AGRG ЦОД и требования PCI DSS

Система контроля физического доступа AGRG ЦОД призвана обеспечить соответствие требованиям и проверочным процедурам проприетарного стандарта безопасности данных индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard), основанного компаниями American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa Inc.

С середины 2012 года соответствию стандарта PCI DSS подлежит работа всех юридических лиц в РФ, занимающихся обработкой, передачей и хранением данных о держателях карт (ДДК) или критичных аутентификационных данных (КАД). К такого рода коммерческим организациям относятся банки-эмитенты и эквайеры, мерчанты и провайдеры платежных систем, а также процессинговые центры и различные поставщики информационных услуг. Стандарт PCI DSS регламентирует предопределенный перечень технических и организационных требований, а также механику проверки их выполнения — комплексный подход к обеспечению безопасности данных платежных карт (ДПК).

Подтверждения соответствия стандарту PCI DSS

Совет по стандартам безопасности PCI SSС классифицирует два типа организации в соответствии с количеством обрабатываемых транзакций по платежным картам в год:

1. Торгово-сервисные предприятия (мерчанты) — интернет-магазины, кафе и рестораны, сети заправочных станций, гостиницы и т.п.
2. Поставщики услуг — платежные системы и шлюзы, хостинг-провайдеры, организации, предоставляющие в аренду дата-центры, и т.п.

В свою очередь, торгово-сервисные предприятия разделяют на уровни от первого до четвертого, а поставщиков услуг — от первого до второго в зависимости от количества обрабатываемых транзакций в год.

Торгово-сервисные предприятия:

• 1 уровень — более 6 миллионов транзакций в год
• 2 уровень — от 1 до 6 миллионов транзакций в год
• 3 уровень — от 20 тысяч до 1 миллиона транзакций электронной коммерции в год
• 4 уровень — от 20 тысяч транзакций электронной коммерции или до 1 миллиона транзакций любым иным способом

Поставщики услуг:

• 1 уровень — более 300 тысяч транзакций в год
• 2 уровень — менее 300 тысяч транзакций в год

В зависимости от типа организации и классификации по количеству транзакций соответствие стандарту PCI DSS подтверждается различными способами аудита:

1. Аудит QSA (Qualified Security Assessor) с помощью внешней аудиторской организацией, которая сертифицирована Советом PCI SSС.
2. Аудит ISA (Internal Security Assessor) с помощью штатного специалиста компании, который прошел специальное обучение и имеет сертификат аудитора Совета PCI SSC. Такого рода аудиты могут проводиться после первичного соответствия QSA.
3. Аудит SAQ (Self Assessment Questionnaire) может быть выполнен штатными специалистами на основе заполнения листа самооценки.

СКУД AGRG ЦОД

Внедрение СКУД AGRG ЦОД позволяет привести любую IT-инфраструктуру организации к соответствию пунктам 7.1.1—7.3, 9.1—9.10, 10.1—10.9 стандарта PCI DSS, где определены требования и проверочные процедуры, связанные с удаленным и физическим доступом к информационным ресурсам.

Так, в пункте 7.2 PCI DSS заявлено чёткое требование, связанное с установкой системы контроля доступа к оборудованию IT-инфраструктуры: установить систему (или системы) контроля доступа к системным компонентам, которая ограничивает доступ в соответствии со служебной необходимостью пользователя и которая настроена запрещать все, что явным образом не разрешено. Также пункт 7.2.1 однозначно указывает, что при внедрении СКУД необходимо охватывать все системные компоненты, то есть необходим системный контроль, мониторинг доступа и его документирование не только в помещения объекта, но и непосредственно к серверам и коммуникационному оборудованию, размещенным в серверных шкафах.

В рамках перечня требований пунктов 9 и 10 стандарта PCI DSS более подробно определяется порядок работы с ДДК- и КАД-средой как «работников объекта» — сотрудников организации так и «посетителей» — лиц, кратковременно находящихся на территории организации, а также мониторинг, документирование, оповещение, отчетность и другие процедуры, отслеживающие причины компрометации.

Внедрение AGRG ЦОД закроет следующие требования PCI DSS

• 9.1 Ограничение и отслеживание физического доступа к системам среды ДДК.
• 9.1.3 Ограничение физического доступа к сетевому или коммуникационному оборудованию.
• 9.2 Обеспечение процедуры идентификации работников и посетителей (путем выдачи бейджей), определение прав доступа работников и посетителей, блокирование средств идентификации у работников объекта или средств идентификации с истекшим сроком действия (например, бейджей) у посетителей.
• 9.3 Контроль физического доступа работников объекта к критичным помещениям путем утверждения прав доступа согласно персональным должностным обязанностям, а также блокирование доступа сразу после увольнения работника (отключение/блокирование/удаление всех идентификаторов доступа).
• 9.4.1 Выдача разрешений посетителям до входа в помещения, где обрабатываются или хранятся ДДК. Функции специального режима доступа и сопровождения посетителей на объекте.
• 9.4.2 Идентификация посетителей. Выдача идентификатора (например, бейджей) с ограниченным сроком действия, позволяющего отличить посетителя от работника объекта.
• 9.4.4 Журнал регистрации посетителей (вход/выход) в помещения, в которых хранятся или передаются ДДК. Регистрация имени посетителя и организации, которую он представляет, а также данных работника объекта, который разрешил физический доступ. Хранение электронного журнала необходимое количество времени.
• 9.5—9.7.1 Обеспечение документирования доступа, связанного с любыми работами по физической безопасности носителей информационной системы.
• 9.9.2 Обеспечение документирования доступа для проверок поверхностей устройств для обнаружения признаков физического вмешательства (например, прикрепленных к устройствам скиммеров) или подмены (например, проверка серийного номера или иных характеристик устройства на предмет того, что оно не было заменено на мошенническое).
• 9.10 Гарантирование, что политики безопасности и операционные процедуры ограничения физического доступа к ДДК документированы и используются.
• 10.1 Журналы регистрации событий, в которых любой доступ к системным компонентам привязывается к конкретному пользователю.
• 10.2 Автоматизированный журнал регистрации событий на всех системных компонентах с возможностью восстановления события.
• 10.3.1 Идентификаторы пользователя документируются.

* Многие требования стали обязательными к соответствию стандарту PCI DSS с 1 февраля 2018 года.

Аппаратно-программный комплекс AGRG ЦОД может быть интегрирован с уже установленными системами видеонаблюдения, охранно-пожарными системами, диспетчерскими системами управления и сбора данных (SCADA), что позволяет определить порядок доступа как в серверные комнаты организации, так и к каждому отдельному серверному шкафу в соответствии с принятыми должностными обязанностями сотрудников.

Подробнее

Для постоянного соответствия требованиям с версии 3.2 стандарта PCI DSS организация обязана проходить аудит безопасности ежеквартально. Первая проверка осуществляется в рамках автоматического сканирования систем на предмет стандартных программных уязвимостей. Следующие проверки проводятся в том числе и экспертами сертифицированной организации ASV (Approved Scanning Vendor), которые внимательно проводят проверочные процедуры, связанные с выполнением требований по организации и мониторингу физического доступа к оборудованию со стороны работников и посетителей организации.