Ads 468x60px

tiistai 29. huhtikuuta 2014

PCI-DSS -standardi v3.0

Syyskuussa 2013 viittasimme tulossa olevaan PCI-DSS -maksukorttistandardin päivitettyyn uudistukseen. Päivitys versiosta 2.0:sta versioon 3.0 julkaistiin marraskuussa 2013 ja on järjestyksessään neljäs standardiversio. Virallisesti uusin versio otettiin käyttöön tammikuussa 2014. Kuten edellisestä blogimerkinnästä käy ilmi, PCI Security Standards Council julkaisi muutoksia käsittelevän Summaryn [1], kuten aikaisemminkin standardin päivittyessä versiosta 1.2 versioon 2.0.

PCI Security Standards Council:n mukaan uudistetun version tarkoituksena on lisätä koulutusta ja tietoisuutta maksukorttiturvallisuuden ympärillä, sekä lisätä PCI-standardin joustavuutta liittyen standardin käyttöön. Lisäksi tarkoituksena on tähdentää, että turvallisuus on yhteinen, jaettu vastuu. Kuinka Councilin määrittelemät muutokset sitten näkyvät itse vaatimuksissa? Versioon 3.0 on muutoksia tapahtunut suurimmaksi osaksi selvennysten muodossa. Selvennyksissä on tarkennettu vaatimusten määrittelyä, eli mihin milläkin vaatimuksella pyritään vastaamaan. Uudistettuja ja kokonaan uusia vaatimuksia on laadittu myös muutamia. Uudistukset liittyvät pääosin penetraatiotestauksien määrälliseen lisäämiseen yrityksen itse toteuttamina, autentikointi- ja tunnistusmenetelmien kehittämiseen sekä fyysisen turvallisuuden varmistamiseen.

Penetraatiotestauksista hyvänä esimerkkinä on vaatimus 11, jossa vanha vaatimus 11.3 on jaettu kahtia osiksi 11.3.1 sekä 11.3.2. Vaatimusten sisällöt ovat keskenään identtiset muilta osin sillä erolla, että 11.3.1 on vaatimus ulkoiselle tunkeutumistestaukselle (External Penetration Testing) ja 11.3.2 sisäiselle tunkeutumistestaukselle (Internal Penetration Testing). Versiossa 2.0 penetraatiotestaukset olivat mukana, mutta uusimmassa versiossa on tarkennettu ennen kaikkea testausten dokumentointia ja säännöllisyyttä, kuin myös käyttötarkoitusta.

Versiossa 3.0 tunkeutumistestauksien implementaatiolle on laadittu kokonaan oma metodologiansa (vaatimus 11.3), eli mitä tunkeutumistestauksissa tulee todentaa ja millä tavoin. Metodologiassa on teknisen testauksen lisäksi huomioitu esimerkiksi CDE-ympäristössä (Cardholder Data Environment [2]) havaittujen uhkien ja haavoittuvuuksien monitorointi ja käsittely kuluneen 12 kuukauden ajalta (käsitelty tarkemmin vaatimuksessa 11.3.3), sekä penetraariotestauksen tulosten korjaustoimenpideraporttien säilytysaika. Uutena vaatimuksena on määritelty tunkeutumistestaus tehtäväksi CDE-ympäristölle, mikäli ympäristö on segmentoitu erilleen yrityksen muista verkoista (vaatimus 11.3.4).

Tunkeutumistestauksiin liittyvien kohtien lisäksi maksukorttistandardin uusimmassa versiossa vaatimuksia on jalostettu myös fyysisen turvallisuuden (vaatimukset 9.3 sekä 9.9.x) sekä tunnistus- ja autentikointimenetelmien (vaatimukset 8.5.1 ja 8.6) saralla. Uusi vaatimus 9.3 määrittelee, millä perusteilla työntekijöille tulee antaa kulkuoikeuksia tuotannon kannalta kriittisiin tiloihin. Vaatimus määrittelee myös, kuinka yrityksen tulee toteuttaa henkilön kulku- ja käyttöoikeuksien deaktivointi työsuhteen päättyessä. Vaatimuksessa 9.9.x taas kohdennetaan suojaustoimenpiteet laitteille, jotka käsittelevät ja hetkellisesti tallentavat maksukorttidataa ollessaan fyysisessä kontaktissa maksukorttien kanssa. Vaatimuksen tarkoituksena on estää näiden laitteiden peukalointi ja varustaminen esimerkiksi skimmauspäätteillä, jotka kopioivat korttidataa laitteista.

Tunnistus- ja autentikointimenetelmien uusilla vaatimuksilla estetään tunnuksien yhteiskäyttö esimerkiksi usealle asiakkaalle. Yhteistunnuksien käyttö rajoitetaan niin vaatimuksella 8.5.1 kuin vaatimuksella 8.6. Näissä pykälissä esimerkiksi palveluntarjoajilta vaaditaan, että jokaiselle asiakkaalle on luotava uniikit tunnukset, jottei korttidataa käsittelevien laitteiden etäkäyttö ole mahdollista yksillä tunnuksilla. Lisäksi niin palveluntarjoajien kuin käyttäjäorganisaatioiden tulee linkittää autentikointimekanismit yksilöllisiin ja käyttäjäkohtaisiin tileihin, mikäli käyttäjillä on hallussaan autentikointiin tarkoitettu erillinen pääte. Päätteitä voivat olla esimerkiksi sirukortti, käyttäjätunnuksiin linkitetty sertifikaatti tai muu älylaite. Uniikkeilla käyttötileillä varmistetaan, että vain sallitut ja tunnistetut käyttäjät ovat oikeutettuja pääsemään järjestelmiin yrityksen käyttämien mekanismien kautta.

Osa uusien vaatimusten sisällöstä kulkee niin sanottuina Best Practice -periaatteina, kunnes ne otetaan käyttöön kesäkuussa 2015 virallisina vaatimuksina. Uusien vaatimusten implementoitia käytäntöön PCI Council suosittelee kuitenkin välittömästi, jotta standardin käyttäjät toimisivat viimeisimmän tiedon tasalla.

Antti-Jussi Lehtinen

[1] Data Security Standard - Summary of Changes from PCI DSS Version 2.0 to 3.0

[2] Cardholder Data Environment

Ei kommentteja:

Lähetä kommentti