PCI DSS to zestaw standardów bezpieczeństwa ustalonych w 2004 r. przez największe firmy obsługujące karty kredytowe, ponieważ aplikacje przetwarzające płatności są bardzo atrakcyjnymi celami dla hakerów i przestępców.
Misją PCI DSS jest zabezpieczenie transakcji kartami kredytowymi i debetowymi nie tylko w celu ograniczenia strat banków i branży kart płatniczych, ale także zwiększenia zaufania i bezpieczeństwa konsumentów. Osiąga się to dzięki zestawowi mechanizmów kontroli bezpieczeństwa, które chronią poufność, integralność i dokładność danych karty. Ten standard zgodności dotyczy każdej organizacji, która przechowuje, przetwarza i przesyła dane kart kredytowych. W odróżnieniu od NIST, czyli struktury, której zdecydowanie zachęcamy do przestrzegania, ale nie mamy obowiązku przestrzegać, absolutnie musisz przestrzegać PCI DSS.
PCI DSS składa się z 12 wymagań pogrupowanych w sześć celów kontroli, dzięki czemu organizacje przetwarzające, przechowujące lub przesyłające dane kart kredytowych utrzymują bezpieczne środowisko. Zgodność z przepisami pomaga chronić informacje o użytkownikach kart i wzmacniać ogólne środki bezpieczeństwa.
Zasada nr 5: Ochrona przed złośliwym oprogramowaniem
Istnieją również cztery poziomy zgodności, w zależności od rocznej liczby przetwarzanych transakcji kartą kredytową/debetową. Klasyfikacja określa, co organizacja musi zrobić, aby zachować zgodność z przepisami:
Każdy w organizacji odgrywa rolę w utrzymywaniu zgodności z przepisami. Zaczyna się od dyrektorów CISO, a następnie każe zespołom SecOps i DevOps. W idealnym świecie DevSecOps nie ma hierarchii w zakresie odpowiedzialności za bezpieczeństwo między obydwoma zespołami — współpracują ze sobą. SecOps musi pomóc zespołom DevOps zrozumieć, co muszą zrobić, a programiści muszą to zrobić na poziomie aplikacji.
Oto kilka przykładów tego, jak nieustanna zgodność z wymogami stanowi wysiłek zespołowy:
Wszystko to, co można powiedzieć — każdy odgrywa rolę w zachowaniu zgodności z przepisami. Nie tylko dla większego dobra organizacji, ale także dla zapewnienia wydajnego tworzenia i wdrażania aplikacji oraz pewności, że po uruchomieniu aplikacji nie otrzymasz 10 000 alertów SOS Slack.
Jak już wspomnieliśmy, Twoja odpowiedzialność spoczywa głównie na poziomie aplikacji. Obejmuje to korzystanie z bezpiecznego kodu źródłowego, zapewnienie odpowiednich konfiguracji dla potoku CI/CD i nie tylko. Być może myślisz: Dobrze, ale skąd mam wiedzieć, jak to zrobić? Dobra wiadomość jest taka, że nie musisz być świtem bezpieczeństwa ani zgodności z przepisami, tak jak nie musisz być neurochirurgiem, aby odciąć band-Aid. Chodzi o to, aby znać i stosować odpowiednie zasoby (np. band-aid zamiast naklejać serwetkę na ranę).
Aby uniknąć błędnych konfiguracji, możesz sprawdzić stronę dokumentacji dostawcy usług chmurowych (CSP). Jednak przeczytanie wszystkich tych informacji może być zbyt czasochłonne. Jeśli tak jest, sugerujemy (zamiast zdecydowanie zalecamy) korzystanie z rozwiązania bezpieczeństwa z automatyzacją.
Pierwszym naruszeniem, które może sobie przypomnieć, jest włamanie do Capital One, które ujawniło 106 milionów wniosków o karty kredytowe i doprowadziło do nałożenia grzywny w wysokości 80 milionów dolarów od amerykańskich organów regulacyjnych. Przyjrzyjmy się innym naruszeniom bezpieczeństwa i temu, jak można było ich uniknąć, odwołując się do zasad i celów PCI DSS.
Na początku 2021 r. zhakowano Hobby Lobby. Niezależny badacz korzystający z uchwytu Boogeyman zidentyfikował naruszenie. Odkrył publicznie dostępną bazę danych w serwisie Amazon Web Services (AWS), która zawierała wrażliwe informacje od ponad 300 000 klientów Hobby Lobby. Baza danych miała rozmiar 138GB i zawierała imiona i nazwiska klientów, adresy, numery telefonów i częściowe dane kart. Co dziwne, w tej samej bazie danych znajdował się kod źródłowy aplikacji firmy, co jest kolejnym problemem.
Naruszenie to było wynikiem błędnie skonfigurowanej bazy danych w chmurze, która była publicznie dostępna. Jest to oczywiste naruszenie zasad PCI DSS nr 3, 7 i 9, ponieważ dane kart płatniczych były przechowywane na otwartym serwerze. Hobby Lobby nie przestrzega także zasady nr 10, która mówi, że dostęp do danych posiadaczy kart i odpowiednich zasobów sieciowych musi być śledzony i monitorowany. To wyraźnie się nie wydarzyło. W przeciwnym razie błędy konfiguracji zostałyby usunięte, a ostatecznie udałoby się ich uniknąć.
W październiku 2019 r. główny sprzedawca detaliczny doznał naruszenia, w wyniku którego ujawniono numery kart płatniczych, kody bezpieczeństwa i daty ważności klientów, którzy korzystali z systemu kas internetowych na stronie portfela Moje konto. Chociaż Macy’s nie ujawnił liczby klientów, których to dotyczy, detalista odwiedził 55,7 miliona stron internetowych miesięcznie do kwietnia tego roku. Szczerze mówiąc, kradzież informacji tylko od jednego klienta to problem.
Naruszenie nastąpiło w wyniku ukierunkowanego ataku Magecart, który wstrzyknął złośliwe oprogramowanie do kasy i stron portfela. Macy's najwyraźniej naruszył wiele zasad PCI DSS, a bardziej niepokojący jest fakt, że Magecart jest dobrze znany. W rzeczywistości Macy’s był tylko jedną z wielu ofiar tego roku, w tym FILA, Ticketmaster, British Airways i innych. Wcześniejsze ataki na innych głównych sprzedawców detalicznych powinny zmotywować Macy’s do przeprowadzania audytów bezpieczeństwa i usuwania luk w zabezpieczeniach zgodnie z wymogami PCI DSS.