Bankovní institut vysoká škola Praha
Katedra matematiky, statistiky a informačních technologií
Implementace bezpečnostního standardu pro platební karty
Diplomová práce
Autor: Bc. Martin Měšťák, DiS.
Informační technologie a management
Vedoucí: Ing. Marcela Soldánová
Praha Duben 2013
Prohlášení:
Prohlašuji, ţe jsem tuto diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu.
Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Jesenici u Prahy dne 15. dubna 2013 Martin Měšťák
Poděkování:
Rád bych na tomto místě poděkoval vedoucí této diplomové práce paní Ing. Marcele Soldánové za vstřícný přístup a velmi konstruktivní připomínky. Dále děkuji mé rodině za trpělivost a podporu během celého mého studia.
Anotace
Tato diplomová práce se zaměřuje na odvětví platebních karet, které aktuálně prochází prudkým rozvojem. Přes karetní systémy protékají miliardy korun ročně a platební karty pomalu a jistě nahrazují klasické metody hotovostních plateb. Objevují se nové technologie pro akceptaci platebních karet, které vyuţívají obchodníci pro zefektivnění svého byznysu a udrţení si konkurenceschopnosti.
Tento bouřlivý rozvoj sebou ale přináší bezpečnostní hrozby a rizika, kterým se organizace pracující s platebními kartami snaţí čelit. Hlavním nástrojem pro sniţování těchto rizik v odvětví platebních karet je bezpečnostní standard pro platební karty PCI DSS, jehoţ implementace je ústředním tématem této práce.
Vlastní obsah práce je rozdělen do 6 hlavních kapitol. První dvě kapitoly jsou pojaty popisně a jejich účelem je čitateli popsat problematiku bezpečnosti dle PCI DSS. Následující 4 kapitoly pojímám realizačně s důrazem kladeným na modelové příklady. Celá práce je prakticky orientovaná a můţe být nápomocná specialistům informační bezpečnosti nebo projektovým manaţerům při zajišťování souladu organizace s PCI DSS.
Pro účely této práce jsem zvolil specifický přístup doporučení, jak by se dle mého nejlepšího vědomí mělo postupovat v cestě zajištění souladu s PCI DSS. Za dobu své praxe v odvětví platebních karet jsem viděl, zaţil a konzultoval více způsobů, jak stanovit co moţná nejefektivnější cestu dosaţení souladu s tímto standardem. Ve všech případech se jevilo uchopení této cesty formou projektu jako nejvhodnější. Zajištění souladu s PCI DSS projektovou formou tedy volím i pro tuto práci, nicméně zmiňuji pouze nutné projektové minimum tak, aby nedošlo k odsunu hlavního záměru práce do pozadí.
Klíčová slova
Informační bezpečnost, PCI DSS, bezpečnostní rámce, rozdělení karetních dat, kompenzační opatření, projekt, GAP analýza, analýza rizik, implementace poţadavků, udrţování bezpečnosti.
Annotation
This graduation thesis is intended for the payment card industry, which is currently experiencing significant growth. Billions are running through payment card systems annually and payment cards are slowly but surely replacing classical methods of cash payments.
New technologies for payment card acceptance are about to appear and are being used by merchants to make their businesses more effective and maintain competitive strength.
This new developments also bring security threats and risks which put pressure on organisations involved in the payment card processing. The main tool for mitigating these risks is Payment Card Industry Data Security Standard (PCI DSS), the implementation of which is the focal point of this thesis.
The body of this thesis is divided into six main chapters. The first two chapters are informational and their goal is to provide the reader with a description of information security according to PCI DSS. The next four chapters are practical and especially focused on the implementation to model samples. The whole thesis is practically oriented and it is conducive to both information security specialists and project managers in ensuring compliance with PCI DSS in their organizations.
I have specifically tailored recommendations for the purposes of this thesis to provide best way to ensure compliance with PCI DSS. During my employment in payment card industry, I gained experience which allows me to determine the most effective way to achieve PCI DSS compliance. While there are many ways to become compliant with PCI DSS, I concluded the project way as the most effective. For the purposes of this thesis I have selected compliance with PCI DSS via the project way and summarized only the important points of the project methodology in order to prevent a deflexion from the main subject of the thesis.
Key words
Information security, PCI DSS, security frames, card data diversification, compensation controls, project, GAP analysis, risk analysis, implementation of requirements, security maintenance.
Obsah
Úvod ... 7
Zvolené metody zpracování ... 11
1 Legislativní a regulatorní rámce bezpečnosti ... 13
2 Problematika PCI DSS ... 17
2.1 Rozdělení karetních dat ... 18
2.2 Kompenzační opatření ... 19
3 PCI DSS projekt ... 21
3.1 Projektový workshop ... 21
3.2 Stanovení rozsahu projektu ... 23
3.2.1 Nástroje pro redukci scope ... 25
3.2.2 Demonstrace na modelových příkladech ... 29
4 Analytická fáze projektu ... 35
4.1 Cíle gap analýzy ... 36
4.2 Plán nápravných opatření ... 37
4.3 Provedení analýzy rizik ... 37
5 Implementační fáze projektu ... 42
5.1 Vybudování a udrţování bezpečné sítě ... 43
5.2 Ochrana dat drţitelů karet ... 47
5.3 Vedení programu zranitelnosti ... 51
5.4 Zavedení důkladných opatření pro kontroly přístupů... 55
5.5 Pravidelné monitorování a testování infrastruktury ... 60
5.6 Udrţování pravidel informační bezpečnosti ... 64
5.7 Implementační roadmapa ... 66
6 Finalizace projektu ... 68
6.1 Prokázání souladu s PCI DSS ... 68
6.2 Formální ukončení projektu ... 70
6.3 Udrţování souladu s PCI DSS ... 71
Závěr ... 73
Seznam použité literatury ... 76
Seznam použitých tabulek, obrázků, diagramů ... 78
Seznam použitých zkratek ... 79
Úvod
Kybernetické podvody společně s krádeţemi identity jsou problémy, které kaţdým rokem ve světě narůstají. Je ironií, ţe věci, které mají náš ţivot učinit jednodušším a zlepšit naší produktivitu, zároveň způsobují, ţe je zločin rovněţ jednodušší a pohodlnější.
Kriminálníci se stali technicky zdatnými a objevili moţnosti získání značného mnoţství peněz za cenu nízkého rizika odhalení. Neautorizovaný průnik do firemní databáze nebo phishingový útok (např. kdyţ se útočník snaţí získat citlivé údaje nebo hesla k systémovým účtům) z pohodlí domova je v mnoha ohledech přitaţlivější, neţ přepadení banky či obchodu, kde zároveň hrozí, ţe bude někdo zraněn či dokonce zabit.
Vezmeme-li v úvahu typ napadené instituce, důmyslnost útoků a v neposlední řadě i štěstí, pak takový kybernetický útok můţe být mnohonásobně lukrativnější neţ ono vyloupení banky. Důsledkem toho můţe být zcizení hotovosti nebo citlivých informací, které mohou mít pro instituci strategický význam.
Ţijeme v době, kdy lidé a instituce stále více vyuţívají informační technologie pro řízení svého obchodu a zároveň ukládají stále větší mnoţství informací. To je důvod, proč je nyní důleţitější víc neţ kdy předtím učinit správné kroky k zavedení funkčních procesů informační bezpečnosti. Informační bezpečnost nepředstavuje nic jiného, neţ soubor nejlepších praktik a oborově přijatých pravidel (sociálních, technických a procesních), jak sníţit rizika spojená s neoprávněným zacházením nebo zneuţitím citlivých informací. Pokud jsou tyto informace nezabezpečené, nastane jejich únik a následné zneuţití, pak je to vţdy pro jednotlivce, instituci, ale i ekonomiku obecně špatná zpráva.
Probíhající ekonomická krize způsobila, ţe se instituce začaly více zaobírat bezpečností svých dat. Jedním z těchto důsledků byla a stále jsou vysoká rizika v oblasti řízení citlivých informací. Jak je známo, většina institucí se za účelem překonání této nesnadné ekonomické doby uchýlila k finančním škrtům a rozpočtovým omezením. Na druhou stranu tyto instituce začaly více investovat do bezpečnostních kontrol a zavádění opatření, která by jim pomohla sníţit rizika výskytu bezpečnostních incidentů nad citlivými daty.
Tato cesta má určitě smysl a svojí důleţitost, neboť instituce nečelí pouze rostoucímu objemu kybernetických útoků zvenčí, ale i neustále se proměňujícímu se ekonomickému prostředí a masovému propouštění, které u zaměstnanců vyvolává pocit nejistoty. Tato nejistota má za následek např. vynášení celých databází citlivých dat nebo pokusy o narušení bezpečnosti instituce.
Jsou to právě interní zaměstnanci, zejména experti a administrátoři citlivých systémů, kteří představují jednu z největších bezpečnostních hrozeb. V případě, ţe tito zaměstnanci nejsou profesně uspokojeni nebo dojde k jejich propuštění, např. z důvodu finančních úspor, pak by instituce měla počítat se zvýšeným rizikem moţných bezpečnostních incidentů.
Zoufalí lidé dělají zoufalé věci a tak případný dopad incidentů spáchaných ať uţ stávajícími nebo bývalými zaměstnanci bývá zpravidla velmi významný. Toto je jedna ze stránek probíhající ekonomické krize, které se dotýkají pole informační bezpečnosti. Mohl bych zde uvést více příkladů, jak vysoká je hodnota funkční informační bezpečnosti v neklidných ekonomických dobách, nicméně toto není předmětem této diplomové práce.
V odvětví platebních karet jsou podvody a datové úniky často zaměřené na informace o platebních kartách zákazníků a tím je ohroţena reputace celého odvětví. Dle poslední zprávy1 Evropské komise, týkajícího se podvodů na poli bezhotovostního platebního styku, dosahují ztráty způsobené podvody s platebními kartami v eurozóně aţ do výše 1 miliardy EUR. V ročním horizontu tyto podvody zasahují přibliţně 500 000 obchodníků jeţ akceptují platební karty (dále jen „obchodníci“).
Toto je hlavním důvodem, proč se karetní společnosti Visa, Mastercard, American Express, Dinners Club a Japan Credit Bureau (dále jen „asociace“) spojily za účelem vytvoření jednotného bezpečnostního standardu pro platební karty (dále jen „PCI DSS2“). Odvětví platebních karet v podstatě podniklo proaktivní krok k udrţení víry veřejnosti v bezpečnost platebních karet, jakoţto důvěryhodných platebních prostředků.
Na internetu nalezneme velké mnoţství zpráv, grafů a studií, které se zabývají bezpečností v odvětví platebních karet. V odborných kruzích asi nejznámější studií a zároveň
1 Zdroj: ec.europa.eu/internal_market/payments/docs/fraud/implementation_report_en.pdf [cit. 30.6.2012].
2 Payment Card Industry Data Security Standard (Bezpečnostní standard v odvětví platebních karet).
nejcitovanější je „PCI DSS Compliance Trends Study3“, kterou od roku 2007 vydává americký nezávislý institut Ponemon. V této studii jsou detailně srovnávány různé faktory ovlivňující bezpečnost citlivých dat o platebních kartách (dále jen „karetní data“). Takřka ve všech těchto dosud vydaných ročenkách se dozvíme o narůstajícím počtu incidentů spojených s bezpečností platebních karet. To není věc nijak nová, nicméně stejně důleţitá jsou uvedená fakta o niţším podílu těchto incidentů u institucí4, které dosáhly souladu s poţadavky PCI DSS. Pokud si vezmeme k ruce poslední vydání z roku 2011, pak zde čísla hovoří následovně: 64% ze všech oslovených institucí uvedly, ţe za uplynulý rok u nich nevznikl ţádný takový incident. Tyto instituce byly v souladu s PCI DSS. Naopak u institucí, které nedosáhly souladu s PCI DSS, byla tato procentuální část značně niţší, celkově 38%.
Nejen tyto, ale i další statistiky v odvětví platebních karet jasně dokládají důleţitost implementace bezpečnostních pravidel dle PCI DSS.
Soulad s PCI DSS je často zaměňován s pojmem „PCI Compliance“. Tento pojem se vryl do paměti odborné veřejnosti a jeho podstata je často zaměňována. PCI compliance představuje soulad se všemi bezpečnostními standardy v odvětví platebních karet. Kromě PCI DSS existují i další bezpečnostní standardy, např. pro platební aplikace nebo pro zařízení pracující s PIN. Důvodem, proč se na tyto standardy ve své práci nezaměřuji je, ţe z PCI DSS vycházejí. Mým záměrem je čitateli poskytnout co moţná nejvíce přidané hodnoty ve smyslu mých doporučení pro implementaci. Z tohoto důvodu volím právě PCI DSS, které zastřešuje veškeré aspekty informační bezpečnosti nad oblastí karetních dat.
Hlavním cílem této práce je poskytnout praktická doporučení, jak projektovou cestou zajistit soulad s PCI DSS. Ačkoliv je dosaţení souladu s PCI DSS povinné pro všechny instituce, které pracují s karetními daty, rozhodl jsem doporučení v této práci demonstrovat na modelových případech obchodníků. Pro tento účel jsem vybral dva typy obchodníků dle úrovňového rozdělení asociací (viz příloha č. 1). Jako prvního obchodníka jsem zvolil obchodní řetězec, který je typicky obchodníkem nejvyšší úrovně 1 a vyniká sloţitou infrastrukturou s velkým mnoţstvím procesů. Jako druhého obchodníka jsem zvolil hotel.
Hotely ve většině případů spadají do nejniţší úrovně 4 a z pohledu datových toků mají méně komplikovanou infrastrukturu. Nicméně se jedná o nejvíce rizikovou skupinu obchodníků
3 Zdroj: https://www.imperva.com/lg/lgw.asp?pid=440 [cit. 30.6.2012].
4 Zpracovatelské banky, obchodníci a další poskytovatelé sluţeb, kteří zpracovávají, ukládají nebo přenášejí karetní data.
s vysokým počtem případů úniku karetních dat. Z pohledu implementace poţadavků PCI DSS je přístup k tomuto typu obchodníků odlišný, kdy se bezpečnostní poţadavky zajišťují v jiném pořadí.
Tato práce pracuje s některými obecně známými pojmy (jako je šifrování nebo PIN), které jiţ nejsou dále rozepisovány. Předpokladem je, ţe čtenář bude disponovat vyšší mírou informační gramotnosti. Zároveň konstatuji, ţe v práci je pouţito velké mnoţství odborných termínů, které pro lepší přehlednost rovněţ zmiňuji v kapitole Seznam pouţitých zkratek.
V naší ani ve světové literatuře není mnoho titulů, které by se speciálně zabývaly problematikou PCI DSS. To je důvodem menšího mnoţství pouţité literatury pro tvorbu této práce. Tuto skutečnost se snaţím kompenzovat doporučeními z vlastní praxe.
Zvolené metody zpracování
Z pohledu zpracování bylo mým záměrem zvolit co moţná nejjednodušší formu podání popisované problematiky. Snahou bylo psát tuto práci populárně a čtivě, coţ v některých pasáţích nebylo vzhledem ke sloţitosti problematiky dost dobře moţné. V práci je primárně zacíleno na realizační přístup vycházející z praktického poznání popisované problematiky.
V první kapitole blíţe představuji oblast legislativního a regulatorního rámce popisované oblasti, tj. informační bezpečnosti. V druhé kapitole uvádím základní informace a pojmy, které jsou s hlavní popisovanou problematikou spojené. U těchto dvou kapitol byla zvolena čistě popisná forma zpracování. Důvodem pro tento výběr byl záměr předat čitateli základní informace o problematice bezpečnosti, které jsou třeba objasnit před započetím čtení odborných kapitol.
V kapitolách 3 a 5 představuji projekt, jehoţ cílem je provedení analytických a implementačních aktivit směrem k zajištění bezpečnosti dle PCI DSS. Pro tyto kapitoly byl zvolen realizační přístup při vyuţití dvou obecných metod zpracování:
- analýza - rozkládám celek zkoumané oblasti na jednotlivé části tak, aby hlubší poznání částí a vazeb umoţnilo celek lépe poznat. Metodu analýzy pouţívám u kapitol č. 4.1 a č. 4.3;
- syntéza - vyuţívám tuto metodu v kapitole č. 5 ve smyslu slučování jednotlivých poţadavků PCI DSS a oblastí implementace do jednoho celku.
Při zpracování a řešení dané problematiky u dalších kapitol jsem vyuţil metod abstrakce, indukce, komparace a dedukce. Analýza, jakoţto nejpouţívanější metoda zpracování této práce předpokládá, ţe v kaţdé zkoumané oblasti je určitý systém a platí určité zákonitosti.
Cílem analýzy je pak tento systém, jeho jednotlivé prvky a jejich vzájemné vazby poznat a odhalit principy jeho fungování. Induktivní úsudky pouţívané v této diplomové práci umoţňují dojít k podstatě popisované problematiky, stanovit zákonitosti, které umoţňují formulaci obecnějších závěrů platných pro popisovanou oblast. Od obecnějších tvrzení, závěrů a soudů přecházím k méně obecným pomocí dedukční metody. Abstrakce, jako myšlenkové oddělení nepodstatných vlastností jevu od podstatných, umoţňuje zjistit vlastnosti a vztahy v oblasti informační bezpečnosti dle PCI DSS. Obsahem této práce je i komparativní analýza dvou typů vybraných obchodníků, která se zaměřuje na klíčové
aspekty implementace jednotlivých poţadavků PCI DSS. Hlavním kritériem při tomto srovnání je odlišnost infrastruktury a procesů. Druhým kritériem je náchylnost obchodníka k případným útokům na karetní data, kdy hotely obecně představují nejrizikovější skupinu obchodníků s častými případy úniků karetních dat.
Celkově tato diplomová práce popisuje tři úrovně kaskádovitého přístupu. V první úrovni popisuji projekt. Ve druhé úrovni pokračuji popisem metod zajištění souladu s PCI DSS na úrovni projektu. Poslední úroveň se zaměřuje na detailní popis implementace na modelových příkladech.
1 Legislativní a regulatorní rámce bezpečnosti
Ještě předtím, neţli se v této práci začnu zabývat problematikou PCI DSS, povaţuji za důleţité zmínit, jak je pole informační bezpečnosti (zejména v oblasti platebního styku) legislativně a regulativně upravováno. Rozhodl jsem se proto věnovat první kapitolu této práce právě této oblasti, a to hned ze dvou důvodů. Prvním důvodem je, ţe tato problematika je ve svojí podstatě příliš konkrétní na to, aby mohla být začleněna do úvodní kapitoly. Druhým a důleţitějším důvodem je, ţe zákony a regulatorní normy jsou pomyslným vrcholem ledovce, od kterého se odvíjí samotné poţadavky na zkvalitnění procesů informační bezpečnosti. Tudíţ je vhodné čtenáři přiblíţit tuto oblast dříve, neţ bychom se zaměřili na konkrétní regulatorní normu, kterou je v našem případě PCI DSS.
Legislativní rámce:
Z českého právního řádu bych v prvé řadě uvedl zákon č. 40/2009 Sb., trestní zákoník, který v §234 a §236 stanovuje, co představuje neoprávněné opatření elektronického platebního prostředku či jeho padělání. Dále zde máme zákon č. 229/2002 Sb., o finančním arbitrovi, který hraje významnou roli ve věci ochrany spotřebitele a nový zákon o platebním styku č. 284/2009 Sb., který zavádí zvýšenou odpovědnost poskytovatele elektronického platebního prostředku za neautorizovanou5 transakci. U tohoto zákona nastal významný posun ve spoluúčasti drţitele platebního prostředku, který za neautorizovanou transakci odpovídá pouze do výše 150 eur, zbytek hradí banka. Nesmí se však jednat o podvodné jednání či nedbalost drţitele platebního prostředku, jako např. pozdní oznámení ztráty či odcizení platební karty, aj.
Pokud hovoříme o české legislativě zasahující pole informační bezpečnosti, pak zmíním dva stěţejní zákony. Prvním je zákon č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon je zaměřený na ochranu osobních údajů občanů České republiky proti jejich zneuţití či neoprávněné manipulaci v rámci jejich sběru a zpracování. Dohledem nad dodrţováním tohoto zákona je pověřen Úřad pro ochranu osobních údajů, který byl pro plnění tohoto zákona zřízen. Hlavním úkolem dohledových nástrojů tohoto úřadu je monitoring a zajištění dodrţování tohoto zákona fyzickými a právnickými osobami. V praxi to můţe představovat různé formy auditních kontrol datových přenosů, zpracování osobních dat a způsob,
5 Autorizace představuje proces ověření, zda konkrétní platební karta není stoplistovaná a zda je kryta dostatečnými finančními prostředky na bankovním účtu.
jak je s nimi manipulováno. Tyto aktivity by měly probíhat pouze v rozsahu, na který byl dán vlastníkem údajů souhlas a zároveň za předem dohodnutým účelem.
Druhým je zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Tento zákon upravuje podmínky přístupu fyzické osoby k utajovaným informacím dle jejich předchozí klasifikace. Tato klasifikace se dělí do 4 stupňů: vyhrazené, důvěrné, tajné a přísně tajné. Pro stupeň utajení „vyhrazené“ zaměstnavatel ověřuje u fyzické osoby zletilost, způsobilost k právním úkonům a trestní bezúhonnost. Významu dalších stupňů utajení potom odpovídá i rozsah úkonů v řízení prováděném Národním bezpečnostním úřadem.
Nakonec nelze nezmínit nový zákon o trestní odpovědnosti právnických osob č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim platný od 1.2.2012. Jeho účel je postihovat kriminální jednání právnických osob, a to i za předpokladu, ţe se nezjistí, která konkrétní osoba se trestného činu dopustila. Dále dosáhnout na majetky právnických osob získaných trestnou činností a jejich postih za jednání osob pro ní pracujících.
Jako preventivní opatření k naplnění podstaty tohoto zákona lze uvaţovat nad:
- zavedením dostatečných interních kontrolních mechanismů na všech zaměstnaneckých úrovních instituce, které budou důsledně dodrţovány. Tyto kontrolní mechanismy by měly být systematicky a pravidelně kontrolovány;
- vykonáváním veškerých činností instituce pouze kvalifikovanými zaměstnanci s odpovídajícími znalostmi a zkušenostmi, coţ klade velké nároky na personální nábor.
Regulatorní rámce:
V případě regulací záleţí na typu podnikatelské činnosti, kterou ta či ona konkrétní instituce provozuje. Mezi nejznámější regulatorní normy související s informační bezpečností patří:
- SOX (Sarbanes Oxley) - norma, která se zabývá průhledností finančních a účetních informací. Stanovuje poţadavky na způsob jejich zaznamenávání, monitorování a zveřejňování. V USA je tato norma ukotvena v právním řádu;
- HIPPA (Health Instance Portability and Accountability Act) - norma, která upravuje podmínky pro přenos a uchovávání osobních údajů ve zdravotnictví. HIPPA má dvě
části, z nichţ zejména část druhá má za cíl zajistit bezpečný přenos a ukládání citlivých dat o pacientech. V USA je tato norma rovněţ ukotvena v právním řádu.
- ISO/IEC 17799 - technická norma doporučující nejlepší praktiky v řízení informační bezpečnosti a zároveň definuje konkrétní opatření pro její zajištění.
- ISO/IEC 27001 - tato norma představuje řídící rámec pro zajištění bezpečnosti jakoţto kontinuálního procesu řízení rizik nad konkrétními citlivými informacemi. Zároveň poskytuje metodický rámec pro řízení informační bezpečnosti a definuje procesy výběru vhodných bezpečnostních opatření.
- BS 7799-3 - britská norma, která definuje veškeré aspekty související s řízením informačních rizik.
Nicméně je prokázáno na neustále se zvyšujícím počtu úniku citlivých informací, ţe velké mnoţství institucí je nečinných nebo neúspěšných v zavádění těchto norem a z nich vycházejících adekvátních bezpečnostních opatření.
Předpokládám, ţe si kaţdý z nás dokáţe udělat představu nad významem slova „zabezpečit“.
Zabezpečujeme systémy, zkvalitňujeme kontrolní procesy, abychom tak sníţili riziko úniku nebo zneuţití aktiva6. Mnoho institucí však spoléhá na regulatorní normy v domnění, ţe řešení poţadavků z nich vycházejících jim bezpečnost zajistí. Jejich zájem bývá typicky zaměřen na to, jak projít auditem7 nebo assessmentem8, aby tak vyhověly poţadavkům regulátora. Pokud u nich k útoku dojde, pak je jejich častou reakcí věta „Jak jsme mohli být napadeni, kdyţ jsme v souladu s tou či onou bezpečnostní normou?“.
Proto je důleţité si uvědomit, ţe zajištění souladu s regulatorními normami nám samotnou bezpečnost nezajistí. V procesu řízení informační bezpečnosti nám tento soulad představuje sice nezbytný krok, ale zdaleka ne postačující. V okamţiku posouzení prostředí s konkrétní regulatorní normou zjistíme, zda jsou procesy a bezpečnostní opatření nastaveny dle jejich poţadavků.
6 Cenné a strategické informace, databáze, sestavy dat, hardwarové komponenty, servery, pracovní stanice atd., které si díky své hodnotě zaslouţí přiměřený stupeň ochrany. Pro účely této práce budu hovořit pouze o citlivých datech jako aktivech.
7 Hlavním úkolem auditu informačního systému je porovnání reálné situace vůči situaci, která je poţadovaná bezpečnostní politikou nebo odvětvovou normou.
8 Prověření souladu instituce s konkrétní regulatorní normou dle předem definovaného rozsahu prověrky.
Nicméně informační bezpečnost je v první řadě kontinuální proces, který si klade za cíl kontinuální zlepšování celého systému. Tento cyklus je v kontextu informační bezpečnosti nazýván PDCA9. S ohledem na PDCA cyklus je stanovena metodika pro řízení bezpečnosti informací ISMS10, která je v základu posuzována vţdy podle tří základních hledisek:
- dostupnosti - aby aktiva byla dostupná v případě potřeby;
- důvěrnosti - aby aktiva byla přístupná pouze oprávněným osobám;
- integrity - aby aktiva nebyla změněna nebo podvrţena.
Z toho tedy lze usuzovat, ţe zneuţití aktiv není pouze otázkou jejich vyzrazení, ale rovněţ porušení integrity (data jsou neúplná nebo podvrţená) a dostupnosti (data, která jsou sice v pořádku, ale nelze se k nim z nějakého důvodu dostat).
Ačkoliv PCI DSS, ale i SOX nebo HIPPA nejsou zákony, tak jsou v mnoha ohledech efektivnější. Je jasné, ţe nesoulad či nedodrţování těchto norem nezpůsobí uvěznění, nicméně můţe způsobit nemalé penalizace či ztrátu licence k provozování konkrétní činnosti.
V případě PCI DSS, pokud by některým institucím byla odebrána licence na operace s platebními kartami z důvodu nezajištění souladu s tímto standardem, mohlo by to drasticky ovlivnit jejich podnikatelskou činnost. V krajních případech by se mohla i zvýšit míra rizika moţného bankrotu celé instituce.
9 Cyklus - Plánuj,dělej,kontroluj, jednej (Plan,Do,Check and Act).
10 Information Security Management System (systém řízení bezpečnosti informací).
2 Problematika PCI DSS
Kdyţ jsem se zamýšlel nad strukturou a dalším obsahem této práce, došel jsem k závěru, ţe druhou kapitolu bych měl věnovat obecným informacím o této problematice.
Pokud bych tuto část vynechal, čtenář by nemusel správně pochopit podstatu některých pasáţí a mohl by být v uvedených zkratkách a pojmech ztracen. Uvádím tedy pouze popisné minimum, nezbytné pro potřeby čtenáře. Pokud by se čtenář chtěl dozvědět více o celé problematice, její historii či PCI bezpečnostních programech asociací, pak se odkazuji na svou bakalářskou práci s názvem Bezpečnostní standardy pro platební karty v kapitole Seznam pouţité literatury11.
Bezpečnostní standard PCI DSS (Payment Card Industry Data Security Standard) představuje mezinárodní pravidla, jejichţ plnění je vyţadováno asociacemi. Vztahuje se na veškeré instituce, které zpracovávají nebo uchovávají karetní data. Tento standard institucím nabízí konkrétní řešení pro sniţování a minimalizaci informačních rizik nad oblastmi s karetními daty.
Jako instituce, která manipuluje s karetními daty, si můţeme poloţit otázku „Proč máme řešit nějaké PCI DSS?“. Jednoduchou odpovědí bude, ţe je to vyţadováno. V případě, ţe soulad s tímto standardem nezajistíme, pak nám hrozí penalizace ze strany asociací. Pokud post- mortem analýza12 ukáţe, ţe naše instituce byla v čase bezpečnostního incidentu v souladu s PCI DSS, pak asociace garantují tzv. „safe-harbor“13.
Jakkoliv je vyvarování se penalizacím významné, tak stále největším plusem souladu s PCI DSS zůstává vědomí, ţe systémová/síťová IT infrastruktura (dále jen „infrastruktura) nad karetními daty a procesy spojenými s platebními kartami jsou bezpečné. Rovněţ i marketingové oddělení instituce ocení zajištění tohoto souladu, protoţe jméno instituce bude následně zveřejněno na webovém seznamu certifikovaných institucí kaţdé z asociací.
V rámci propagace své instituce se na něj mohou odkazovat.
11 Zdroj: Měšťák, Martin. Bezpečnostní standardy v odvětví platebních karet [online]. Praha, 2011, 2012-12-09 [cit. 2012-12-09]. Dostupné z: http://is.bivs.cz/th/16539/bivs_b/. Bakalářská práce. Bankovní institut.
12 Analýza, která je prováděná po potvrzeném bezpečnostním incidentu, jejíţ výstupem je zpráva o incidentech.
13 Pojem vytvořený asociacemi, který garantuje, ţe asociace nebudou instituci postiţenou bezpečnostním incidentem penalizovat.
2.1 Rozdělení karetních dat
Poţadavky PCI DSS se vztahují na veškeré systémové komponenty14, které jsou implementovány nebo propojeny s prostředím karetních dat. Toto se typicky týká velkého mnoţství IT systémů v rámci cílového prostředí. Abychom byli schopni karetní data ochránit, je nejprve důleţité porozumět jejich rozdělení, a kde se nacházejí.
PCI DSS rozeznává dvě skupiny karetních dat. První skupinou jsou data drţitelů karet, kde je ukládání povoleno za předpokladu, ţe jsou dodrţeny poţadavky PCI DSS třídy č. 315. Druhou skupinou jsou citlivá ověřovací data, jeţ představují kritické datové elementy a není povoleno jejich ukládání. Citlivá ověřovací data jsou pro útočníky velmi cenná, jelikoţ jim umoţňují generovat falešné platební karty a s jejich pomocí provádět podvodné transakce.
Následuje tabulka č. 1, která obě skupiny karetních dat detailněji rozepisuje.
Tabulka č. 1 - Skupiny karetních dat
Data držitelů karet
zahrnují Citlivá ověřovací data zahrnují
Číslo karty (PAN)16 Data z magnetického proužku Jméno držitele karty CAV2/CVC2/CVV2/CID17
Servisní kód PIN18
Datum expirace PIN Blok
Zdroj: https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml [cit. 20. 4. 2012].
PCI DSS se uplatňuje všude tam, kde se PAN zpracovává, uchovává nebo přenáší. PAN představuje určující faktor v aplikovatelnosti poţadavků PCI DSS. Pokud se PAN neukládá, nezpracovává nebo nepřenáší, pak se tyto poţadavky neuplatňují.
Toto má svojí logiku a uvedu jednoduchý příklad. Podle tabulky č. 1 vidíme, ţe hodnota PIN patří do skupiny citlivých ověřovacích dat, tudíţ není povoleno jeho ukládání. Poloţme si otázku „k jakému účelu nám bude samotný PIN, pokud neznám číslo karty, ke které náleţí“? Odpovědí bude, ţe samotný PIN nemá pro útočníka ţádnou hodnotu,
14 Jakékoliv síťové zařízení, server nebo aplikace operující v prostředí, kde se pracuje s karetními daty.
15 Poţadavky na ochranu uloţených dat drţitelů karet.
16 Primary Account Number (číslo platební karty).
17 CAV 2 (ověřovací hodnota platební karty pouţívaná JCB), CVC2 (ověřovací kód platební karty pouţívaný Mastercard), CVV2 (ověřovací hodnota karty pouţívaná Visa), CID (identifikační číslo karty pouţívané American Express).
18 Osobní identifikační číslo.
a tudíţ to není citlivý údaj. Citlivým údajem se PIN stává v momentě, kdy je asociován s PANem a je zde jistota, ţe se oba údaje váţí k jedné kartě.
Toto byl pouze demonstrující příklad aplikovatelnosti PCI DSS na konkrétní datový element.
Jiná situace by byla, kdyby PIN samotný byl uloţen v systémech. V tomto případě by jeho samotné uloţení rovněţ nebylo v rozporu s PCI DSS. Nicméně i tak bych doporučoval zabezpečit místo jeho uloţení, pokud by mezi servery obsahující PIN a PAN byla technická nebo personální (např. jeden administrátor s oprávněním přístupu k oběma serverům) vazba. Samozřejmě, ţe vţdy závisí na úhlu pohledu konkrétního auditora nebo hodnotitele bezpečnosti, zda a do jaké míry vezme ony logické vazby v potaz z pohledu míry rizika.
Ačkoliv tabulka č. 1 určuje, jaká data se mohou ukládat a která nikoliv, doporučuji nejprve zváţit, zda karetní data vůbec ukládat. Pokud uţ data drţitelů karet ukládáme (z důvodu regulatorních, legislativních nebo obchodních), pak na začátek doporučuji provést analýzu jejich výskytu a následně zváţit moţnosti, jak jejich výskyt minimalizovat. Pokud se nám to podaří, můţeme tak významně sníţit finanční náklady potřebné na implementaci bezpečnostních opatření a zároveň sníţit míru rizika moţného úniku karetních dat. Další moţnost je outsourcing karetního zpracování nebo např. datových skladů s karetními daty na nějakého poskytovatele sluţeb. Implementační tým by tak měl zváţit, na straně jedné, náklady na tento outsourcing a na straně druhé, náklady na pořízení bezpečnostních opatření na místě. Pokud by byla zvolena forma outsourcingu, pak je vţdy důleţité mít na paměti, ţe vstup do vztahu s dodavatelem, který předem nedeklaruje soulad s PCI DSS, představuje značné riziko a jistý nesoulad s PCI DSS.
2.2 Kompenzační opatření
Často nastane situace, ţe instituce nemůţe splnit konkrétní poţadavek PCI DSS z důvodů technických, procedurálních nebo legislativních. Za této situace můţe být zvaţováno tzv. kompenzační opatření. Kompenzační opatření mohou být vyuţita u většiny poţadavků PCI DSS s výjimkou poţadavku na neukládání citlivých ověřovacích dat po autorizaci.
Primárně by takové opatření mělo vyhovovat náročnosti původního poţadavku a poskytovat obdobnou úroveň ochrany.
Je důleţité, aby veškerá pouţitá kompenzační opatření byla řádně zdokumentovaná, a to jak pro případ kontroly asociací, tak pro případ případné forenzní analýzy19.
Efektivita kompenzačních opatření je závislá na specifikách prostředí, kde je opatření implementováno. Zde doporučuji mít na paměti, ţe ne kaţdé kompenzační opatření bude efektivní v kaţdém karetním prostředí. Vţdy by měla předcházet analýza, zda je opatření vhodné a zároveň, zda jeho implementací sníţíme bezpečnostní riziko minimálně na stejnou úroveň původního poţadavku PCI DSS.
Jako příklad mohu uvést poţadavek ukládat data drţitelů karet na zálohovací média v šifrované formě. Za předpokladu, ţe v našem prostředí není moţné šifrovat, a tedy dosáhnout naplnění tohoto poţadavku, mohu zvolit alternativní postup. Po analýze situace lze dojít k názoru, ţe vhodným kompenzačním opatřením můţe být např. uloţení zálohovacích médií do trezoru, ke kterému bude mít klíč pouze omezený okruh osob. Měním tedy způsob zabezpečení z logického na fyzický. To nám poskytne minimálně stejnou míru bezpečnosti, jako kdyby tato média byla volně přístupná, data na nich šifrovaná a šifrovací klíč20 pro dešifrování měl rovněţ omezený počet osob.
V tomto bodě ukončuji popisnou část této práce tvořící potřebný základ pro pochopení následujících kapitol, které jiţ pojednávají o samotných realizačních aktivitách.
19 Forenzní analýza je investigativní postup pouţívaný k vyšetřování incidentů nad karetními daty, který si asociace mohou u zvláště závaţných incidentů vyţádat.
20 Informace, která určuje průběh šifrovacího algoritmu. Při šifrování, klíč specifikuje transformaci zprávy do šifrovaného textu, při dešifrování je tomu naopak.
3 PCI DSS projekt
Jakýkoliv aspekt práce, který vyţaduje zdroje, čas či úsilí, by měl být zpracovaný ve formě projektu. Pokud bychom se za dosaţením souladu s PCI DSS vydali neprojektovou cestou, pak to můţe způsobit komplikace a hůř - následky na celý program řízení bezpečnosti dle PCI DSS. Prvotní zajištění souladu s PCI DSS není moţno chápat jako proces, který by bylo moţné řídit „obchodně“. Tento úkol vyţaduje začlenění mnoha pracovních rolí z různých firemních úseků, a proto povaţuji jeho uchopení projektovou formou (zejména u větších institucí) jako nejvhodnější.
Na začátku bychom si měli zajistit kvalifikovaného projektového manaţera, jehoţ hlavní úlohou bude dohlíţet nad celým projektem, který bude mít za cíl dosaţení souladu s PCI DSS (dále jen „PCI projekt“). Poté, co je projektový manaţer jmenován, měl by být jasně definován projektový plán (časování, kapacity a odhad nákladů). Jako první projektovou aktivitou by měl být projektový workshop.
3.1 Projektový workshop
Zahajovacího projektového workshopu by se měl účastnit projektový manaţer, osoba zodpovědná za finanční krytí projektu, projektový tým, specialisti informační bezpečnosti a další IT pracovníci, kteří budou definovat hranice rozsahu cílového karetního prostředí.
Cíle projektu a zároveň i jeho plánované aktivity by měly být na tomto workshopu detailně diskutovány a schváleny. Zde uvádím stručný přehled agendy, jeţ by se měla na workshopu probrat:
- způsob předávání informací mezi členy projektového týmu a nastavení pravidelných projektových schůzek;
- vyjasnění a schválení cílů PCI projektu;
- ujasnění povinností a projektových rolí;
- kapacity členů týmu v MDs21;
21 ManDay (člověkoden) je pomyslná jednotka produkce. Je to práce, kterou můţe jeden člověk vykonat za jeden pracovní den.
- způsob výběru a definování výběrových kritérií pro QSA22 (za předpokladu, ţe je pro provedení assessmentu najmut);
- schválení stupně informování vedení instituce (ve smyslu stanovení periodicity reportingu a svolávání řídící komise PCI projektu);
- definování, kdo z projektového týmu se zúčastní assessmentu a v jaké míře;
- získání potvrzení, ţe bude dodrţen doporučení postup implementace (viz kapitola č. 4.1) během celého implementačního cyklu.
Po ukončení zahajovacího workshopu (moţno chápat jako projektový „kickoff“23) by projektový manaţer měl shromáţdit získané informace a přenést je do „zahajovacího dokumentu projektu24“. Zahajovací dokument projektu bude slouţit pro informační podporu PCI projektu v rámci všech jeho fází a zároveň bude podkladem pro jednání řídících a schvalovacích komisí instituce. Tento dokument by měl minimálně obsahovat následující kategorie:
- profil projektu;
- cíl projektu;
- projektové role včetně kapacit v MDs;
- eskalační a schvalovací procedury projektu;
- dodávky projektu;
- projektový a časový plán projektu;
- benefity a rizika projektu;
- popis interních a externích dodávek;
- poţadované zdroje a finanční náročnost projektu;
22 Qualified Security Assessor - auditor, který je certifikovaný na provádění PCI DSS assessmentu.
23 Úvodní projektová schůzka která zaručuje, ţe projekt startuje v kontrolované a organizované podobě.
24 Vzorovou šablonu zahajovacího dokumentu projektu lze získat
např. zde: http://www.berr.gov.uk/files/file42722.doc [cit. 20. 6. 2012].
- mechanismy zjišťování kvality projektu.
Tyto aspekty by měly být v zahajovacím dokumentu projektu popsány do takové míry detailu, aby kaţdý z projektového týmu měl jasnou představu o své roli a zodpovědnostech. Ideální je pro tento účel pouţít tzv. RACI25 tabulku, kterou mohu z mé vlastní praxe doporučit.
3.2 Stanovení rozsahu projektu
Jakmile počáteční workshop proběhl, tak by projektový tým měl mít základní orientaci v problematice a cílech projektu. Dalším krokem bude jednoznačné stanovení rozsahu projektu, které je přímo úměrné stanovení rozsahu prostředí, jehoţ soulad budeme oproti PCI DSS posuzovat. Většina institucí „bojuje“ uţ s tímto druhým krokem, tj. identifikovat, kde přesně a v jakých systémech se karetní data nacházejí. Pro rozsah posuzovaného prostředí se v odvětví platebních karet ujal pojem „scope26“, který budu pro účely této práce pouţívat.
Správné stanovení scopu karetního prostředí je věcí zcela zásadní. Od něho se budou odvozovat veškeré projektové dodávky a pouze tato definovaná část bude porovnávána oproti poţadavkům PCI DSS.
Toto jsou důvody, proč by měl projektový manaţer v druhé fázi svolat další workshop s příslušnými specialisty, ve kterém se jasně stanoví hranice scopu, vztahy s dodavateli a další závislosti. Lze konstatovat, ţe v rámci běhu projektu se můţe scope měnit, nicméně pokud se na něj na začátku projektu dostatečně zaměříme, pak se v budoucnu dají očekávat pouze menší odchylky. Samozřejmě se stanovením scopu jsou spjatá i rizika, která nelze dopředu odhadnout. Hovořím např. o změně nařízení asociací, legislativních změnách, úpravách znění PCI standardů, apod. Toto vše můţe v budoucnu nějakým způsobem scope ovlivnit a tím i výši finančních nákladů potřebných pro zajištění dodávek.
Přejděme nyní k samotnému stanovení scopu našeho karetního prostředí. Jak jiţ bylo řečeno, soulad s PCI DSS je vyţadován všude, kde se pracuje minimálně s PAN. To se týká všech
25 Jedná se o jednoduchý nástroj pouţívaný k identifikaci a individuální zodpovědnosti za konkrétní aktivitu v rámci projektu. „R“ značí kdo danou činnost vykonává. „A“ značí kdo nese za splnění odpovědnost. „C“ značí s kým je třeba konzultovat. „I“ koho je třeba informovat. Vzorovou šablonu RACI tabulky lze získat např. zde: http://racichart.org/wp-content/uploads/2012/04/RACI-Template.xlsx [cit. 20. 6. 2012].
26 Rozsah vymezení veškerých míst, systémů a procesů, kde se pracuje s karetními daty. S tím souvisí i moţná identifikace všech externích dodavatelů, kteří mají přístup ke karetním datům instituce nebo mohou ohrozit jejich bezpečnost.
počítačových systémů, aplikací, serverů a síťových zařízení, které se přímo podílejí na karetním zpracování. Zároveň můţeme hovořit o jednotlivých obchodních procesech, funkcích a vztazích s dodavateli. Dodavatele není třeba do scopu přímo zahrnovat (pokud dodavatel nesdílí část infrastruktury posuzované instituce), nicméně je potřeba smluvní cestou zajistit jejich hmotnou a finanční odpovědnost za bezpečnost karetních dat.
Jako příklad mohu uvést např. externí společnost, která provádí vzdálenou údrţbu našeho kritického systému27 s karetními daty nebo společnost, která provádí fyzickou likvidaci duplicitní dokumentace obsahující PAN. V kaţdém případě je třeba zanalyzovat, zda neexistují dodavatelé, kteří by měli k našim karetním datům přístup, či by mohli v rámci smluvních dodávek ovlivnit jejich bezpečnost.
Prostředí karetních dat lze primárně charakterizovat jako část infrastruktury instituce, přes kterou putují data drţitelů karet nebo citlivá ověřovací data. K prvkům infrastruktury patří switche28, firewally29, routery30, bezdrátové AP31, IDS/ISP32 a další bezpečnostní zařízení. Do kategorie serverů spadají webservery, souborové servery, aplikační servery, log servery, databázové servery a mailové servery. Aplikacemi se rozumí veškeré aplikace pracující s karetními daty, které jsou dodané, instalované a podporované poskytovateli sluţeb.
Abychom měli maximální přehled o rozsahu toků karetních dat, navrhuji provést následující kroky:
- ve spolupráci s IT architekty identifikovat a zdokumentovat veškerý výskyt karetních dat v našich systémech. Současně s tím ověřit, ţe se ţádná karetní data nenacházejí mimo definované prostředí naší instituce, kde se ukládají, zpracovávají nebo přenášejí karetní data (dále jen “karetní prostředí“).
- do scope zahrnout veškerá karetní data v našem karetním prostředí do chvíle, neţ jsou outsourcována, znehodnocena nebo smazána.
27 Systémy, které představují strategická aktiva instituce nebo se prostřednictvím nich zpracovává, ukládá či přenáší velké mnoţství citlivých dat.
28 Síťové prvky, které propojují jednotlivé síťové segmenty.
29 Síťové zařízení, které zabezpečuje síťový provoz a definuje pravidla pro komunikaci mezi sítěmi.
30 Síťové prvky, které přeposílají datové pakety (bloky dat) ke konkrétnímu cíli.
31 Access Point (přístupový bod výchozí bezdrátové komunikace).
32 Intrusion Detection/Protection System (systém detekce narušení).
- uchovat veškerou dokumentaci a výsledky prokazující, ţe scope byl kvalifikovanou osobou (např. QSA) schválen a lze se na ně při příštích assessmentech odkazovat.
- ve chvíli, kdy jsou veškerá umístění karetních dat známa, pouţít výsledky k ověření, ţe scope je odpovídající. Výsledkem toho by měly být diagramy toků karetních dat v infrastruktuře a dále diagram procesů nad karetními daty.
3.2.1 Nástroje pro redukci scope
Uţ ve fázi stanovení rozsahu je vhodné uvaţovat o jeho moţné redukci. Vhodným doporučením pro tuto redukci jsou dvě techniky - síťová segmentace a tokenizace. Nejedná se přímo o poţadavky PCI DSS, ale jsou to techniky umístěné na nejvyšším stupni tzv. nejlepších praktik pro efektivní dosaţení souladu s tímto standardem.
Síťová segmentace:
Obecně lze konstatovat, ţe síťovou segmentací izolujeme karetní systémy od zbytku sítě.
Na níţe uvedeném obrázku č. 1 demonstruji příklad cíleného izolování systémů, které pracují s karetními daty do menšího síťového perimetru. Oddělíme tak síťové prostředí, v němţ se zpracovávají karetní data od zbytku okolní sítě. Takto se lze vyvarovat principu tzv. „olejové skvrny“.
Olejová skvrna trefně naznačuje, ţe vše, co není segmentováno od něčeho, co je v rozsahu, tak do něj automaticky spadá. Bez odpovídající segmentace sítě je předmětem hodnocení souladu s PCI DSS celá síť, a to i včetně systémů, které s karetními daty přímo nepracují.
Vhodnou segmentací tak můţeme docílit sníţení:
- rozsahu hodnocení shody s PCI DSS;
- nákladů a problémů souvisejících s realizací a udrţováním kontrolních opatření dle PCI DSS;
- rizik pro naší instituci (ve smyslu konsolidace karetního prostředí do menších, snázeji kontrolovanějších úseků).
Obrázek č. 1 - Příklad segmentování sítě
Internet
Organizační LAN
Uživatelské stanice Mobilní uživatelé
Router
Firewall Webserver
Bezdrátový Přístupový bod (AP)
Korporátní servery
E-mailový
server Databázový
server Aplikační
server Auditní log
server
Databázový E-commerce
server E-commerce
server Všechny stanice a
bezdrátové sítě jsou v rozsahu požadavků
PCI DSS
Všechny servery jsou v rozsahu požadavků
PCI DSS
Veškeré systémy
„otevřené“ do veřejných sítí jsou v rozsahu požadavků
PCI DSS PŘED SEGMENTACÍ SÍTĚ
Internet
Organizační LAN
Uživatelské stanice Mobilní uživatelé
Router
Firewall
Webserver Bezdrátový
Přístupový bod (AP)
Korporátní servery
E-mailový
server Databázový
server Aplikační
server Auditní log
server
Databázový E-commerce
server E-commerce
server Všechny stanice
které přistupují ke karetním datům jsou v rozsahu požadavků
PCI DSS
Veškeré systémy
„otevřené“ do veřejných sítí jsou v rozsahu požadavků
PCI DSS
PCI DSS LAN
Routery
Všechny systémy ukládající nebo zpracovávající karetní data jsou v rozsahu požadavků
PCI DSS Pokud
nejsou karetní data přítomna v bezdrátovém
perimetru, pak je tento perimetr mimo rozsah
PCI DSS.
PO SEGMENTACI SÍTĚ
Zdroj: vlastní tvorba.
Rozhodnutí pro řešení síťové segmentace a její návrh by měl být v kaţdém případě diskutován se síťovými inţenýry, kteří by měli být nezbytnou součástí projektového týmu.
Tito odborníci jsou schopni navrhnout logický model síťového rozdělení, který se uskutečňuje nastavením hardwarových firewallů a routerů se silnou přístupovou kontrolou. Vytvoření síťového diagramu nám v kaţdém případě pomůţe plně pochopit efektivnost příslušné síťové segmentace z hlediska izolace karetního prostředí.
Tokenizace:
Jako další nástroj pro redukci rozsahu PCI DSS můţeme hovořit o tzv. tokenizaci. Tokenizace je proces, kdy dochází k nahrazení PANu náhodně vygenerovanou dynamickou hodnotou, tzv. tokenem. De-tokenizace je zase opačný proces obnovující PAN ze sdruţeného tokenu na základě poţadavku oprávněné osoby. Bezpečnost kaţdého tokenu spoléhá výhradně na nemoţnosti odvodit původní PAN.
Obrázek č. 2 - Příklad řešení tokenizace
PŘED TOKENIZACÍ
Platební
terminál Platební
aplikace Databázový
server
Uživatelské aplikace
Uživatelské aplikace
Platební
terminál Platební
aplikace Databázový
server
Uživatelské aplikace
- v rozsahu PCI DSS Uživatelské
aplikace PO TOKENIZACI
Tokenizační server
PANy Tokeny
Tokeny Tokeny
Tokeny
- mimo rozsah PCI DSS PANy
PANy PANy PANy
PANy
- v rozsahu PCI DSS
Zdroj: vlastní tvorba.
Výše uvedený obrázek č. 2 přibliţuje tokenizační proces. PANy jsou vţdy izolovány v jednom bezpečném systému a do okolního síťového prostředí jsou vysílány uţ jen tokeny, které nemají citlivou povahu. Přínosy tokenizace jsou jednoznačně ve sníţení počtu systémů, kam PANy putují, coţ má za následek významné sníţení moţnosti úniku karetních dat.
Následující principy souvisejí s vyuţitím tokenizace a její vztah k PCI DSS:
- tokenizační řešení nám nenahradí poţadavek na řešení a dodrţování poţadavků PCI DSS, pouze redukuje rozsah karetního prostředí.
- velmi důleţitá je kontrola efektivnosti tokenizačního řešení. Vţdy bychom se měli ujistit, ţe získání nebo rekonstrukce PANu ze systémů (které jsme díky aplikaci tokenizačního řešení vyčlenili mimo rozsah) není moţné.
- tokenizační systémy bychom měly zabezpečit prostřednictvím silných přístupových kontrol a pravidelně funkčnost těchto kontrol monitorovat.
Před samotným výběrem tokenizačního řešení doporučuji provést finanční vyhodnocení a analýzu rizik nad karetní oblastí, jejíţ výsledky by měly představovat podklad pro rozhodnutí o případné implementaci (detailněji se analýze rizik věnuji v kapitole č. 4.3).
U finančního vyhodnocení je cílem získat jistotu, ţe implementací tohoto řešení skutečně náklady sníţíme. Na jedné straně porovnáváme výši nákladů za implementaci tokenizačního řešení oproti výši nákladů za implementaci standardních bezpečnostních opatření dle PCI DSS. Na straně druhé porovnáváme odhad nákladů na jejich provoz a údrţbu.
Po vyhodnocení analýzy rizik bychom měli získat ujištění, ţe pravděpodobnost hrozby moţného napadení karetních dat v uvaţované oblasti je vysoká, stejně tak případný finanční dopad incidentu.
Ať uţ se jedná o segmentaci nebo o tokenizaci, pro redukci scope je důleţitým předpokladem jasně porozumět potřebám samotného karetního zpracování. Omezení přístupu ke karetním datům vlivem segmentace nebo eliminaci jejich nadbytečnosti v ostatních systémech můţe mít za následek změnu dlouhodobých provozních a obchodních praktik. Toto je dobré
mít na paměti před tím, neţ budeme vůbec nad podobným řešením uvaţovat. Doporučuji předem přikročit k analýze moţných dopadů takovéto implementace do provozních a obchodních procesů.
3.2.2 Demonstrace na modelových příkladech
Jiţ v úvodní kapitole jsem zmínil, ţe se kromě obecných doporučení pro implementaci zaměřím i na konkrétní demonstraci na dvou typech obchodníků. V této kapitole si představme konkrétní stanovení scope, jehoţ výstupem bude síťový a procesní diagram.
Na oba tyto diagramy se budu v dalších částech této práce odkazovat, stejně tak, jako by to měla dělat instituce při implementaci poţadavků PCI DSS.
Obchodní řetězec:
Model obchodního řetězce má strukturu několika menších maloobchodních prodejen, dvou velkých supermarketů a jednoho e-commerce33 portálu. Ze síťového pohledu evidujeme plochou síť34 s několika typy komunikačních linek dle výše uvedených typů poboček.
Obrázek č. 3 - Síťový diagram obchodního řetězce
Privátní linka VSAT O2
Internet
Notebook - office
Supermarkety
Firewall POS terminály
Minimarkety
Samoobslužné terminály POS terminály
Kancelářské PC VSAT modem
Satelite HUB
Webhosting
Webserver
Podniková LAN
ADSL modem
Souborový server Router
PBX
Autorizační centrum 3D Secure server PSTN
A B C D E
1
2
3
4
5
Zdroj: Vlastní tvorba.
33 Internetová akceptace platebních karet zaloţena na řešení 3-D Secure.
34 V síťovém perimetru, přes který putují karetní data není pouţitá ţádná síťová segmentace.
Síťový diagram na obrázku č. 3 představuje finální stanovení scope u obchodního řetězce, kde byla odstíněna okolní infrastruktura, přes kterou se karetní data nezpracovávají.
Vzhledem k tomu, ţe detailnější srovnání jednotlivých částí infrastruktury oproti PCI DSS bude provedeno v dalších kapitolách práce, představme si nyní tuto infrastrukturu pouze obecně.
Maloobchodní prodejny jsou umístěné v oblastech, kde je celkově problém zajistit datovou konektivitu pro platební terminály, které zajišťují akceptaci platebních karet (dále jen „POS“).
Proto byl zvolen způsob spojení POS na autorizační centrum prostřednictvím satelitního připojení.
Samoobsluţné terminály pouţité v supermarketech vyuţívají komutované linky (vytáčeného spojení) a transakční tok obsahující karetní data putuje přes privátní linku od společnosti O2.
Naopak POS jsou připojeny do veřejné sítě, resp. do internetu. Nakonec zde máme e- commerce platební portál, kde si zákazníci mohou objednat zboţí online.
Tento portál je umístěn na vzdáleném hostingu35 u externí společnosti. Komunikace mezi webovým portálem a 3D-Secure serverem v autorizačním centru probíhá standardně přes internet. Nicméně uţ jen z principu e-commerce se obchodník do styku s karetními daty klientů vůbec nedostane. Z webového portálu je klient přesměrován na 3D-Secure server autorizačního centra, kde teprve tam zadává údaje o své platební kartě. Obecně se od e- commerce platebních řešení očekává vysoký stupeň zabezpečení proti krádeţi peněţních prostředků a podvodům různého druhu36. Celkově jsou tedy terminály jediným místem interakce s karetními daty ve fyzické formě u obchodního řetězce.
Jak jiţ bylo zmíněno, PCI DSS se zaměřuje na veškeré aspekty bezpečnosti karetních dat, tedy i provozní a personální. Poté, co byl definován síťový rozsah, je třeba stanovit rozsah provozní. Vycházejme ze síťového diagramu a u veškerých systémů na něm zobrazených si identifikujme procesy viz dále uvedený procesní diagram (obrázek č. 4). Zajímají nás samozřejmě pouze ty procesy, které mohou mít dopad do bezpečnosti karetních dat.
35 Sluţba, kterou si klient pronajímá „vlastní místo na internetu“, za účelem provozování svých stránek, elektronického úloţiště, atd.
36 Zdroj: Suchánek Petr. E-commerce, vyd. Express : 2012. ISBN: 978-80-86929-84-2.
Obrázek č. 4 - procesní diagram obchodního řetězce
Internet
Supermarkety
Prodej
Minimarkety
Prodej
Autorizační centrum
Fyzické dokumenty + účtenky z terminálů
Recepce
A B C D E
1
2
3
4
5
Zdroj: Vlastní tvorba.
V prvé řadě se jedná o obsluhu POS v maloobchodních prodejnách a supermarketech. POS po provedené transakci tisknou dva typy účtenek. První účtenka je pro klienta, kde je PAN zkrácený (je vytištěno pouze prvních šest a poslední čtyři číslice z PANu) a dle PCI DSS není třeba jí proto zabezpečovat. Druhá účtenka obsahuje PAN v plném tvaru a je poţadavkem zpracovatelské banky tyto účtenky uchovávat pro účely případných reklamací.
U maloobchodních prodejen jsou ukládány v zamykatelných skříních a v supermarketech v trezorech.
Hotel:
Model infrastruktury hotelu jsem se snaţil v maximální míře přiblíţit skutečnosti. V zásadě zde máme dvě části, kamennou (pobočkovou) a online. Zatímco kamenná část má dvě provozovny osazené POS terminály a jedním recepčním systémem, část online je osazena pouze webovým serverem pro provozování online booking systému. Celkově tu tedy máme dva rezervační systémy, kde je mezi nimi následující rozdíl:
- online booking systém - přijímá objednávky klientů z internetu. Klient je s vystavením konkrétní objednávky poptáván o zadání údajů o své platební kartě. Následně po vystavení objednávky putují veškerá osobní a karetní data do recepčního systému hotelu.
- recepční systém hotelu - řídí prodej hotelových kapacit na místě a na online rezervačním systému. Přijímá a řídí objednávky hostů a uchovává veškeré údaje o klientech po dobu nezbytně nutnou pro vyřízení objednávky.
Obrázek č. 5 - Síťový diagram hotelu
Internet
Router/AP (NAT)
Podniková síť
Podniková LAN
Microsoft SBS 2011 + Exchange Firewall
ADSL
Tcp/IP
POS terminál
Webhosting IT Servisní organizace
Webserver Support PC
Recepční PC Recepční PC Recepční PC
POS terminál POS terminál
POS terminál
Recepční PC
Notebook - office RDP
Autorizační centrum
A B C D E
1
2
3
Zdroj: Vlastní tvorba.
Jak je patrné z výše uvedeného síťového diagramu (obrázek č. 5), kamenná část hotelu obsahuje jednu lokální síť, do které je kromě POS terminálů zapojen i recepční systém. POS terminály komunikují s autorizačním centrem prostřednictvím internetu. Recepční systém je provozován na Microsoft SBS37 serveru, který mimojiné zastává funkci emailového serveru. Lokální síť je otevřená do internetu pouze na jednom místě, a to na straně routeru, který jako jediný má veřejnou IP adresu38. Ta je přidělena na venkovní rozhraní routeru
37 Microsoft Windows Small Business Server 2011 - Systém navrţený pro potřeby a finanční moţnosti malých firem. Představuje dostupné řešení typu „vše v jednom“, které pomáhá zajistit efektivnější chod instituce.
Nabízí pokročilé funkce pro správu sítě a emailového serveru. Dále pak podporuje databáze, vzdálenou správu, sdílení souborů a tiskáren.
38 IP (Internet protokol) - Unikátní číslo identifikující počítač v počítačové síti. Rozeznáváme interní (vnitřní) IP adresu a veřejnou IP adresu. Rozdíl mezi nimi je ten, ţe vnitřní IP je určena pro lokální PC v lokální síti. Naopak veřejná IP je dostupná z celého internetu.
