КиберОценка

4.1.1: Шифрование передаваемых данных

Процессы и механизмы защиты данных карт с использованием стойкой криптографии при передаче

Подробное описание

Требование 4.1.1 PCI DSS 4.0 обязывает организации защищать данные держателей карт при передаче по открытым публичным сетям с использованием стойкой криптографии. Это включает шифрование номеров карт (PAN), кодов проверки подлинности (CVV/CVC) и других чувствительных аутентификационных данных при передаче через интернет, Wi-Fi и мобильные сети. Необходимо внедрить политики и процедуры, которые определяют минимальные требования к криптографическим протоколам (TLS 1.2+), алгоритмам шифрования и управлению ключами. Контроль распространяется на все точки обмена данными: веб-приложения, платёжные шлюзы, точки продаж (POS), API-интерфейсы и резервные каналы передачи.

Практические шаги внедрения

  1. 1

    Провести инвентаризацию всех систем и каналов передачи данных карт (веб-приложения, POS-терминалы, платёжные API, backup-каналы)

  2. 2

    Внедрить шифрование на основе TLS 1.2 или выше для всех соединений, передающих данные карт через открытые сети

  3. 3

    Отключить устаревшие протоколы (SSL 2.0/3.0, TLS 1.0/1.1) и слабые шифры (DES, 3DES, RC4) на всех конечных точках

  4. 4

    Настроить сертификаты от доверенных центров сертификации (CA) с валидацией полной цепочки доверия и проверкой имён хостов

  5. 5

    Реализовать политику управления криптографическими ключами: генерация, ротация, хранение и уничтожение

  6. 6

    Внедрить автоматизированный мониторинг конфигураций SSL/TLS и алерты при обнаружении попыток подключения с небезопасными протоколами

  7. 7

    Документировать процедуры шифрования и проводить ежеквартальные проверки соответствия настроек криптографическим стандартам

Типичные нарушения

  • Использование устаревших протоколов SSL 3.0 или TLS 1.0/1.1 из-за совместимости со старыми POS-терминалами или legacy-системами

  • Передача данных карт по незашифрованным каналам (HTTP вместо HTTPS, незащищённые email-сообщения, FTP без SSL/TLS)

  • Применение слабых шифров (56-битный DES, RC4, анонимные Diffie-Hellman) из-за неправильной конфигурации веб-серверов

  • Отсутствие валидации сертификатов: игнорирование ошибок цепочки доверия, истекших сертификатов или несовпадения CN/SAN с доменом

  • Хранение приватных ключей на публично доступных серверах без адекватной защиты и ротации ключей

Почему это важно

Незашифрованная передача данных карт делает их уязвимыми для перехвата злоумышленниками через атаки man-in-the-middle, прослушивание трафика в публичных Wi-Fi сетях и компрометацию промежуточных узлов. Использование стойкой криптографии защищает конфиденциальность и целостность данных держателей карт, предотвращает финансовое мошенничество и соответствует законодательным требованиям PCI DSS. Несоблюдение требования 4.1.1 может привести к утечке данных, штрафам от платёжных систем и приостановке лицензии на обработку платежей.

Проверяемые категории

SSL/TLSCertificate Transparency

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности