Соответствие PCI DSS часто ассоциируется с брандмауэрами, шифрованием и сегментацией сети. Однако для команд безопасности часто наиболее уязвимой мишенью являются веб-приложения и API, которые обрабатывают или влияют на данные владельцев карт.
В этой статье объясняется, как PCI DSS версии 4.0.1 применяется к приложениям, что означает соответствие на практике, и как непрерывное тестирование безопасности способствует снижению рисков.
Что включает соответствие стандарту PCI DSS?
PCI DSS – это отраслевой стандарт безопасности, разработанный Советом по стандартам безопасности PCI для определения технических и операционных требований к защите данных платёжных счетов. Текущая версия, PCI DSS v4.0.1, доступна через портал документации PCI SSC.
Соответствие требует значительно большего, чем просто развёртывание инструментов безопасности. На практике организации должны определить и задокументировать свою область применения PCI, внедрить и использовать необходимые средства контроля, а также проверить их с помощью формальных механизмов оценки. Они также должны поддерживать доказательства того, что средства контроля функционируют надлежащим образом.
Для корпоративных команд AppSec соответствие PCI DSS тесно связано с тем, насколько безопасно приложения и API обрабатывают данные владельцев карт, а также насколько эффективно выявляются, отслеживаются и устраняются уязвимости.
Кто должен соблюдать стандарт PCI DSS?
Любая организация, которая хранит, обрабатывает или передаёт данные владельцев карт, должна соблюдать PCI DSS.
Область применения PCI включает не только системы, которые непосредственно обрабатывают данные владельцев карт, но и те, что подключены к CDE (Cardholder Data Environment, среда данных владельцев платёжных карт) или способные влиять на его безопасность.
CDE – это все системы, сети, процессы и компоненты инфраструктуры, которые: хранят данные карты, обрабатывают или передают их, или могут влиять на их безопасность.
Это не означает, что каждая общая служба автоматически попадает в область применения PCI DSS. Правильно разработанная сегментация может её ограничить, но она должна быть защищённой. Для руководителей AppSec это делает точную документацию архитектуры и анализ потока данных основополагающими для соблюдения требований.
Какие типы данных защищены стандартом PCI DSS?
Стандарт PCI DSS сосредоточен на защите данных платёжных счетов, включая номера основных счетов и связанную с ними информацию владельцев карт, а также конфиденциальные данные аутентификации. Последние подлежат строгим правилам обработки и не должны храниться после авторизации.
Единственное исключение касается банков, осуществляющих выпуск платёжных карт, и их процессинговых партнёров при наличии задокументированного и законного бизнес-обоснования.
С точки зрения безопасности приложений, определяющим фактором является то, куда эти данные передаются. В современных архитектурах, основанных на API, данные владельцев карт и токены могут проходить через несколько служб. Каждое взаимодействие может влиять на область применения PCI в зависимости от того, хранит, обрабатывает, передаёт или может влиять система на безопасность этих данных.
Ключевое требование к приложениям в PCI DSS
Требование 6 (разработка и поддержка безопасных систем и программного обеспечения) особенно актуально для команд безопасности приложений. Оно требует от организаций выявлять и устранять уязвимости в пользовательском и стороннем программном обеспечении, соблюдать безопасные практики разработки, а также защищать общедоступные веб-приложения от атак.
В PCI DSS v4.x это включает конкретные требования по защите общедоступных веб-приложений (6.4.1) и управлению целостностью и авторизацией сценариев платёжных страниц (6.4.3), что стало важным операционным фокусом для многих организаций.
Как часто организациям нужно проверять соответствие стандарту PCI DSS?
Проверка PCI DSS обычно проводится ежегодно. Организации могут заполнять специальную анкету (Self-Assessment Questionnaire, SAQ) или проходить более формальную оценку третьей стороной, что обычно приводит к составлению отчёта о соответствии.
Формат проверки и требования к отчётности устанавливают платёжные системы и банк, обслуживающий компанию, а не она сама. Кроме того, определённые действия, такие как внешнее сканирование систем, подключающихся к Интернету, по программе утверждённого поставщика сканирования (Approved Scanning Vendor, ASV), требуются как минимум ежеквартально и после значительных изменений.
Финансовые и правовые риски несоответствия стандарту PCI DSS
Организации могут понести расходы на расследование, реагирование на инциденты, увеличение комиссий за транзакции, гражданские иски и регуляторный контроль в зависимости от юрисдикции и обстоятельств.
Для предприятий, работающих в больших масштабах, перебои в обработке платежей или длительные усилия по устранению недостатков могут оказать существенное влияние на бизнес.
Как тестирование безопасности программ поддерживает соответствие стандарту PCI DSS
Тестирование безопасности программ помогает в соответствии стандарту PCI DSS, выявляя проблемы в веб-приложениях и API, а также предоставляя доказательства деятельности по управлению уязвимостями. Это демонстрирует, что организации активно выявляют и устраняют слабые места безопасности, как того требует Требование 6.
Роль DAST и SAST в выполнении требований PCI DSS
DAST (Dynamic Application Security Testing) выявляет уязвимости, которые могут быть эксплуатированы, в развернутых веб-приложениях. Он дополняет статический анализ (SAST), который сосредоточен на проверке исходного кода.
Требование 6.4.1 в PCI DSS требует, чтобы публичные веб-приложения были проверены ручным или автоматизированным тестированием безопасности (что делает DAST и SAST, для максимального покрытия от ранних этапов разработки до продакшна рекомендуется использовать оба этих метода).
Платформа Invict DAST и Mend SAST позволяют получать отчёты на соответствие PCI DSS, что позволяет удобно отслеживать соблюдение требований. Эти решения бесшовно интегрируются, и чтобы бесплатно их попробовать, вы можете оставить свои контактные данные ниже, и мы с вами свяжемся:
