Pci pts что такое

Обновлено: 07.07.2024

PCI DSS и банкоматы: и все-таки – проверять или не проверять?

Очень часто от QSA-аудиторов можно слышать мнение, что при определении области аудита на соответствие стандарту PCI DSS необходимо включать в нее банкоматную сеть. В частности, данное мнение было высказано на конференции «Информационная безопасность банков PCI DSS Russia 2014» представителем российской компании, имеющей статус QSA.

По мнению QSA, терминальные устройства являются системными компонентами, как и сервер, рабочая станция, сетевое оборудование, со своими специфичными угрозами, а значит, АТМ – такой же системный компонент с точки зрения PCI DSS, как, например, POS-терминал.

Позиция QSA в данном случае весьма объяснима и при внешней заботе об интересах безопасности банковской инфраструктуры в действительности базируется на здоровой меркантильности: чем шире область аудита, тем больше объем работ и, как следствие, выше стоимость услуг по прохождению аудита. Однако хотелось бы сделать попытку объективно разобраться, действительно ли банкоматы входят в область аудита.

Начнем с первоисточников. У PCI SSC есть единственный документ, который непосредственно обращен к банкоматам.

Это «Information Supplement: ATM Security Guidelines». Но в самом документе при определении его области действия указано, что он не предназначен для использования в качестве требований для программы проверки соответствия PCI SSC 1 .

Иными словами, документ носит исключительно рекомендательный характер и им нельзя руководствоваться ни при каких проверках на соответствие требованиям PCI. В данном документе обращает на себя внимание утверждение, что платежная отрасль нуждается в глобальном стандарте по обеспечению безопасности банкоматов, а PCI PTS и PCI PIN являются превосходными отправными точками для разработки необходимого стандарта. Но оба они применяются только для POS-терминалов, и возможность их применения для АТМ только рассматривается PCI SSC 2 (Payment Card Industry Security Standards Council). Итак, на первый взгляд, получается, что никаких «обязывающих» документов в отношении банкоматов со стороны PCI SSC нет, в том числе в отношении такого рода устройств не подлежат обязательному исполнению PCI PTS и PCI PIN. Такой вывод звучит несколько парадоксально, учитывая, что в PCI PIN (Требования по безопасному управлению ПИН-кодами индустрии платежных карт, версия 1.0, сентябрь 2011) прямо указано: в документе содержится полный комплект требований (!) по безопасному управлению, обработке и передаче данных ПИН в процессе транзакции по платежной карте в режимах онлайн и офлайн в банкоматах и attended/ unattended POS-терминалах.


В свою очередь, стандарт PCI PTS (Payment Card Industry PIN Transaction Security Point of Interaction Modular Security Requirements Version 4.0 June 2013) предназначен, в том числе, для ПИН-падов, которые интегрируются в банкоматы. Правда, сам ATM Security Guidelines уточняет, что информация, предоставленная в нем, не заменяет и не отменяет требования в любом стандарте PCI SSC 3 .

Может быть, какие-то разъяснения в отношении банкоматов даны на сайте самого Совета? Действительно, среди часто задаваемых вопросов 4 имеется и вопрос 5 о применении требований PCI DSS, PA-DSS или PTS к банкоматам 6 .

Совет (PCI SSC) поясняет, что определяет общие требования к обеспечению безопасности, а какие из них конкретно распространяется на АТМ – решают платежные системы. Чтобы определить, должны ли ATM проверяться на соответствие PCI DSS, PADSS или PTS, пожалуйста, непосредственно связывайтесь с платежными системами 7 .

Такая позиция Совета является разумной, так как реализация и контроль выполнения требований PCI осуществляется платежными системами.

Что же говорят по данному вопросу сами платежные системы? В частности, в одном из документов Visa 8 спрашивается: какие требования PCI DSS относятся к поставщикам АТМ, владельцам АТМ и процессингам АТМ? 9 Интересно, что в данном случае не спрашивается, попадают ли банкоматы в область аудита. Так как требования PCI SSС состоят из различных документов, то на данный вопрос можно было бы ответить, что к поставщикам АТМ относятся требования PA-DSS, PTS, а к процессингам – PCI PIN. Однако ответ дается достаточно общий о том, что существует многообразие возможных вариантов поставки, использования и обслуживания АТМ, и в каждом конкретном случае Visa рекомендует обращаться к QSA, чтобы установить применимость PCI DSS к определенной среде 10 , для включения ее в область проверки. Т. е. речь идет только об одном документе: «Требования и процедуры аудита безопасности», и Visa рекомендует сделать то, что QSA-аудитор и так обязан делать: определить область аудита.

Еще один характерный вопрос данного документа: АТМ банка-эмитента входят в «scope» PCI DSS? 11

1 «2.1 Document Purpose and Scope. This document proposes guidelines to mitigate the effect of attacks to ATM aimed at stealing PIN and account data. These guidelines are neither definitive nor exhaustive and are not intended to be used as requirements for a validation program at the PCI SSC.»

2 «3.3 ATM Technical Standards. As organized global crime syndicates target ATMs, the financial industry needs a global ATM security standard to promote the availability of secure ATMs. The current versions of PCI PTS POI Security Requirements and PCI PIN Security Requirements are excellent starting points for these needed standards. However they are currently defined for POS terminals and their adjustment to ATMs is currently under consideration at the PCI SSC.»

3 «Information provided here does not replace or supersede requirements in any PCI SSC Standard.»

5 Article Number: 1223

6 «Does PCI DSS, PA-DSS, or PTS apply to ATMs?»

7 «While the Payment Card Industry Security Standards Council (PCI SSC) manages the payment security standards and related programs, each payment brand is responsible for their own compliance programs, including who must comply with the different standards, due dates for compliance, fines, etc. To determine whether ATMs must validate PCI DSS, PA-DSS, or PTS compliance, please contact the payment brands directly.»

8 VISA BULLETIN 31 March 2011. Issuers’ Payment Card Industry Data Security Standard Frequently Asked Questions.

9 «2. Which of the PCI DSS requirements pertain to ATM vendors, ATM owners and ATM processors?

10 Regarding ATM provisioning or ATM servicing, there are many different service option configurations and managed services; each case may have a unique configuration. For each entity that deploys, services or provisions ATMs, Visa recommends contracting with an approved PCI Security Standards Council (SSC) Qualified Security Assessor (QSA) to determine the applicability of the PCI DSS requirements to the defined in-scope environment.»

UPT и стандарты безопасности: в поисках золотой середины

В последнее время мы наблюдаем устойчивый рост числа устройств самообслуживания с функционалом приема платежей по банковским картам. На платформах «Аэроэкспресса» и московских вокзалах можно купить билеты и за наличные, и с оплатой по картам, а вот паркоматы в центре Москвы уже не принимают наличные, здесь разрешены только карточные платежи и альтернативные варианты безналичных расчетов.

Широкий интерес участников платежного рынка к устройствам банковского самообслуживания породил у производителей закономерные вопросы к правилам построения безопасных систем для приема банковских карт. И если правила МПС по отношению к POS-терминалам и ПИН-падам достаточно просты для понимания, то в части устройств самообслуживания ситуация крайне запутанна и требует от производителя или банка серьезного изучения всего набора документов по сертификации PCI (PTS).

Различные сочетания решений в комплекты в зависимости от стоящих бизнес-задач

Пример типового, но, к сожалению, абсолютно неправильного сочетания компонент UPT

Целью данной статьи является попытка разобраться в специфике построения безопасных устройств самообслуживания, наборе требований в комплексе стандартов и выработке простых правил, следование которым обезопасит производителя и владельца устройства от претензий международных платежных систем (МПС) и владельцев карт. Будут приведены примеры правильного и, напротив, неправильного построения таких систем с анализом соответствия актуальным требованиям МПС.

Требования МПС к POS−терминалам

Требования международных платежных систем, предъявляемые к POS-терминалам и ПИН-падам, как было отмечено выше, весьма просты и прозрачны. Согласно им любое изделие, предназначенное для приема платежей по банковским картам с вводом ПИН-кода, должно иметь как минимум 4 сертификата:

1. Сертификат EMV Level 1 (отдельно для контактных и бесконтактных карт), свидетельствующий о том, что картридер контактной или бесконтактной карты на физическом уровне взаимодействия удовлетворяет требованиям МПС (т. е. напряжения правильных уровней подаются в правильное время на контакты чиповой карты, размер и напряженность поля антенны соответствуют заданным значениям, и т. п.).

2. Сертификат EMV Level 2 (отдельно для контактных и бесконтактных карт). Этот документ должен удостоверить тот факт, что алгоритм взаимодействия с чиповой картой реализован правильно. При этом практически все производители терминалов сертифицируют так называемую EMV-библиотеку, которая может быть использована на всем семействе устройств, обладающих следующими признаками:

a. Используется один и тот же тип процессора (например, ARM или семейство х86 Intel).

b. Используется одна и та же операционная система (например Linux или MS Windows или проприетарная).

При этом должен применяться один и тот же компилятор для генерации исполняемого кода для этой библиотеки на различных устройствах. Отсюда следует весьма важный вывод, что EMV-библиотека, сертифицированная для работы на POS-терминале на основе ARM-процессора под управлением проприетарной ОС, не может быть откомпилирована и использована на персональном компьютере типа IBM PC под управлением MS Windows, и наоборот. Более того, некорректно переносить EMV-библиотеку с терминала одного производителя на терминал другого без нового сертификационного тестирования, что иногда пытаются сделать вендоры-новички из Азии.

3. Сертификат по безопасности PCI PED версии 1.х, 2.х или PCI PTS – начиная с версии 3.0. Этот сертификат говорит о том, что устройство реализовано с учетом требований МПС по безопасности. Попросту говоря, в него крайне затруднительно внедрить «жучок», загрузить «левые» программы и украсть данные карты или ПИН-код. При всем этом не надо путать стандарты PCI PED (PTS) и PCI DSS. PCI DSS – это сертификация банка, процессора или крупного торгово-сервисного предприятия на предмет правильного обращения с персональными данными, и она не затрагивает вопросов исследования безопасности терминальных устройств (за исключением настроек терминальных устройств со стороны банка).

4. Сертификат TQM от MasterCard – это сертификат соответствия производства (завода) требованиям МПС по соблюдению производственной дисциплины и некоторых специфических требований по безопасности (использования средств и процедур, обеспечивающих защиту доступа к секретным данным). По сути, TQM – это адаптация стандарта ISO 9000 к специфике производства терминального оборудования.

Отдельным пунктом стоит наличие сертификата PCI PA. Последний выдается на программу (приложение) для POS-терминала и, помимо исследования программы на предмет безопасного хранения данных транзакции, утечек памяти и т. д., свидетельствует о сертификации разработчика приложения в части соблюдения правил и процедур по надежной разработке продукта, хранения версий и воспроизводимости результатов. Нужно отметить, что данный сертификат обязателен только для «коробочных» продуктов; если же программа разработана для конкретного банка, можно обойтись без этой, пока весьма дорогостоящей, сертификации.

Сертификаты для устройств самообслуживания (UPT)

Все вышеперечисленные сертификаты для POS-терминалов требуются и для устройств банковского самообслуживания. Но здесь присутствует важный нюанс: устройства самообслуживания в отличие от POS-терминалов и ПИН-падов зачастую выполнены не в виде моноблока, а состоят из некоторого набора устройств (часто производимых различными компаниями), соединенных кабелями. Например, можно встретить киоск самообслуживания, в котором установлен платежный контроллер в виде промышленного компьютера с ОС MS Windows и подключенными к нему:
• EPP-клавиатурой с сертификатом PCI PED 1.3;
• моторизированным ридером контактных и магнитных карт с сертификатом EMV L1;
• бесконтактным ридером с сертификатами EMV L1, EMV L2;
• большим цветным дисплеем (часто с touchscreen), на котором отображаются «звездочки» при наборе ПИН-кода.

При этом на данном компьютере работает приложение, включающее сертифицированную EMV L2 библиотеку и, возможно, имеющее сертификат PCI PA.

На первый взгляд, все в порядке – в наличии все требуемые сертификаты, но именно в этом поверхностном взгляде и кроется подвох – решение собрано хоть из сертифицированных, но разнородных компонентов, при этом итоговый комплект не сертифицировался в качестве единого целого, поэтому абсолютно нелегитимен: для устройств самообслуживания установлены особый порядок и правила сертификации. Попробуем разобраться в этом детально.

Набор стандартов, в которых описываются требования PCI к устройствам самообслуживания

В настоящее время существует 4 действующих стандарта, которые регламентируют требования по безопасности для устройств самообслуживания:

1. Payment Card Industry (PCI): POS PIN Entry Device Security Requirements Manual VERSION 1.х;

2. Payment Card Industry (PCI) Unattended Payment Terminal (UPT) Security Requirements Version 1.х;

3. Payment Card Industry (PCI) POS PIN Entry DeviceSecurity RequirementsVersion 2.х;

4. Point of Interaction (POI) Modular Security Requirements v3.х

Согласно стандарту PCI PED 1.x, PIN Entry Device (PED) обычно состоит из:
1. Клавиатуры для ввода ПИН-кода;
2. Дисплея для взаимодействия с пользователем;
3. Процессора и памяти для обработки ПИН-кода и ПО (Firmware, FW);
4. Картридера

Аналогичное определение состава устройства самообслуживания (UPT) содержится и в стандарте Payment Card Industry (PCI) Unattended Payment Terminal (UPT) Security Requirements Version 1.0.

При этом существует отдельный стандарт, уточняющий требования к клавиатуре для ввода ПИН-кода: Encrypting PIN Pad (EPP) Security Requirements Manual V1.0, который раскрывает суть существования отдельных требований стандарта для ПИН-клавиатур (EPP):

«Шифрующие ПИН-клавиатуры (EPP) являются составной частью необслуживаемых оператором устройств ввода PIN (PED). Обычно EPP используются для защиты введения держателем карты своего номера PIN. Для цели этого документа EPP рассматривается как состоящая только из защищенного устройства ввода PIN-кода. ЕРР используются в соединении (составе) с АТМ, топливораздаточными колонками (ТРК), киосками и торговыми автоматами. Полное описание требований к этим устройствам можно найти в других документах индустрии платежных карт (PCI) по защите PED. Поставщики могут выбрать оценку EPP отдельно, как первый шаг к аттестации PED, или как часть общей аттестации PED для устройства данного типа. Для аттестации PED применяются дополнительные критерии, такие как проверка дисплея подсказок, а там, где предполагается проверка ПИН-кода в режиме offline, используются критерии, применимые к картридеру и взаимодействию с ним».

Таким образом, из описания стандартов PCI PED версий 1.х и 2.х однозначно ясно, что по этим стандартам сертифицировались только конечные решения и устройства в виде комплектов, а отдельные требования для сертификации EPP были введены лишь как первый шаг для облегчения сертификации конечного решения.

В конечную сертификацию входила оценка защищенности картридера и дисплея, процессора и Firmware, т. е. некого «обобщенного» устройства, состоящего из набора различных физических блоков. Такие комплекты разрабатывались и выпускались всеми ведущими вендорами, но их стоимость была весьма высока, что сдерживало широкое применение.

Основная трудность заключалась в том, что не существовало отдельных картридеров, сертифицированных по PCI PED, которые бы массово выпускались специализированными компаниями. Был широко известен ручной картридер (DIP-reader) от компании Sankyo, удовлетворяющий требованиям PCI PED 1.3, но время сертификаций по версии 1.3 давно прошло, а других ридеров не появилось. Именно поэтому ведущие производители были вынуждены производить свои защищенные картридеры и сертифицировать их в комплекте с EPP, дисплеями и контроллерами. Было, правда, одно весьма важное для нашего рынка исключение – если не использовался режим верификации/проверки ПИН-кода в режиме offline (Offline PIN Verification), то картридер «выпадал» из процесса сертификации, чем и воспользовались многие поставщики решений для российского рынка.

Структура сертифици− рованного устройства самообслуживания

Итак, устройство самообслуживания с вводом ПИН-кода и Offline PIN Verification должно быть сертифицировано по стандартам PCI PED 1.x, 2.x или PCI UPT 1.x как единый комплект, в составе которого имеются:

1. Защищенная клавиатура для ввода ПИН-кода;
2. Защищенный дисплей;
3. Защищенный процессор и память (контроллер), на которых выполняется банковское приложение совместно с EMV-библиотекой;
4. Защищенный картридер.

При этом все 4 составные части комплекта могутбытьвыполненыилив виде 4 отдельных блоков, или интегрированы в более компактные устройства.В случае, когда режимOffline PIN Verification не используется, т. е. для проверки держателя карты используется только Online PIN Verification, то сертифицированный комплект должен состоять всего из 3 частей:

1. Защищенная клавиатура для ввода ПИН-кода;
2. Защищенный дисплей;
3. Защищенный процессор и память (контроллер), на которых выполняется банковское приложение совместно с EMV-библиотекой.

Только с введением стандарта PCI PTS версии 3.х появилась возможность отказаться от сертификации конечного изделия в комплексе благодаря понятию модульности, предусмотренной в этом стандарте. Теперь можно объединять различные части для создания устройства самообслуживания, если они все имеют сертификаты PCI PTS 3.x. Это, несомненно, существенно облегчает задачу интеграции и упрощает весь процесс.

Обратная сторона модульности и пример оптимального решения

Как же добиваются соответствия требованиям безопасности в распределенной структуре устройства самообслуживания, когда все 4 части имеют свой корпус? Этого удается достичь за счет усложнения каждой из частей комплекта (для обеспечения защиты периметра каждого из блоков от несанкционированного проникновения и шифрации канала связи с контроллером). Такая схема решения логично приводит к тому, что в каждой из составных частей сертифицируемого комплекта должен находиться специализированный процессор, контролирующий целостность защитных сеток, параметров питания и т. д. и при этом хранящий ключ шифрования канала связи. Идентичные ключи (при симметричном шифровании) должны храниться в контроллере и в периферийных устройствах. Из-за этого возникает множество проблем с логистикой таких комплектов, распределением ключей, восстановлением после ремонта и т. д. Все это, безусловно, напрямую влияет на цену конечного решения. С практической точки зрения выгодно использовать комбинированные устройства, когда максимальное число составляющих частей интегрированы в один корпус.

Эвотор 5i SmartPOS сертифицирован PCI PTS

ИТ-компания «Эвотор», входит в экосистему Сбербанка, стала первым российским производителем SmartPOS на базе Android OC, получившим сертификат безопасности PCI PTS (Payment Card Industry PIN transaction security). Также Эвотор 5i SmartPOS ― первое российское устройство с обработкой PIN кода на сенсорном дисплее.

Сертификат подтверждает безопасность ввода и обработки PIN-кода при проведении транзакций, защищенность устройства от рисков внедрения вредоносного ПО или кражи данных карт и PIN-кодов. Безопасность и проверка PIN-кода осуществляется с помощью специализированного криптографического оборудования (HSM).

«При разработке Эвотор 5i SmartPOS мы учитывали потребности наших клиентов, заинтересованных в многофункциональных компактных устройствах. При этом нам удалось обеспечить надежность “железа” и безопасность данных при проведении платежей. Соответствие программно-аппаратного обеспечения Эвотор 5i SmartPOS современным международным стандартам подтверждено необходимыми сертификатами: EMV Level 1, EMV Level 2 и PCI PTS», — отмечает Андрей Романенко, генеральный директор Эвотора.

Сбербанк и Эвотор впервые представили 5i SmartPOS в марте 2019 года. Это устройство российского производства на базе Android ОС объединяет онлайн-кассу и терминал эквайринга для оплаты с помощью банковских карт, QR-кодов, Apple Pay, Samsung Pay, Google Pay и других технологий. Разработан специально для малого и среднего бизнеса: небольших магазинов, предприятий услуг и общепита, выездной и рыночной торговли.

Payment Card Industry Security Standards Council (PCI SSC, Совет по стандартам безопасности индустрии платежных карт) объединяет участников отрасли для разработки и внедрения стандартов безопасности данных и средств для безопасных платежей по всему миру. Совет основан в 2006 году компаниями American Express, Discover, JCB International, MasterCard и Visa Inc. Внедряет стандарт безопасности данных индустрии платежных карт (PCI DSS), требования безопасности транзакций с применением PIN-кода (PTS) и стандарт безопасности данных платежных приложений (PA-DSS).

Читайте также: