Маскування АБО усічення номера PAN: в чому різниця?
ВчераяперечітивалаPCI DSS 2.0, требованіе3.4, ібиланемалоудівленатем, чтодлязащітихранімихномеровPANнепредлагаетсятакаямеракак «маскування» .Правільно я розумію, що ці номери підлягають шифрування перед приміщенням їх на зберігання, а при вилученні, вони підлягають розшифрування і маскування? І потім, якщо ми отримуємо номер PAN вже в маскувати вигляді, а потім зберігаємо його, то чи потрапляє таке зберігання під дію стандарту PCI DSS? З технічної точки зору, як я думаю, не потрапляє, тому що PAN вже маскувати при отриманні, а значить немає можливості знайти номер PAN в незашифрованому вигляді.
Ось в цьому якраз і криється основна суть нерозуміння суті маскування. Багато людей або взагалі не знають про існування усічення і вважають, що якщо вони не можуть бачити повний номер карти, то це маскування, або вважають, що усічення і маскування - це одне і те ж. Безсумнівно це різні речі, тому я дозволю собі процитувати визначення маскування і усічення прямо з Глосарію PCI SSC:
Маскування (Masking)
Метод приведення номера PAN до нечитабельним увазі за допомогою видалення сегмента даних PAN.
Уявіть собі дані про власника карти (далі - ДДК) у вигляді цифр на листку паперу. При маскуванні ми немов беремо корекційну стрічку і наносимо її на більшу частину цифр таким чином, щоб людині, якій передається цей листок, було видно тільки останні 4 цифри. Очевидно, що при цій операції дані по раніше існують під корекційної стрічкою, хоча вона їх і приховує. Зрозуміло, з цього листка паперу, доклавши певних зусиль, можна зчистити корекційну стрічку, а значить цей аркуш паперу і раніше потребує захисту, при якій ніякі зловмисники не могли б відновити і використовувати дані про власника карти.
У свою чергу, якщо б ми хотіли виконати усічення на цьому листку паперу, то ми б або взагалі з самого початку не писали ці цифри, або стерли їх настільки надійно, що їх ніколи не можна було б відтворити. Такі дані ніколи не були б написані на аркуші паперу, а значить ніяк не могли б бути використані для шахрайства з платіжними картами. У такому сценарії, цей аркуш паперу не має ніякої цінності для зловмисника, а значить немає необхідності його захищати, принаймні в тій же мірі, в якій слід захищати замасковані дані. Звичайно, до цих усіченим даними можуть бути прив'язані якісь додаткові дані або значення, але самі по собі усічені дані цінності не мають.
Якщо на екрані відображаються дані, з яких видно тільки мала частина, то не можна знати напевно, які саме представлені дані - усічені або замасковані. Для того, щоб це дізнатися, необхідно глибше розуміти процеси їх обробки. Тільки розуміючи процеси, можна сказати, чи можна якимось відтворити ці дані або ж в базі даних зберігаються ті ж дані, які видно на екрані. Перебуваючи в звичайному магазині, можна побачити на чеках останні 4 цифри номера карти. Якщо платіжний додаток написано коректно, то посаду персоналу - будь то керівник торгового залу або продавець - не повинна мати значення: в будь-якому випадку ніхто не повинен бачити нічого крім останніх 4 цифр номера. Справа в тому, що в такому додатку дані не зберігаються, а значить ні у кого із співробітників магазина немає можливості отримати дані з системи - дані усічені і їх в системі більше немає.
Зовсім інша ситуація в бек-офісі, в бухгалтерії і в службі, яка відповідає за запобігання шкоди. За замовчуванням, співробітники цих відділів і служб повинні бачити тільки 4 останніх цифри номера платіжної картки. Однак при виникненні претензійних платежів або підозр щодо можливості шахрайство, співробітники компанії в рамках розслідування повинні мати можливість скасувати маскування повного номера карти. Ці номери, як і раніше існують на сервері, однак, вони там в основному зберігаються в маскувати (прихованому) вигляді, і відображаються лише належним чином уповноваженому персоналу. Оскільки є можливість вилучення цих даних на серверах, вони повністю входять в область оцінки на відповідність стандарту PCI DSS і підлягають відповідному захисті.
Таким чином, відповідаючи на запитання читачки, я скажу, що збережені дані не можуть бути «маскувати». Вони маскуються тільки при добуванні і вважаються замаскованими, якщо відображені частково. Саме тому, в вимозі 3.4 відсутня маскування. Якщо ж ТСП отримує ДДК, в яких є тільки сегмент номера PAN (наприклад, сегмент з перших 6 або останніх 4 цифр), то такі дані є усіченими. В такому випадку повний номер PAN відсутня, відтворення його неможливо, а значить немає необхідності його захищати так само, як і ДДК. Я не кажу, звичайно, про те, що дані, прив'язані до цього номеру не мають цінності і не підлягають захисту, просто усічені дані не входять в сферу застосування вимог стандарту.
Якщо ж ТСП отримує повний номер PAN, але співробітникам він відображається в маскувати вигляді, то, навіть якщо ніхто в ТСП не має доступу до ДДК, воно все одно відповідає за їх захист відповідно до вимог стандарту. Якщо в цих даних немає необхідності, є сенс просити про надання усічених даних, тим самим, заощадивши купу сил і нервів на спілкуванні з аудиторами, виконанні вимог стандарту, та й взагалі на процесі приведення середовища у відповідність зі стандартом PCI DSS. Наприклад, я приємна у спілкуванні людина, але навіть найбільші мої шанувальники серед клієнтів підтвердять, що я стаю противним і нестерпним, як мінімум, раз на рік, коли приходжу до них для проведення аудиту.