Новому 2017 году в платежной индустрии положила начало публикация версии 2.0 стандарта индустрии платежных карт по обеспечению безопасности изготовления и подготовки платежных карт (PCI Card Production and Provisioning) на сайте Совета PCI SSC. Действие стандарта распространяется на такие операции, как изготовление платежных карт, кодирование и запись магнитной полосы, эмбоссирование данных на карте, инициализация, внедрение и персонализация чипа, хранение карт, их перевозка и отправка.

Публикация новой версии стандарта и количество нововведений, относящихся к мобильным технологиям, свидетельствует от том, что Совет PCI SSC о них не забывает. Еще в 2012 году Совет выпустил ряд рекомендаций по мобильным платежам, это две версии документа «PCI Mobile Payment Acceptance» — одна для мерчантов и конечных пользователей, а вторая для разработчиков. А на PCI DSS Middle East Forum в 2016 году Совет высказал свою озабоченность следующими проблемами в работе с мобильными устройствами: вездесущая неосведомленность пользователей, подключение к небезопасным сетям передачи данных, потеря устройств или же их кража и использование слабых паролей доступа к устройствам. Да и в целом, информацию нетрудно перехватить с использованием сотовой связи, WI-FI-каналов, бесконтактных технологий и путем внедрения различных вредоносов.

При столь бурном развитии индустрии мобильных платежей выпуск новых требований по безопасности регулятором жизненно необходим. Об этом свидетельствует хотя бы то, что уже появилась возможность использования своего мобильного телефона вместо платежной карты и осуществление привязки карточных данных к нему. Оплата в этом случае происходит с использованием технологии бесконтактных платежей NFC, а для ее проведения необходима установка на мобильное устройство специального мобильного приложения. И эта технология будет развиваться.

В связи с этим, рядом с золотым правилом Совета «не нужно — не храни», появилось новое «сделай информацию бесполезной для злоумышленника». В качестве решения этой задачи предлагается вместо номера карты использовать токены, что не позволит злоумышленнику перехватить полные номера карт.

Хранение в мобильном устройстве данных, необходимых для оплаты, включает в себя использование элемента безопасности, или Secure Element (SE), а также решения Host Card Emulation (HCE). SE — это особый чип в мобильном телефоне, который может быть размещен на съемной microSD карточке, встроен в SIM-карту или же встроен в само устройство, его использование необходимо в случае, если вы хотите оплачивать свои покупки путем использования мобильного телефона. HCE — это режим эмуляции платежной карты, который позволяет мобильному устройству привязать платежную карту и выполнять оплату в случае, если в устройство не встроен SE.

Давно ожидали обновление стандарта Card Production в связи с новыми технологиями в сфере мобильных платежей. В версию 2.0 стандарта добавлены новые, а также уточнены существующие требования по защите физического и логического доступа к платежным данным. Изменения в основном коснутся вендоров, обеспечивающих следующие услуги:

• услуги по облачной персонализации с использованием HCE и SE;
• услуги по управлению персонализацией через мобильные сети;
• услуги по управлению жизненным циклом персонализованных данных;
• услуги по управлению криптографическими ключами.

Если рассматривать конкретно интересующие нас мобильные технологий, то Совет расширил на них действие большинства существующих требований и разработал новые. Например, в стандарте уточнено, что в случае, если в информационной инфраструктуре присутствуют компоненты, задействованные в персонализации с использованием HCE или SE, они должны быть расположены в зонах усиленной безопасности (HSA). Данные компоненты следует размещать либо в серверной комнате в зоне усиленной безопасности, либо в любом другом помещении вендора, удовлетворяющем требованиям к помещениям усиленной безопасности при условии, что в нем будет выполняться только эта деятельность.

Вместе с тем в новую версию стандарта добавлены требования по физической безопасности сетей, вовлеченных в персонализацию с использованием HCE и SE. Сети должны быть физически отделены от других сетей вендора, например, путем использования отдельных серверов, сетевых устройств, HSM, и их расположения в отдельной стойке или в отдельном помещении.

Стандарт включает в себя два документа: документ по физической безопасности (PCI Card Production and Provisioning: Physical Security Requirements) и документ по логической безопасности (PCI Card Production and Provisioning: Logical Security Requirements).