129

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Стандарты международных платежных систем: PCI DSS и смежные стандарты 129 • необходимо хранить номера карт только в тех местах и в течение такого срока, которые явно определены бизнес-целями; • соблюдать политику по уничтожению номеров карт после истече¬ ния срока их обоснованного хранения; • ограничивать доступ сотрудников к номерам карт в приложениях; • маскировать, шифровать, использовать другие способы затрудне¬ ния получения полного номера карт при хранении; • жесткие запреты хранения критичных данных карт, используемых для авторизации после ее завершения; • управлять криптографическими ключами, используемыми для шиф¬ рования данных при хранении. Необходимо отметить следующее: так как стандарт разрабатывался в первую очередь для снижения рисков мошенничества в инфраструктурах торгово-сервисных предприятий и поставщиков сервиса (таких как пла¬ тежные шлюзы, процессинговые центры и т. п.), вопросы защиты и хране¬ ния данных платежных карт в банковских организациях в рамках их вы¬ пуска не рассмотрены достаточно подробно. В результате при подтвержде¬ нии соответствия стандарту в банках, где осуществляется и эквайринг, и выпуск карт на базе решения некоторых вендоров (таких как OpenWay, например), возникает ситуация, при которой в одной базе данных могут храниться критичные данные авторизации как сохраненные в процессе вы¬ пуска карт, так и сохраненные после авторизации. В этом случае необходи¬ мо рассматривать каждое место хранения данных в привязке к процессу, в рамках которого они возникают, — ведь в стандарте запрещено хранить критичные данные, возникшие только в результате авторизации, но ничего не сказано о данных, возникающих в рамках выпуска карт. Наиболее проблемным при внедрении всего стандарта обычно счита¬ ется требование 3.4 (приведение номеров карт при хранении к нечитае¬ мому виду путем использования шифрования, маскирования и т. п.), по¬ скольку это требует: • доработки/замены прикладного программного обеспечения, ис¬ пользуемого для обработки карт, включая изменение алгоритмов поиска номеров карт, в частности по маске; • обновления базы данных, поскольку, например, в СУБД Oracle шифрование хорошо поддерживается начиная с 10-й версии;