ADG Оставить заявку
Блог Регуляторика 4 мин чтения

PCI DSS 1.2: готовим ритейл-клиента к аудиту

Вышел PCI DSS 1.2 с уточнениями по беспроводным сетям и шифрованию. Помогаем ритейлеру разобраться с сегментацией, логированием и пентестом - составляем план.

Контекст момента

Выход PCI DSS версии 1.2 в октябре 2008 года с уточнением требований к беспроводным сетям и шифрованию

В октябре PCI SSC выпустил версию 1.2 стандарта PCI DSS. Изменения точечные: уточнения по беспроводным сетям, скорректированные формулировки по шифрованию и несколько правок, которые убирали двусмысленность из 1.1. Не революция, но несколько требований теперь читаются иначе, и это меняет список обязательных мероприятий.

Как раз в этот момент к нам обратился клиент из продуктового ритейла - несколько магазинов в Москве, центральный офис, собственный процессинг карточных платежей на кассах. Готовятся к сертификационному аудиту QSA. Срок - начало следующего года. Попросили помочь разобраться, что именно надо закрыть.

Мы взялись за аудит. Ниже - что увидели и как выстраиваем план.

Первое - сегментация сети, и это больно

Самое болезненное место почти у любого ритейлера: кассы, бэк-офис, бухгалтерия и Wi-Fi для сотрудников живут в одной плоской сети. PCI DSS это не запрещает формально, но тогда в периметр CDE (Cardholder Data Environment) попадает всё - и аудит становится в разы шире и дороже.

У клиента - именно такая история. Кассовые терминалы в одном VLAN с принтерами, рабочими станциями менеджеров и точками доступа Wi-Fi. Мы честно сказали: либо мы делаем нормальную сегментацию, либо аудит будет охватывать буквально каждое устройство в сети.

Решение - выделить CDE в отдельный VLAN, ограничить трафик через межсетевой экран, документировать все потоки данных в этот сегмент и из него. По версии 1.2 требования к беспроводным сетям стали чуть строже: если Wi-Fi никак не связан с CDE, это надо явно подтвердить конфигурацией и сканированием. У клиента в одном из магазинов Wi-Fi-точка физически стоит рядом с кассой - это не автоматически проблема, но придётся доказать, что сети изолированы.

Второе - логирование: что писать, куда писать, сколько хранить

Требование 10 PCI DSS - журналы аудита. Звучит просто, на практике всегда есть нюансы. У клиента логи с касс пишутся в базу на том же сервере. Это нарушает принцип целостности: если сервер скомпрометирован, атакующий может чистить логи. Надо централизованное хранилище, отдельное от систем, которые оно журналирует.

Минимальный набор событий по стандарту - доступ к данным держателей карт, попытки аутентификации (успешные и нет), изменения в настройках систем CDE, запуск и остановка процессов аудита. По 1.2 список чуть уточнён, но по сути не изменился.

Хранение - минимум год, из которых три месяца должны быть доступны для оперативного анализа. У клиента логи ротировались раз в месяц и не архивировались вообще. Это надо исправить до аудита - без дискуссий.

Мы рекомендовали поднять централизованный syslog с TLS (у нас есть опыт с rsyslog, писали про это раньше). Плюс - минимальная корреляция по критичным событиям: несколько неудачных попыток входа подряд должны поднимать алерт, а не тихо падать в файл.

Третье - тестирование на проникновение

Требование 11.3 - пентест минимум раз в год и после значимых изменений в инфраструктуре. Не сканирование уязвимостей, а именно пентест с имитацией атаки. Клиент до этого ни разу не заказывал ничего подобного. Первая реакция - «а это обязательно?». Да, обязательно, QSA это проверяет.

Пентест надо провести до сертификационного аудита - чтобы найти проблемы самим и успеть закрыть. Если аудитор найдёт критичную уязвимость первым - это несоответствие и срыв сертификации.

Внешний и внутренний пентест - разные задачи. Внешний проверяет периметр: что видно из интернета, насколько прощупываем платёжный шлюз. Внутренний - что может сделать условный злоумышленник, попавший внутрь сети, до CDE. При плоской сети, как у клиента, ответ на второй вопрос очевиден и неприятен, поэтому сегментация - приоритет номер один.

Как выглядит план мероприятий

Мы разбили работу на три блока:

  • Сетевая сегментация. Проект VLAN под CDE, правила межсетевого экрана, документирование потоков данных, проверка изоляции Wi-Fi. Это самое долгое - оцениваем в шесть-восемь недель с учётом того, что переключать надо без остановки торговли.
  • Логирование и мониторинг. Централизованный syslog, настройка источников на кассах и серверах, правила хранения, минимальные алерты. Три-четыре недели параллельно с сетевым блоком.
  • Пентест и сканирование. После завершения сегментации - внутренний пентест силами внешнего подрядчика, плюс сканирование ASV (одобренным вендором) для внешнего периметра. Результаты - в отчёт, который покажем QSA.

Плюс документация: политики, процедуры, матрица ответственности. Без бумаги аудитору неинтересно, что всё фактически работает.

Где сейчас

Сетевой аудит закончен, схема CDE с разметкой потоков данных готова. Клиент согласовал план - начинаем с VLAN. Про пентест договариваемся с подрядчиком, которому доверяем.

До аудита QSA - примерно три месяца. Реально, если не будет сюрпризов при сегментации. Сюрпризы при переключении сетей в торговых точках бывают почти всегда - закладываем буфер.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.