Среда данных держателей карт
Среда данных держателей карт (англ. Cardholder Data Environment, CDE) — это совокупность информационных систем, аппаратных средств, программного обеспечения, сетевых подключений и процессов, которые участвуют в обработке, хранении или передаче данных держателей платежных карт, а также чувствительных аутентификационных данных. Данное понятие является центральным в стандарте безопасности индустрии платежных карт (PCI DSS), который устанавливает требования к защите информации в CDE. Среда данных держателей карт включает в себя не только непосредственно базы данных с номерами карт, но и все системы, которые могут влиять на безопасность этих данных, включая серверы приложений, рабочие станции администраторов, системы сетевой безопасности и каналы связи.
Определение и границы
Среда данных держателей карт определяется не как единый физический объект, а как логическая или физическая область, в которой обрабатываются данные платежных карт. В соответствии с PCI DSS, к данным держателей карт относятся:
- PAN (Primary Account Number) — основной номер счета (номер карты);
- Имя держателя карты (при наличии);
- Срок действия карты;
- Код обслуживания (Service Code).
К чувствительным аутентификационным данным, которые также подлежат строгой защите, относятся полный трек магнитной полосы, код CVV2/CVC2, а также PIN-код. Хранение этих данных после авторизации транзакции, за исключением случаев, предусмотренных стандартом, запрещено.
Границы CDE определяются организацией в процессе оценки соответствия требованиям PCI DSS. В CDE могут входить:
- системы, непосредственно обрабатывающие платежи (POS-терминалы, платежные шлюзы);
- серверы баз данных, содержащих PAN;
- системы управления и мониторинга безопасности (например, системы обнаружения вторжений);
- административные рабочие станции, имеющие доступ к CDE;
- сетевые устройства (маршрутизаторы, коммутаторы, файрволы), через которые проходят данные карт.
Если какая-либо система может влиять на безопасность CDE (например, сервер аутентификации или система резервного копирования), она также считается частью среды данных держателей карт.
История возникновения понятия
Понятие «среда данных держателей карт» возникло в начале 2000-х годов как реакция на рост числа утечек данных платежных карт. В 2004 году ведущие платежные системы (Visa, Mastercard, American Express, Discover, JCB) создали единый стандарт безопасности — PCI DSS, который ввел четкие требования к защите данных. Первоначально стандарт описывал общие меры защиты, но по мере усложнения атак и увеличения объема обрабатываемых данных потребовалось формализовать границы ответственности.
В версии PCI DSS 2.0 (2010) понятие CDE было уточнено: оно стало включать не только системы, непосредственно содержащие данные, но и системы, которые могут предоставлять к ним доступ или влиять на их безопасность. В версии 3.2 (2016) были добавлены требования к сегментации сети и изоляции CDE от остальной инфраструктуры организации. В версии 4.0 (2022) акцент сместился на непрерывный мониторинг и автоматизацию контроля границ CDE.
Классификация компонентов CDE
Компоненты среды данных держателей карт можно разделить на несколько категорий по функциональному назначению:
Системы обработки транзакций
- Платежные шлюзы — серверы, принимающие и передающие данные карт между торговой точкой и банком-эквайером.
- POS-терминалы — устройства для приема платежей в физических магазинах.
- Платежные формы — веб-интерфейсы для ввода данных карт на сайтах электронной коммерции.
Системы хранения данных
- Базы данных PAN — реляционные или NoSQL-хранилища, содержащие номера карт.
- Файловые системы — хранилища резервных копий, логов транзакций или отчетов, содержащих PAN.
- Облачные хранилища — если данные карт передаются в облачные сервисы (например, для аналитики), они также становятся частью CDE.
Системы управления доступом и мониторинга
- Серверы аутентификации — системы, проверяющие права доступа к CDE.
- Системы обнаружения вторжений (IDS/IPS) — устройства, анализирующие трафик внутри CDE.
- Системы управления событиями безопасности (SIEM) — централизованные платформы сбора логов.
Сетевая инфраструктура
- Файрволы — устройства, разделяющие CDE и остальную сеть организации.
- Маршрутизаторы и коммутаторы — если они обрабатывают трафик данных карт.
- VPN-концентраторы — для удаленного доступа к CDE.
Требования к защите CDE
Стандарт PCI DSS предъявляет к среде данных держателей карт 12 основных групп требований, которые можно сгруппировать по целям:
Построение и поддержание безопасной сети
- Установка файрвола для изоляции CDE от ненадежных сетей (например, от интернета).
- Запрет на использование стандартных паролей и настроек по умолчанию для всех компонентов CDE.
Защита данных держателей карт
- Шифрование PAN при хранении (например, с использованием AES-256).
- Маскирование PAN при отображении (например, показ только последних четырех цифр).
- Запрет на хранение чувствительных аутентификационных данных после авторизации.
Поддержание программы управления уязвимостями
- Регулярное обновление антивирусного ПО на всех системах CDE.
- Своевременная установка обновлений безопасности (патчей) для всех компонентов CDE.
Внедрение строгих мер контроля доступа
- Ограничение доступа к CDE по принципу минимальной необходимости (только тем сотрудникам, которым это требуется для работы).
- Использование уникальных идентификаторов для каждого пользователя с доступом к CDE.
- Физическая защита серверов и сетевого оборудования, входящих в CDE.
Регулярный мониторинг и тестирование сетей
- Ведение и анализ логов всех событий в CDE (не менее 90 дней хранения).
- Проведение регулярных сканирований уязвимостей и пентестов (не реже одного раза в квартал).
Поддержание политики информационной безопасности
- Разработка и утверждение политики безопасности, охватывающей все аспекты CDE.
- Обучение персонала, имеющего доступ к CDE, основам безопасности.
Сегментация и изоляция CDE
Одним из ключевых принципов защиты CDE является сегментация сети. Организация должна отделить среду данных держателей карт от остальной корпоративной сети (например, от сети для сотрудников, гостевой Wi-Fi, систем управления складом). Это достигается с помощью:
- Физической изоляции — использование отдельных коммутаторов, маршрутизаторов и кабельных линий.
- Логической изоляции — использование VLAN, ACL (списков контроля доступа) и файрволов.
- Шифрования трафика — при передаче данных между сегментами сети (например, через VPN).
Если сегментация не выполнена, вся сеть организации может считаться частью CDE, что значительно увеличивает объем требований к безопасности.
Примеры CDE в различных отраслях
Розничная торговля
В крупной сети магазинов CDE может включать:
- POS-терминалы в каждом магазине;
- центральный сервер для агрегации транзакций;
- базу данных PAN для обработки возвратов;
- систему управления лояльностью, если она использует данные карт.
Электронная коммерция
Для интернет-магазина CDE состоит из:
- веб-сервера с платежной формой;
- сервера платежного шлюза (часто стороннего, например, Яндекс.Касса или Сбербанк);
- базы данных заказов, если в ней хранится PAN;
- системы аналитики, если она получает данные карт.
Финансовый сектор
В банке CDE может включать:
- процессинговый центр;
- системы управления банкоматами;
- системы выдачи кредитных карт;
- call-центр, если операторы имеют доступ к PAN.
Критика и сложности
Несмотря на широкое распространение PCI DSS, концепция CDE подвергается критике по нескольким причинам:
- Сложность определения границ — в современных микросервисных архитектурах и облачных средах (например, AWS, Azure) трудно точно определить, какие системы входят в CDE, особенно при использовании контейнеризации (Docker, Kubernetes).
- Высокая стоимость соответствия — для малого бизнеса полная изоляция CDE и регулярные аудиты могут быть финансово обременительными.
- Недостаточная гибкость — стандарт ориентирован на традиционные «периметровые» модели безопасности, что затрудняет его применение в Zero Trust-архитектурах.
- Проблемы с облачными провайдерами — при использовании SaaS-решений (например, Stripe, PayPal) ответственность за часть CDE ложится на провайдера, что требует тщательного разделения обязанностей (Shared Responsibility Model).
Источники
- PCI Security Standards Council. PCI DSS v4.0: Requirements and Security Assessment Procedures. 2022.
- PCI Security Standards Council. PCI DSS v3.2.1: Requirements and Security Assessment Procedures. 2018.
- Williams, B. PCI Compliance: Understand and Implement Effective PCI Data Security Standard Compliance. 5th ed., Syngress, 2019.
- National Institute of Standards and Technology (NIST). NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations. 2020.
- Банк России. Стандарт Банка России «Безопасность финансовых (банковских) операций» (СТО БР БФБО-1.0-2023). 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →