7 věcí, které jsme začali dělat jinak, abychom zabezpečili platební bránu na maximum

Letos v červenci jsme už podruhé vyhověli nejpřísnějším požadavkům na bezpečnost plateb – standardu PCI DSS Level 1.

Aby se tak stalo, museli jsme ujít kus trnité cesty.

Vyhovět všem požadavkům pro nás znamenalo totální revoluci v našem systému.

Čím vším jsme si prošli, jak nás to změnilo a co to znamená pro naše zákazníky?

Letos máme pocit, že se nám standard plnil o něco snáz. Už jsme věděli, jak na to.

Když se nám ale dokumentace se všemi úkoly dostala do rukou poprvé, jen jsme ztěžka polkli. Čekalo na nás 250 požadavků, které jsme museli splnit jeden po druhém.

Co všechno jsme museli udělat, abychom PCI DSS Level 1 splnili?

1. Vybudovali jsme rozsáhlou infrastrukturu

Základním stavebním kamenem celého bezpečnostního standardu je vybudování rozsáhlé aplikační a hardwarové infrastruktury. Pro nás to znamenalo se do takového úkolu pořádně opřít.

2. Přestěhovali jsme se do Amazon Web Services

Zásadním momentem celého procesu pro nás bylo rozhodnutí přestěhovat všechny naše systémy do Amazon Web Services, zkráceně AWS (ano, Amazon dávno neprodává jenom knížky, ale provozuje i jedny z nejlepších cloudových řešení na světě).

AWS jsme si vybrali mimo jiné proto, že také dodržuje PCI DSS. Tím jsme na provozovatele serverů AWS přenesli některé zodpovědnosti (např. fyzickou bezpečnost). Rozdělení jednotlivých zodpovědností je pak jasně definované v rozsáhlé dokumentaci.

3. Výrazně jsme upravili aplikační infrastrukturu

Sáhnout jsme museli i do aplikační infrastruktury.

Zavedli jsme například komplikované šifrování nebo překopali procesy kolem ukládání a mazání dat, s čímž souvisí i to, že jsme oddělili zabezpečenou část s citlivými údaji od zbytku infrastruktury. Stálo nás to nemalé prostředky a hlavně úsilí, ale nelitujeme ničeho.

4. Začali jsme lépe dokumentovat naše systémy

Díky plnění požadavků PCI DSS standardu jsme přišli na to, jak lépe dokumentovat naše systémy.

Standard po nás vyžadoval přísnou dokumentaci úplně všeho, co jsme dělali. Ostatně to po nás vyžaduje i dodnes. Myslíme si ale, že toto je správná cesta pro všechny společnosti, které něco tak rozsáhlého dělají.

Začali jsme také více používat pokročilé grafické nástroje, abychom si schémata infrastruktury přehledně nakreslili.

5. Procesy ve firmě jsme museli uzpůsobit

PCI DSS myslí i na takové věci, jako jsou firemní procesy. Například definuje jasné požadavky, co se musí ve firmě evidovat, jak má vypadat schvalování změn v aplikaci a infrastruktuře.

Museli jsme zavést nové role některých našich lidí a hlavně rozdělit zodpovědnosti a úkoly jak vývoje, tak provozu.

Vyvinuli jsme systém pravidelného školení pro všechny naše zaměstnance ohledně problematiky PCI DSS.

Také pravidelně kontrolujeme všechny naše systémy, včetně koncových stanic operátorů, zda neobsahují citlivá data držitelů platebních karet.

Je rok 2016 a my nestíháme. Úkoly, které jsme měli splnit přesouváme na duben.

6. Zavedli jsme více penetračních testů a skenování

Dlouhodobě máme zkušenosti s testováním našich systémů pomocí tzv. ASV (Approved Scanning Vendor). Jedná se o externí skeny zranitelností systému.

PCI DSS nám mimo jiné ukládá i provádění interních skenů zranitelností, penetračních testů nebo testů segmentace.

7. Začali jsme více monitorovat

Prakticky nově jsme se začali zabývat oblastí provozní bezpečnosti.

Kromě běžného monitoringu služeb, pro které využíváme klasické nástroje typu Icinga, Munin, atd., bylo nutné zavést komplexní systém SIEM (Security Information and Event Management), analyzovat a logovat prakticky vše, aplikovat WAF (Web Application Firewall), FIM (File Integrity Monitoring), software pro IDS (Intrusion Detection System). To vše distribuujeme na centrální syslog servery.

Monitoring kontrolujeme a vyhodnocujeme nepřetržitě, to znamená 24 hodin, 7 dní v týdnu.

Jak probíhá audit a kdo nás kontroloval?

Požadavky standardu PCI DSS Level 1 se vyhodnocují tak, že do firmy přijde auditor. Samotný audit probíhá za osobní účasti auditora QSA (Qualified Security Assessor). Jedná se o nezávislou externí společnost, která je pověřena přímo radou PCI DSS Council.

Auditor postupuje podle pečlivé metodiky a kontroluje plnění všech jednotlivých požadavků standardu. Pro představu prochází následující: konfigurace serverů, systémové komponenty, porty, služby, revize firewallů, dokumentaci, šifrování, ukládání a přenos senzitivních dat, bezpečnostní standardy vývoje, kompetence, role, přidělování přístupů a oprávnění, logování a analýzy záznamů, reakce na události, řešení bezpečnostních incidentů, dodržování směrnic, management změnového řízení, management zranitelností, testování zranitelností, penetračního testování, systémy školení zaměstnanců, osobní pohovory, používání technologií, kooperace s poskytovateli služeb, plány obnovy, analýzu rizik, atd.

Jaký dopad má PCI DSS na naše zákazníky?

Lidé, kteří platí přes platební bránu GoPay si mohou být jisti, že obchodník (nebo e-shop) v žádném případě neuchovává údaje z platební karty (číslo karty, datum platnosti, CVV/CVC kód). V GoPay mu to jednoduše neumožníme. Tuto bezpečnost zajišťujeme pomocí procesů, které plníme v souvislosti s dodržováním standardu PCI DSS Level 1.

co jsme díky PCI DSS získali?

Za posledních pár let se nám povedlo s PCI DSS sžít. Víme, jak máme jednotlivé požadavky plnit, na co všechno musíme myslet a na co si dávat pozor, abychom svůj PCI DSS Level 1 status udrželi.

Zažili jsme totální přerod. PCI DSS ovlivnilo práci každého z nás a nyní je běžnou součástí života naší společnosti. Máme jej i vcelku rádi. Vždyť nás posunul někam úplně jinam.

Uvidíme, co nás do budoucna čeká s dalšími regulacemi, které se na nás poslední dobou valí ze všech stran. Doufejme, že se s nimi popereme jako s PCI DSS, se kterým už jdeme druhým rokem ruku v ruce a společným krokem.