КиберОценка

4.2.1: Стойкая криптография при передаче

Использование стойких протоколов криптографии для защиты PAN при передаче по открытым сетям

Подробное описание

Требование 4.2.1 PCI DSS 4.0 обязывает организации использовать стойкие криптографические протоколы (TLS 1.2+, SSH v2, IPsec) для защиты данных держателя карты (PAN) при передаче через открытые публичные сети. Это включает передачу данных через интернет, беспроводные сети, мобильные каналы связи и другие среды, подверженные перехвату. Необходимо полностью отказаться от устаревших протоколов (SSL 2.0/3.0, TLS 1.0/1.1, WEP) и слабых алгоритмов шифрования. Контроль требует документирования всех каналов передачи PAN и подтверждения использования одобренных криптографических стандартов.

Практические шаги внедрения

  1. 1

    Инвентаризация всех каналов передачи данных держателя карты: веб-приложения, API, мобильные приложения, файловые передачи, точки продаж

  2. 2

    Внедрение TLS 1.2 или выше для всех HTTPS-соединений с отключением устаревших версий (SSL, TLS 1.0/1.1) на уровне веб-сервера и балансировщика нагрузки

  3. 3

    Настройка строгих cipher suites: использование только AEAD-алгоритмов (AES-GCM, ChaCha20-Poly1305), отключение RC4, DES, 3DES, экспортных шифров

  4. 4

    Внедрение HSTS (HTTP Strict Transport Security) с длительным max-age для принудительного использования HTTPS и предотвращения downgrade-атак

  5. 5

    Защита беспроводных сетей через WPA2/WPA3 с AES, отключение WEP и WPA с TKIP; сегментация платёжных терминалов в изолированный VLAN

  6. 6

    Использование VPN (IPsec, OpenVPN) или выделенных каналов (MPLS) для передачи PAN между площадками

  7. 7

    Регулярное сканирование конфигураций TLS (testssl.sh, SSLLabs) и обновление криптографических настроек при выявлении новых уязвимостей

Типичные нарушения

  • Поддержка TLS 1.0/1.1 или SSL на серверах обработки платежей для совместимости со старыми клиентами без документированного исключения

  • Использование слабых cipher suites (RC4, 3DES, CBC без защиты от padding oracle) или отсутствие Perfect Forward Secrecy (PFS)

  • Передача PAN через незашифрованные каналы: HTTP без редиректа на HTTPS, FTP вместо SFTP, email без S/MIME или PGP

  • Беспроводные сети с WEP-шифрованием или WPA с коротким PSK, использование гостевого Wi-Fi для POS-терминалов без сегментации

  • Отсутствие инвентаризации и мониторинга всех точек передачи PAN: неучтённые legacy-приложения, теневые API, неконтролируемые интеграции

Почему это важно

Незащищённая передача данных держателей карт создаёт возможность для атак типа Man-in-the-Middle, перехвата трафика в публичных сетях и эксплуатации уязвимостей протоколов. Реальные инциденты показывают, что использование устаревших протоколов и слабых алгоритмов приводит к компрометации миллионов карт, многомиллионным штрафам регуляторов и невосстановимому ущербу репутации. Стойкая криптография при передаче — критически важный базовый контроль для защиты платёжной инфраструктуры.

Проверяемые категории

SSL/TLS

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности