Ads 468x60px

sunnuntai 17. helmikuuta 2013

PCI DSS -vaatimustenmukaisuus pilvessä – totta vai tarua?

Pidin vuonna 2010 esitelmän pilvipalveluista ja erityisesti niihin liittyvistä tietoturvariskeistä. Tuolloin kirjasin kalvoihini, että esimerkiksi PCI DSS -vaatimustenmukaisuutta ei voi saavuttaa, mikäli haluaa käyttää pilvipalveluja. Nyt tilanne on muuttunut.

PCI Security Standard Council on julkaissut hiljattain ohjeen, joka linjaa kuinka pilvipalveluja voidaan käyttää maksukorttiympäristössä [1]. Ohjeen perusteella pilvipalvelujen käyttäminen ei ole vieläkään täysin suoraviivaista, mutta nyt se on kuitenkin mahdollista. Sinänsä tämä pilvipalvelujen ”salliminen” on ymmärrettävää, koska Council julkaisi jo 2011 ohjeen kuinka virtuaalisointia voidaan hyödyntää maksukorttiympäristöissä ja pilvipalveluthan pohjautuvat pääsääntöisesti virtuaalisoimiseen. Lisäksi aiheesta on syytä huomata, että ”pilvikapasiteettia” ei ole todellisuudessa kuin paperilla. Kaikki laskenta tapahtuu oikeissa konesaleissa (ainakin vielä toistaiseksi), joten pilvipalvelujen käyttäminen ei välttämättä eroa valtavasti perinteisestä ulkoistamisesta.

Ensimmäinen suuri haaste pilvipalvelujen hyödyntämisessä PCI-maailmassa on sopivan sertifiointirajauksen määrittäminen. Council itse suosittaa seuraavaa rajauksen hallitsemiseksi:

  1. Älä tallenna maksukorttidataa pilvipalveluihin
  2. Käytä dedikoitua laitteistoa palvelun tuottamiseen
  3. Minimoi pilvipalvelun tarjoajan velvollisuudet suojata maksukorttidataa (eli suojaa itse)

Äkkiseltään vaikuttaa siltä, että mainitut ”vinkit” eivät varsinaisesti kannusta pilvipalvelujen käyttämiseen. Oleellista on kuitenkin huomata, että Councilin näkemyksen mukaan pilvipalveluja *voi* käyttää kaikkeen muuhun kuin korttinumeroita sisältävän tiedon prosessointiin ongelmitta. Näinpä pilviympäristö voi toimia vallan mainiosti esimerkiksi testi- tai kehitysympäristönä.

Mikäli rajauksen määrittäminen ei pelota, niin myös maksukorttidataa on mahdollista tuoda pilveen. Councilin näkemykset pilvilaskennasta ja korttinumeroista voidaan tiivistää seuraavaan:

  • Sovi PCI DSS -rajauksesta toimittajan ja QSA:si kanssa. Pilvipalveluja ei kannata yrittää ottaa käyttöön ilman, että PCI DSS -rajauksesta sovitaan ensin tilaajan, toimittajan ja tilaajan QSA:n kanssa.
  • Sovi roolit ja vastuut. Kaikki roolit ja vastuut tulee olla sovittuna kirjallisesti. Osa vastuista pysyy edelleen tilaajalla mutta osa vastuusta siirtyy toimittajalle. Lisäksi, mikäli toimittaja hankkii palveluja edelleen toisilta toimittajilta, niin palvelujen ketjuuntuminen tulee huomioida vastuumäärityksissä.
  • Muista seuranta. Vaikka toimittajan vastuulla on sovittujen kontrollien toteuttaminen, niin tilaajan vastuulla on niiden toteuttamisen seuraaminen.
  • Varmista riittävä eriyttäminen. Pilvipalvelussa käytettävän laitteiston tulee tarjota samantasoinen järjestelmien eriyttäminen kuin ”oikeassakin” elämässä. Virtuaalisoidut laitteet, tai järjestelmät, eivät saa mahdollistaa tarkoituksetonta järjestelmien välistä kommunikaatiota. Turvallisuusmekanismien lähtökohta tulee olla, että kaikki muut samassa ympäristössä toimivat järjestelmät ovat epäluotettavia.
  • Pyri minimoimaan toimittajan vastuu suojaamisesta. Mitä useammat kontrollit ovat tilaajan omassa hallinnassa sitä helpompaa on toimittajan toiminnan valvominen. (Esimerkiksi mikäli palveluun tallennetaan vain salattua dataa ja avaintenhallinta on tilaajan omassa kontrollissa, niin tämä rajaa osan valvontavaatimuksista ulos.)
  • Vastuu on aina tilaajan! Vaikka tilaaja pystyy ulkoistamaan osan kontrolleista toimittajalle, niin vastuuta tilaa ei pysty ulkoistamaan.

Vaikka ohje keskittyykin käsittelemään pilvipalvelujen käyttämistä maksukorttiympäristössä, niin dokumentti sisältää hyviä ajatuksia kenelle tahansa pilvipalveluja harkitsevalle. Oleellistahan ei varsinaisesti ole onko suojattava data korttinumeroita vai ”muuta” arvokasta businessdataa. Oleellista on ymmärtää suojattavan datan käsittelystä ja tallennuksesta aiheutuvat riskit ja suhteuttaa olemassa olevat kontrollit näihin riskeihin.

Leppoisaa viikonalkua
Antti

Ei kommentteja:

Lähetä kommentti