Testy bezpieczeństwa kart płatniczych | All for One Poland

Testy bezpieczeństwa kart płatniczych

PCI DSS – Payment Card Industry Data Security Standard

Udostępnij
Drukuj:
Debetowe i kredytowe, wypukłe i płaskie, z paskiem magnetycznym lub czipem, zbliżeniowe czy wirtualne… Karty płatnicze – akceptowane już praktycznie wszędzie – stają się najpopularniejszą formą płatności. Wraz z ich upowszechnieniem rośnie znaczenie bezpieczeństwa zapisanych na nich danych posiadacza oraz autoryzacyjnych. Jednym z wymogów standardu PCI DSS jest przeprowadzanie regularnych testów penetracyjnych środowiska, w którym przetwarzane są dane z kart.
 

O standardzie

Standard PCI DSS został opracowany przez grupę największych światowych wystawców kart płatniczych zrzeszonych w Payment Card Industry Security Standards Council. Jego celem jest zapewnienie wysokiego poziomu bezpieczeństwa w środowiskach IT, w których są przetwarzane dane posiadaczy tych kart. Pierwsza edycja tego standardu została opracowana w 2004 roku, a aktualna wersja (3.2) została upubliczniona w kwietniu 2016 roku. Standard PCI DSS definiuje sześć głównych celów, uszczegółowionych w formie dwunastu wymagań.

Jednym z wymagań standardu PCI DSS jest regularne przeprowadzanie testów penetracyjnych środowisk, w którch są przetwarzane dane posiadaczy kart płatniczych.

Nadrzędnym celem standardu jest ochrona danych posiadaczy kart płatniczych. Do chronionych parametrów należą: numer karty, imię i nazwisko właściciela oraz data ważności. Szczególnej ochronie  podlegają wrażliwe dane autoryzacyjne: kod CVV, PIN oraz zawartość paska magnetycznego (ścieżka 1 i 2) oraz jej ekwiwalent zawarty w mikroprocesorze.

Kto jest objęty standardem PCI DSS?

Wszystkie podmioty, które przechowują, przetwarzają lub transmitują dane kart płatniczych, muszą to robić w zgodności ze standardem PCI DSS. Formalna weryfikacja zgodności jest konieczna u akceptantów i agentów rozliczeniowych. W przypadku stwierdzenia niezgodności ze standardem, w momencie wystąpienia incydentu bezpieczeństwa organizacje płatnicze mogą naliczać kary umowne.

Główne wytyczne

Główne cele standardu zostały zaprezentowane w tabeli. Jednym z najważniejszych celów PCI DSS jest ochrona danych właścicieli kart. Środowisko, w którym te dane są przetwarzane, określa się jako CDE (Customer Data Environment). Pozostałe cele i wymagania służą zapewnieniu skutecznej ochrony tego środowiska oraz danych właścicieli.

Obowiązkowe testy penetracyjne

W ramach wymagania 11.3 konieczne jest przeprowadzanie regularnych testów penetracyjnych. Testy te powinny być wykonywane co najmniej raz, a w niektórych przypadkach dwa razy w roku oraz po każdej istotnej zmianie w konfiguracji środowiska CDE. W czasie testu realizowane są następujące scenariusze:

 • zewnętrzny test penetracyjny,
 • wewnętrzny test penetracyjny,
 • weryfikacja  odnalezionych podatności oraz retesty,
 • kontrola mechanizmów segmentacji pomiędzy podsiecią CDE a resztą infrastruktury.

Testy penetracyjne w ramach standardu PCI DSS powinny być wykonywane zgodnie z profesjonalnymi metodykami, takimi jak NIST SP800-115. Celem testów jest próba uzyskania nieautoryzowanego dostępu do sieci i systemów przetwarzających dane z kart płatniczych. W przypadku udanego ataku konieczne jest wyeliminowanie podatności oraz ponowny test, potwierdzający skuteczność podjętych działań.

Testy penetracyjne można sklasyfikować ze względu na zakres informacji, jakie przekazuje się audytorowi. W przypadku braku lub częściowej wiedzy o badanej infrastrukturze mówi się o testach typu „black box” lub „grey box”. W przypadku gdy audytor otrzymuje szczegółowe informacje dotyczące konfiguracji środowiska, test odbywa się w trybie „white box”. Dla testów penetracyjnych w ramach zgodności ze standardem PCI DSS zalecany jest ten ostatni tryb.

Systemy powinny być testowane zarówno z zewnątrz, jak i z wewnątrz sieci. Dodatkowo niezbędna jest weryfikacja segmentacji infrastruktury CDE. Test penetracyjny powinien objąć swoim zasięgiem wszystkie warstwy modelu ISO-OSI, ze szczególnym uwzględnieniem warstwy sieciowej oraz aplikacyjnej. Szczegółowe wymogi dotyczące testów warstwy aplikacyjnej są opisane w wymaganiu 6.5 normy PCI DSS. Wymaganie to definiuje następujące obszary testów:

 • weryfikacja możliwości wstrzyknięcia danych, np. SQL injection,
 • wykorzystanie ataków przepełnienia bufora (ang. buffer overflow),
 • weryfikacja stosowanych zabezpieczeń kryptograficznych stosowanych do przechowywania i transmisji danych,
 • mechanizmy obsługi błędów.

Dodatkowo w przypadku aplikacji webowych:

 • weryfikacja podatności typu XSS (Cross Site Scripting),
 • kontrola mechanizmów kontroli dostępu,
 • weryfikacja podatności CSRF (Cross Site Request Forgery),
 • mechanizmy uwierzytelniające i zarządzanie sesją.

Standard PCI DSS w obszarze testów penetracyjnych nie wymaga korzystania z kosztownych usług QSA (Qualified Security Assesor) czy ASV (Approved Scanning Vendors). Test penetracyjny może wykonać wykwalifikowana osoba niezwiązana w żaden sposób z testowanym środowiskiem lub zewnętrzny konsultant. Standard wymaga jednak, aby wyznaczona osoba posiadała wysokie kwalifikacje oraz mogła wykazać się bogatym doświadczeniem w zakresie tego typu testów.

Magdalena Machniak, Specjalista ds. Zgodności i Kontroli Wewnętrznej, Centrum Rozliczeń Elektronicznych Polskie ePłatności

Ochrona danych na pierwszym miejscu
Centrum Rozliczeń Elektronicznych Polskie ePłatności jako najbardziej dynamicznie rozwijający się agent rozliczeniowy w Polsce od początku działalności stawia sobie za cel wspomaganie rozwoju oraz wprowadzanie rozwiązań innowacyjnych w sektorze obrotu bezgotówkowego, tym samym oferując szeroki zakres usług opartych na obsłudze płatności kartowych.
W procesie akceptacji płatności za pomocą kart płatniczych przez nasze ręce codziennie przechodzą transakcje milionów posiadaczy kart o ogromnej wartości. To oczywiste, że na pierwszym miejscu stawiamy ochronę danych i transakcji oraz minimalizację ryzyka związanego z nieuprawnionym dostępem do danych kartowych.
Jako organizacja spełniająca międzynarodowe standardy bezpieczeństwa PCI DSS okresowo poddajemy się testom penetracyjnym, weryfikującym spełnianie tych wymagań. Wykonujemy takie testy cyklicznie – raz do roku, lub bezpośrednio po wprowadzeniu większych zmian w systemach IT.
Testy penetracyjne przeprowadzane przez SNP nie tylko pozwalają nam wypełnić zobowiązania wynikające z norm PCI DSS, ale są również cennym źródłem wskazówek dotyczących dalszego rozwoju naszych systemów i procedur bezpieczeństwa. Rekomendacje przekazywane przez SNP umożliwiają zarówno projektowanie, jak i budowę bezpiecznego środowiska IT.
Magdalena Machniak, Specjalista ds. Zgodności i Kontroli Wewnętrznej, Centrum Rozliczeń Elektronicznych Polskie ePłatności

Doświadczenia SNP

SNP posiada wieloletnie doświadczenie przy wykonywaniu testów penetracyjnych, również w ramach zgodności z wymogami PCI DSS. Jeden z naszych klientów – firma będąca liderem na rynku płatności – współpracuje z nami w tym zakresie już od kilku lat, utrzymując poziom bezpieczeństwa transakcji za pomocą kart płatniczych na niezmiennie wysokim poziomie. W SNP korzystamy ze specjalistycznych narzędzi oraz wieloletniego doświadczenia naszych konsultantów i pentesterów, pozwalając klientom zachować zgodność ze standardem.

Oprócz testów penetracyjnych ze szczególnych uwzględnieniem bezpieczeństwa aplikacji webowych oraz audytów bezpieczeństwa sieci i systemów specjalizujemy się również w symulowanych atakach socjotechnicznych.

W pracach realizowanych dla klientów wykorzystujemy światowe standardy.

Open Source Security Testing Methodology Manual (OSSTMM) – metodologia opracowana przez ISECOM, definiuje sposób wykonywania testów penetracyjnych.

Open Web Application Security Project Testing Guide (OWASP) – metodologia stosowana przy wykonywaniu testów bezpieczeństwa aplikacji WWW.

Control Objectives for Information and related Technology (COBIT) – standard opracowany przez ISACA oraz IT Governance Institute, wykorzystywany między innymi przez audytorów systemów informatycznych.

National Institute of Standard and Technology (NIST) 800 SERIES – specjalna seria publikacji zapoczątkowana w 1990 roku, na potrzeby ogólnego interesu wspólnoty bezpieczeństwa komputerowego. Zawiera raporty badawcze, wytyczne i zasoby tworzone wspólnie przez przedstawicieli przemysłu, rządu oraz organizacji akademickich.

BSI-Standard 100 – standard zawierający zalecenia niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI) w kontekście metod, procesów, podejść oraz miar związanych z bezpieczeństwem informacji.

ISO/IEC 27001 – Systemy Zarządzania Bezpieczeństwem Informacji.

ISO/IEC 27002:2007  – międzynarodowa norma ISO 17799 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji), określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

Bezpieczeństwo przewagą konkurencyjną

Kwestie bezpieczeństwa danych klientów stały się priorytetowe we współczesnym biznesie. Gwarancje wysokiego poziomu ochrony danych stają się jedną z istotnych przewag konkurencyjnych, a informacje o wycieku informacji czy udanym ataku hakerskim pogrążyły już niejedno przedsiębiorstwo.

Firmy z sektora usług finansowych cały czas pracują nad zwiększaniem poziomu bezpieczeństwa swoich usług i przetwarzanych danych klientów. Jedną z metod weryfikacji jakości usług jest uzgadnianie i przestrzeganie standardów branżowych, takich jak PCI DSS. Skorzystanie z usług doświadczonego partnera w zakresie monitorowania i podnoszenia poziomu bezpieczeństwa zgodnie z przyjętymi standardami jest gwarancją, że przyjęte normy zostaną spełnione, a ewentualne niezgodności wykryte w kontrolowany sposób i szybko poprawione.

Lepszy Biznes

magazyn klientów All for One

baza artykułów
Udostępnij
Drukuj:
#}
Napisz do nas Zadzwoń Wyślij email


  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest All for One Poland sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@all-for-one.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy All for One Poland sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. All for One Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

  61 827 70 00

  Biuro jest czynne
  od poniedziałku do piątku
  w godz. 8:00 – 17:00

  Kontakt ogólny do firmy
  office.pl@all-for-one.com

  Pytania o produkty i usługi
  info.pl@all-for-one.com

  Pytania na temat pracy i staży
  kariera@all-for-one.com