Использование кредитных карт для оплаты товаров и услуг сейчас является обычной практикой. Кредитные карты позволяют легко и экономически эффективно вести любой бизнес. Тем не менее, миллионы личных записей персональных данных клиентов банков ежегодно угоняются в странах с высоким и низким уровнем защиты банковских систем от сетевых атак. Многие из этих случаев связаны с информацией, нанесенной на кредитные карты, включая данные TRACK2 и PIN-код.
PCI Security Standard
Payment Card Industry Data Security Standard (PCI DSS) распространяется на все предприятия, государственные и частные любой отрасли, которые обрабатывают, передают или хранят транзакции по кредитным картам и информацию о держателях карт. Обслуживание платежных карт брендов, таких как Visa International, MasterCard Worldwide, Discover Financial Services, JSI и American Express требует соблюдения требований PCI DSS, и любая компания, которая не соответствует требованиям, рискует попасть под суровые наказания. А много ли таких компаний на самом деле, которые не соблюдают эти правила? И вообще, что это за правила и можно ли их так скажем обойти?
Обычно отделения банков используют встроенные брандмауэры, VPN и системы предотвращения вторжений и обнаружения (IPS / IDS). Железки Cisco тут считаются лучшими, потому что могут безопасно масштабироваться для удовлетворения требований PCI DSS. Например Cisco ISR сегментирует трафик в рамках PCI требований следующим образом:
• Маршрутизатор направляет трафик между сетями так, чтобы сегментировать сеть на подсети и изолировать трафик, несущий конфиденциальную информацию, от трафика не являющимся конфиденциальным, тем самым снижая общий охват подсети передачи трафика, несущего информацию о держателях карт.
• Маршрутизатор также имеет списки доступа ACL, ограничивающие течение между передачей трафика держателями банковских карт и другими областями сети.
• Брандмауэр отслеживает состояние ограничения движения данных держателей карт в другие области сети.
• Включена система предотвращения вторжений, проверяется трафик, приходящий из сети обработки данных держателей банковских карт, так и входящий в эту среду тоже.
• VPN осуществляет шифрование всего трафика, приходящего из филиалов банка, платежных терминалов и банкоматов через открытые и публичные сети.
Cisco Secure Server контроля доступа
Централизованная база данных пользователей Active Directory и Cisco Secure Access Control Server (ACS) TACACS обычно используются для ограничения доступа к данным о держателях карт, где присвоен уникальный идентификатор каждому лицу, имеющему доступ к компьютеру. Индивидуальные идентификаторы пользователей и роли определяются и на основе членств в группах.
Cisco маршрутизаторы настроены на использование AAA модели для допуска пользователей к работе в сети. Пользователи могут быть отнесены к группам и, исходя из уровня привилегий, имеют доступ только к информации, которая им требуется для работы. По умолчанию, пользователи не имеют никаких прав системе, доступ к определенным областям специально настраивается и присваиваются соответствующие пароли.
Вот примерно так сейчас защищены все системы on-line платежей и снятия наличных в банкоматах.
