil, et lihtsustada nende tajumist ja rakendamist auditi ajal.
Kuigi versiooni 2.0 standard hakkas kehtima 1. jaanuaril 2011, saavad maksekaarditööstuses osalejad eelmist versiooni kasutada kuni 2011. aasta lõpuni. See PCI SSC nõukogu algatus võimaldab järk-järgulist üleminekut uus versioon. Järgmise versiooni valmistab PCI SSC ette kolmeaastase elutsükli jooksul.
PCI DSS nõuded
PCI DSS määratleb järgmised kuus juhtimisvaldkonda ja 12 põhilist turbenõuet.
Turvalise võrgu loomine ja hooldamine
- Nõue 1: installige ja hooldage tulemüürid, et kaitsta kaardiomanike andmeid.
- Nõue 2: tootja vaikesüsteemiparoolide ja muude turvaseadete mittekasutamine.
Kaardiomanike andmete kaitsmine
- Nõue 3: kaardiomaniku andmete kaitstuse tagamine salvestamise ajal.
- Nõue 4: Avalike võrkude kaudu edastatavate kaardiomanike andmete krüpteerimine.
Haavatavuse haldamise programmi tugi
- Nõue 5: kasutage ja värskendage regulaarselt viirusetõrjetarkvara.
- Nõue 6: arendada ja hooldada turvalisi süsteeme ja rakendusi.
- Range juurdepääsukontrolli meetmete rakendamine
- Nõue 7: piirata juurdepääsu kaardiomaniku andmetele teadmisvajaduse alusel.
- Nõue 8: määrake igale teabetaristule juurdepääsu omavale isikule kordumatu identifikaator.
- Nõue 9: piirake füüsilist juurdepääsu kaardiomaniku andmetele.
Regulaarne võrgu jälgimine ja testimine
- Nõue 10: kontrollige ja jälgige kogu juurdepääsu võrguressurssidele ja kaardiomanike andmetele.
- Nõue 11: regulaarne turvasüsteemide ja -protsesside testimine.
Infoturbepoliitika tugi
- Nõue 12: Töötage välja, säilitage ja jõustage teabeturbepoliitika.
Vaatamata standardite avalikkusele koguneb palju küsimusi. Püüame allpool mõnele neist vastata.
1. Kes on PCI DSS-iga kaetud?
Esiteks määratleb standard nõuded organisatsioonidele, kelle infoinfrastruktuur säilitab, töötleb või edastab maksekaardi andmeid, samuti organisatsioonidele, kes võivad mõjutada nende andmete turvalisust. Standardi eesmärk on üsna ilmne - tagada maksekaartide ringluse turvalisus. Alates 2012. aasta keskpaigast peavad kõik WPC säilitamise, töötlemise ja edastamise protsessiga seotud organisatsioonid järgima nõudeid PCI DSS , ja Venemaa Föderatsiooni ettevõtted pole erand. Et mõista, kas teie organisatsioonile kehtib standardi nõuete kohustuslik järgimine PCI DSS , soovitame kasutada lihtsat plokkskeemi.
Esimene samm on vastata kahele küsimusele:
- Kas teie organisatsioonis säilitatakse, töödeldakse või edastatakse maksekaardi andmeid?
- Kas teie organisatsiooni äriprotsessid võivad maksekaardiandmete turvalisust otseselt mõjutada?
Kui vastused mõlemale küsimusele on eitavad, hankige sertifikaat vastavalt PCI DSS pole tarvis. Vähemalt ühe positiivse vastuse korral, nagu on näha joonisel 1, on standardile vastavus vajalik.
2. Millised on PCI DSS nõuded?
Vastavus standardile eeldab nõuete täitmist, mis on kokku võetud allolevas tabelis näidatud kaheteistkümnes jaotises:
Natuke süvenedes nõuab standard umbes 440 taatlusprotseduuri läbimist, mis peaks nõuetele vastavuse kontrollimisel andma positiivse tulemuse.
3. Kuidas ma saan kontrollida PCI DSS-i vastavust?
Standardi nõuetele vastavuse kinnitamiseks on erinevaid viise PCI DSS
mis seisneb läbiviimises välisaudit (QSA)
, siseaudit (ISA)
või enesehindamine (SAQ)
organisatsioonid.
Iga nende omadused on illustreeritud tabelis.
Vaatamata esitatud meetodite näilisele lihtsusele seisavad kliendid sageli silmitsi arusaamatuste ja raskustega sobiva meetodi valimisel. Selle näiteks on allpool esilekerkivad küsimused.
4. Millises olukorras on vaja läbi viia välisaudit ja millises - siseaudit? Või piisab sellest, kui piirdume organisatsiooni enesehinnanguga?
Vastused neile küsimustele sõltuvad organisatsiooni tüübist ja aastas töödeldavate tehingute arvust. See ei tohiks olla juhuslik valik, kuna on dokumenteeritud reeglid, mis reguleerivad, millist viisi organisatsioon standardile vastavuse kontrollimiseks kasutab. Kõik need nõuded seavad rahvusvahelised maksesüsteemid, millest Venemaal on populaarseimad Visa Ja meistrikaart. On olemas isegi klassifikatsioon, mille järgi eristatakse kahte tüüpi organisatsioone: kaubandus teenindusettevõtted (kaupmehed) ja teenusepakkujad.
Kaubandus- ja teenindusettevõte on organisatsioon, mis aktsepteerib maksekaarte kaupade ja teenuste eest tasumiseks (poed, restoranid, veebipoed, tanklad jne). Kaubandus- ja teenindusettevõte on organisatsioon, mis aktsepteerib kaupade ja teenuste eest tasumiseks maksekaarte (poed, restoranid, veebipoed, tanklad jne).
Sõltuvalt aastas töödeldavate tehingute arvust saab kaupmehi ja teenusepakkujaid liigitada erinevatele tasemetele.
Oletame, et kaubandus- ja teenindusettevõte töötleb e-kaubandust kasutades kuni 1 miljon tehingut aastas. Klassifikatsiooni järgi Visa Ja meistrikaart(Joonis 2) organisatsioon liigitatakse 3. tasemele. Seetõttu vastavuse kinnitamiseks PCI DSS Kord kvartalis on vaja läbi viia ASV (Approved Scanning Vendor) infoinfrastruktuuri komponentide välise haavatavuse kontroll ja iga-aastane SAQ enesehindamine. Sel juhul ei pea organisatsioon koguma tõendeid vastavuse kohta, kuna see pole praeguse taseme jaoks vajalik. Aruandlusdokumendiks on täidetud SAQ enesehindamise leht.
ASV skannimine (kinnitatud skannimise tarnija)— kõigi infoinfrastruktuuri Interneti-ühenduse punktide automaatne kontroll, et tuvastada haavatavused. PCI DSS nõuab, et see protseduur viiakse läbi kord kvartalis.
Või võtame näiteks pilveteenuse pakkuja, kes töötleb üle 300 000 tehingu aastas. Vastavalt kehtestatud klassifikatsioonile Visa või meistrikaart, liigitatakse teenusepakkuja 1. tasemele. See tähendab, et nagu on näidatud joonisel 2, tuleb kord kvartalis läbi viia ASV infoinfrastruktuuri komponentide väline haavatavuse kontroll ja iga-aastane väline QSA audit.
Tuleb märkida, et kaupade või teenuste eest maksmiseks maksekaartide vastuvõtmise protsessis osalev pank, nn vastuvõttev pank, samuti rahvusvahelised maksesüsteemid (IPS ) võivad alistada nendega seotud kaupmehe või nende järgi kasutatava teenusepakkuja taseme enda hinnang riske. Määratud tase on ülimuslik joonisel 2 näidatud rahvusvahelise maksesüsteemi klassifikatsiooni suhtes.
Kõik objektiivsed ja sisukad läbitungimiskatsed peavad läbima
teostada vastavalt soovitustele ja reeglitele. Vähemalt olla
pädev spetsialist ja mitte millestki ilma jääda. Nii et kui soovite siduda oma
ametialane tegevus pentestiga - tutvuge kindlasti
standarditele. Ja esiteks - minu artikliga.
Informatsiooni läbitungimise testimise reeglid ja raamistik on toodud metoodikates
OSSTMM Ja OWASP. Edaspidi saab saadud andmeid lihtsalt
kohandatud vastavushindamiseks mis tahes tööstusega
standardid ja "maailma parimad tavad", nagu Cobit,
seeria standardid ISO/IEC 2700x, soovitused SRÜ/SANS/NIST/jne
ja – meie puhul – standard PCI DSS.
Muidugi kogutud andmed, mis on saadud testimise käigus
penetratsiooni, viia läbi täielik hindamine vastavalt tööstusharu standarditele
ei piisa. Aga sellepärast on see pentest, mitte audit. Lisaks jaoks
sellise hinnangu täielik rakendamine, ainult tehnoloogilised andmed
kellestki ei piisa. Täielikuks hindamiseks on vaja töötajate vestlusi.
hinnatava ettevõtte erinevad divisjonid, halduse analüüs
dokumentatsioon, erinevad IT/IS protsessid ja palju muud.
Seoses läbitungimiskatsega vastavalt vajadusele
maksekaarditööstuse infoturbe standard – seda pole palju
erineb tavapärastest meetoditega läbiviidud testimisest
OSSTMM Ja OWASP. Pealegi standard PCI DSS soovitatav
Reeglite järgimiseks OWASP läbiviimisel nii pentest (AsV) kui
audit (QSA).
Peamised erinevused testimise vahel PCI DSS testimisest kuni
penetratsioonid selle sõna laiemas tähenduses on järgmised:
- Standard ei reguleeri (ja seetõttu pole ka nõutav) rünnakute sooritamist
kasutades sotsiaalset manipuleerimist. - Kõik läbiviidud kontrollid peaksid minimeerima "keeldumise" ohu
Teenus (DoS) Seetõttu peaks testimine olema
läbi "halli kasti" meetodil koos kohustusliku hoiatusega
vastavad süsteemiadministraatorid. - Sellise testimise peamine eesmärk on katse rakendada
volitamata juurdepääs maksekaardi andmetele (PAN, kaardiomaniku nimi ja
jne.).
"Halli kasti" meetod viitab erinevate rakendamisele
tüüpi tšekid koos eelneva lisateabe saamisega
uuritav süsteem testimise erinevates etappides. See vähendab riski
teenusest keeldumine sellise teabega seotud töö tegemisel
ressursid töötavad 24/7.
Üldiselt peaks PCI läbitungimiskatse läbi viima
vastama järgmistele kriteeriumidele:
- Punkti 11.1 punkt b – traadita võrgu turvaanalüüs
- Klausel 11.2 – teabevõrgu kontrollimine haavatavuste (AsV) tuvastamiseks
- 11.3.1 - Kontrollide läbiviimine võrgukihis (võrgukiht
läbitungimistestid) - Punkt 11.3.2 – Kontrollide läbiviimine rakenduse tasemel (rakenduskiht
läbitungimistestid)
See lõpetab teooria ja liigume edasi praktika juurde.
Käimasoleva uurimistöö piiride määramine
Kõigepealt peate mõistma läbitungimiskatsete piire,
määrata kindlaks ja kokku leppida tehtavate toimingute järjekord. Oma parimal kujul
Sel juhul võib IS-i osakond hankida võrgukaardi, millel
näitab skemaatiliselt, kuidas töötlemiskeskus suhtleb üldisega
infrastruktuuri. Halvimal juhul peate suhtlema süsteemiadministraatoriga,
kes on teadlik omaenda jambidest ja hankides põhjalikke andmeid
infosüsteemi takistab tema soovimatus oma oma jagada
unikaalsed (või mitte nii - u. Forb) teadmised. Ühel või teisel viisil, selleks, et
PCI DSS Pentest nõuab vähemalt järgmist teavet:
- võrgu segmenteerimine (kasutaja, tehnoloogiline, DMZ, töötlemine ja
jne.); - tulemüür alamvõrgu piiridel (ACL/ITU);
- kasutatud veebirakendused ja DBMS (nii test- kui ka tootlikud);
- kasutatud traadita võrgud;
- mis tahes turvalisuse üksikasjad, mida tuleb arvesse võtta
küsitluse käigus (näiteks kontode blokeerimine aadressil N
valed autentimiskatsed), infrastruktuuri eripärad ja üldised
testimise soovid.
Kogu ülaltoodud vajaliku teabe abil saate seda teha
korraldada oma ajutine peavarju kõige optimaalsemas võrgusegmendis ja
uurima hakata infosüsteem.
Võrgukihi läbitungimiskatsed
Alustuseks tasub analüüsida kasutades läbivat võrguliiklust
mis tahes võrguanalüsaator võrgukaardi "promiscuous" režiimis
(promiscuous mode). Võrguanalüsaatorina sarnastel eesmärkidel
suurepärane sobivus või CommView. Selle sammu sooritamiseks kulub 1–2 tundi.
nuusutaja. Selle aja möödudes koguneb teostamiseks piisavalt andmeid
pealtkuulatud liikluse analüüs. Ja ennekõike seda analüüsides tuleks
pöörake tähelepanu järgmistele protokollidele:
- lülitusprotokollid (STP, DTP jne);
- marsruutimisprotokollid (RIP, EIGRP jne);
- dünaamilised hosti konfiguratsiooniprotokollid (DHCP, BOOTP);
- avatud protokollid (telnet, rlogin jne).
Mis puutub avatud protokollidesse, siis nende sisselangemise tõenäosus
kommuteeritud võrgus on liikluse läbimise nuuskimisaeg üsna väike.
Kui aga sellist liiklust on palju, on uuritavas võrgus seda selgelt täheldatud
probleemid võrguseadmete seadistustes.
Kõigil muudel juhtudel on võimalik ilusaid rünnakuid läbi viia:
- klassikaline MITM (mees keskel) rünnak juhul, kui
DHCP, RIP - STP juursõlme (Root Bridge) rolli saamine, mis võimaldab
peatada naabersegmentide liiklust - pordi lülitamine magistraalrežiimi DTP abil (enable trunking);
võimaldab teil katkestada kogu oma segmendi liikluse - ja jne.
Ümberlülitusprotokollide vastu suunatud rünnakute rakendamiseks on saadaval suurepärane tööriist
Yersinia. Oletame, et liiklusanalüüsi käigus lendamine
Möödunud DTP-pakette (vt ekraanipilti). Seejärel saadetakse DTP ACCESS/DEIRABLE pakett
võib lubada kommutaatori pordi seadistamist magistraalrežiimi. Edasi
selle rünnaku areng võimaldab teil kuulata oma segmenti.
Pärast lingikihi testimist tasub tähelepanu pöörata kolmandale
OSI kiht. Pööre on saabunud ARP-mürgistuse rünnakule. Siin on kõik lihtne.
Valige tööriist, näiteks
ja arutage IS-i töötajatega selle rünnaku üksikasju (sh
vajadus ründe järele, mille eesmärk on ühesuunaline SSL-i pealtkuulamine).
Asi on selles, et ARP-mürgistuse rünnaku eduka rakendamise korral
kogu selle segmendist võib tekkida olukord, kui ründaja arvuti seda ei tee
toime tulla sissetulevate andmete vooga ja lõpuks võib see muutuda
põhjustada teenuse keelamise kogu võrgusegmendi jaoks. Seetõttu on kõige õigem
valib üksikud sihtmärgid, nagu administraatori tööjaamad ja/või
arendajad, konkreetsed serverid (võimalik, et domeenikontroller,
DBMS, terminaliserver jne).
Edukas ARP-mürgistuse rünnak võimaldab teil selgeks saada
paroolid erinevatele teaberessurssidele - DBMS, domeenikataloog (koos
NTLM-i autentimise alandamine), SNMP-kogukonna string jne. Vähem kui
õnneks saab räsiväärtusi saada erinevate süsteemide paroolidest,
mis tuleb pentesti ajal taastada poolt
vikerkaaretabelid (vikerkaaretabelid), sõnaraamatu või rünnakuga "otsapeal". vahele võetud
paroole saab kasutada kusagil mujal ja hiljem on seda ka vaja
kinnitada või ümber lükata.
Lisaks tasub kohaloleku osas analüüsida kogu pealtkuulatud liiklust
CAV2/CVC2/CVV2/CID/PIN edastatakse selgelt. Selleks võite vahele jätta
salvestatud cap-fail NetResidenti ja/või kaudu
.
Teine, muide, on suurepärane kogunenud liikluse üldiseks analüüsimiseks.
Kasutuskihi läbitungimiskatsed
Liigume edasi neljanda OSI kihi juurde. Siin taandub see kõigepealt sellele
uuritud võrgu instrumentaalne skaneerimine. Kuidas seda läbi viia? Valik on vale
liiga suur. Esialgse skannimise saab teha kasutades Nmap in
"Kiire skannimise" režiim (lülitid -F -T Aggressive|Insane) ja järgmistes sammudes
näiteks kindlate portide skannimise testimine (lüliti -p),
kõige tõenäolisemate penetratsioonivektorite tuvastamise korral, mis on seotud
teatud võrguteenuste haavatavused. Paralleelselt tasub käivitada skanner
turvalisus - Nessus või XSpider (viimasel on räbalad tulemused).
ainult ohutu kontrollimise viis. Kui otsite
haavatavused, on vaja pöörata tähelepanu ka aegunud süsteemide olemasolule
(näiteks Windows NT 4.0), sest PCI standard keelab need
kasutamine kaardiomanike andmete töötlemisel.
Kui mis tahes teenuses leitakse kriitiline haavatavus, pole see seda väärt
kiirusta seda ära kasutama. Õige lähenemine PCI-ga testimisel -
seda esiteks selleks, et saada täielikum pilt subjekti turvalisusest
süsteem (kas see haavatavus on juhuslik või on see kõikjal),
ja teiseks koordineerida oma tegevusi tuvastatud haavatavuste ärakasutamiseks
teatud süsteemid.
Instrumentaaluuringu tulemused peaksid olema üldpilt
rakendatud IS protsessid ja pealiskaudne arusaam turvaseisundist
infrastruktuuri. Skaneeringute väljatöötamise ajal võite paluda end kurssi viia
Ettevõtte poolt kasutatav infoturbepoliitika. Üldise enesearengu jaoks :).
Järgmine etapp on läbitungimise sihtmärkide valik. Selles etapis peaksite
analüüsida kogu kuulamise käigus kogutud teavet
liikluse ja haavatavuse skannimine. Ilmselt selleks ajaks on
haavatavate või potentsiaalselt haavatavate süsteemide jälgimine. Seetõttu tuli
aeg neid puudusi ära kasutada.
Nagu praktika näitab, toimub töö järgmises kolmes valdkonnas.
1. Võrguteenuste haavatavuste ärakasutamine
Kauges minevikus oli aeg, mil ärakasutamine oli eliidi osa,
suudavad vähemalt kellegi teise koodi kokku panna ja (oh issand!) oma shellkoodi ette valmistada.
Nüüd võrguteenuste haavatavuste, näiteks ülevoolu ärakasutamine
puhvrid ja muud sarnased, kõigile kättesaadavad. Pealegi on protsess üha sarnasem
otsingumäng. Võtke vähemalt Core Impact, mille puhul kogu pentest väheneb
kenas GUI ümbrises erinevatel rippmenüüdel klõpsamiseks.
Selline tööriistakomplekt säästab palju aega, mis sisemise pentestimise ajal
mitte eriti. Kuna naljad on naljad ja Core Impactis rakendatud funktsioonide komplekt,
võimaldab ilma eriti tülitamata järjepidevalt sooritada operatsiooni, tõstmist
privileege, teabe kogumist ja teie süsteemis viibimise jälgede eemaldamist. IN
Seetõttu on Core Impact eriti populaarne lääne audiitorite ja
pentestrid.
Sedalaadi avalikest tööriistadest võib nimetada järgmist.
komplektid: Core Impact, CANVAS, SAINTexploit ja kõigi lemmik Metasploit Framework.
Esimese kolme puhul on need kõik kaubanduslikud tooted. Tõsi, mõned
kommertskoostude vanad versioonid lekkisid omal ajal Internetti. Soovi korral
leiate need ülemaailmsest võrgust (loomulikult ainult selleks
eneseharimine). Noh, kogu tasuta värske sploit on saadaval Metasploitis
raamistik. Muidugi on nullpäeva ehitusi, kuid see on täiesti erinev raha.
Lisaks on vastuoluline arvamus, et pentesti läbiviimisel kasutatakse nende kasutamist
pole päris õiglane.
Võrgu skaneerimise andmete põhjal saab mängida väikest häkkerit :).
Olles eelnevalt kokku leppinud sihtmärkide loendis, viige avastatud toiming läbi
haavatavused ja seejärel teostada hõivatud süsteemide pealiskaudne kohalik audit.
Haavatavate süsteemide kohta kogutud teave võib paraneda
privileege teistele võrguressurssidele. See tähendab, et kui rünnaku ajal
kui rikkusite Windowsi, siis poleks üleliigne SAM-i andmebaasi sealt eemaldada (fgdump)
hilisem parooli taastamine, samuti LSA saladused (Cain & Abel), milles
võib sageli pikka aega lahti hoida kasulik informatsioon. Muideks,
pärast kogu töö tegemist võib kogutud teavet paroolide kohta lugeda
PCI DSS standardi nõuetele vastavuse või mittevastavuse kontekstis (punkt 2.1,
2.1.1, 6.3.5, 6.3.6, 8.4, 8.5.x).
2. Juurdepääsu kontrolli analüüs
Kogu teabe puhul tuleb läbi viia juurdepääsukontrolli analüüs
ressursse, mille abil oli võimalik NSD-d rakendada. Ja failide jagamisel
Windows (SMB), millel on avatud ka anonüümne juurdepääs. See võimaldab sageli
saada lisateavet ressursside kohta, mida ei leitud
võrgu skannimise aeg või muu teabe otsa komistamine, mitmesugused
klaarisse salvestatud konfidentsiaalsusaste. Nagu ma juba ütlesin, kl
PCI testimise läbiviimine on esiteks otsingu eesmärk tuvastada
kaardiomaniku andmed. Seetõttu on oluline mõista, kuidas need andmed välja näevad ja
otsige neid kõigist teabeallikatest, mille jaoks on sobiv
juurdepääs.
3. Toore jõu rünnak
Vähemalt on vaja kontrollida vaikeväärtusi ja lihtsaid sisselogimis-parooli kombinatsioone.
Sellised kontrollid tuleb läbi viia ennekõike seoses võrguga
seadmed (sh SNMP jaoks) ja kaughaldusliidesed.
AsV-skannimisel PCI DSS-i kaudu ei ole lubatud teostada "rasket"
toore jõud, mis võib viia DoS-i seisundini. Aga meie puhul on
sisemise PCI pentesti kohta ja seetõttu mõistlikul kujul ja ilma fanatismita maksab
sooritada rünnak lihtsate paroolide kombinatsioonide valimisel erinevatele
inforessursse (DBMS, WEB, OS jne).
Järgmine samm on veebirakenduste turvalisuse analüüsimine. PCI pentesti ajal
umbes süvaanalüüsi veebikõne ei lähe. Jätame selle QSA-de hooleks. Siin
piisab valikulise kontrolliga musta kasti skannimisest
ärakasutatavad serveri/kliendipoolsed haavatavused. Lisaks juba mainitutele
turvaskannereid, saate kasutada analüüsi jaoks kohandatud skannereid
Võrk. Ideaalne lahendus on kindlasti HP WebInspect või
(mis, muide, on suurepärane AJAX-i vigade tuvastamiseks). Kuid see kõik on
kallis ja taskukohane luksus ja kui nii, siis meile sobib w3af, mis sisse
viimasel ajal hoogu saanud erinevate avastamise osas
haavatavused veebirakendustes.
Seoses veebi haavatavuste käsitsi kontrollimisega! See on vähemalt vajalik
kontrollida autentimise ja autoriseerimise mehhanisme, kasutada lihtsaid
sisselogimis-parooli kombinatsioonid, vaikeseaded ja kõigi lemmik-SQL-i süstid,
sealhulgas failid ja serveris käskude täitmine. Mis puutub kliendi poole
haavatavused, siis lisaks haavatavuse ärakasutamise võimaluse kontrollimisele siin
rohkem pole vaja midagi. Kuid serveri poolega peate natuke nuputama,
sest see on ikkagi pentest, kuigi PCI DSS-i järgi. Nagu ma varem märkisin, otsime PAN-i,
Kaardiomaniku nimi ja CVC2/CVV2 on valikulised. Tõenäoliselt sellised andmed
sisalduvad DBMS-is ja seetõttu tasub SQL-i süsti leidmisel nimesid hinnata
tabelid, veerud; selleks on soovitav teha mitu prooviproovi
kinnitada või ümber lükata selliste andmete olemasolu andmebaasis
krüpteerimata kujul. Kui kohtate pimedat SQL-i süsti, on parem õhutada
veebiserverisse (koos
--dump-all võti), mis töötab praegu MySQL-i, Oracle'i,
PostgreSQL ja Microsoft SQL Server. Need andmed on tõendamiseks piisavad
haavatavust ära kasutades.
Järgmine samm on DBMS-i turvalisuse analüüsimine. Jällegi on suurepärane
tööriist - AppDetective firmalt "Application Security Inc.", kuid see on kallis
nauding. Kahjuks sarnane turvaskanner, mis väljastaks
nii palju teavet, kui AppDetective suudab, ja toetab seda sama
DBMS-i praegu ei eksisteeri. Ja sellepärast peate sellega tegelema
palju eraldiseisvaid tooteid, mis on alla teritatud
töötada teatud müüjatega. Niisiis, oraakli jaoks miinimumkomplekt
pentester on järgmine:
- Oracle Database Client – keskkond DBMS-iga töötamiseks
- Toad for Oracle – klient PL/SQL-iga töötamiseks
- Oracle Assessment Kit – brute force kasutajad ja andmebaasi SID-d
- erinevad PL/SQL-skriptid (näiteks konfiguratsiooniaudit või
võimalus langeda OS-i käskude täitmise tasemele)
PCI läbitungimistesti viimane etapp on analüüs
traadita võrkude turvalisus, õigemini isegi mitte analüüs, vaid pääsupunktide otsimine,
kasutades haavatavaid konfiguratsioone, nagu Open AP, WEP ja WPA/PSK. Teisega
Teisest küljest ei keela PCI standard põhjalikumat analüüsi, sh
taastevõtmetega traadita võrguga ühenduse loomiseks. Sest see on loogiline
sellist tööd teha. Peamine tööriist selles etapis
muidugi tuleb aircrack-ng. Lisaks saate läbi viia rünnaku, mille eesmärk on
traadita kliendid, tuntud kui "Caffe Latte", kasutavad sama
tööriist. Juhtmevabade võrkude uuringu läbiviimisel saate ohutult
juhinduda saidi andmetest
wirelessdefence.org.
Järelduse asemel
Testitulemuste põhjal viiakse läbi kogu kogutud teabe analüüs
vastavuse kontekstis tehnilised nõuded PCI DSS standard. Ja nagu ma juba
märkis kohe alguses, samamoodi võivad pentesti käigus saadud andmed olla
tõlgendada mis tahes muu kõrgetasemelise dokumendi kontekstis,
mis sisaldab tehnilisi kriteeriume ja soovitusi juhtimissüsteemi jaoks
infoturbe. Seoses aruandluses kasutatava malliga
PCI dokumente, saate PCI jaoks kasutada MasterCardi nõudeid
AsV skaneerimine. Need näevad ette aruande jagamise kaheks dokumendiks -
tipptasemel dokument juhile, mis sisaldab kauneid graafikuid
ja näidatakse süsteemi hetkeseisu PCI DSS nõuetele vastavuse protsent,
ja tehniline dokument, mis sisaldab katsete protokolli
penetratsiooni, tuvastatud ja ära kasutatud haavatavused, samuti soovitused
infosüsteemi vastavusse viimine MasterCardi nõuetega.
Seetõttu võin öelda hüvasti ja soovida teile edu uurimistöös!
www
pcisecuritystandards.org – PCI turvastandardite nõukogu.
pcisecurity.ru - portaal,
pühendatud Informzaschita PCI DSS-ile.
pcidss.ru on portaal, mis on pühendatud
PCI DSS firmalt Digital Security.
isecom.org/osstmm – avatud
Allikas turbe testimise metoodika käsiraamat.
owasp.org – avatud veebirakendus
turvaprojekt.
Maksekaarditööstuse andmeturbe standard (PCI DSS) on maksekaarditööstuse andmeturbe standard, mille on välja töötanud Payment Card Industry Security Standards Council (PCI SSC), mille loovad rahvusvahelised maksesüsteemid Visa, MasterCard, American Express, JCB ja Discover.
PCI DSS-i nõuded on kohustuslikud igale ettevõttele, kes töötab suurimate maksesüsteemidega. Need tagavad kaitse kliendiandmete varguse ja muude petturlike tehingute eest. Sertifitseerimise raames läbiviidav taristuanalüüs peegeldab süsteemi protsesside kaitsetaset, kus kaardiomanike kohta teavet hoitakse, töödeldakse ja edastatakse.
PCI DSS VERSION 3.2, 2018
Maxim Sapronov, Avito tehnikadirektor: „Avito on üks suurimaid IT-ettevõtteid, meie tegevus hõlmab suurte andmemahtude salvestamist ja töötlemist. Püüame pakkuda oma klientidele katkematut teenindust kõrge tase, mis eeldab kvaliteetset IT-taristut. Avito on juba mitu aastat paigutanud oma seadmeid DataSpace’i andmekeskusesse, oleme kindlad selle töökindluses, suurepärases tehnilises varustuses ja mis kõige tähtsam – ohutuses. Andmeturbe standardile vastavuse edukas sertifitseerimine rõhutab veel kord keskuse kõrget kvalifikatsiooni ja kinnitab meie õiget DataSpace valikut usaldusväärse partnerina.
PCI DSS VERSION 3.1
Arsen Kondakhchan, BPC Banking Technologiesi IT-osakonna juhataja, märkis: "Meie kui töötlemiskeskuse jaoks on see sertifikaat väga oluline, kuna see lihtsustab meie enda sertifitseerimist ning ühtlasi kinnitab, et DataSpace on tõsine ja vastutustundlik partner, kes mõtleb klientide vajadustele."