Відповідність PCI DSS часто асоціюється з брандмауерами, шифруванням та сегментацією мережі. Однак для команд безпеки часто найбільш вразливою мішенню є вебдодатки та API, які обробляють або впливають на дані власників карток.
У цій статті пояснюється, як PCI DSS версії 4.0.1 застосовується до додатків, що означає відповідність на практиці, і як безперервне тестування безпеки сприяє зниженню ризиків.
Що включає відповідність стандарту PCI DSS?
PCI DSS – це галузевий стандарт безпеки, розроблений Радою зі стандартів безпеки PCI для визначення технічних та операційних вимог до захисту даних платіжних рахунків. Поточна версія, PCI DSS v4.0.1, доступна через портал документації PCI SSC.
Відповідність вимагає набагато більше, ніж просто розгортання інструментів безпеки. На практиці організації повинні визначити та задокументувати свою сферу застосування PCI, впровадити та використовувати необхідні засоби контролю, а також перевірити їх за допомогою формальних механізмів оцінки. Вони також повинні підтримувати докази того, що засоби контролю функціонують належним чином.
Для команд AppSec відповідність PCI DSS тісно пов’язана з тим, наскільки безпечно програми та API обробляють дані власників карток, а також наскільки ефективно виявляються, відстежуються та усуваються вразливості.
Хто повинен дотримуватися стандарту PCI DSS?
Будь-яка організація, яка зберігає, обробляє або передає дані власників карток, повинна дотримуватися PCI DSS.
Сфера застосування PCI включає не лише системи, які безпосередньо обробляють дані власників карток, але й ті, підключені до CDE (Cardholder Data Environment, середовище даних власників платіжних карток) або здатні впливати на його безпеку.
CDE – це всі системи, мережі, процеси та компоненти інфраструктури, які: зберігають дані картки, обробляють або передають їх, чи можуть впливати на їхню безпеку.
Це не означає, що кожна спільна служба автоматично потрапляє до сфери застосування PCI DSS. Правильно розроблена сегментація може її обмежити, але вона має бути захищеною. Для керівників AppSec це робить точну документацію архітектури та аналіз потоку даних основоположними для дотримання вимог.
Які типи даних захищені стандартом PCI DSS?
Стандарт PCI DSS зосереджується на захисті даних платіжних рахунків, включаючи номери основних рахунків та пов’язану з ними інформацію власників карток, а також конфіденційних даних автентифікації. Останні підлягають суворим правилам обробки та не повинні зберігатися після авторизації.
Єдиний виняток стосується банків, що здійснюють випуск платіжних карток, та їхніх процесингових партнерів за наявності задокументованого та законного бізнес-обґрунтування.
З точки зору безпеки додатків, визначальним фактором є те, куди ці дані передаються. У сучасних архітектурах, що базуються на API, дані власників карток та токени можуть проходити через кілька служб. Кожна взаємодія може впливати на сферу застосування PCI залежно від того, чи зберігає, обробляє, передає чи може впливати система на безпеку цих даних.
Ключова вимога щодо додатків у PCI DSS
Вимога 6 (розробка та підтримка безпечних систем і програмного забезпечення) особливо актуальна для команд безпеки додатків. Вона вимагає від організацій виявляти та усувати вразливості в користувацькому та сторонньому програмному забезпеченні, дотримуватися безпечних практик розробки, а також захищати загальнодоступні вебдодатки від атак.
У PCI DSS v4.x це включає конкретні вимоги щодо захисту загальнодоступних вебдодатків (6.4.1) та управління цілісністю та авторизацією сценаріїв платіжних сторінок (6.4.3), що стало важливим операційним фокусом для багатьох організацій.
Як часто організаціям потрібно перевіряти відповідність стандарту PCI DSS?
Перевірка PCI DSS зазвичай проводиться щорічно. Організації можуть заповнювати спеціальну анкету (Self-Assessment Questionnaire, SAQ) або проходити більш формальну оцінку третьою стороною, що зазвичай призводить до складання звіту про відповідність.
Формат перевірки та вимоги до звітності встановлюють платіжні системи й банк, що обслуговує компанію, а не вона сама. Крім того, певні дії, такі як зовнішнє сканування систем, що підключаються до Інтернету, за програмою затвердженого постачальника сканування (Approved Scanning Vendor, ASV), вимагаються принаймні щоквартально та після значних змін.
Фінансові та правові ризики невідповідності стандарту PCI DSS
Організації можуть понести витрати на розслідування, реагування на інциденти, збільшення комісій за транзакції, цивільні позови та регуляторний контроль залежно від юрисдикції та обставин.
Для підприємств, що працюють у великих масштабах, перебої в обробці платежів або тривалі зусилля з виправлення недоліків можуть мати суттєвий вплив на бізнес.
Як тестування безпеки програм підтримує відповідність стандарту PCI DSS
Тестування безпеки застосунків допомагає відповідати стандарту PCI DSS, виявляючи проблеми у вебдодатках та API, а також надаючи докази діяльності з управління вразливостями. Це демонструє, що організації активно виявляють та усувають слабкі місця безпеки, як того вимагає Вимога 6.
Роль DAST і SAST у виконанні вимог PCI DSS
DAST (Dynamic Application Security Testing) виявляє вразливості, що можуть бути експлуатовані, у розгорнутих вебдодатках. Він доповнює статичний аналіз (SAST), що зосереджується на перевірці вихідного коду.
Вимога 6.4.1 в PCI DSS вимагає, щоб публічні вебдодатки були перевірені ручним або автоматизованим тестуванням безпеки (що робить DAST і SAST, для максимального покриття від ранніх етапів розробки до продакшну рекомендується використовувати обидва ці методи).
Платформа Invict DAST та Mend SAST дозволяють отримувати звіти на відповідність PCI DSS, що дає можливість зручно відстежувати дотримання вимог. Ці рішення безшовно інтегруються, і щоб безкоштовно їх спробувати, ви можете залишити свої контактні дані нижче, і ми з вами зв’яжемося:
