PCI SSC: bezpieczne transakcje kart płatniczych

Każda organizacja akceptująca karty kredytowe bądź debetowe i korzystająca w tym celu z bezprzewodowych LAN, powinna dokładnie przejrzeć rekomendacje dotyczące korzystania z bezprzewodowych punktów dostępowych 802.11, zawarte w najnowszych wskazówkach wydanych przez Payment Card Industry Security Standards Council (PCI SSC).

Rosnąca liczba przypadków kradzieży danych z kart płatniczych skłoniły operatorów tych kart do działań na rzecz zwiększenia bezpieczeństwa. Powstał standard PCI DSS (Payment Card Industry Data Security Standard), który nakłada na każdego sprzedawcę przetwarzającego, przesyłającego lub przechowującego informacje o kartach wymóg spełnienia określonych wymagań. Wskazówki PCI dla wdrożeń WLAN poszerzają istniejący i obowiązujący dwunastoczęściowy standard PCI DSS.

Standardy bezpieczeństwa PCI są wymaganiami technicznymi i operacyjnymi ustanowionymi przez Radę Do Spraw Standardów Bezpieczeństwa Kart Płatniczych (PCI SSC). Za zarządzanie tymi standardami odpowiedzialna jest Rada, a zgodność z nimi jest wymuszana przez członków- założycieli: American Express, Discover Financial Services, JCB, MasterCard i Visa.

"PCI Data Security Standard (DSS) Wireless Guideline" nie są jednak obligatoryjne dla biznesu obsługującego karty płatnicze i używającego do tego WLAN, ale chociaż nie są oficjalnie obowiązujące, wyznaczają zasady postępowania sprzedawców mające zapewnić optymalne warunki ochrony danych posiadaczy kart.

Wskazówki zostały opracowane przez Wireless Special Interest Group działająca w ramach Rady i są specyficzne dla WLAN - nie dotyczą innych technologii, takich jak np. BlueTooth. Wskazówki dla innych technologii bezprzewodowych mają być opracowane później.

Jednym z podstawowych celów kontroli w przetwarzaniu danych posiadacza karty jest ustalenie tzw. "Cartholder Data Enviroment" (CDE). W szczególności istotne jest ustalenie gdzie dane posiadacza karty są transmitowane, przetwarzane i przechowywane. Nowe wskazówki stawiają wymóg stosowania zapory ogniowej, która rozgranicza obrzeże CDE w ramach organizacji.

Ponadto, nawet jeżeli biznes przetwarzający karty płatnicze nie zamierza wykorzystywać punktów dostępowych WLAN, Rada zaleca regularne przeprowadzanie kontroli pod kątem wrogich punktów dostępowych WLAN, które są określane jako "nieautoryzowane urządzenia bezprzewodowe, które mogą umożliwiać dostęp do CDE".

Do walki z problemem nieautoryzowanych punktów dostępowych, organizacje powinny regularnie, w każdej lokalizacji CDE, wykorzystywać analizatory bezprzewodowe lub środki zabezpieczające, takie jak bezprzewodowe systemy wykrywania/zapobiegania wtargnięciom (IDS/IDP). Dużym organizacjom Rada zaleca utworzenie automatycznego skanowania używającego centralnie zarządzanego systemu IDS/IDP.

Do izolowania sieci bezprzewodowych, które nie transmitują, nie przechowują i nie przetwarzają danych z kart płatniczych, koniecznym jest używanie zapory ogniowej, która musi wykonywać funkcje filtrowania pakietów w oparciu o protokół 802.11, oraz monitorowanie i rejestrowanie ruch dopuszczonego lub zablokowanego przez zaporę ogniowa, zgodnie z regułą 10. PCI DSS. Takie logi zapór ogniowych powinny być monitorowane codziennie, a reguły filtracji zapory ogniowej weryfikowane co pół roku. Zalecenia mówią też, że stosowanie wirtualnych LAN (VLAN) opartych na segmentacji nie jest wystarczające.

Inne rekomendacje dotyczące WLAN to m.in. zmiana domyślnych ustawień w punktach dostępowych, np. hasła administratora czy ustawienie szyfrowania, wyłączenie dostępu SNMP do zdalnych punktów dostępowych (jeżeli jest to możliwe) oraz używanie szyfrowania AES, zwłaszcza dla informacji przepływającej pomiędzy poszczególnymi segmentami sieci.

Zgodnie z wymogami dotyczącymi pobierania, wykorzystywania i przechowywania danych kart płatniczych, w najbliższych latach przeprowadzenie udanej operacji obciążenia karty bez spełnienia rygorystycznych standardów bezpieczeństwa PCI DSS będzie niemożliwe.


Zobacz również