BIS Journal №1(32)/2019

5 апреля, 2019

Соответствие стандарту безопасности платёжных карт

Каждый день в мире детектируется порядка 350 тысяч новых вредоносных программ, которые угрожают безопасности сетевой инфраструктуры финансовых организаций и международных платёжных систем. Защитить транзакции и своевременно установить различного рода уязвимости призвана процедура ASV-сканирования. О том, для чего проводится данная проверка, рассказывают специалисты компании ARinteg — одного из ведущих российских системных интеграторов по информационной безопасности.

ASV-сканирование: что это такое?

ASV-сканирование — это процедура ежеквартальной проверки всех точек подключения к сети интернет на наличие уязвимостей. Разработана Советом по стандартам безопасности данных индустрии платёжных карт (создан по инициативе American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa, Inc.).

Кто обязан проходить проверку?

Процедура ASV-сканирования на предмет соответствия требованиям международного стандарта безопасности PCI DSS распространяется на все организации, которые хранят, обрабатывают или передают данные держателей платёжных карт.

Такие компании классифицируются, исходя из объёма транзакций, проводимых в течение года:

4 уровень — до 20 тысяч транзакций в год (ежеквартальное сканирование внешних адресов на наличие уязвимостей и заполнение листа самооценки);
3 уровень — от 20 тысяч до 1 миллиона транзакций в год (аналогичные требования, что и для компаний 4-го уровня);
2 уровень — от 1 миллиона до 6 миллионов транзакций в год (ежеквартальное сканирование с привлечением компании-аудитора);
1 уровень — более 6 миллионов транзакций в год (проводится только с привлечением независимого аудитора).

Отдельная градация существует в отношении сервисных компаний и процессинговых центров.

Как подтвердить соответствие требованиям стандарта PCI DSS?

Для прохождения ASV-сканирования необходимо обратиться к специализированным поставщикам услуг, аккредитованным Советом по стандартам безопасности данных индустрии платёжных карт.

ARinteg статус ASV-провайдера впервые был присвоен более трёх лет назад. Ежегодно компания успешно подтверждает свой экспертный уровень.

Опираясь на многолетний опыт аудита защищённости внешнего периметра и внутренних сетей, специалисты системного интегратора по информационной безопасности помогают успешно проходить необходимые процедуры проверки на предмет соответствия PCI DSS.

В чём особенности инструментального сканирования?

Наряду с ASV-сканированием компания ARinteg предлагает организациям с развитой сетевой инфраструктурой воспользоваться услугой инструментального аудита информационной безопасности.

Данная проверка представляет собой комплексный анализ технологических уязвимостей автоматизированных систем, корректности работы конфигурационных настроек и степени защиты аутентификационной информации.

Инструментальное сканирование даёт возможность составить объективную картину о текущем состоянии корпоративной информационной системы, на основе которой будут выработаны приоритетные меры для предупреждения киберрисков.

Специалисты компании рекомендуют помимо ежеквартальных проверок на предмет соответствия стандарту PCI DSS внести в годовой план не менее четырёх инструментальных сканирований. Это позволит каждые полтора месяца получать экспертную оценку актуальности уровня информационной безопасности ИТ-инфраструктуры организации.

Как проходит процедура ASV-сканирования?

Сканирование проводится удалённо в формате выделенного технологического окна в течение 24 часов. Дату и время сканирования можно согласовать индивидуально.

Процедура ASV-сканирования абсолютно безопасна и не влияет на производительность сетевой инфраструктуры.

Необходимо ли заранее готовится к проверке?

На время проведения проверки обязательным требованием стандарта PCI DSS является отключение (переключение в режим мониторинга) средств активной защиты, основанных на поведенческом анализе (IPS, WAF).

В случае использования балансировщиков трафика требуется подтверждение синхронизации сетевых потоков.

Что происходит во время проверки?

В рамках тестирования определяется наличие доступных IP-адресов из списка, предоставленного заказчиком, проводится сканирование всего диапазона TCP-портов и стандартных UDP-портов.

Осуществляется попытка точной идентификации используемых версий операционных систем и запущенных сервисов вне зависимости от используемых платформ.

Процедура проверки позволяет:

  • определить уязвимости (как известные CVE, так и уникальные), ошибки конфигурации серверов приложений и DNS-серверов;
  • обнаружить стандартные веб-скрипты;
  • проверить защищённость почтовых сервисов, использования встроенных учётных записей и средств удалённого доступа, а также корректность работы POS-терминалов;
  • оценить подверженность типичным атакам на веб-приложения (SQL-injection, XSS, перемещение по директориям, разбитие HTTP-заголовков) и актуальных версий TLS-шифрования;
  • выявить избыточность стандартных сервисов;
  • детектировать бэкдоры, руткиты, иное вредоносное ПО.

Какой документ выдается по итогам ASV-сканирования?

По результатам сканирования предоставляется отчёт, в котором указываются подтверждённые и потенциальные уязвимости с развёрнутой информацией по каждой из них — уровень риска, статус PCI, CVSS-оценка, семейство, CVE-код, а также рекомендации по приведению информационной системы в соответствие со стандартом PCI DSS.

В случае выявления недопустимых уязвимостей критичностью выше 4 уровня, заказчик может оспорить их справедливость, предоставив подтверждения ложного срабатывания сканера.

При обнаружении средств удалённого доступа, POS-терминалов или иных механизмов приёма платежей, возможности листинга директорий потребуется обоснование необходимости и защищённости применяемых решений.

Более подробно узнать о преимуществах ASV-сканирования от ARinteg и оставить заявку на проведение проверки можно с помощью специализированного сервиса – https://asv.arinteg.ru.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных