PCI DSS: Προτυποποιημένα μέτρα για την ασφάλεια των δεδομένων

Το Payment Card Industry Data Security Standard (PCI DSS) είναι ένα πρότυπο, που περιέχει ένα σύνολο από μέτρα προστασίας για την ασφαλή αποθήκευση, μεταφορά και επεξεργασία των δεδομένων. Η εφαρμογή του, επιβάλλεται σε κάθε Οργανισμό ή Εταιρεία που διαχειρίζεται δεδομένα πιστωτικών καρτών.

Το πρότυπο Payment Card Industry Data Security Standard (PCI DSS προσεγγίζει ολιστικά την ασφάλεια των πληροφοριών, τόσο σε επίπεδο δικτυακής και λειτουργικής ασφάλειας όσο και σε επίπεδο διαχείρισης. Σε ό,τι αφορά στη δημιουργία και διατήρηση ενός ασφαλούς δικτύου, το συχνό έλεγχο και παρακολούθηση δικτύων, τη διατήρηση ενός προγράμματος διαχείρισης των αδυναμιών για την προστασία των Δεδομένων Πιστωτικών Καρτών κατά την αποθήκευση, μεταφορά ή επεξεργασία τους, το πρότυπο εστιάζει στην παρουσία και εφαρμογή λύσεων firewall, σε μέτρα για την προστασία ασύρματων δικτύων, καθώς και στην κρυπτογράφηση των δεδομένων.

Το σύνολο των απαιτήσεων του προτύπου συγκεντρώνεται σε 6 κατηγορίες, οι οποίες αναλύονται στον παρακάτω πίνακα 1:

ΚΑΤΗΓΟΡΙΑ		ΑΠΑΙΤΗΣΕΙΣ
1.	Δημιουργία και Διατήρηση ενός Ασφαλούς Δικτύου	1.	Εγκατάσταση και διατήρηση ασφαλούς παραμετροποίησης συστημάτων firewall .
		2.	Αποτροπή χρήσης προκαθορισμένων συνθηματικών ή άλλων παραμέτρων.
2.	Προστασία Ευαίσθητων Δεδομένων των κατόχων των πιστωτικών καρτών	3.	Προστασία αποθηκευμένων δεδομένων.
		4.	Κρυπτογράφηση στη μετάδοση των cardholder data και των ευαίσθητων πληροφοριών πάνω από δημόσια δίκτυα.
3.	Διατήρηση Προγράμματος Διαχείρισης των Αδυναμιών	5.	Χρήση και συνεχής ενημέρωση λογισμικού anti-virus.
		6.	Ανάπτυξη και διατήρηση ασφαλών συστημάτων και εφαρμογών.
4.	Εφαρμογή Μέτρων Ισχυρού Ελέγχου Πρόσβασης	7.	Περιορισμός πρόσβασης σε δεδομένα, σύμφωνα με την αρχή ελάχιστου προνομίου.
		8.	Απόδοση μοναδικού ID σε κάθε πρόσωπο που έχει πρόσβαση σε υπολογιστή.
		9.	Περιορισμός φυσικής πρόσβασης στα cardholder data.
5.	Συχνός Έλεγχος και Παρακολούθηση των Δικτύων	10.	Αποτύπωση και έλεγχος όλων των προσπαθειών πρόσβασης στους δικτυακούς πόρους και τα cardholder data.
		11.	Τακτικός έλεγχος ασφάλειας των συστημάτων και των διεργασιών.
6.	Διατήρηση μιας Πολιτικής Ασφάλειας Πληροφοριών	12.	Διατήρηση μιας πολιτικής, που αντιμετωπίζει τα ζητήματα που σχετίζονται με την ασφάλεια πληροφοριών.

Μέσα από τις απαιτήσεις 1.1.3, 1.3.8, 1.3.9 και 6.6 καλύπτεται η ανάγκη για ασφάλεια σε ό,τι αφορά δίκτυα που έχουν διαφορετικά επίπεδα εμπιστοσύνης. Πιο συγκεκριμένα, το πρότυπο απαιτεί:

Την εγκατάσταση firewalls μεταξύ του εσωτερικού δικτύου και του διαδικτύου, καθώς και μεταξύ του εσωτερικού δικτύου και κάθε DMZ.
Την εγκατάσταση περιμετρικών firewalls μεταξύ κάθε ασύρματης σύνδεσης και του περιβάλλοντος που μεταφέρονται/επεξεργάζονται και αποθηκεύονται τα δεδομένα των κατόχων των πιστωτικών καρτών.
Την εγκατάσταση προσωπικών firewalls σε κάθε προσωπικό υπολογιστή των υπαλλήλων, οι οποίοι έχουν πρόσβαση στο διαδίκτυο αλλά και το εταιρικό δίκτυο.
Την εγκατάσταση ενός application-layer firewall μπροστά από κάθε web-facing εφαρμογή.

Μέσα από τις απαιτήσεις 2.11, 4.1.1 και 11.1 το πρότυπο επισημαίνει τις αδυναμίες ασφάλειας που έχουν τα ασύρματα δίκτυα και απαιτεί τη βέλτιστη προστασία τους. Πιο συγκεκριμένα, από τον Οκτώβριο του 2008, το PCI DSS απαιτεί την ενεργοποίηση WPA ή WPA2 αντί του WEP. Ακόμα, απαιτείται η πραγματοποίηση συχνών ελέγχων για τυχόν παραβίαση και μη εξουσιοδοτημένη πρόσβαση στο εταιρικό δίκτυο μέσω ασύρματης πρόσβασης. Επίσης, μέσα από την απαίτηση 11.3 ορίζεται η περιοδική διενέργεια ελέγχων διείσδυσης (penetration tests), τόσο σε επίπεδο δικτύου όσο και σε επίπεδο εφαρμογής. Μέσα από τις απαιτήσεις 3.4, 3.5, 3.6 και 4.2, το πρότυπο θέτει την κρυπτογράφηση του Primary Account Number-PAN (το οποίο θεωρείται ως το ελάχιστο δεδομένο κατόχων πιστωτικών καρτών που πρέπει να μεταφέρεται, επεξεργάζεται ή αποθηκεύεται) ως κρίσιμη είτε κατά την αποθήκευσή του σε κάποια βάση δεδομένων είτε κατά την μεταφορά του μέσω e-mail. Με την ενεργοποίηση κατάλληλων διαδικασιών απαιτείται η ασφαλής διαχείριση των κλειδιών κρυπτογράφησης και αποκρυπτογράφησης (ανάλογα με τη μέθοδο κρυπτογραφίας που θα επιλεχθεί).
Σε ό,τι αφορά στη διαχειρισιακή προσέγγιση της ασφάλειας των πληροφοριών, το πρότυπο εστιάζει στη δημιουργία μιας Πολιτικής Ασφάλειας Πληροφοριών. Μέσα από μια ολόκληρη ενότητα απαιτήσεων 12.1 έως 12.10, το πρότυπο προσδιορίζει την ανάγκη δημιουργίας, διατήρησης και κοινοποίησης στο προσωπικό, μιας πολιτικής ασφάλειας, η οποία εξετάζει τα ζητήματα ασφάλειας πληροφοριών που απαιτούνται από το πρότυπο και προκύπτουν από την περιοδική διενέργεια Μελέτης Επικινδυνότητας (risk assessment) του περιβάλλοντος μεταφοράς, επεξεργασίας ή αποθήκευσης των δεδομένων. Ακόμα, επιβάλλει να προσδιορίζονται διαδικασίες που καθορίζουν και διαχειρίζονται τις σχέσεις του Οργανισμού ή της Εταιρείας με Παρόχους Υπηρεσιών.
Επίσης, μέσα από αυτήν την ενότητα δίνεται ιδιαίτερη σημασία στην ενημέρωση και την εκπαίδευση του προσωπικού. Πιο συγκεκριμένα, στις απαιτήσεις 12.6 και 12.9.4 επιβάλλεται η υιοθέτηση ενός προγράμματος ενημέρωσης για τη σημασία της ασφάλειας των δεδομένων πιστωτικών καρτών, καθώς και η παροχή εκπαιδεύσεων στο προσωπικό που είναι υπεύθυνο για την αντιμετώπιση περιστατικών ασφάλειας.
Οι παραπάνω απαιτήσεις αποτελούν το σύνολο των απαιτήσεων του PCI DSS για ένα ασφαλές περιβάλλον αποθήκευσης, μετάδοσης και επεξεργασίας των δεδομένων πιστωτικών καρτών. Για το παραπάνω σύνολο, η επίτευξη συμμόρφωσης ολοκληρώνεται σε 3 επαναλαμβανόμενα βήματα (σχήμα 1):

Εκτίμηση (assess): περιλαμβάνει τη διαδικασία Εκτίμησης Επικινδυνότητας, κατά την οποία αποτιμώνται τα αγαθά, δηλαδή οι πληροφοριακοί πόροι και οι επιχειρησιακές διεργασίες, σχετικά με τη διαχείριση των δεδομένων πιστωτικών καρτών. Κατά την αποτίμηση, υπολογίζονται οι αδυναμίες των αγαθών, οι οποίες, αν γίνουν εκμεταλλεύσιμες, μπορούν να αποτελέσουν απειλή για την ασφάλεια των δεδομένων.
Βελτίωση (remediate): περιλαμβάνει τις διαδικασίες διόρθωσης και βελτίωσης των αδυναμιών που παρατηρήθηκαν κατά τη Μελέτη Εκτίμησης Επικινδυνότητας.
Τεκμηρίωση (report): περιλαμβάνει τη συγγραφή τεκμηρίων που επιβεβαιώνουν τη διενέργεια διορθωτικών και βελτιωτικών διαδικασιών και την κατάθεσή τους στους φορείς πιστοποίησης.
Ακολουθώντας αδιάκοπα τα παραπάνω 3 βήματα, επιτυγχάνεται συνεχής συμμόρφωση με τις απαιτήσεις του PCI DSS, αλλά χτίζεται και ένα οχυρό ασφάλειας γύρω από τα δεδομένα πιστωτικών καρτών. Αυτό επιτυγχάνεται με τη συνεχή επανάληψη των 3 βημάτων, καθώς κάθε φορά επαναλαμβάνεται η διαδικασία εκτίμησης επικινδυνότητας, με αποτέλεσμα τη συνεχή βελτίωση των μέτρων για την ασφάλεια των πληροφοριών.

Η BESECURE δραστηριοποιείται στην παροχή ολοκληρωμένων λύσεων και υπηρεσιών ασφάλειας και διαχείρισης κινδύνου πληροφοριών και παρέχει μια ολιστική προσέγγιση στην ασφάλεια πληροφοριών και τη συμμόρφωση ενός Οργανισμού ή μιας Εταιρείας.
Για την πλήρη εφαρμογή των απαιτήσεων του πρότυπου PCI DSS, η BESECURE παρέχει συμβουλευτικές υπηρεσίες και λύσεις, από τη μελέτη μέχρι την πιστοποίηση. Ειδικότερα, παρέχονται υπηρεσίες και λύσεις που αφορούν:

Την Εκπόνηση Μελετών Επικινδυνότητας και Προσδιορισμού Απαιτήσεων Ασφάλειας.
Την Ανάπτυξη Πολιτικών και Διαδικασιών για τη Διαχείριση της Ασφάλειας Πληροφοριών.
Το Σχεδιασμό και την Ανάπτυξη Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών.
Τη Διενέργεια Ελέγχων Συμμόρφωσης, με βάση τις απαιτήσεις του προτύπου.
Τη Διενέργεια Τεχνικών Ελέγχων Ασφάλειας και Δοκιμών Διείσδυσης σε πληροφοριακά συστήματα και δίκτυα δεδομένων και επικοινωνιών.
Την Εκπαίδευση στην Ασφάλεια Πληροφοριών.
Την εγκατάσταση και παραμετροποίηση λύσεων firewalls και ασύρματων δικτυακών υποδομών.
Την παροχή λύσεων κρυπτογράφησης και προστασίας διαρροής πληροφοριών.

Η BESECURE, σε συνεργασία με το HISP Institute, πραγματοποιεί το Πιστοποιήσιμο Σεμινάριο HISP (Holistic Information Security Practitioner) που παρέχει πρακτική γνώση εφαρμογής βέλτιστων πρακτικών Διαχείρισης Ασφάλειας Πληροφοριών, Ελέγχου Συστημάτων Πληροφορικής και Συμμόρφωσης με κανονισμούς και νομοθεσίες. Το 3ο HISP Certification Training Course διοργανώνεται από την BESECURE, στις 20-24 Οκτωβρίου, στην Αθήνα (περισσότερες πληροφορίες: www.hispcertification.com)

Ευαγγελία Βασιλειάδου,
MSc Information Security, HISP, ISO27001 LA
Information Security & Compliance Consultant
BESECURE

Πώς η Microsoft IAM Λύση Διασφαλίζει Απλή και Ασφαλή Διαχείριση Πρόσβασης σε Eταιρικούς Πόρους;

Αναζητώντας τα όρια της προσωπικής ευθύνης της ανώτατης διοίκησης

Η PeS Cybersecurity και η Proofpoint μοιράζονται το όραμα τους για μια ανθρωποκεντρική προσέγγιση στην κυβερνοασφάλεια

Ο Security Leader σήμερα έχει και το ρόλο του coach για την ομάδα του!

The State of Cybersecurity 2024 by Pylones Hellas – Αποτελέσματα και Συμπεράσματα

« 1 αρκεί! » …it only takes one

Κυβερνοασφάλεια για Όλους!

Μικρομεσαίες επιχειρήσεις και κανονιστική συμμόρφωση: ένας αγώνας με σημαντικό έπαθλο

Ευαισθητοποίηση σε Θέματα Ψηφιακής Ασφάλειας: Προτάσεις και Λύσεις για Μικρομεσαίες Επιχειρήσεις

Κυβερνοασφάλεια για τις ΜΜΕ με την Ακαδημία Logstail

Ποια είναι η λύση κυβερνοασφάλειας για εταιρείες με περιορισμένους πόρους: Το MDR!

SMB security made real: Α Fortinet SASE & SOCaaS story

Μικρές και Μεσαίες Επιχειρήσεις: Ο Κύριος Στόχος των Κυβερνοεπιθέσεων Λόγω της Αντιλαμβανόμενης Ευπάθειάς τους

ESET: Ασφάλεια για Όλους – Προστατεύοντας τις μικρές και μεσαίες επιχειρήσεις

WatchGuard ThreatSync + NDR, μία ολοκληρωμένη λύση NDR που απευθύνεται τόσο σε μεγάλα όσο και σε μικρομεσαία δίκτυα

Οι μικρές και μεσαίες εταιρίες δεν απειλούνται από τις κυβερνοεπιθέσεις;

Θωρακίζοντας την επιχείρησή σας στην ψηφιακή εποχή

Εκπαίδευση Ευαισθητοποίησης αντιμετώπισης του phishing

Hybrid Multi-Cloud Υποδομή: Νέες προσεγγίσεις στην ασφάλεια

Η KELA και η Ολοκληρωμένη Προσέγγιση της NIS2

Είναι η Κοινωνική Μηχανική μια Νέα Μορφή Επιθέσεων Μηδενικής Ημέρας (Zero-Day);

Η σημασία του CISO στο Διοικητικό Συμβούλιο

Η Σημασία της Αναφοράς Περιστατικών Κυβερνοασφάλειας από τους Εργαζομένους

Μια οργανική προσέγγιση στο IT Security εμπνευσμένη από τις κοσμοθεωρίες ιθαγενών

Το μέλλον των αδειών λογισμικού: Τάσεις και προβλέψεις για την εξέλιξη των μοντέλων αδειοδότησης λογισμικού τα επόμενα χρόνια

Ο αριθμός των επιθέσεων μέσω email που εντοπίστηκαν στον κυβερνοχώρο αυξήθηκε κατά 239% το 1ο εξάμηνο του 2024

Η Στρατηγική Σημασία της Κυβερνοασφάλειας για τις Ένοπλες Δυνάμεις

PCI DSS: Προτυποποιημένα μέτρα για την ασφάλεια των δεδομένων

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Bitdefender: «Προσοχή στο κενό!»

Προστασία των προγραμμάτων: Τι προβλέπεται από το ελληνικό δίκτυο

Δημιουργία Ασφαλών Εφαρμογών : The life-cycle approach