PCI-DSS: a kártyaadatok védelmében
Szalárdi Tamás
2023.05.03
A digitális bankolás és bankkártyás tranzakciók térnyerésével megnyílt egy innovatív, előremutató, ugyanakkor veszélyekkel teli új dimenzió, amely mind a kényelem, mind a praktikum miatt villámgyorsan szerves részévé vált mindennapjainknak. Mára gyakorlatilag el sem tudnánk képzelni az életünket internetes vásárlás, PayPass, ATM-es készpénzfelvételi lehetőség nélkül, miközben az évezred elején ez a szolgáltatási irányzat még épp csak a szárnyát bontogatta.
Egy kis történelem
A folyamatos térnyerés és a szolgáltatások minőségi fejlődése mellett a biztonság sajnos nem kapott kellő figyelmet, így annak érdekében, hogy a kártyás vásárlások biztonságát megfelelő és egységes szintre emeljék, 2006-ban a MasterCard, Visa, JCB International, Discover Financial Services és American Express megalapította a PCI-SSC-t (Payment Card Industries Security Standards Council), hogy az általuk brandelt kártyák adatait a tranzakciók teljes életciklusa során csak olyan szervezetek kezelhessék – bármilyen formában -, amelyek megfelelnek az általuk támasztott követelményeknek. Követelményeik fő célja az adatlopások és visszaélések számának visszaszorítása és a kártyás tranzakciók általános védelmének növelése. Mára tizenöt szabvány köthető a PCI-SSC-hez, ezek közül a legismertebb a PCI-DSS (Payment Card Industries Data Security Standard), amely a legnagyobb szeletét fedi le a tranzakciók életciklusának.
PCI-DSS
A PCI-DSS központi eleme a kártyaadat, amelynek védelméhez szükséges követelményeket foglalja magában, hat nagyobb, illetve összesen tizenkét kisebb területre vetítve. Kártyaadatnak számít minden olyan információ, amely a kártyabirtokos azonosítására alkalmas:
- a kártyabirtokos neve,
- a kártyaszám,
- a kártyaazonosító szám,
- a kártya lejárati dátuma,
- a kártyakibocsátó neve,
- a mágnescsík,
- a PIN kód,
- a chip,
- a CAV2/CVC2/CVV2 kód.
Ezek kezelését és tárolását szigorú szabályokkal korlátozzák, amelyek betartását évente kell bizonyítani. A szabvány által taglalt követelmények lefedik az információbiztonság területeit: nevesítve kitér a hálózatbiztonság, adatvédelem, sérülékenység-menedzsment, hozzáférés-kezelés, ellenőrzés- és felügyelet, valamint szabályozás témakörökre. A szabvány követelményei objektív szemléletűek, így teret engednek több megközelítési módnak is, persze csak akkor, ha a követelményben foglaltak teljesülnek. Az előírások mellett ellenőrzési leírásokat is tartalmaznak, amelyek elsősorban az auditorok számára készültek, ugyanakkor az ellenőrzési szemlélet megismerésével a vállalat helyzetét is segíthetik a megfelelőbb kontrollok kialakításában. A követelmények egyéb segédpontokat is megfogalmaznak, amelyek segítenek az elvárások relevanciáját, súlyát és szerepét megérteni. Felsorakoztatnak bevált praktikákat és példákat, hogy a megvalósítás egyszerűbbé váljon.
A technológia fejlődésével a szabvány is folyamatosan bővül, az újításokkal járó problémaforrásokat és a kiforratlanságokból eredő anomáliákat igyekszik újabb követelményekkel vagy korábbiak kiegészítésével lefedni. A változtatásokat mindig egy új verzióban közlik, ilyenkor az előző és az új kiadás alapján is lehet auditáltatni. E rugalmasság egyben időt biztosít arra is, hogy a szabvány hatálya alá tartozó szervezetek felkészülhessenek az új verzióban található módosításokra, szükség esetén bevezethessenek új kontrollokat, így az audit során már – jó eséllyel – nem éri őket meglepetés.
A 4.0-ás szabvány
A szabvány legújabb, 4.0-ás kiadása 2022. március végén lépett hatályba. A korábbi 3.2.1-es verzió még érvényben van egészen 2024.március végéig. Ezen időszak alatt az érintett szervezeteknek még lehetőségük van a 3.2.1-es verzió alapján auditáltatni, azonban érdemes rákészülni az 4.0-ás kiadásra, hiszen 2024. március után az auditoroknak már kötelező lesz az új verzió alapján ellenőrizni a vállalat PCI-DSS hatálya alá tartozó részeit, működését, kontrolljait.
A szabvány újabb verziói jellemzően mindig a korábbi kiadásokra épülnek, az olyan követelmények, amelyek a megfelelő minimális biztonsági szintet képesek megkövetelni, változatlanul vagy kisebb módosításokkal benne maradnak az új kiadásban is, míg az olyan területeket, amelyeket az előző verzió nem taglalt, de kiemelkedő jelentőséggel bírnak, új követelmények formájában részletezi a szabvány. Az ilyen új és módosított követelményekre való felkészülés az, ami a korábban már sikeresen auditált vállalatok számára a felkészülési időszakban a legnagyobb odafigyelést igényli: fel kell mérni, hogy az aktuális működés és az érvényben levő kontrollok, gyakorlatok milyen mértékben találkoznak a követelmények által meghatározott minimális feltételekkel, a felmérést követően össze kell gyűjteni azokat a kontrollokat, amelyeket módosítani szükséges vagy újonnan létre kell hozni, ezt követően pedig ütemtervet kell készteni a változtatások bevezetésére, melyeket a vállalati kultúrával összhangban a következő – már új verzió alapján történő – auditig kell bevezetni.
A 4.0-ás verzió a korábbi kiadáshoz képest innovatívabb megközelítést alkalmaz, teret enged a felhő-érának, nagyobb hangsúlyt fektet az adathalász támadások elleni védekezésre és felderítésre, illetve szigorítja az authentikációs folyamatokhoz tartozó kritériumokat (szigorúbb jelszókövetelmények, MFA). Az incidenskezelés területén elvárásként fogalmazza meg a naplófájlok automatizált mechanizmusokkal történő elemzését is, minden olyan területen, ahol kártyaadat megfordulhat.
Egy elkülönített terület: CDE
A szabvány nem kötelezi a vállalatokat arra, hogy a kártyaadatok kezelését egy különálló hálózatban, elkülönített irodában végezzék, de elvárja, hogy azok a területek, ahol az adatok tárolása, kezelése, továbbítása megtörténhet, a PCI-DSS szabvány által meghatározott követelményeknek eleget tegyenek. Bevált praktika ezért, hogy a vállalatok külön hálózatot alakítanak ki azon munkavállalóknak és eszközöknek, amelyek részt vesznek e folyamatokban. Emellett fizikailag elkülönített irodát hoznak létre a kártyaadatokkal munkát végző munkavállalóknak is, hogy a szabvány hatályát azokra a közegekre korlátozzák, ezzel csökkentve a megfeleléshez szükséges anyagi- és erőforrásbeli igényeket. Ezt az elkülönített területet Cardholder Data Environment-nek, röviden CDE-nek hívjuk.
Azzal, hogy az auditor által ellenőrizendő területet csökkenti a vállalat, könnyíthet a dolgán és egyszerűbbé teheti az életét, de még ha kisebb területen is, a kritériumoknak mindenképpen meg kell felelni. Vannak feltételek, amelyek folyamatos odafigyelést igényelő kontrollok meglétét várják el. Ilyenek például az ismétlődő feladatok, amelyeket folyamatos, negyedéves, féléves és éves ciklusokban kell megismételni. De ide tartoznak még a negyedéves – külső és belső – elfogadható eredménnyel záruló sérülékenység-vizsgálatok, Rogue AP vizsgálatok, féléves tűzfalszabály felülvizsgálatok, éves képzések, kockázatértékelések, incidenskezelési folyamatok felülvizsgálata, penetrációs tesztek lefolytatása, és azok eredményeinek rögzítése, szükség esetén azonnali javítása. Folyamatos feladat az általános üzemeltetés mellett a folyamatos naplóelemzés és a potenciális incidensek korai szakaszban történő detektálása és elhárítása.
Komplex folyamat: PCI-DSS és SOC megfelelés
A PCI-DSS-nek való megfelelés komplex, több területen átívelő folyamat, amely gördülékenységet és hatékonyságot igényel. Mivel az incidenskezelés és a védelem megfelelő szinten tartása sarkalatos pontok, így egy Biztonsági Műveleti Központ (Security Operation Center – SOC) nagy segítség lehet a vállalat számára. Legyen szó külső, vagy akár belső SOC kialakításáról, a feladatok elvégzésének hatékonysága markánsan nőhet, ha azok végrehajtását, menedzselését egy arra dedikált csoport végzi. Ilyen feladatok lehetnek a sérülékenység-menedzsment, fenyegetések felderítése (threat intelligence), az incidenskezelés, vagy a naplófájlok automatikus mechanizmusokkal ellátott elemzése. Ugyan egy SOC központi feladata általában a naplófájlok elemzése és az incidenskezelés, e tevékenység bővülhet, s jellemzően bővülni is szokott, természetesen a szerződő felek közti megállapodás alapján.
Felmerülhet a kérdés, hogy olyan esetben, amikor a vállalatnak meg kell felelnie a PCI-DSS követelményeinek, és e feladatok elvégzésére SOC-ként külsős felet bíz meg, a külsős fél számára is kötelező érvényűvé válik-e a szabványnak való megfelelés? A válaszhoz a szabvány által meghatározott definíciót érdemes alapul venni, miszerint: „A PCI-DSS követelményei azokra a szervezetekre vonatkoznak, amelyek környezetében kártyaadatokat (kártyabirtokosi adatok és/vagy érzékeny hitelesítési adatok) tárolnak, feldolgoznak vagy továbbítanak, valamint azokra az entitásokra, amelyek környezetében a CDE biztonságát befolyásolhatják.”
E fenti idézet alapján, mivel a SOC a CDE biztonságát pozitív irányban befolyásolja, egyértelmű a válasz: igen. További tényező még, hogy a PCI-DSS szerint minden olyan kapcsolódó rendszer is a hatókörbe tartozik, amely támogatja a PCI-DSS követelményeknek való megfelelést, illetve biztonsági szolgáltatást nyújt a CDE számára.
Összegzésül
Összességében elmondható, hogy a PCI-DSS egy innovatív, gyakorlatorientált és következetes szabvány, amely biztosítja, hogy a kártyás tranzakciók során a kártyaadatok biztonságos környezetben kerüljenek feldolgozásra, kezelésre, tárolásra. A szabványban meghatározott követelmények ésszerűek és teljesíthetők, ám a megfelelés komoly tervezést, odafigyelést, költségvetést és folyamatos üzemeltetést igényel.