Представлены новые стандарты изготовления платежных карт

Совет PCI представил версию 1.1 нового стандарта, который будет применяться повсеместно при производстве платежных карт, — PCI Card Production Security Requirements. Ввиду участившихся атак на сети производителей карт совет принимает меры, направленные на предотвращение компрометации карт как на логическом, так и на физическом уровне.

Новый стандарт включает рекомендации по обеспечению защиты как данных, так и компонентов носителя, а также самих процессов создания карт: производства карт, внедрения чипа, подготовки данных, предварительной персонализации, персонализации карты и чипа, упаковки, хранения, отправки по почте, печати и отправки PIN-кода, а также предоставления PIN-кода по электронным средствам связи.

Изменения коснулись многих аспектов выпуска платежных карт: производителям придется соответствовать более строгим требованиям, касающимся контроля доступа к картам, их надлежащего хранения в банках или центрах персонализации (в том числе к параметрам хранилища и пожарной безопасности центров персонализации или хранения карт). Особое внимание уделено процессу эмбоссирования карт (то есть нанесения имени владельца и других данных на лицевую сторону карты). Получение самих карт и PIN-кодов по почте также пересмотрено с целью исключить компрометацию.

Например, теперь пожарные выходы невозможно будет открыть изнутри или оснастить ими сами хранилища. Помещения для хранения карт должны быть оснащены камерами с функцией распознавания движений, притом при детектировании движения внутри хранилища должна срабатывать не только традиционная, но и бесшумная сирена. Камеры при этом должны вести запись в течение 10 секунд до и после срабатывания датчика движения. Сервер контроля доступа должен располагаться если не в том же помещении, то в таком же защищенном хранилище. И это все лишь немногие из требований, выдвигаемых к помещениям для хранения карт.

Для процесса производства совет представил некоторые послабления: например, частота уничтожения фольги, используемой в прессе для эмбоссирования карт, снижена с раза в сутки до раза в неделю на усмотрение производителя, но при этом фольга для печати обязательно удаляется из машины в нерабочие часы.

При отправке эмбоссированные карты и PIN-коды к ним должны уходить в разных конвертах без опознавательных знаков (например, с изображением логотипа) с разницей в два дня. Кроме того, курьерская доставка конвертов допускается только при наличии индивидуального номера отслеживания отправления.

Хотя стандартами занимается Совет PCI Council, следить за исполнением рекомендаций надо платежным системам при проведении соответствующих консультаций с производителями карт.

«Мы обновили требования к производству карт с целью обеспечить максимальную защиту критической информации на протяжении всего цикла производства — от создания до доставки клиенту», — утверждает Трой Лич, главный технический директор PCI SSC.

- See more at: https://threatpost.ru/2015/04/13/pre....jWSt8yPb.dpuf