PCI DSS – czym jest i jakie obowiązki nakłada na organizacje w branży płatności online ?

PCI DSS – czym jest i jakie obowiązki nakłada na organizacje?

PCI Security Standards Council to organizacja powołana przez Visa, Mastercard, American Express, Discover Financial Services i JBC publikująca standard i akredytująca (QSA). Posiadanie certyfikatu w tym zakresie jest praktycznie obligatoryjne do procesowania płatności na swoich stronach internetowych; wymaganie pojawia się w regulaminach wszystkich powyżej wymienionych dostawców kart płatniczych. W zależności od sposobu integracji, PCI DSS jest wymagany od operatorów płatności (PSP), operatorzy certyfikowani jako Service Provider Level 1, merchanci (także w modelu embeded/iframe gdy sklep hostuje stronę płatności) i wszystkie podmioty które przechowują, przetwarzają lub transmitują dane kart (PAN), pełnią rolę acquirera,
obsługują systemy autoryzacyjne, prowadzą własne centra przetwarzania kart lub przetwarzają dane kart lokalnie.

Standard PCI DSS (Payment Card Industry Data Security Standard) to zestaw wymagań bezpieczeństwa opracowanych przez organizację PCI Security Standards Council. Jego celem jest ochrona danych kart płatniczych i zmniejszenie ryzyka nadużyć finansowych. Regulacje te obowiązują wszystkie firmy, które przetwarzają, przechowują lub przesyłają dane kart płatniczych, niezależnie od wielkości organizacji czy liczby transakcji.

Dla wielu przedsiębiorstw oznacza to konieczność wdrożenia odpowiednich procesów bezpieczeństwa, kontroli technicznych oraz ciągłego PCI DSS monitoring, który pozwala wykrywać nieautoryzowane zmiany w systemach i reagować na potencjalne incydenty.

Kogo dotyczy PCI DSS ?

Standard PCI DSS dotyczy wszystkich podmiotów, które mają styczność z danymi kart płatniczych w procesie realizacji transakcji. W praktyce oznacza to, że wbrew pozorom jest ich wiele.

Najczęściej obowiązki wynikające z PCI DSS dotyczą takich branż jak:

• operatorzy i pośrednicy płatności (dostępni po przekierowaniu z miejsca transakcji),
• platformy e-commerce i sklepy internetowe przyjmujące płatności kartą (gdzie miejsce na dane karty jest osadzone bezpośrednio na stronie sklepu),
• banki oraz instytucje finansowe,
• SaaSów obsługujących procesy płatności (również portfele chmurowe jak np. Skrill, Paddle),
• firmy przetwarzające płatności dla innych podmiotów, np. integratorzy systemów.

W praktyce nawet organizacja, która nie przechowuje danych kart, ale ma kontakt z nimi w trakcie procesu płatności, może podlegać wymaganiom PCI DSS. Dlatego tak istotne jest odpowiednie zarządzanie środowiskiem IT oraz wdrożenie skutecznych mechanizmów monitorowania i wykrywania anomalii oraz incydentów.

Najważniejsze obowiązki wynikające z PCI DSS

Standard PCI DSS obejmuje kilkanaście szczegółowych wymagań podzielonych na sześć głównych obszarów bezpieczeństwa. W praktyce organizacje muszą między innymi:

• zadbać o bezpieczeństwo sieci wewnątrz organizacji,
• chronić dane posiadaczy kart – zarówno podczas przechowywania, przetwarzania i transmisji,
• zarządzać podatnościami – poprzez aktualizacje systemów i regularne skanowanie bezpieczeństwa,
• kontrolować dostęp do danych – stosując zasadę minimalnych uprawnień i silne mechanizmy uwierzytelniania,
• monitorować i testować systemy – aby szybko wykrywać nieautoryzowane działania,
• utrzymywać politykę bezpieczeństwa informacji obejmującą cały proces zarządzania bezpieczeństwem.

PCI SSC podkreśla, że w tym wymaganiu chodzi o to, co widzi przeglądarka klienta, a nie tylko sprawdzenie kodu i konfiguracji po stronie serwera.

W praktyce oznacza to konieczność wdrożenia rozwiązań, które umożliwią stałe monitorowanie procesów płatniczych aby spełnić wymagania i zapewnić zgodność ze standardem PCI DSS.

PCI DSS monitoring – dlaczego jest tak ważny ?

Jak wspomnieliśmy wcześniej jednym z najważniejszych elementów zgodności z PCI DSS jest ciągłe monitorowanie frontu wystawionych usług. Należy zapewnić sobie możliwość wykrywania i natychmiastowej reakcji dla:

• nieautoryzowanych zmian w plikach i konfiguracji,
• prób naruszenia bezpieczeństwa,
• podejrzanych działań użytkowników jakie mogą prowadzić do fraudów,
• nieautoryzowanych manipulacji przy systemach obsługujących płatności.

Dlatego Monit24 wIDS automatycznie wchodzi na badaną stronę (np. bramkę płatniczą, płatność koszyka zakupowego) w dowolnych odstępach czasowych i z wykorzystaniem silnika przeglądarki renderującej JavaScript i zapisuje informacje o kluczowych nagłówkach HTTP na przykład:

• Content-Security-Policy
• Strict-Transport-Security
• X-Frame-Options
• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy

Dzięki temu organizacje mogą szybciej reagować na incydenty i ograniczać potencjalne skutki naruszeń bezpieczeństwa danych kart płatniczych.

Monit24 bada również wszystkie skrypty JS pod kątem zmian, zarówno te embedowane na stronie jak i dołączane z zewnętrznych źródeł. Więcej o monitoringu tzw. third parties informowaliśmy tutaj.
W razie wykrycia dowolnych zmian lub tych świadczących o naruszeniu bezpieczeństwa podnosi incydent i eskaluje sytuacje do odpowiednich osób bezpośrednio lub poprzez integracje z systemami SIEM i SOAR u klienta. Co ważne, z każdego incydentu czy wykrytej anomalii dostępne są artefakty w postaci:

• nagranego video na którym widać ładowanie się strony, bądź sposób dotarcia do strony (w przypadku wielokrokowego scenariusza),
• screena ekranu z momentu wykrycia anomalii,
• pliku HAR zawierającego wszystkie requesty, czasy ładowania, adresy URL elementów i inne cenne informacje zebrane przez przeglądarkę,
• zawartość kodu HTML i nagłówków odpowiedzi serwera do dalszej analizy.

Requirement 11.6.1 – wykrywanie nieautoryzowanych zmian

Jednym z istotnych wymagań w najnowszej wersji standardu jest pkt. 11.6.1, który koncentruje się na wykrywaniu nieautoryzowanych zmian w środowisku obsługującym płatności.

Gdzie szukać podatności ? Monitorowanie zmian w nagłówkach i JS oraz ich nieautoryzowana zmiana może doprowadzić do takich incydentów jak:

• wstrzyknięcie złośliwego skryptu wykradającego dane kart lub wykonującego inne złośliwe operacje,
• obejście CSP,
• clickjacking,
• downgrade TLS.

W praktyce oznacza to konieczność wdrożenia mechanizmów, które:

• monitorują zmiany w plikach i konfiguracji systemów,

• wykrywają modyfikacje stron płatności, a w szczególności skrypty ładowane w przeglądarce użytkownika,

• informują o nieautoryzowanych zmianach w czasie rzeczywistym,

• umożliwiają reagowanie zanim problemy eskalują.

Podsumowanie

Wdrożenie PCI DSS to nie tylko spełnienie formalnych wymagań audytowych, ale przede wszystkim budowanie realnego bezpieczeństwa systemów przetwarzających dane kart płatniczych. Szczególne znaczenie ma tutaj ciągły monitoring PCI DSS, który pozwala wykrywać nieautoryzowane zmiany w infrastrukturze, aplikacjach oraz kodzie stron płatności.

Requirement 11.6.1 dodatkowo podkreśla znaczenie monitorowania integralności stron i skryptów wykorzystywanych w procesie płatności online. W praktyce oznacza to konieczność wdrożenia narzędzi pozwalających na bieżące wykrywanie manipulacji w kodzie aplikacji webowych i szybkie reagowanie na incydenty bezpieczeństwa.

Jeżeli Twoja organizacja przetwarza płatności kartowe i chcesz sprawdzić, jak skutecznie wdrożyć monitoring PCI DSS, skontaktuj się z naszym zespołem. Możesz użyć formularza kontaktowego pod tym tekstem lub wypełnić go tutaj. Pomożemy dobrać odpowiednie rozwiązania technologiczne, wdrożyć mechanizmy monitorowania integralności systemów i przygotować środowisko do audytu zgodności z PCI DSS.

Źródła

PCI DSS v4.0 Documentation https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub

PCI DSS v4.0 Summary of Changes https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf