Хранить нельзя удалять

Обычные неприятности исполнения требований стандарта PCI DSS к хранению информации о обладателях платёжных карт.

Сергей Шустиков — аналитик по информационной безопасности. Окончил Государственный университет Санкт-Петербурга IT Оптики и Механики. В Digital Security трудится с 2007 года, специализируется на совокупностях менеджмента безопасности.

Область опытных заинтересованностей охватывает разработку СУИБ в соответствии с западными стандартами и проведение аудитов на соответствие требованиям последовательности стандартов индустрии ИБ (PCI DSS, ISO/IEC 27001:2005). Имеет статус PCI SSC QSA, и прошёл официальную аттестацию с целью проведения аудита на соответствие требованиям стандарта СТО БР-ИББС-1.0

Стандарт PCI DSS, уже ставший нужной действительностью для русских компаний, занимающихся обработкой платёжных карт, предъявляет ряд условий к условиям хранения информации о обладателях платёжных карт. Из них стоит выделить два, вызывающих громаднейшие трудности.

Первым таким требованием есть запрет на хранение критичных аутентификационных данных. Под критичными аутентификационными данными в стандарте понимаются эти, хранимые на магнитной дорожке карты, PIN и PIN-блок, и CVC2/CVV2.

Их хранение по окончании авторизации недопустимо никогда, кроме того в зашифрованном виде. Исключением есть лишь хранение звукозаписи телефонного звонка в call-центр компании, за который возможно сказано проверочное значение CVC2/CVV2.

К сожалению, приходится констатировать тот факт, что эти магнитной дорожки довольно часто видятся хранящимися в открытом виде в лог-файлах приложений, управляющих терминальными устройствами. Неприятность решается несложно, правда в некоторых случаях потребуется сотрудничество с поставщиком ПО.

Второе требование гласит, что при хранении информации о обладателях платежных карт, как минимум номер карты (PAN) должен быть представлен в нечитаемом виде. Нечитаемым PAN может стать в следствии его укорачивания, маскирования либо шифрования.

Единственным обратимым методом хранения номера карты в нечитаемом виде есть шифрование. Необходимо подчеркнуть, что большая часть приложений, используемых русскими компаниями для обработки карточных данных, еще не обучились хранить данные в зашифрованном виде.

Для решения данной неприятности возможно применять прозрачные средства шифрования СУБД, к примеру Oracle Transparent Data Encryption. Не нужно кроме этого забывать и о носителях резервных копий, содержащих карточные эти.

Обезопасисть их возможно, к примеру, при помощи Oracle Secure Backup. Эти, хранимые на файловом сервере, возможно обезопасисть, применяя шифрование дисковых массивов. При шифровании на уровне диска направляться использовать процедуры управления доступом к зашифрованным данным, свободные от средств ОС, об этом говорит требование 3.4.1 PCI DSS.

Планируя внедрение совокупностей шифрования данных, стоит не забывать о том, что в любом случае, независимо от используемой разработки, это отрицательно скажется на производительности, исходя из этого вопрос расширения вычислительных мощностей обязан находиться не на последнем месте.

Возможно ли удалять папки TEMP / Где папки TEMP?


Похожие заметки:

Понравилась статья? Поделиться с друзьями: