TigerTeam - suomalainen tietoturvablogi

PCI DSS -standardista on julkaistu eilen versio 2.0. Versio korvaa tämän kansainvälisten korttiyhtiöiden ylläpitämä maksukorttialan turvallisuusstandardin edellisen version 1.2 sekä viime vuonna julkaistun v1.2.1-korjauspäivityksen. Uuden version käyttö on pakollista vuoden 2012 alusta ja sitä saa käyttää vuonna 2011 tehtävissä tarkastuksissa. Standardi tulee olemaan voimassa kolme vuotta entisen kahden vuoden sijaan.

PCI DSS -standardin pääversionumeron kasvattaminen tuntuu ensisilmäyksellä liioittelulta: standardiin on tullut vain kaksi sellaista muutosta, jotka muutoslokissa luokitellaan termillä “evolving requirement” eli aito muutos vaatimukseen. Tarkempi tarkastelu kuitenkin osoittaa, ettei 2.0 ole liikaa, koska useat “tarkennukset” saattavat vaikuttaa hyvinkin merkittävästi sekä teknisesti että taloudellisesti.

Esimerkki mitättömän oloisesta muutoksesta, jolla kuitenkin voi olla suuria vaikutuksia. on vaatimus testi- ja tuotantoympäristöjen tehtävien erottamisesta. Aikaisemmassa standardiversiossa vaatimus oli 6.3.3 ohjelmistokehityksen alla. Uudessa standardissa vaatimus on täsmälleen samoilla sanoilla numerolla 6.4.2, mutta nyt se on muutostenhallinnan alla.

Vanhan standardin puitteissa oli mahdollista tulkita, että eriyttäminen koski vain ohjelmistokehitystä. Täällä Nixussa ei oltu tällaista tulkintaa tehty. Nyt tällaista mahdollisuutta tulkinnaksi ei enää laisinkaan ole ja vaatimus koskee kategorisesti testi- ja tuotantoympäristöjen henkilöstöä.

Nixu on laatinut yhteenvedon uuden standardiversion muutosten vaikutuksista. Yhdeksänsivuinen dokumentti on saatavissa PDF-muodossa Julkaisut-sivultamme.

Myös PA DSS (Payment Application Data Security Standard) eli maksusovelluksien turvallisuudelle asetettavat standardit määrittelevä dokumentti on päivittynyt versioon 2.0. Myös tässä standardissa on kaksi muutosta, jotka kuuluvat PCI-toimielimen mukaan luokkaan “evolving requirement”. Nämä muutokset ovat vaatimus keskitetyn lokituksen tuelle sekä vaatimus haavoittuvuuksien luokittelusta riskipohjaisesti. Muita näkyvimpiä muutoksia on se, että aiemman standardin PCI DSS -viittaukset on korvattu muokatuilla vaatimuksilla varsinaisessa PA DSS -tekstissä.

Kansainvälinen PCI-toimielin PCI Council on julkaissut tiedot ensimmäisistä muutoksista lähiaikoina päivittyviin PCI DSS - ja PA-DSS -standardeihin. Dokumentti Summary of Changes - Hihglights löytyy pdf-muodossa täältä. Dokumentin tarkoituksena on auttaa eri osapuolia valmistautumaan uuteen standardiin, joka samalla syrjäyttää nykyisen 1.2-version.

Samalla kun uusi standardi julkaistaan 28. lokakuuta astuu voimaan myös uudistunut elinkaari PCI-standardeille. Nykyisen kahden vuoden sijaista elinkaari pitenee kolmeen vuoteen. Mallin mukaan uusi standardi julkaistaan lokakuussa, se astuu voimaan ensi tammikuussa ja seuraava versio julkaistaan vuonna 2013. Tällä välin toimielin implementoi uuden standardin, ottaa vastaan palautetta sekä kehittää uutta standardia.

Uuden standardin muutokset näyttäisivät olevan suoraviivaisia eikä mitään kovin mullistavaa ole luvassa. Monessa tapauksessa muutokset liittyvät tarkennuksiin ja vaatimuksen tarkoituksen avaamiseen. Nixua ilahduttaa erityisesti tieto siitä, että PCI-ympäristön (scope) määrittelyyn on luvassa lisätietoa. Myös virtualisointiin on tulossa tarkennuksia. Standardi pyrkii myös lisäämään riskipohjaisen lähestymistavan käyttöä, ja siten antamaan organisaatiolle enemmän vaihtoehtoja vaatimusten toteuttamiseen.

Nixu seuraa tilannetta aktiivisesti ja kerromme prosessin etenemisestä tässä blogissa.

Mediassa on viime päivinä keskusteltu Suomen oloissa poikkeuksellisen laajasta maksukorttitietojen varkaudesta. Itähelsinkiläisestä kahvilasta on viety yli 100 000 korttitietoa. Mediassa olleiden tietojen mukaan tietomurto tehtiin etähallintaohjelman sekä vakoiluohjelman avulla. Lisäksi mainitaan, että syy olisi kassajärjestelmän asentaneen yhtiön päälle jättämä “oletusasetus”. Tietomurto paljastui Luottokunnan valvonnan ansiosta.

Oli vain ajan kysymys, milloin ensimmäinen suuri korttitietomurto tapahtuu Suomessa. Payment Card Industry Data Security Standard (PCI DSS) - implementointi on vielä hyvin monella kauppiaalla kesken, ja pienimmät kauppiaat eivät edes tiedä, että heidän tulisi noudattaa kyseistä tietoturvastandardia. PCI DSS:n noudattaminen olisi todennäköisesti estänyt tämänkin tietomurron:

PCI DSS edellyttää, että oletusasetuksia ei käytetä, etäyhteydet vaativat vahvan autentikoinnin ja virustorjuntaohjelmisto sekä tiedostojen eheysvalvontajärjestelmä hälyttävät haittaohjelmista. Lisäksi järjestelmien toimintaa tulee seurata päivittäin. Näin korttitietojen lähettäminen Yhdysvaltoihin ja Romaniaan paljastuisi omalla valvonnalla, eikä asia tulisi kauppiaalle “ihan puskista”.

On tietysti ymmärrettävää, että yksittäisellä kauppiaalla ei aina löydy riittävää tietotaitoa järjestelmien turvalliseen pystyttämiseen ja ylläpitoon. Tällöin kauppiaan tuleekin vaatia palveluntarjoajaltaan, että toiminta noudattaa vähintäänkin PCI-standardia. Lisäksi maksujärjestelmän tulisi olla Payment Application Data Security Standard -luokituksen mukainen eli PA-DSS-validoitu. Mahdollisissa tietomurtotapauksissa kauppiaan tulisi voida asettaa palveluntarjoaja vastuuseen, mikäli PCI-standardia ei ole noudatettu. Mikäli kauppias ei näin toimi, jää vastuu kauppiaalle ja seuraukset voivat olla hyvinkin ikäviä.

Niki Klaus vastaa Nixun PCI-liiketoiminnan kehittämisestä ja on tehnyt useita PCI-auditointeja Suomessa ja ulkomailla.

PA-DSS, Payment Application Data Security Standard, on standardi, joka määrittelee vaatimukset maksusovellusten turvallisuudelle. Standardin tarkoituksena on varmistaa, että maksusovellusten turvataso on riittävä PCI DSS -standardin vaatimusten täyttämiseksi. Standardia hallinnoi PCI Security Standards Council.

PA-DSS-auditointi tehdään maksusovellukselle. Auditoinnin tilaajana on maksusovelluksen valmistaja.

Mitä hyötyä maksusovelluksen valmistaja saa PA-DSS-auditoinnista?

Nykytilanteessa varmistettu PA-DSS-yhdenmukaisuus tuo pelkästään kilpailuetua, koska maksusovelluksen käyttäjä selviää vähemmällä omassa PCI DSS -auditoinnissaan. Yhdysvalloissa Visa edellyttää jo nyt uusien sovellusten olevan PA-DSS:n mukaisia ja vaatii, että 1.7.2010 kaikki maksusovellukset ovat PA-DSS:n mukaisia. On hyvin todennäköistä, että samantyyppiset vaatimukset astuvat voimaan lähitulevaisuudessa myös Euroopassa.

PA-DSS sisältää 14 pääkohtaa. Näistä kaksi, sovelluskehitysmetodologia (vaatimus 5: Develop secure payment applications) ja ohjeistus (vaatimus 14: Maintain instructional documentation and training programs for customers, resellers, and integrators), ovat sellaisia, joiden korjaaminen voi kestää pahimmillaan jopa vuodenkin. Sovellusvalmistajilla olisi syytä lähiaikoina tarkastella omien sovellustensa tilannetta ainakin näiltä osilta, jottei Visa pääse yllättämään aikatauluillaan.

Viisivaiheinen prosessi

PA-DSS-auditointi on tyypillisesti viisivaiheinen, joista kolme vaihetta on auditointia ja kaksi korjaavia toimenpiteitä. Nämä vaiheet ovat

* gap-analyysi
* ensimmäinen korjauskierros
* dokumenttiauditointi
* toinen korjauskierros
* dokumenttiauditointi sekä laboratorioauditointi

Gap-analyysi tehdään kahdessa tai kolmessa työpajassa, joissa auditoija käy läpi standardia kohta kohdalta ja kerää vastaukset maksusovelluksesta vastaavilta henkilöiltä. Gap-analyysin tuloksena syntyy raportti, jonka avulla voidaan arvioida kehitystyön kohteet ja määrä yhdenmukaisuuden saavuttamiseksi.

Ensimmäisen korjauskierroksen aikana sovellusvalmistaja korjaa gap-analyysissä löydetyt puutteet.

Dokumenttiauditoinnissa auditoija käy läpi sovellusdokumentaation sekä pitää muutaman työpajan, joissa selvitetään sovelluksen todellinen taso suhteessa vaatimuksiin.

Sovellusvalmistaja korjaa dokumenttiauditoinnissa löydetyt puutteet toisella korjauskierroksella.

Auditoinnin viimeisessä vaiheessa auditoija tarkastaa dokumenttikorjaukset sekä testaa maksusovelluksen laboratoriossa. Laboratoriotestaus kattaa järjestelmän sen toiminnallisuuden, jossa käsitellään maksukorttitietoja. Laboratoriotestaus on erittäin perusteellinen ja sisältää mm. jäännösdatan forensiikka-analyysin sen paljastamiseksi jääkö sovellukselta autorisointivaiheessa selväkielistä luottokorttidataa levylle.

Mikäli maksusovellus läpäisee kaikki tarkastukset, se pääsee Visan listalle, jolla on listattuna kaikki PA-DSS-yhdenmukaiset ohjelmistot.

PCI Security Standards Council (SSC) julkaisi 15.4.2008 Payment Application Data Security Standardin (PA-DSS) version 1.1. PA-DSS perustuu Visan Payment Application Best Practices -ohjelmaan (PABP). Muutoksen myötä standardi on nyt PCI Councilin hallinnassa ja siten yleisimpien luottokorttiyhtiöiden tukema.

PA-DSS vaatimukset ovat johdettu PCI-tietoturvastandardista, ja niiden tarkoitus on auttaa ja velvoittaa sovelluskehittäjiä tekemään turvallisia luottokorttimaksuja käsitteleviä ohjelmistoja.

PA-DSS vaatimukset kohdistuvat yrityksiin jotka myyvät tai vuokraavat ohjelmistoja jotka käsittelevät, tallentavat tai välittävät maksukorttimaksuja. PA-DSS-vaatimukset eivät kosketa yrityksiä jotka kehittävät omat maksujärjestelmänsä, eivätkä levitä niitä kolmansille osapuolille. PA-DSS vaatimukset eivät myöskään kosketa itsenäisiä POS (Point-of-sale) terminaaleja tietyin edellytyksin.

Visa (USA) on määritellyt nämä päivämäärät PABP-ohjelman noudattamiselle ja samat päivämäärät ovat jatkossa voimassa myös PA-DSS:n suhteen Yhdysvalloissa.

PCI Security Standards Councilin PA-DSS-dokumentit löytyvät täältä.