7 věcí, které jsme začali dělat jinak, abychom zabezpečili platební bránu na maximum

03. 10. 2017

Aktuality/GoPay

Letos v červenci jsme už podruhé vyhověli nejpřísnějším požadavkům na bezpečnost plateb – standardu PCI DSS Level 1.

Aby se tak stalo, museli jsme ujít kus trnité cesty.

Vyhovět všem požadavkům pro nás znamenalo totální revoluci v našem systému.

Čím vším jsme si prošli, jak nás to změnilo a co to znamená pro naše zákazníky?

PCi DSS

Co je PCI DSS?
PCI DSS je zkratka pro Payment Card Industry Data Security Standard – tedy bezpečnostní pravidla, která platí pro svět platebních karet. PCI DSS je program, za kterým stojí karetní asociace (VISA, MasterCard, apod.). Dále definice hovoří o souboru mezinárodních bezpečnostních standardů (norem), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet.

Letos máme pocit, že se nám standard plnil o něco snáz. Už jsme věděli, jak na to.

Když se nám ale dokumentace se všemi úkoly dostala do rukou poprvé, jen jsme ztěžka polkli. Čekalo na nás 250 požadavků, které jsme museli splnit jeden po druhém.

Jaké body pro zajištění bezpečnosti standard definuje?
PCI DSS Level 1 se točí kolem 6 hlavních bodů:

  • Vybudování a udržování bezpečné sítě a systémů
  • Ochrana dat držitelů platebních karet
  • Testování zranitelností systému
  • Zavedení přísných opatření a kontrol přístupů k aplikaci
  • Pravidelné monitorování a testování sítí
  • Dodržování pravidel ohledně bezpečnosti informací

Co všechno jsme museli udělat, abychom PCI DSS Level 1 splnili?

1. Vybudovali jsme rozsáhlou infrastrukturu

Základním stavebním kamenem celého bezpečnostního standardu je vybudování rozsáhlé aplikační a hardwarové infrastruktury. Pro nás to znamenalo se do takového úkolu pořádně opřít.

2. Přestěhovali jsme se do Amazon Web Services

Zásadním momentem celého procesu pro nás bylo rozhodnutí přestěhovat všechny naše systémy do Amazon Web Services, zkráceně AWS (ano, Amazon dávno neprodává jenom knížky, ale provozuje i jedny z nejlepších cloudových řešení na světě).

AWS jsme si vybrali mimo jiné proto, že také dodržuje PCI DSS. Tím jsme na provozovatele serverů AWS přenesli některé zodpovědnosti (např. fyzickou bezpečnost). Rozdělení jednotlivých zodpovědností je pak jasně definované v rozsáhlé dokumentaci.

Co znamená PCI DSS Level 1?
PCI DSS se dělí na několik úrovní. Nejvyšší úroveň se označuje jako Level 1. GoPay tuto úroveň splňuje. Znamená to, že svým uživatelům poskytujeme maximálně zabezpečený systém.

3. Výrazně jsme upravili aplikační infrastrukturu

Sáhnout jsme museli i do aplikační infrastruktury.

Zavedli jsme například komplikované šifrování nebo překopali procesy kolem ukládání a mazání dat, s čímž souvisí i to, že jsme oddělili zabezpečenou část s citlivými údaji od zbytku infrastruktury. Stálo nás to nemalé prostředky a hlavně úsilí, ale nelitujeme ničeho.

4. Začali jsme lépe dokumentovat naše systémy

Díky plnění požadavků PCI DSS standardu jsme přišli na to, jak lépe dokumentovat naše systémy.

Standard po nás vyžadoval přísnou dokumentaci úplně všeho, co jsme dělali. Ostatně to po nás vyžaduje i dodnes. Myslíme si ale, že toto je správná cesta pro všechny společnosti, které něco tak rozsáhlého dělají.

Začali jsme také více používat pokročilé grafické nástroje, abychom si schémata infrastruktury přehledně nakreslili.

5. Procesy ve firmě jsme museli uzpůsobit

PCI DSS myslí i na takové věci, jako jsou firemní procesy. Například definuje jasné požadavky, co se musí ve firmě evidovat, jak má vypadat schvalování změn v aplikaci a infrastruktuře.

Museli jsme zavést nové role některých našich lidí a hlavně rozdělit zodpovědnosti a úkoly jak vývoje, tak provozu.

Vyvinuli jsme systém pravidelného školení pro všechny naše zaměstnance ohledně problematiky PCI DSS.

Také pravidelně kontrolujeme všechny naše systémy, včetně koncových stanic operátorů, zda neobsahují citlivá data držitelů platebních karet.

Je rok 2016 a my nestíháme. Úkoly, které jsme měli splnit přesouváme na duben.

6. Zavedli jsme více penetračních testů a skenování

Dlouhodobě máme zkušenosti s testováním našich systémů pomocí tzv. ASV (Approved Scanning Vendor). Jedná se o externí skeny zranitelností systému.

PCI DSS nám mimo jiné ukládá i provádění interních skenů zranitelností, penetračních testů nebo testů segmentace.

Proč karetní asociace program PCI DSS vytvořily?
Pravidla PCI DSS jsou pro kartové asociace prostředek, jak kontrolovat své partnery, kteří zpracovávají, přenášejí nebo uchovávají data držitelů platebních karet. Za citlivá data se v tomto případě považuje číslo platební karty, datum platnosti a CVV/CVC kód.

Otázka kybernetické bezpečnosti je neoddělitelnou součástí internetu a jeho používání. Na internetu se bohužel vyskytují i tací, kteří stojí za podvodnými transakcemi, únikem dat i phishingu. V zájmu karetních asociací a zpracovatelů plateb je takovýmto neduhům předcházet a své uživatele chránit.

7. Začali jsme více monitorovat

Prakticky nově jsme se začali zabývat oblastí provozní bezpečnosti.

Kromě běžného monitoringu služeb, pro které využíváme klasické nástroje typu Icinga, Munin, atd., bylo nutné zavést komplexní systém SIEM (Security Information and Event Management), analyzovat a logovat prakticky vše, aplikovat WAF (Web Application Firewall), FIM (File Integrity Monitoring), software pro IDS (Intrusion Detection System). To vše distribuujeme na centrální syslog servery.

Monitoring kontrolujeme a vyhodnocujeme nepřetržitě, to znamená 24 hodin, 7 dní v týdnu.

Jak probíhá audit a kdo nás kontroloval?

Požadavky standardu PCI DSS Level 1 se vyhodnocují tak, že do firmy přijde auditor. Samotný audit probíhá za osobní účasti auditora QSA (Qualified Security Assessor). Jedná se o nezávislou externí společnost, která je pověřena přímo radou PCI DSS Council.

Kdo na zajištění standardu v GoPay pracoval?
 Při pohledu na široký záběr požadavku nám bylo jasné, že musíme poskládat schopný realizační tým, jestliže chceme požadavky splnit v rozumné časovém úseku. Náš tým byl složený z profesionálů v oborech, jako je počítačová bezpečnost, specializace na hardwarovou infrastrukturu, aplikační vývoj a procesy, apod. V takovém týmu fungujeme v podstatě dodnes.

Auditor postupuje podle pečlivé metodiky a kontroluje plnění všech jednotlivých požadavků standardu. Pro představu prochází následující: konfigurace serverů, systémové komponenty, porty, služby, revize firewallů, dokumentaci, šifrování, ukládání a přenos senzitivních dat, bezpečnostní standardy vývoje, kompetence, role, přidělování přístupů a oprávnění, logování a analýzy záznamů, reakce na události, řešení bezpečnostních incidentů, dodržování směrnic, management změnového řízení, management zranitelností, testování zranitelností, penetračního testování, systémy školení zaměstnanců, osobní pohovory, používání technologií, kooperace s poskytovateli služeb, plány obnovy, analýzu rizik, atd.

Jaký dopad má PCI DSS na naše zákazníky?

Lidé, kteří platí přes platební bránu GoPay si mohou být jisti, že obchodník (nebo e-shop) v žádném případě neuchovává údaje z platební karty (číslo karty, datum platnosti, CVV/CVC kód). V GoPay mu to jednoduše neumožníme. Tuto bezpečnost zajišťujeme pomocí procesů, které plníme v souvislosti s dodržováním standardu PCI DSS Level 1.

co jsme díky PCI DSS získali?

Za posledních pár let se nám povedlo s PCI DSS sžít. Víme, jak máme jednotlivé požadavky plnit, na co všechno musíme myslet a na co si dávat pozor, abychom svůj PCI DSS Level 1 status udrželi.

Zažili jsme totální přerod. PCI DSS ovlivnilo práci každého z nás a nyní je běžnou součástí života naší společnosti. Máme jej i vcelku rádi. Vždyť nás posunul někam úplně jinam.

Uvidíme, co nás do budoucna čeká s dalšími regulacemi, které se na nás poslední dobou valí ze všech stran. Doufejme, že se s nimi popereme jako s PCI DSS, se kterým už jdeme druhým rokem ruku v ruce a společným krokem.

To nejlepší ze světa online plateb do vaší schránky

Zanechte nám svůj e-mail a my vám 2x měsíčně pošleme čerstvé novinky ze světa online plateb a e-shopů.

Veronika Schreiberová

Veronika v GoPay pracuje jako Project Manager. Když zrovna neřeší, jaký projekt vyřešit, sleduje nejpíš nějaký film. Její slabostí je fantasy.

O čem jsme ještě psali