موضوع: ارائه مدل تطبیق یافته PCI/DSS برای شمای کارت های شتابی Adopted model Of PCI/DSS For Shetab Card Schema |
نویسندگان: امیر خوانی، مدیرعامل شرکت آشناایمن، a.khani@ashnasecure.com محمدجواد صمدی راد، مدیرعامل شرکت فناوری شهر، mj.samadi@gmail.com |
ارائه شده در: چهارمین همایش سالانه بانکداری الکترونیک و نظام های پرداخت- 6 و 7 بهمن ماه 1393 |
چکیده (فارسی)
استاندارد PCI DSS، استاندارد امنیت اطلاعات برای سازمان هایی است که اطلاعات کارتهای پرداخت را ذخیره سازی، پردازش یا انتقال می دهند و این استاندارد توسط مجموعه ای از برندهای معتبر کارتهای پرداخت که دارای شماهای(Schema) شناخته شده ای در دنیا هستند (MasterCard, VISA, Discover, American Express)، ایجاد شده و توسعه داده شده است. در این مقاله سعی شده است، مدلی به منظور انطباق الزامات PCI/DSS برای شمای کارت های شتابی ارائه گردد. PCI/DSS دارای شش هدف کنترلی و 12 الزام بوده که به منظور بررسی انطباق شمای کارتهای شتابی، می بایست این الزامات مدل شوند. در مدل پیشنهادی سعی شده است که الزامات به سه دسته تقسیم شوند.
1) الزامات در ارتباط مستقیم با شمای کارت
2) الزامات مرتبط با شبکه شتاب، شاپرک و PSP ها
3) الزامات فرآیندی و سیاست گذاری.
برای سنجش میزان انطباق شمای کارت شتابی در هر یک از سه دسته بالا، می بایست یک مدل بلوغ تعریف شده و بر اساس آن برای شمای کارتهای شتابی در هر الزام امتیازی لحاظ گردد. در ادامه با استفاده از روش تجزیه و تحلیل سلسله مراتبی (AHP) میزان بلوغ نهایی ارائه خواهد شد. نکته حائز اهمیت در این بخش این است که الگوی PCI/DSS حداقل های الزامات امنیتی را بیان نموده که در برخی حوزه ها نظیر محدود کردن دسترسی به دادههای دارنده کارت بر حسب نیاز سازمانی و الزامات امنیتی در محافظت از اطلاعات حساس، شمای کارت های شتابی این حداقلها را پوشش نمی دهد.
واژگان کلیدی:
شمای کارتهای شتابی، PCI/DSS ، امنیت کارتهای پرداخت، اطلاعات دارنده کارت
Abstract
The Payment Card Industry Data Security Standard (PCI/DSS) is a proprietary information security standard for organizations that handle branded credit cards with popular card schemas including Visa, MasterCard, American Express and Discover. In this paper we try to present a model for adoption of PCI/DSS with Shetab Cards. PCI/DSS has 6 Control Objective and 12 requirements that for adaption of these requirements they should be modeled. In the suggested model the requirements categorizes in 3 types. 1) Requirements related to card schema. 2) Requirements related to Shetab, Shaparak & PSP’s network. 3) Process & Policy making Requirements.
For evaluation of adoption of Shetab Card Schema in each 3 categories, we should define a maturity model for leveling Shetab Card Schema in each requirement. Then with analytical Hierarchy Process (AHP) the final level of maturity calculated. One of the important points in this issue is that PCI/DSS State the minimum level of security requirements that in some controls such as limiting the access to cardholder data according to organization requirements and security requirements in safeguarding sensitive data, Card Schema doesn’t cover these minimums.
Keywords: Shetab Card Schema, PCI/DSS, Payment card Security, Cardholder Data
1. مقدمه
اهمیت بحث امنیت اطلاعات در حوزه پرداخت از اهمیت حیاتی برخوردار است. ضروری است در این حوزه استانداردسازی لازم انجام شود. استاندارد PCI DSS، استاندارد امنیت اطلاعات برای سازمان هایی است که اطلاعات کارتهای پرداخت را ذخیره سازی، پردازش یا انتقال می دهند و این استاندارد توسط مجموعه ای از برندهای معتبر کارتهای پرداخت که دارای شماهای(Schema) شناخته شده ای در دنیا هستند (MasterCard, VISA, Discover, American Express)، ایجاد شده و توسعه داده شده است. در این مقاله سعی شده است انطباق شمای کارت های شتابی با الزامات PCI ارزیابی گردد.
2. ادبیات موضوع
با گسترش سیستم های پرداخت، موضوع امنیت در آنها اهمیت خاصی پیدا کرد. در گذشته هر یک از شرکت ها روش خاص خود را پیش می برد. بدین منظور استانداردهای حوزه PCI در این خصوص تدوین شد. در بخش اول پیشینه تحقیق، لازم است خانواده این استاندارد معرفی گردد. شکل 1 نمایی از استانداردهای این خانواده را نمایش می دهد.
شکل 1 – خانواده استاندارد PCI
PCI-DSS
استاندارد PCI DSS، استاندارد امنیت اطلاعات برای سازمان هایی است که اطلاعات کارتهای پرداخت را ذخیره سازی، پردازش یا انتقال می دهند و این استاندارد توسط مجموعه ای از برندهای معتبر کارتهای پرداخت که دارای شماهای(Schema) شناخته شده ای در دنیا هستند، تدوین شده است. کنترل های این استاندارد در 6 بخش و 12 حوزه تدوین شده است.
حوزه | کنترل |
ساخت و نگهداری شبکه و سیستمهای ایمن | 1. نصب و نگهداشت پیکره بندی فایروال به منظور محافظت از اطلاعات دارنده کارت |
2. از کلمات عبور و سایر المانهای امنیتی پیش فرض سیستمها استفاده نکنید. | |
محافظت از اطلاعات دارنده کارت | 3. از داده های صاحبین کارت محافظت کنید. |
4. داده های دارندگان کارت در حال انتقال در شبکه های عمومی محافظت کنید. | |
نگهداری یک برنامه مدیریت آسیب پذیری | 5. از همه سیستمها در برابر بدافزارها محافظت کنید و نرم افزارهای آنتی ویروس را به روز نمایید. |
6. سیستمها و نرم افزارهای ایمن را تهیه و نگهداری نمایید. | |
پیاده سازی معیارهای کنترل دسترسی قوی | 7. دسترسی به داده های دارندگان کارت را بر مبنای آن حد که نیاز است محدود نمایید. |
8. دسترسی به اجزای سیستم را شناسایی و تایید هویت نمایید. | |
9. دسترسی فیزیکی به داده های دارندگان کارت را محدود نمایید | |
پایش و آزمون منظم شبکهها | 10. تمام دسترسیها به منابع شبکه و دارندگان کارت را محدود نمایید. |
11. سیستمها و فرآیندهای امنیتی را به صورت منظم بازدید نمایید. | |
نگهداشت خط مشی امنیت اطلاعات | 12. یک خط مشی به منظور هدایت امنیت اطلاعات برای کل پرسنل نگهداری نمایید. |
PCI-PA DSS
استاندارد امنیت داده های برنامه های کاربردی پرداخت 14 الزام اصلی در این حوزه را در بردارد.
حوزه | الزام |
1 | نوارهای مغناطیسی، کدها یا مقدارهای تایید اعتبار کارت و داده های PIN Block را نگهداری نمایید. |
2 | محافظت از داده های ذخیره شده دارنده کارت |
3 | تأمین ویژگی های احراز هویت امن |
4 | لاگ گیری از کلیه فعالیت های پرداخت |
5 | تهیه برنامه های کاربردی امن در حوزه پرداخت |
6 | محافظت در تبادلات شبکه بی سیم |
7 | ارزیابی و آزمون آسیب پذیری های حوزه پرداخت |
8 | تأمین شبکه پیاده سازی امن |
9 | داده های دارندگان کارت به هیچ عنوان نباید بر روی یک سرور متصل به اینترنت قرار گیرد. |
10 | به روز رسانی نرم افزار از راه دور به صورت امن را تأمین نمایید. |
11 | دسترسی امن از راه دور به برنامه های کاربردی حوزه پرداخت را فراهم نمایید. |
12 | ترافیک های حساس بر روی شبکه های عمومی را امن نمایید. |
13 | کلیه دسترسی های راهبری غیر کنسولی را امن نمایید. |
14 | دستورالعمل های مستند و برنامه های آموزش را برای مشتریان، فروشندگان مجدد و یکپارچه کنندگان فراهم نمایید. |
PCI-PTS
استانداردهای این بخش، پایه و مبنای برای آزمون تبادلات روی PIN و طرح های پذیرش این تست ها را فراهم می سازد. برای این منظور تجهیزات قابل قبول در این حوزه را معرفی می نماید. این استاندارد شامل بخش های کلان زیر است:
- فرآیند تست ابزار PCI
- فرآیند پذیرش ابزار PTS
- فرآیند درخواست تغییر PTS
PCI Point to Point Encryption
یک راهکار رمزنگاری نقطه به نقطه که توسط یک تأمینکننده راهکار شخص ثالث تهیه می شود، و ترکیبی از ابزارهای امن، برنامه های کاربردی و فرایندهایی که از نقطه تعامل تا نقطه ای که رمزگشایی می شود شامل می شود.
معرفی شمای کارت ها شتابی:
شمای کارت شتابی، المان های مختلف پرداخت در شبکه شتاب را معرفی می نماید. بطور کلی شمای شبکه شتاب شامل بخش های زیر است:
3.روش تحقیق
در این پژوهش ابتدا ادبیات موضوع که شامل دو بخش کلی استاندارد PCI و شمای کارت شتابی است بررسی گردیده است. در ادامه با استفاده از روش تحقیق که مطالعه میدانی است، رعایت الزامات امنیتی در حوزه های مختلف شمای کارت های شتابی ارزیابی شده است. در این خصوص یک مدل بلوغ 5 سطحی تعریف شده است:
سطح یک: کنترل مربوطه بطور کلی اجرا نمی گردد.
سطح دو: کنترل مربوطه بطور خاص و موردی در برخی از بخش های آن حوزه اجرا می گردد، اما فاقد فرآیند رسمی جهت کنترل می باشد.
سطح سه: برای کنترل مربوطه در حوزه مورد بررسی فرآیند وجود دارد. اما نظارت دقیق بر اجرای آن وجود دارد.
سطح چهار: برای کنترل مربوطه در حوزه مورد بررسی فرآیند وجود دارد و نظارت دقیق بر فرآیند اجرای آن صورت می پذیرید.
سطح پنج: برای کنترل مربوطه در حوزه مورد بررسی فرآیند وجود دارد و نظارت دقیق بر فرآیند اجرای آن صورت می پذیرد و الزامات به صورت مداوم توسط کنترل هایی به روز میگردد.
فرض صفر این تحقیق رعایت الزامات PCI DSS توسط بخش های مختلف شمای کارت شتابی است. روش کسب داده نیز مطالعه میدانی است. جامعه آماری، مجموع بانک ها، ارائه دهندگان خدمات پرداخت (PSPs)، تأمینکنندگان برنامه های کاربردی حوزه پرداخت و … می باشد.
4.یافتهها و نتایج
به عنوان خروجی این پژوهش، دو مدل ارائه شده است. مدل اول الزاماتی است که در هر یک از اجزای شمای کارت های شتابی می بایست ارائه شود. در این خصوص خلاصه مجموعه الزامات 4 استاندارد در جدول بیان شده و مشخص شده که این الزامات در چه حوزه هایی می بایست رعایت شود.
ردیف | استاندارد | الزام | بانک ها | شاپرک | PSP ها | تأمینکنندگان نرم افزارهای بانکی |
1 | PCI/DSS | 1.نصب و نگهداشت پیکره بندی فایروال به منظور محافظت از اطلاعات دارنده کارت | ▀ | ▀ | ▀ | |
2 | PCI/DSS | 2.از کلمات عبور و سایر المانهای امنیتی پیش فرض سیستمها استفاده نکنید. | ▀ | ▀ | ▀ | |
3 | PCI/DSS | 3.از داده های صاحبین کارت محافظت کنید. | ▀ | ▀ | ▀ | ▀ |
4 | PCI/DSS | 4.داده های دارندگان کارت در حال انتقال در شبکه های عمومی محافظت کنید. | ▀ | ▀ | ||
5 | PCI/DSS | 5.از همه سیستمها در برابر بدافزارها محافظت کنید و نرم افزارهای آنتی ویروس را به روز نمایید. | ▀ | ▀ | ▀ | ▀ |
6 | PCI/DSS | 6.سیستمها و نرم افزارهای ایمن را تهیه و نگهداری نمایید. | ▀ | ▀ | ||
7 | PCI/DSS | 7.دسترسی به داده های دارندگان کارت را بر مبنای آن حد که نیاز است محدود نمایید. | ▀ | ▀ | ▀ | |
8 | PCI/DSS | 8.دسترسی به اجزای سیستم را شناسایی و تایید هویت نمایید. | ▀ | ▀ | ▀ | ▀ |
9 | PCI/DSS | 9.دسترسی فیزیکی به داده های دارندگان کارت را محدود نمایید | ▀ | ▀ | ▀ | |
10 | PCI/DSS | 10.تمام دسترسیها به منابع شبکه و دارندگان کارت را محدود نمایید. | ▀ | ▀ | ▀ | |
11 | PCI/DSS | 11.سیستمها و فرآیندهای امنیتی را به صورت منظم بازدید نمایید. | ▀ | |||
12 | PCI/DSS | 12.یک خط مشی به منظور هدایت امنیت اطلاعات برای کل پرسنل نگهداری نمایید. | ▀ | |||
13 | PCI PA | 1.نوارهای مغناطیسی، کدها یا مقدارهای تایید اعتبار کارت و داده های PIN Block را نگهداری نمایید. | ▀ | ▀ | ▀ | |
14 | PCI PA | 2.محافظت از داده های ذخیره شده دارنده کارت | ▀ | ▀ | ▀ | |
15 | PCI PA | 3.تأمین ویژگی های احراز هویت امن | ▀ | ▀ | ||
16 | PCI PA | 4.لاگ گیری از کلیه فعالیت های پرداخت | ▀ | ▀ | ||
17 | PCI PA | 5.تهیه برنامه های کاربردی امن در حوزه پرداخت | ▀ | ▀ | ||
18 | PCI PA | 6.محافظت در تبادلات شبکه بی سیم | ▀ | |||
19 | PCI PA | 7.ارزیابی و آزمون آسیب پذیری های حوزه پرداخت | ▀ | ▀ | ▀ | |
20 | PCI PA | 8.تأمین شبکه پیاده سازی امن | ▀ | |||
21 | PCI PA | 9.داده های دارندکان کارت به هیچ عنوان نباید بر روی یک سرور متصل به اینترنت قرار گیرد | ▀ | ▀ | ▀ | |
22 | PCI PA | 10.به روز رسانی نرمافزار از راه دور به صورت امن را تأمین نمایید. | ▀ | ▀ | ▀ | |
23 | PCI PA | 11.دسترسی امن از راه دور به برنامه های کاربردی حوزه پرداخت را فراهم نمایید. | ▀ | ▀ | ▀ | |
24 | PCI PA | 12.ترافیک های حساس بر روی شبکه های عمومی را امن نمایید. | ▀ | ▀ | ||
25 | PCI PA | 13.کلیه دسترسی های راهبری غیر کنسولی را امن نمایید. | ▀ | ▀ | ▀ | |
26 | PCI PA | 14.دستورالعمل های مستند و برنامه های آموزش را برای مشتریان، فروشندگان مجدد و یکپارچه کنندگان فراهم نمایید. | ▀ | |||
27 | PCI PTS | 1.فرآیند تست ابزار PCI | ▀ | |||
28 | PCI PTS | 2.فرآیند پذیرش ابزار PTS | ▀ | |||
29 | PCI PTS | 3.فرآیند درخواست تغییر PTS | ▀ | |||
30 | P2PE | 1.الزامات رمزنگاری | ▀ | ▀ |
خروجی دوم این پژوهش سطح بلوغ میانگین شمای کارت های شتابی در حوزه الزامات PCI DSS می باشد. در این بخش با استفاده از روش مقایسه زوجی اهمیت الزامات به صورت دو به دو مقایسه شده و در پایان سطح بلوغ در قالب یک نمودار عنکبوتی نمایش داده شده است.
همچنین با توجه به مطالعه به عملآمده سطح بلوغ میانگین با توجه به سطوح بلوغ تعریف شده در بخش ادبیات موضوع در ادامه آمده است.
الزام استاندارد | امتیاز | وزن | امتیاز موزون |
1. فایروال | 3 | 7.81 | 0.234187117 |
2. امنیت کلمه عبور | 3 | 9.46 | 0.283701055 |
3. داده های صاحبین کارت | 2 | 11.59 | 0.23186567 |
4. داده های شبکه های عمومی | 2 | 10.73 | 0.21452807 |
5. بد افزار | 5 | 3.51 | 0.175604946 |
6. نرم افزار ایمن | 3 | 12.57 | 0.377161498 |
7. محدودیت دسترسی به دادهها | 2 | 8.15 | 0.162911644 |
8. دسترسی به اجزای سیستم | 2 | 8.62 | 0.172496545 |
9. دسترسی فیزیکی به داده های دارندگان کارت | 3 | 8.74 | 0.262311425 |
10. دسترسی به منابع شبکه | 3 | 9.33 | 0.27986086 |
11.بازدید دوره ای | 2 | 5.28 | 0.105534531 |
12.خط مشی | 1 | 4.21 | 0.042136796 |
امتیاز موزون | 100.00 | 2.54 |
این بخش از تحقیق به نتایج بدست آمده، ارائه مدل، یافته های جدید محقق، بهبودهای کسب شده، مزایای مدل نسبت به تحقیقات قبلی و توصیف اکتشافات میپردازد.
5. جمع بندی
با توجه به لزوم امنیت شمای کارت های شتابی، پیشنهاد می گردد، یا در خصوص استقرار این استانداردها در حوزه پرداخت در حوزه های مرتبط در بخش های مختلف شمای کارت های شتابی اقدام گردد و یا اینکه با توجه به حساسیت موضوع نسبت به بومی سازی استانداردهای موجود اقدام گردد. در هر صورت ضروری است مجموعه ای زیر نظر بانک مرکزی جمهوری اسلامی ایران، به منظور نظارت بر استقرار این استانداردها تدوین شده و با دیدگاه نظارت حاکمیتی بر استقرار این استانداردها در حوزه های مختلف شمای کارت های شتابی مستقل از اینکه در حوزه دولتی یا خصوصی فعالیت می نمایند، استفاده نماید. در واقع بانک مرکزی می بایست یک شمای کارت امنیتی یا Security Card Scheme طراحی نموده و از طریق آن بر بخشهای مختلف نظارت نماید.
منابع
[1] https://www.pcisecuritystandards.org
[2] https://www.thales-esecurity.com/solutions/by-technology-focus/point-to-point-encryption
[3]http://www.theukcardsassociation.org.uk/
[4]https://www.pcicomplianceguide.org
PCI PCI PCI PCI PCI PCI PCI PCI PCI PCI PCI PCI