281

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 251-300

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Безопасность аппаратной и сетевой инфраструктуры 281 ня, брешь в системе безопасности уровня приложений позволит полу¬ чить доступ к самой важной составляющей ПЦ — данным о платежных картах, к которым в итоге стремится потенциальный злоумышленник. Приведенный выше печальный пример бреши в системе безопасности уровня приложений с терминалами самообслуживания помог злоумыш¬ леннику получить данные по платежным картам, причем он не нарушил ни один из периметров защиты самого ПЦ. Таким образом, безопасность уровня приложений можно оценить как один из самых важных пунктов в обеспечении сетевой безопасности ПЦ в целом. Какие меры необходимо принять для снижения такого рода угрозы? На этот вопрос в первую очередь поможет ответить относительно не давно принятый стандарт в области защиты данных PA DSS . Данный стандарт описывает предъявляемые требования к программному обес¬ печению, работающему с данными о платежных картах. После принятия данного стандарта каждый из поставщиков решения для работы с пла¬ стиковыми картами обязан будет иметь сертификат соответствия дан¬ ному стандарту. Данный сертификат должен быть предъявлен в ходе проверки ПЦ на соответствие требованиям PCI DSS. Одним из требований в стандарте является отсутствие данных о пла¬ тежных картах в открытом виде. К таким данным относятся данные о номерах карт, о сроке их действия и CVC2/CVV2. Также запрещено хранение данных с магнитной полосы и ПИН-блока. Помимо запрета на хранение данных безопасность уровня приложе¬ ний обеспечивается регулярными критическими обновлениями опера¬ ционных систем и СУБД. Такие обновления позволяют исправить най¬ денные уязвимости в операционных системах и СУБД. Также необходимо устанавливать обновления программного обеспе¬ чения на межсетевых экранах и маршрутизаторах. В случае наличия сис¬ тем IPS/IDS необходимо проводить обновление сигнатур сетевых угроз. К сожалению, не всегда то или иное обновление может быть безбо¬ лезненно установлено. В практике любого ПЦ бывали случаи, когда об¬ новление ПО на ключевых узлах приводило к частичной или полной его 1 Подробно о данном стандарте см. раздел «Стандарты международных платежных систем PCI DSS».