White Paper
פתרונות אבטחת מידע

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE-בנג'מין(בנימין) ברוך
שירותים מקצועיים, מחלקת יועצים ופתרונות "NSAP IT-CONSIDER IT DONE"
bb@nsapIT.com
מטרת המסמך

סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.
סטנדרט האבטחה של תעשיית כרטיסי האשראי הוא תקן תעשייתי שפותח כדי להקל על אימוץ רחב של אמות מידה עקביות בתחום אבטחת מידע בקנה מידה עולמי. הPCI DSS נדרש מכל הסוחרים וספקי השירותים שאוספים, מעבדים או משדרים נתונים של כרטיסי אשראי מאחת מחברות האשראי המשתתפות בתקן. חברות אשראי אלו מהוות את רשות האשראי העליונה, מועצת תקני האבטחה של חברות האשראי
 (PCI Security Standards Council) והינן: אמריקן אקספרס, דיסקאבר, JCB, MasterCard וויזה.
חברות רבות מאמינות שהתאמה לתקן הPCI  היא משימה מפרכת שיכולה להעשות רק על ידי ארגונים שמבזבזות הון על צוותי IT. גישה זו להתאמה לא משקפת מבט מנוסה על התקן או על האסטרטגיות למימושו. תקן הPCI משרטט גישה מנהלתית להתאמתו ע"י חלוקתו לרשימת תיוג של כ-12 דרישות. בכדי לראות מעבר לחשיבה הביקורתית עליכם להבין מספר נקודות מפתח של התקן ואיך עליכם להתאימו לארגונכם או לעסק שלכם.
למרות שמאמר זה לא מציע פתרון קסם להתאמה ישירה של התקן, הוא כן מרכז בתוכו כמה גישות ותובנות חשובות שיספקו לכם מבט מעמיק יותר על תקן הPCI כדי להבטיח תאימות זו.

להלן כמה דרכים מומלצות להמנע מ"לאחר" לתאימות לתקן הPCI:
•    החזיקו בקשרים קרובים עם צוות ההנהלה והפיתוח\IT. פעמים רבות מאמץ ההתאמה לתקן מזוהה ומנוהל ע"י מטרות מפתח עסקיות ללא ההשתתפות של בעלי תפקידים חשובים וצוות טכני כדי להכין מטרות אלו מראש, ההתאמה עלולה להדחות או להתבצע בצורה לא נכונה.
•    בצעו בדיקת פערים פנימים כחלק מההערכות לתקן הPCI וערכו הערכת מצב איכותית לגבי המכשולים בדרך, במיוחד אלו שלדעתכם יהיו הקשים ביותר או יגזלו את הזמן הרב ביותר. הבנת מכשולים אלו, שדורשים את מירב הזמן בתהליך, יאפשרו לכם לסיים כמה מסלולי תהליכים במקביל. לדוגמה, אם תפנו למכשולים אלו בצורה מנהלתית גרידא, אולי תזהו את דרישה 12.8 רק לקראת הסוף של תהליך הביקורת. דרישה זו עוסקת בהסכמים עם ספקי שירותים שיקחו זמן רב לשנות. יש לגשת לנושאים כמו דרישת תקן PCI 12.8 מוקדם ככל האפשר בתהליך הבדיקה בכדי להמנע מעיכובים בפרוייקט.
•    שימוש בשיטת סדר העדיפויות  לתקן הPCI הינה מאוד מומלצת, מכיוון שהיא מסייעת לפשט את התהליך. אופן השימוש בשיטה בצורה הטובה ביותר משתנה מארגון לארגון. למשל, ארגון קמעונאות גדול ישים בתור עדיפות גבוהה דרישות שלהן השפעה גדולה יותר על רשת נקודות המכירה ועל חנויות הרשת שלהם, בעוד מוקד טלפוני יתמקד בהחזקה וקידוד של נתונים. כל ארגון צריך להתאים את סדר העדיפויות שלו על בסיס הסביבה המיוחדת לו ולמערכותיו ובנוסף ליכולתו לקבל עליו סיכונים (כמו למשל מה יהיו ההשלכות של החלטה כמו לא להתייחס לדרישה עקרונית של התקן? האם תהיו מוכנים לקחת על עצמכם סיכון זה?).
•    יש חשיבות רבה לבעל מקצוע מנוסה שיעזור לתכנן את מפת הדרכים של ההתאמה של הארגון, שכן הוא יכול למנוע שימוש בארכיטקטורות, תצורות, ודרכי טיפול שעלולות להיות מיותרות. אם אין
הצעד השני של ניהול הפרוייקט, שהוא קריטי להצלחתו הכוללת, הוא לנסח מסמך מתועד ופורמלי לפרוייקט.דבר זה צריך, לכל הפחות, להתייחס לכל הסעיפים הנ"ל:
•    מה גרם להתחלת הפרוייקט
•    מה נעשה בשביל מי
•    מה מטרת הפרוייקט
•    מה יעד הסיום שלו
•    מה הם מאפייני הצלחתו
•    כמה תקציב מוקצה לו
•    מה הם אבני הדרך העיקריות בתהליך, ומה הם תאריכי היעד שלהן
•    מה בטווח התהליך ומה מחוצה לו
•    מי הם כל המעורבים
•    מי יושפעו מהתהליך
•    לאיזה מקרים ניתן להערך מראש
•    מה הן הנחות הבסיס
•    כיצד יש לתקשר בין הגורמים והמומחים ובאיזו שיטה
השלב השלישי וההכרחי מאוד של תהליך זה הוא לייסד צוות מיוחד, בו נציגים מכל גורמי המפתח בארגון המעורבים בתהליך. אחריותו של צוות זה היא לשמור על מיקוד ורציפות של התהליך בארגון ולבקר את קצב התנהלותו, הן במסמכים פורמלים ומבוקרים או לחליפין בתוכנה מיוחדת שתאפשר לכן לנהל את הסיכונים ואת אבני הדרך בארגונכם.
עצה מס' 3 – הגבל טווח "הסביבה" עד כמה שניתן
הטווח של תהליך ההתאמה לתקן נקבע לפי מיקומם הלוגי והפיסי של השרתים או המידע, מעובד ו\או משודר אצל כל סוחר וספק שירותים. תריסר הדרישות של התקן תואמות לכל רכיבי המערכת. האחרונים מוגדרים ככל רכיב רשת, שרת או אפליקציה שמכילה או מחוברת לנתונים של סביבת המידע של מחזיקי הכרטיסים. אם אין סגמנטציה נכונה בין תתי הרשתות, כל הרשת של הארגון עלולה להכלל בטווח הבדיקה עבור התקן. סגמנטציה נכונה של הרשת יכולה להתבע ע"י התקנת חומות-אש (מוגדרות וממודרות כנדרש) בין כל תתי הרשתות השונות.
תקן הPCI מציין בבירור שסגמנטציה של הרשת שמאפשרת בידוד בין מערכות שמאחסנות, מעבדות ומשדרות נתוני אשראי מאלו שאינן, תתן הגנה מספקת שתצמצם באופן ניכר את טווח הפרוייקט.
תקן הPCI אינו מוחל על סוג כזה של אחסון מידע. שיטה נוספת להמנע מאחסון של CHD היא צורה חזקה של טכניקות ערבול חד-צדדיות(one way hashing).
ישנו סוג אחר של מידע האסור לאחסון ללא הרשאה מיוחדת, אפילו אם הינו מוצפן או מעורבל. מידע זה קרוי נתוני זיהוי רגישים . אף על פי כן, ישנן תפיסות שגויות בקרב ארגונים אשר טוענים כי אחסון מידע זה לאחר ביצוע האישור עצמו נדרש למען מטרות עסקיות מסויימות (למשל עבור הדפסת העברות תכופות למען הלקוח), מניעת קונפליקטים פיננסיים, ומצבי charge-back. לא קיימת סיבה עסקית מוצדקת להחזיק במידע שכזה לאחר ביצוע האישור מכיוון שלא אחד מהמצבים שמוצגים לעיל דורש הזנה מחדש של מידע רגיש זה. אחסון של מידע זה יכול לגרום לדחיות מיותרות בפרוייקט ההתאמה ולהנדסה מחדש של תהליכים עסקיים.
עצה מס' 5 – הבטיחו עצמכם מעבר לרשימות ולכללים: עקבו אחרי המטרה שמאחורי האמצעים
מנהלי אבטת מידע בארגונים רבים נוטים לחפש רשימת משימות מוכנה מראש בכדי לפשט את משימות ההתאמה האבטחתית שלו. מה שחברי הצוות בדרך כלל שוכחים הוא שמאחורי כל רשימת משימות, ישנן סיבות אמיתיות.
רשימת משימות הינה רק דרך אחת לספק התאמה למשימה הניתנה. בזמן שרשימת תיוג ו/או כל כלי אחר יכול לספק לארגון שיטה מהירה וקלה לביקורת של משימות, מה שחשוב הוא לא המשימות השונות שיש לבצע, אלא הכוונה מאחוריהן. פעמים רבות, רשימת משימות  וכל כלי אחר יכולה לצייר תמונה מושלמת, בעוד המצב כפי שהוא בשטח רחוק מלהיות כזה. למרות שניתן להשתמש בכלים מסוג אלה, חשוב להפעיל שיקול דעת האם המאמצים שהוקצו באמת תואמים את הכוונה המקורית של הדרישה הספציפית.
דוגמה פשוטה של עניין זה היא דרישה של מעקב אחר התקשורת בחומת-אש לה אמצעי כיבוי חיצוני הנמצא בשליטת תוכנות ישנות. גישה מבוססת רשימת תיוג הדורשת את קיומה בלבד של חומת-אש כזו לא תגלה שום בעיה במימוש החיצוני.

מומלץ ביותר לייחד צוות אחראי שיכיל נציגים מכל האגפים הרלוונטיים אשר מהווים חלק בתהליך ההתאמה לתקן הPCI.
עצה מס' 7 – שאננות בעקבות תאימות עם תקנים אחרים, יכולה להזיק
תקן הPCI הינו ייחודי בכך שהוא הומצא, מתוחזק ונאכף הודות לסיבה אחת ספציפית: הגנה של נתוני אשראי. למרות שהתקן מתמקד בשיטות מועדפות של אבטחת מידע, הוא עדיין דורש תשומת לב מיוחדת ומיקוד.
ארגונים מסויימים נדהמים מכמות הפירוט שבתקן הPCI. החל בהגדרות של מאפייני בסיס בחומת-אש, דרך ניהול מפתחות הצפנה וקידוד ושמירה על כללי OWASP  לאבטחת אפליקציות ועד לבדיקות חולשות רבעוניות ובדיקות חדירה שנתיות, תקן הPCI משאיר מעט מאוד מקום להנחות והתגמשות בזמן מימוש דרישות האבטחה שלו.
פעמים רבות תהליך ההתאמה מתבצע לאחר שהארגון כבר מימש תקני אבטחה אחרים, כדוגמת תקן ISO/IEC 27001 . בעוד שתקן ISO 27001 הוא תקן ציון דרך לאבטחת מידע ולו פרספקטיבה כללית, הוא אינו נכתב במיוחד על מנת להתמודד עם סיכונים הקשורים ישירות למידע של מחזיקי אשראי. טיפולו הייחודי של תקן הPCI הוא שמבדיל אותו מהאחרים ולכן דורש מאמץ נוסף ולעיתים שינוי בהתנהלות העסק וברכיבי הטכנולוגיה שלו על מנת להתאים לדרישות התאמה אלו.
לכן, גם אם הארגון כבר התאים עצמו לתקני אבטחה אחרים, הוא עדיין צריך להעריך בחריצות ולהסיק על פעילויות ו/או השקעות נוספות בתוכניתו לפרוייקט התאמה לתקן הPCI בכדי להמנע מלחץ ותוהו ובוהו של הרגע האחרון. מאמץ מוקדם זה ישיג כברת דרך למען העלאת רמת האבטחה הקיימת וישיג הבנה טובה לגבי מה באמת מושג בשטח – ומה עוד נדרש כדי להיות מידה אחת יותר מכפי שנדרש.

עצה מס' 9 – הערכות פנים ארגוניות הינן הרבה יותר ממועילה
התאמה עם תקן הPCI איננה קשה אם היא מתוכננת ומבוצעת בצורה יעילה. לפני שארגון ניגש להערכה סופית ע"י QSA חיצוני, עליו לבצע בעצמו בדיקת קדם פנימית. בדיקה עצמית זו, שיש להתייחס אליה כאל ביקורת מדומה, מבוצעת ע"י גורמים מוסמכים מטעם הארגון לביצוע בחינת התאמה לתקן בצורה רשמית.
בחינת קדם פנימית הינה מלאכה מורכבת שעוזרת לזהות מלכודות ופערים פוטנציאלים אשר באם מתגלים בזמן הופכים את ההגעה לתאימות מלאה לתקן להיות קלה יותר.
לביצוע משימת בדיקת קדם, לארגון נדרש צוות מוסמך, בעל ידע בכל דרישות תקן הPCI ובכל נוהלי האבטחה שלו. צוות זה יבצע את הערכותיו בדרך רשמית כך שכוונתה, קפדונתה ומבנהה של הבדיקה יישמרו.
עצה מס' 10 – תעד את מעשיך ועשה את שתיעדת
עצה זו מתאימה באופן אוניברסלי לכל מבחן, הערכה ויוזמת הסמכה. למרות שהיא נראית כדרישה פשוטה וקלה להבנה, זו העצה שלרוב זוכה להתעלמותה הגדולה ביותר בארגונים מסויימים. דרישות תקן הPCI ונוהלי בדיקתו מדגישה בצורה רבה עדויות לתיעוד בדיוק כמו ליעילות המימוש. שתי הדרישות ההכרחיות הללו הינן ברות-השגה אם ורק הארגון מתעד באופן מוקפד את כל בקרי הארגון.

סימוכין ומידע עזר נוסף
אודות תקן תעשיית כרטיסי האשראי והסטנדרט לאבטחת נתונים רגישים(PCI-DSS)     
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
עשרת המיטוסים של תקן ה PCI DSS
https://www.pcisecuritystandards.org/pdfs/pciscc_ten_common_myths.pdf
תעדוף ואבני דרך נכונים לתקן DSS גרסה 1.2
https://www.pcisecuritystandards.org/education/prioritized.shtml
אחסון והגנה על נתוני אשראי, כיצד
https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf