Открыть сервис

Среда данных держателей карт

Среда данных держателей карт (англ. Cardholder Data Environment, CDE) — это совокупность информационных систем, аппаратных средств, программного обеспечения, сетевых подключений и процессов, которые участвуют в обработке, хранении или передаче данных держателей платежных карт, а также чувствительных аутентификационных данных. Данное понятие является центральным в стандарте безопасности индустрии платежных карт (PCI DSS), который устанавливает требования к защите информации в CDE. Среда данных держателей карт включает в себя не только непосредственно базы данных с номерами карт, но и все системы, которые могут влиять на безопасность этих данных, включая серверы приложений, рабочие станции администраторов, системы сетевой безопасности и каналы связи.

Определение и границы

Среда данных держателей карт определяется не как единый физический объект, а как логическая или физическая область, в которой обрабатываются данные платежных карт. В соответствии с PCI DSS, к данным держателей карт относятся:

К чувствительным аутентификационным данным, которые также подлежат строгой защите, относятся полный трек магнитной полосы, код CVV2/CVC2, а также PIN-код. Хранение этих данных после авторизации транзакции, за исключением случаев, предусмотренных стандартом, запрещено.

Границы CDE определяются организацией в процессе оценки соответствия требованиям PCI DSS. В CDE могут входить:

Если какая-либо система может влиять на безопасность CDE (например, сервер аутентификации или система резервного копирования), она также считается частью среды данных держателей карт.

История возникновения понятия

Понятие «среда данных держателей карт» возникло в начале 2000-х годов как реакция на рост числа утечек данных платежных карт. В 2004 году ведущие платежные системы (Visa, Mastercard, American Express, Discover, JCB) создали единый стандарт безопасности — PCI DSS, который ввел четкие требования к защите данных. Первоначально стандарт описывал общие меры защиты, но по мере усложнения атак и увеличения объема обрабатываемых данных потребовалось формализовать границы ответственности.

В версии PCI DSS 2.0 (2010) понятие CDE было уточнено: оно стало включать не только системы, непосредственно содержащие данные, но и системы, которые могут предоставлять к ним доступ или влиять на их безопасность. В версии 3.2 (2016) были добавлены требования к сегментации сети и изоляции CDE от остальной инфраструктуры организации. В версии 4.0 (2022) акцент сместился на непрерывный мониторинг и автоматизацию контроля границ CDE.

Классификация компонентов CDE

Компоненты среды данных держателей карт можно разделить на несколько категорий по функциональному назначению:

Системы обработки транзакций

Системы хранения данных

Системы управления доступом и мониторинга

Сетевая инфраструктура

Требования к защите CDE

Стандарт PCI DSS предъявляет к среде данных держателей карт 12 основных групп требований, которые можно сгруппировать по целям:

Построение и поддержание безопасной сети

Защита данных держателей карт

Поддержание программы управления уязвимостями

Внедрение строгих мер контроля доступа

Регулярный мониторинг и тестирование сетей

Поддержание политики информационной безопасности

Сегментация и изоляция CDE

Одним из ключевых принципов защиты CDE является сегментация сети. Организация должна отделить среду данных держателей карт от остальной корпоративной сети (например, от сети для сотрудников, гостевой Wi-Fi, систем управления складом). Это достигается с помощью:

Если сегментация не выполнена, вся сеть организации может считаться частью CDE, что значительно увеличивает объем требований к безопасности.

Примеры CDE в различных отраслях

Розничная торговля

В крупной сети магазинов CDE может включать:

Электронная коммерция

Для интернет-магазина CDE состоит из:

Финансовый сектор

В банке CDE может включать:

Критика и сложности

Несмотря на широкое распространение PCI DSS, концепция CDE подвергается критике по нескольким причинам:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →