Данные о держателе карты (cardholder data): уточняем определение
Автор: Бранден Уильямс (Branden Williams)
Вольный перевод: Евгений Бартов, руководитель ГК «Альянс ПРО»
Для большинства из нас определение «данных о держателе карты» (далее – ДДК) заканчивается на номере платежной карты или номере PAN. Это те самые противные цифирки, которые нужно защищать как только они попадают в систему, над которыми трясутся CIO и ради которых безопасники в предвкушении бюджетов довольно потирают руки. Прежде чем мы отправимся в увлекательное исследование по ИБ, Вы должны понимать, ЧТО вы должны защищать и ГДЕ это находится. (Об этом я писал здесь).
На собрании сообщества PCI SSC в 2009 году были довольно жаркие дискуссии об определении ДДК, как на общих собраниях, так и на собраниях Специальных групп (Special Interest Group, SIG). Я всегда думал, что понятие о ДДК вполне очевидно, однако, чем глубже копаешь этот термин, тем больше по нему вопросов. Данная информация была взята из стандарта PCI DSS, Вы его можете найти на сайте Совета SSC.
- Номер PAN. Это номер из 13-16 цифр, который указан на платежной карте. Уверен, что с пониманием этого сложностей не возникает. Усеченный номер (123456XXXXXX1234, где X обозначает УДАЛЕННЫЕ данные, а не МАСКИРОВАННЫЕ) номером PAN НЕ является. Данные платежной карты остаются данными платежной карты (ДПК) даже в зашифрованном виде, а вот в хешированном (в некоторых случаях) — нет.
- При хранении имени держателя карты, сервисного кода и (или) даты истечения срока действия карты вместе с PAN (например, в БД), эти данные считаются ДДК и подлежат такой же защите как и номера PAN согласно стандарту PCI DSS.
Рассмотрим несколько ситуаций.
- В базе данных хранятся ТОЛЬКО имя держателя карты и сервисный код. Являются ли эти данные ДДК? НЕТ, т.к. они хранятся без привязки к PAN.
- В файле VSAM, на мейнфрейме хранятся дата истечения срока действия карты и номера PAN. Являются ли все эти данные ДДК? ДА, т.к. дата истечения срока действия карты хранится вместе с номером PAN.
- В простом файле хранятся номера PAN, имя держателя карты, адрес и дата истечения срока действия карты. Является ли адрес ДДК? НЕТ, т.к. он не относится к трем элементам, которые считаются ДДК при хранении вместе с номером PAN.
…. а дата истечения срока действия карты и имя держателя карты? Конечно! - В базе данных хранятся номера PAN, код CVV2 и имя держателя карты. Относится ли код CVV2 к ДДК? ДА, но он относится к иной категории данных, которые нельзя хранить после завершения авторизации. К прочим данным, которые нельзя хранить, относятся полные данные дорожки магнитной полосы, коды (значения) CAV2/CVC2/CVV2/CID, ПИН и (или) ПИН-блок. Таким образом, если Вы видите, что эти данные находятся в файле, а карта уже была авторизована, то у Вас есть проблемы, которые требуют Вашего внимания, и Ваша организация, скорее всего, стандарту PCI DSS не соответствует.
Таким образом, определение ДДК хоть является ключом к пониманию области применения стандарта PCI DSS, но все же этот черт не настолько страшен, как некоторые его малюют. Так что пусть этот вопрос будет простым, а все остальное в PCI DSS – сложным. Договорились?
Оставить сообщение