Хронология PCI DSS 4.0: четвертое требование и шифрование при передаче

По мере продвижения по требованиям PCI DSS 4.0мы достигли точки, когда стандарт определяет, что означает защита данных при их передаче через частные и публичные сети и за их пределами. 

Шифрование кажется чем-то очевидным, но во многих случаях организации не имеют ни малейшего представления о том, как правильно управлять своим подходом к шифрованию. Управление ключами, минимальная сила и точки применения могут быть сложными для жонглирования без понимания того, как это вписывается в общую картину. 

Здесь мы обсудим четвертое требование PCI DSS 4.0 и что там говорится о шифровании при передаче.

Почему важно защищать данные при передаче?

В мире кибербезопасности считается, что данные имеют три состояния:

• В состоянии покоя: Хранится на сервере, устройстве или съемном носителе (USB-накопитель, жесткий диск и т. д.). 
• В процессе перевозки: Перемещение между отправителем и получателем в виде IP-пакетов или перемещение между локациями на физическом носителе.
• Используется: Отображается, обрабатывается или присутствует в приложении или на рабочей станции.

В платежной индустрии передача информации о держателях карт (данные в пути) имеет важное значение для поддержки современной электронной коммерции. Без таких коммуникаций цифровые витрины были бы несбыточной мечтой, а розничные торговцы были бы вынуждены использовать импринтеры карт для всех транзакций.

Проблема здесь в том, что данные держателей карт неизбежно подвергаются риску для поддержания быстрой и эффективной цифровой коммерции. Вот почему Стандарт PCI DSS включает строгие требования к типам шифрования, используемым для защиты данных от несанкционированного раскрытия, в том числе особые требования в отношении передаваемых данных.

Каковы наиболее распространенные угрозы передаваемым данным?

Поскольку передаваемые данные подвергаются уникальным угрозам, существует несколько уникальных и сложных угроз, с которыми сталкиваются эксперты по безопасности при их защите. 

Некоторые из этих угроз включают в себя

• Атаки «человек посередине» (MitM): Одной из наиболее существенных угроз передаваемым данным является возможность перехвата их до того, как они достигнут пункта назначения. При наличии правильных инструментов и удачи хакеры могут вклиниться между различными системами и собирать данные по мере их перемещения между ними. После этого эти хакеры могут либо полностью удалить любые данные по своему выбору, либо просто подслушать, копируя данные, когда захотят. Соответственно, любые незашифрованные данные, отправленные по этому каналу, находятся в открытом сезоне для кражи. 
• Внутренние угрозы и контроль периметра: Даже если данные передаются по внутренним локальным сетям, идеально защищенным, все равно существует вероятность того, что хакер незаметно проникнет в систему или что инсайдер просматривает несанкционированные данные. 
• Потерянные или украденные устройства: Технически информация, хранящаяся на съемном носителе (жестком диске, USB-накопителе) для транспортировки между локациями, считается «транзитной» именно потому, что данные могут быть утеряны или украдены во время транспортировки.

Каково четвертое требование PCI DSS 4.0?

Совет по стандартам безопасности PCI включил четвертое требование в структуру PCI DSS для внедрения безопасной защиты данных держателей карт при передаче. Это требование предписывает компаниям, соответствующим требованиям, внедрять специальные меры безопасности для шифрования данных при передаче. 

Данные должны быть зашифрованы во время передачи с использованием надежного шифрования в публичных или ненадежных сетях. Однако также важно шифровать данные всякий раз, когда существует потенциальная уязвимость. 

Любая передача основных номеров счетов (PAN) должна соответствовать этому требованию, если иное не указано в другом требовании. 

4.1 – Процессы и механизмы защиты данных держателей карт с помощью надежной криптографии при передаче по открытым публичным сетям

• Документация и персонал: Как и предыдущие требования, стандарты PCI DSS предполагают наличие политики шифрования транзитных данных. Эта политика должна быть задокументирована, актуальна и доступна всем, кто имеет отношение к практике шифрования, защиты или обработки PAN. 
• Роли и обязанности: Роли должны быть назначены таким образом, чтобы любое соответствующее лицо, на которое может повлиять политика, понимало свои обязанности и действия. Кроме того, иерархия ролей способствует повышению ответственности во всей организации и поддерживает коммуникацию изменений и обновлений политики с течением времени. 

4.2 – Защита PAN с помощью надежной криптографии во время передачи

• Использование надежной криптографии: Ваша организация должна внедрить надежную криптографию и протоколы безопасности для защиты PAN во время передачи. Это означает, что для шифрования и дешифрования используются только доверенные ключи и сертификаты, все сертификаты проверяются, все протоколы шифрования защищены и не откатываются к небезопасным версиям, а стойкость используемого алгоритма шифрования достаточна для защиты лица. Наконец, хотя шифрование во внутренних сетях не требуется в соответствии с этим правилом, оно считается наилучшей практикой.
• Ключевой менеджмент: Ваша организация должна всегда вести инвентаризацию доверенных ключей и сертификатов и немедленно удалять скомпрометированные или просроченные ключи. Это позволяет вашей организации заменять ключи по мере необходимости и быстро минимизировать угрозы безопасности. 
• Беспроводная криптография: Беспроводная криптография должна контролировать, кто может подключаться к беспроводным сетям, которые поддерживают или передают PAN. Это включает в себя надежную криптографию и стандарты аутентификации. Не должно быть никаких откатов к более слабым версиям беспроводного шифрования.
• Приложения для конечных пользователей: Если PAN отправляется через сообщения конечного пользователя или технологии электронной почты, он должен быть замаскирован с помощью сильной криптографии. Такая практика обычно не приветствуется, но информация должна быть зашифрована, когда это происходит. 

Что такое надежная криптография?

Надежная криптография — это общая фраза, которая приобретает контекст в зависимости от структуры и отрасли, в которой она используется. Например, в таких юрисдикциях, как ЕС, есть законы, определяющие стандарты надежной безопасности и шифрования, в то время как другие нормативные акты, такие как HIPAA, содержат расплывчатые технические определения для поддержки гибкого обновления. 

В случае PCI DSS надежная криптография определяется следующим образом:

«Криптография, основанная на проверенных и принятых в отрасли алгоритмах, надежных длинах ключей (минимум 112 бит эффективной прочности ключа) и надлежащих методах управления ключами. Криптография — это метод защиты данных, включающий как шифрование (которое обратимо), так и хеширование (которое необратимо или «одностороннее»). На момент публикации примеры проверенных и принятых в отрасли стандартов и алгоритмов для минимальной прочности шифрования включают AES (128 бит и выше), TDES (минимальная тройная длина ключей), RSA (2048 бит и выше), ECC (160 бит и выше) и ElGamal (2048 бит и выше)». 

–Термины и определения PCI DSS 4.0

Подготовьтесь к PCI DSS 4.0 с Lazarus Alliance

По мере того, как мы углубляемся в требования PCI DSS, вы увидите растущую сложность и совместимость различных технологий, политик и практик, которые вам нужно будет развернуть для получения проверки PCI и поддержания соответствия. Эти практики не просто для заполнения контрольного списка. Однако это проверенные и надежные практики безопасности, которые помогут поддержать ваши усилия по обеспечению безопасности через десять лет.

Планируете ли вы переход на PCI DSS 4.0?

Позвоните в Lazarus Alliance по телефону 1-888-896-7580 или заполните эту форму.