Маскиране ИЛИ съкращаване на PAN номер каква е разликата, BIS-Expert
Вчера препрочетох PCI DSS 2.0 изискване 3.4 и бях доста изненадан, че няма такова нещо като „маскиране“ за защита на съхранените PAN. Правилно ли разбирам, че тези номера трябва да бъдат криптирани, преди да бъдат съхранени, и когато бъдат извлечени, те трябва да бъдат декриптирани и маскирани? И тогава, ако получим PAN номера вече в маскиран вид и след това го съхраним, попада ли такова съхранение под стандарта PCI DSS? От техническа гледна точка, както мисля, не се вписва, т.к. PAN номерът вече е маскиран при получаване, което означава, че няма начин да намерите PAN номера в чист вид.
Именно това е основната същност на неразбирането на същността на маскирането. Много хора или изобщо не знаят за съкращаването и приемат, че ако не могат да видят пълния номер на картата, значи това е маскиране, или смятат, че съкращаването и маскирането са едно и също нещо. Това са очевидно различни неща, така че ще си позволя да цитирам определенията за маскиране и съкращаване направо от речника на PCI SSC:
Метод за превръщане на PAN номер в нечетлив чрез премахване на сегмента с PAN данни.
Представете си данни за картодържателя (наричани по-долу - CDC) под формата на числа върху лист хартия. При маскирането сякаш вземаме коригираща лента и я прилагаме върху повечето числа по такъв начин, че само последните 4 числа да могат да се видят от лицето, на което се предава този лист. Очевидно при тази операция данните все още съществуват под коригиращата лента, въпреки че ги скрива. Разбира се, с известно усилие можете да отлепите коригиращата лента от този лист хартия, което означава, че този лист все още се нуждае от защита, в която никой натрапник не би могълвъзстановяване и използване на данните на картодържателя.
На свой ред, ако искахме да съкратим това парче хартия, тогава или изобщо нямаше да напишем тези числа първоначално, или бихме ги изтрили толкова сигурно, че никога да не могат да бъдат създадени отново. Такива данни никога няма да бъдат записани на лист хартия и следователно не могат да бъдат използвани за измами с платежни карти. При такъв сценарий този лист хартия няма стойност за нападателя и следователно не е необходимо да бъде защитен, поне до същата степен, в която трябва да бъдат защитени маскираните данни. Разбира се, някои допълнителни данни или стойности могат да бъдат прикачени към тези съкратени данни, но самите съкратени данни нямат стойност.
Ако на екрана се показват данни, от които се вижда само малка част, тогава е невъзможно да се знае със сигурност дали данните са съкратени или маскирани. За да разберете това, е необходимо да разберете по-задълбочено процесите на тяхната обработка. Само чрез разбиране на процесите човек може да каже дали тези данни могат да бъдат пресъздадени по някакъв начин или дали същите данни, които се виждат на екрана, се съхраняват в базата данни. Като сте в обикновен магазин, можете да видите последните 4 цифри от номера на картата на чековете. Ако заявлението за плащане е написано правилно, тогава позицията на персонала - независимо дали е ръководителят на търговския етаж или продавачът - не трябва да има значение: във всеки случай никой не трябва да вижда нищо освен последните 4 цифри от номера. Факт е, че данните не се записват в такова приложение, което означава, че никой от служителите на магазина няма възможност да извлече данни от системата - данните се съкращават и вече не са в системата.
Ситуацията е съвсем различна в бек офиса, в счетоводния отдел и в службата, отговаряща за предотвратяване на щети. По подразбиране служителите на тезиотделите и службите трябва да виждат само последните 4 цифри от номера на платежната карта. Въпреки това, в случай на плащания по искове или подозрения за възможна измама, служителите на компанията трябва да могат да разкрият пълния номер на картата като част от разследването. Тези номера все още съществуват на сървъра, но най-вече се съхраняват там в маскиран (скрит) вид и се показват само на надлежно упълномощен персонал. Тъй като е възможно да се извлекат тези данни на сървърите, те са изцяло в обхвата на оценката за съответствие с PCI DSS и подлежат на подходяща защита.
Така, в отговор на въпрос на читател, ще кажа, че съхраняваните данни не могат да бъдат „маскирани“. Те се маскират само при извличане и се считат за маскирани, ако са частично изобразени. Ето защо няма маскиране в изискване 3.4. Ако обаче търговецът получи DTC, които съдържат само сегмент от PAN номера (например сегмент от първите 6 или последните 4 цифри), тогава тези данни се съкращават. В този случай пълният PAN номер липсва, той не може да бъде пресъздаден и следователно няма нужда да го защитавате по същия начин като DDC. Не казвам, разбира се, че данните, свързани с този номер, нямат стойност и не подлежат на защита, просто съкратените данни не са включени в обхвата на изискванията на стандарта.
Ако търговецът получи пълния PAN номер, но той се показва на служителите в маскиран вид, тогава дори и никой в търговеца да няма достъп до данните на картодържателя, той пак носи отговорност за тяхната защита в съответствие с изискванията на стандарта. Ако тези данни не са необходими, има смисъл да поискате съкратени данни, като по този начин спестявате много усилия и нерви за комуникация с одиторите, отговаряйки на изискванията на стандарта и като цяло напроцесът на привеждане на околната среда в съответствие със стандарта PCI DSS. Аз например съм приятен човек за общуване, но дори най-големите ми фенове на клиентите ще потвърдят, че поне веднъж годишно, когато дойда при тях на одит, ставам противен и непоносим.