موضوع:

ارائه مدل تطبیق ­یافته PCI/DSS برای شمای کارت­ های شتابی

Adopted model Of PCI/DSS For Shetab Card Schema

نویسندگان:

امیر خوانی، مدیرعامل شرکت آشناایمن، [email protected]

محمدجواد صمدی راد، مدیرعامل شرکت فناوری شهر، [email protected]

ارائه شده در:

چهارمین همایش سالانه بانکداری الکترونیک و نظام های پرداخت- 6 و 7 بهمن ماه 1393

چکیده (فارسی)

استاندارد PCI DSS، استاندارد امنیت اطلاعات برای سازمان­ هایی است که اطلاعات کارت‌های پرداخت را ذخیره سازی، پردازش یا انتقال می­ دهند و این استاندارد توسط مجموعه­ ای از برندهای معتبر کارت‌های پرداخت که دارای شماهای(Schema) شناخته شده­ ای در دنیا هستند (MasterCard, VISA, Discover, American Express)، ایجاد شده و توسعه داده شده است. در این مقاله سعی شده است، مدلی به منظور انطباق الزامات PCI/DSS برای شمای کارت­ های شتابی ارائه گردد. PCI/DSS دارای شش هدف کنترلی و 12 الزام بوده که به منظور بررسی انطباق شمای کارت‌های شتابی، می­ بایست این الزامات مدل شوند. در مدل پیشنهادی سعی شده است که الزامات به سه دسته تقسیم شوند.

1) الزامات در ارتباط مستقیم با شمای کارت

2) الزامات مرتبط با شبکه شتاب، شاپرک و PSP ها

3) الزامات فرآیندی و سیاست­ گذاری.

برای سنجش میزان انطباق شمای کارت شتابی در هر یک از سه دسته بالا، می­ بایست یک مدل بلوغ تعریف شده و بر اساس آن برای شمای کارت­های شتابی در هر الزام امتیازی لحاظ گردد. در ادامه با استفاده از روش تجزیه و تحلیل سلسله مراتبی (AHP) میزان بلوغ نهایی ارائه خواهد شد. نکته حائز اهمیت در این بخش این است که الگوی PCI/DSS حداقل­ های الزامات امنیتی را بیان نموده که در برخی حوزه ­ها نظیر محدود کردن دسترسی به داده‌های دارنده کارت بر حسب نیاز سازمانی و الزامات امنیتی در محافظت از اطلاعات حساس، شمای کارت­ های شتابی این حداقل‌ها را پوشش نمی­ دهد.

 واژگان کلیدی:

شمای کارت­های شتابی، PCI/DSS ، امنیت کارت‌های پرداخت، اطلاعات دارنده کارت

 Abstract

The Payment Card Industry Data Security Standard (PCI/DSS) is a proprietary information security standard for organizations that handle branded credit cards with popular card schemas including VisaMasterCardAmerican Express and Discover. In this paper we try to present a model for adoption of PCI/DSS with Shetab Cards. PCI/DSS has 6 Control Objective and 12 requirements that for adaption of these requirements they should be modeled. In the suggested model the requirements categorizes in 3 types. 1) Requirements related to card schema. 2) Requirements related to Shetab, Shaparak & PSP’s network. 3) Process & Policy making Requirements.

For evaluation of adoption of Shetab Card Schema in each 3 categories, we should define a maturity model for leveling Shetab Card Schema in each requirement. Then with analytical Hierarchy Process (AHP) the final level of maturity calculated. One of the important points in this issue is that PCI/DSS State the minimum level of security requirements that in some controls such as limiting the access to cardholder data according to organization requirements and security requirements in safeguarding sensitive data, Card Schema doesn’t cover these minimums.

Keywords: Shetab Card Schema, PCI/DSS, Payment card Security, Cardholder Data

 

1. مقدمه

اهمیت بحث امنیت اطلاعات در حوزه پرداخت از اهمیت حیاتی برخوردار است. ضروری است در این حوزه استانداردسازی لازم انجام شود. استاندارد PCI DSS، استاندارد امنیت اطلاعات برای سازمان­ هایی است که اطلاعات کارت‌های پرداخت را ذخیره سازی، پردازش یا انتقال می­ دهند و این استاندارد توسط مجموعه­ ای از برندهای معتبر کارت‌های پرداخت که دارای شماهای(Schema) شناخته شده­ ای در دنیا هستند (MasterCard, VISA, Discover, American Express)، ایجاد شده و توسعه داده شده است. در این مقاله سعی شده است انطباق شمای کارت­ های شتابی با الزامات PCI ارزیابی گردد.

2. ادبیات موضوع

با گسترش سیستم­ های پرداخت، موضوع امنیت در آن­ها اهمیت خاصی پیدا کرد. در گذشته هر یک از شرکت­ ها روش خاص خود را پیش می­ برد. بدین منظور استانداردهای حوزه PCI در این خصوص تدوین شد. در بخش اول پیشینه تحقیق، لازم است خانواده این استاندارد معرفی گردد. شکل 1 نمایی از استانداردهای این خانواده را نمایش می­ دهد.

ارائه مدل تطبیق یافته

شکل 1 – خانواده استاندارد PCI

PCI-DSS

استاندارد PCI DSS، استاندارد امنیت اطلاعات برای سازمان­ هایی است که اطلاعات کارت‌های پرداخت را ذخیره سازی، پردازش یا انتقال می­ دهند و این استاندارد توسط مجموعه­ ای از برندهای معتبر کارت‌های پرداخت که دارای شماهای(Schema) شناخته شده­ ای در دنیا هستند، تدوین شده است. کنترل­ های این استاندارد در 6 بخش و 12 حوزه تدوین شده است.

حوزه کنترل
ساخت و نگهداری شبکه و سیستم‌های ایمن 1.       نصب و نگهداشت پیکره بندی فایروال به منظور محافظت از اطلاعات دارنده کارت
2.       از کلمات عبور و سایر المان‌های امنیتی پیش فرض سیستم‌ها استفاده نکنید.
محافظت از اطلاعات دارنده کارت 3.       از داده های صاحبین کارت محافظت کنید.
4.       داده های دارندگان کارت در حال انتقال در شبکه های عمومی محافظت کنید.
نگهداری یک برنامه مدیریت آسیب پذیری 5.       از همه سیستم‌ها در برابر بدافزارها محافظت کنید و نرم افزارهای آنتی ویروس را به روز نمایید.
6.       سیستم‌ها و نرم افزارهای ایمن را تهیه و نگهداری نمایید.
پیاده سازی معیارهای کنترل دسترسی قوی 7.       دسترسی به داده های دارندگان کارت را بر مبنای آن حد که نیاز است محدود نمایید.
8.       دسترسی به اجزای سیستم را شناسایی و تایید هویت نمایید.
9.       دسترسی فیزیکی به داده های دارندگان کارت را محدود نمایید
پایش و آزمون منظم شبکه‌ها 10.   تمام دسترسی‌ها به منابع شبکه و دارندگان کارت را محدود نمایید.
11.   سیستم‌ها و فرآیندهای امنیتی را به صورت منظم بازدید نمایید.
نگهداشت خط مشی امنیت اطلاعات 12.   یک خط مشی به منظور هدایت امنیت اطلاعات برای کل پرسنل نگهداری نمایید.

PCI-PA DSS

استاندارد امنیت داده­ های برنامه ­های کاربردی پرداخت 14 الزام اصلی در این حوزه را در بردارد.

حوزه الزام
1 نوارهای مغناطیسی، کدها یا مقدارهای تایید اعتبار کارت و داده­ های PIN Block را نگهداری نمایید.
2 محافظت از داده­ های ذخیره­­ شده دارنده کارت
3 تأمین ویژگی­ های احراز هویت امن
4 لاگ ­گیری از کلیه فعالیت­ های پرداخت
5 تهیه برنامه­ های کاربردی امن در حوزه پرداخت
6 محافظت در تبادلات شبکه بی­ سیم
7 ارزیابی و آزمون آسیب ­پذیری­ های حوزه پرداخت
8 تأمین شبکه پیاده­ سازی امن
9 داده­ های دارندگان کارت به هیچ عنوان نباید بر روی یک سرور متصل به اینترنت قرار گیرد.
10 به روز رسانی نرم­ افزار از راه دور به صورت امن را تأمین نمایید.
11 دسترسی امن از راه دور به برنامه ­های کاربردی حوزه پرداخت را فراهم نمایید.
12 ترافیک­ های حساس بر روی شبکه ­های عمومی را امن نمایید.
13 کلیه دسترسی­ های راهبری غیر کنسولی را امن نمایید.
14 دستورالعمل­ های مستند و برنامه­ های آموزش را برای مشتریان، فروشندگان مجدد و یکپارچه کنندگان فراهم نمایید.

PCI-PTS

استانداردهای این بخش، پایه و مبنای برای آزمون تبادلات روی PIN و طرح­ های پذیرش این تست­ ها را فراهم می­ سازد. برای این منظور تجهیزات قابل قبول در این حوزه را معرفی می­ نماید. این استاندارد شامل بخش­ های کلان زیر است:

  • فرآیند تست ابزار PCI
  • فرآیند پذیرش ابزار PTS
  • فرآیند درخواست تغییر PTS

PCI Point to Point Encryption

یک راهکار رمزنگاری نقطه به نقطه که توسط یک تأمین‌کننده راهکار شخص ثالث تهیه می­ شود، و ترکیبی از ابزارهای امن، برنامه­ های کاربردی و فرایندهایی که از نقطه تعامل تا نقطه ­ای که رمزگشایی می­ شود شامل می­ شود.

معرفی شمای کارت­ ها شتابی:

شمای کارت شتابی، المان­ های مختلف پرداخت در شبکه شتاب را معرفی می­ نماید. بطور کلی شمای شبکه شتاب شامل بخش­ های زیر است:

ارائه مدل تطبیق یافتهشکل 2 شمای کارت­ ها شتابی

3.روش تحقیق

در این پژوهش ابتدا ادبیات موضوع که شامل دو بخش کلی استاندارد PCI و شمای کارت شتابی است بررسی گردیده است. در ادامه با استفاده از روش تحقیق که مطالعه میدانی است، رعایت الزامات امنیتی در حوزه­ های مختلف شمای کارت­ های شتابی ارزیابی شده است. در این خصوص یک مدل بلوغ 5 سطحی تعریف شده است:

سطح یک: کنترل مربوطه بطور کلی اجرا نمی­ گردد.

سطح دو: کنترل مربوطه بطور خاص و موردی در برخی از بخش ­های آن حوزه اجرا می­ گردد، اما فاقد فرآیند رسمی جهت کنترل می­ باشد.

سطح سه: برای کنترل مربوطه در حوزه مورد بررسی فرآیند وجود دارد. اما نظارت دقیق بر اجرای آن وجود دارد.

سطح چهار: برای کنترل مربوطه در حوزه مورد بررسی فرآیند وجود دارد و نظارت دقیق بر فرآیند اجرای آن صورت می­ پذیرید.

سطح پنج: برای کنترل مربوطه در حوزه مورد بررسی فرآیند وجود دارد و نظارت دقیق بر فرآیند اجرای آن صورت می­ پذیرد و الزامات به صورت مداوم توسط کنترل­ هایی به­ روز می­گردد.

فرض صفر این تحقیق رعایت الزامات PCI DSS توسط بخش ­های مختلف شمای کارت شتابی است. روش کسب داده نیز مطالعه میدانی است. جامعه آماری، مجموع بانک ­ها، ارائه­ دهندگان خدمات پرداخت (PSPs)، تأمین‌کنندگان برنامه­ های کاربردی حوزه پرداخت و … می­ باشد.

4.یافته‌ها و نتایج

به عنوان خروجی این پژوهش، دو مدل ارائه شده است. مدل اول الزاماتی است که در هر یک از اجزای شمای کارت ­های شتابی می­ بایست ارائه شود. در این خصوص خلاصه مجموعه الزامات 4 استاندارد در جدول بیان شده و مشخص شده که این الزامات در چه حوزه­ هایی می­ بایست رعایت شود.

ردیف استاندارد الزام بانک­ ها شاپرک PSP ها تأمین‌کنندگان نرم ­افزارهای بانکی
1 PCI/DSS 1.نصب و نگهداشت پیکره بندی فایروال به منظور محافظت از اطلاعات دارنده کارت
2 PCI/DSS 2.از کلمات عبور و سایر المان‌های امنیتی پیش فرض سیستم‌ها استفاده نکنید.
3 PCI/DSS 3.از داده های صاحبین کارت محافظت کنید.
4 PCI/DSS 4.داده های دارندگان کارت در حال انتقال در شبکه های عمومی محافظت کنید.
5 PCI/DSS 5.از همه سیستم‌ها در برابر بدافزارها محافظت کنید و نرم افزارهای آنتی ویروس را به روز نمایید.
6 PCI/DSS 6.سیستم‌ها و نرم افزارهای ایمن را تهیه و نگهداری نمایید.
7 PCI/DSS 7.دسترسی به داده های دارندگان کارت را بر مبنای آن حد که نیاز است محدود نمایید.
8 PCI/DSS 8.دسترسی به اجزای سیستم را شناسایی و تایید هویت نمایید.
9 PCI/DSS 9.دسترسی فیزیکی به داده های دارندگان کارت را محدود نمایید
10 PCI/DSS 10.تمام دسترسی‌ها به منابع شبکه و دارندگان کارت را محدود نمایید.
11 PCI/DSS 11.سیستم‌ها و فرآیندهای امنیتی را به صورت منظم بازدید نمایید.
12 PCI/DSS 12.یک خط مشی به منظور هدایت امنیت اطلاعات برای کل پرسنل نگهداری نمایید.
13 PCI PA 1.نوارهای مغناطیسی، کدها یا مقدارهای تایید اعتبار کارت و داده ­های PIN Block را نگهداری نمایید.
14 PCI PA 2.محافظت از داده­ های ذخیره ­­شده دارنده کارت
15 PCI PA 3.تأمین ویژگی­ های احراز هویت امن
16 PCI PA 4.لاگ­ گیری از کلیه فعالیت­ های پرداخت
17 PCI PA 5.تهیه برنامه­ های کاربردی امن در حوزه پرداخت
18 PCI PA 6.محافظت در تبادلات شبکه بی­ سیم
19 PCI PA 7.ارزیابی و آزمون آسیب­ پذیری­ های حوزه پرداخت
20 PCI PA 8.تأمین شبکه پیاده­ سازی امن
21 PCI PA 9.داده­ های دارندکان کارت به هیچ عنوان نباید بر روی یک سرور متصل به اینترنت قرار گیرد
22 PCI PA 10.به روز رسانی نرم­افزار از راه دور به صورت امن را تأمین نمایید.
23 PCI PA 11.دسترسی امن از راه دور به برنامه­ های کاربردی حوزه پرداخت را فراهم نمایید.
24 PCI PA 12.ترافیک­ های حساس بر روی شبکه­ های عمومی را امن نمایید.
25 PCI PA 13.کلیه دسترسی­ های راهبری غیر کنسولی را امن نمایید.
26 PCI PA 14.دستورالعمل­ های مستند و برنامه­ های آموزش را برای مشتریان، فروشندگان مجدد و یکپارچه­ کنندگان فراهم نمایید.
27 PCI PTS 1.فرآیند تست ابزار PCI
28 PCI PTS 2.فرآیند پذیرش ابزار PTS
29 PCI PTS 3.فرآیند درخواست تغییر PTS
30 P2PE 1.الزامات رمزنگاری

خروجی دوم این پژوهش سطح بلوغ میانگین شمای کارت­ های شتابی در حوزه الزامات PCI DSS می­ باشد. در این بخش با استفاده از روش مقایسه زوجی اهمیت الزامات به صورت دو به دو مقایسه شده و در پایان سطح بلوغ در قالب یک نمودار عنکبوتی نمایش داده شده است.

ارائه مدل تطبیق یافته

همچنین با توجه به مطالعه به عمل‌آمده سطح بلوغ میانگین با توجه به سطوح بلوغ تعریف شده در بخش ادبیات موضوع در ادامه آمده است.

الزام استاندارد امتیاز وزن امتیاز موزون
1. فایروال 3 7.81 0.234187117
2. امنیت کلمه عبور 3 9.46 0.283701055
3. داده های صاحبین کارت 2 11.59 0.23186567
4. داده های شبکه های عمومی 2 10.73 0.21452807
5. بد افزار 5 3.51 0.175604946
6. نرم افزار ایمن 3 12.57 0.377161498
7. محدودیت دسترسی به داده‌ها 2 8.15 0.162911644
8. دسترسی به اجزای سیستم 2 8.62 0.172496545
9. دسترسی فیزیکی به داده های دارندگان کارت 3 8.74 0.262311425
10.  دسترسی به منابع شبکه 3 9.33 0.27986086
11.بازدید دوره ای 2 5.28 0.105534531
12.خط مشی 1 4.21 0.042136796
 امتیاز موزون 100.00 2.54

ارائه مدل تطبیق یافته

این بخش از تحقیق به نتایج بدست آمده، ارائه مدل، یافته های جدید محقق، بهبودهای کسب شده، مزایای مدل نسبت به تحقیقات قبلی و توصیف اکتشافات می‌پردازد.

5. جمع بندی

با توجه به لزوم امنیت شمای کارت­ های شتابی، پیشنهاد می­ گردد، یا در خصوص استقرار این استانداردها در حوزه پرداخت در حوزه­ های مرتبط در بخش­ های مختلف شمای کارت­ های شتابی اقدام گردد و یا اینکه با توجه به حساسیت موضوع نسبت به بومی­ سازی استانداردهای موجود اقدام گردد. در هر صورت ضروری است مجموعه­ ای زیر نظر بانک مرکزی جمهوری اسلامی ایران، به منظور نظارت بر استقرار این استانداردها تدوین شده و با دیدگاه نظارت حاکمیتی بر استقرار این استانداردها در حوزه ­های مختلف شمای کارت­ های شتابی مستقل از اینکه در حوزه دولتی یا خصوصی فعالیت می­ نمایند، استفاده نماید. در واقع بانک مرکزی می­ بایست یک شمای کارت امنیتی یا Security Card Scheme طراحی نموده و از طریق آن بر بخش‌های مختلف نظارت نماید.

منابع

[1] https://www.pcisecuritystandards.org

[2] https://www.thales-esecurity.com/solutions/by-technology-focus/point-to-point-encryption

[3]http://www.theukcardsassociation.org.uk/

[4]https://www.pcicomplianceguide.org