Аутентификация в PCI DSS 4.0: Passkeys

Цифровой мир постоянно меняется, а вместе с ним растет изощренность и частота киберугроз. Данные платежных карт остаются главной целью злоумышленников, поэтому надежные стандарты безопасности необходимы любой организации, которая с ними работает. Стандарт безопасности данных индустрии платежных карт (PCI DSS) уже давно служит эталоном защиты данных держателей карт. Его последняя версия, PCI DSS 4.0, представляет собой значительный шаг вперед, напрямую отвечая на современные угрозы, в том числе за счет существенно усиленных требований к аутентификации.

Пока организации адаптируются к этим новым требованиям, появляются многообещающие технологические решения. Passkeys, созданные на основе стандартов FIDO (Fast Identity Online) Alliance и протокола WebAuthn, находятся в авангарде этой новой волны аутентификации. Они предлагают беспарольный, устойчивый к фишингу подход и улучшают способы защиты доступа к конфиденциальным данным. В этой статье мы анализируем ключевые изменения, внесенные в PCI DSS 4.0, особенно в части безопасной аутентификации, изучаем возможности аутентификации с помощью Passkeys и предлагаем план по использованию этой технологии для достижения и поддержания соответствия стандарту.

Это исследование подводит нас к двум важным вопросам для организаций, осваивающих новые рубежи:

1. Аутентификация: Поскольку PCI DSS 4.0 поднимает планку требований к аутентификации, как организациям эффективно соответствовать этим строгим новым правилам, не перегружая пользователей или команды безопасности?
2. Passkeys и соответствие PCI: Могут ли новые технологии, такие как Passkeys, удовлетворить требования PCI DSS 4.0 к аутентификации, повысить безопасность и улучшить операционную эффективность?

Эта статья призвана дать ответы и направить технических специалистов к более безопасному и соответствующему стандартам будущему.

Чтобы оценить роль Passkeys в текущем ландшафте комплаенса, важно понимать структуру PCI DSS и значительные изменения, которые принесла версия 4.0.

Стандарт безопасности данных PCI — это глобальный стандарт информационной безопасности, предназначенный для защиты платежных данных. Он применяется ко всем организациям, которые хранят, обрабатывают или передают данные держателей карт, включая мерчантов, процессинговые центры, эквайеров, эмитентов и поставщиков услуг. Стандарт был разработан крупнейшими платежными системами (American Express, Discover Financial Services, JCB International, MasterCard и Visa), которые 7 сентября 2006 года основали Совет по стандартам безопасности индустрии платежных карт (PCI SSC) для управления его дальнейшим развитием. PCI DSS состоит из всеобъемлющего набора технических и операционных требований, формирующих основу для защиты платежных данных на протяжении всего их жизненного цикла.

PCI SSC действует как глобальный форум, объединяя заинтересованные стороны платежной индустрии для разработки и внедрения стандартов безопасности данных и ресурсов для безопасных платежей по всему миру. Помимо PCI DSS, Совет управляет рядом стандартов, затрагивающих различные аспекты безопасности платежей. Его миссия — повысить глобальную безопасность данных платежных счетов путем разработки стандартов и вспомогательных услуг, которые способствуют образованию, осведомленности и эффективному внедрению заинтересованными сторонами.

Стандарты PCI DSS 4.0, официально выпущенные в марте 2022 года, с последующей незначительной ревизией (v4.0.1) для учета отзывов заинтересованных сторон, представляют собой самое значительное обновление стандарта за последние годы. Основным стимулом для этого развития стала необходимость противостоять все более изощренному ландшафту киберугроз и меняющейся технологической среде в платежной индустрии.

Основные цели PCI DSS 4.0:

• Соответствие меняющимся потребностям платежной индустрии в области безопасности: Обеспечение эффективности стандарта против текущих и возникающих угроз, таких как фишинг на основе ИИ.
• Продвижение безопасности как непрерывного процесса: Смещение фокуса с одномоментного соответствия на постоянную практику обеспечения безопасности.
• Улучшение методов и процедур валидации: Повышение строгости и последовательности оценок соответствия.
• Добавление гибкости и поддержка дополнительных методологий: Предоставление организациям большей свободы в том, как они достигают целей и результатов в области безопасности.

PCI DSS 4.0 вводит несколько фундаментальных изменений, которые влияют на подход организаций к комплаенсу:

Фокус на результатах безопасности вместо предписывающих контролей

Ключевое изменение — это переход от преимущественно предписывающих контролей к акценту на результатах безопасности. Сам стандарт разъясняет эту гибкость:

Этот сдвиг означает, что если PCI DSS 3.2.1 предлагал подробные инструкции о том, что делать, то версия 4.0 дает организациям больше гибкости в том, как они выполняют требования. Компании могут внедрять контроли, наиболее подходящие для их среды, при условии, что они могут продемонстрировать, что эти контроли достигают заявленных целей безопасности. Это особенно актуально для внедрения инновационных технологий, таких как Passkeys, которые могли не вписываться в старые, более жесткие описания контролей. Однако эта гибкость предполагает, что организации будут проводить тщательную оценку рисков и четко обосновывать выбранные методологии контроля.

Непрерывная безопасность (Business-as-Usual)

Еще один ключевой принцип в PCI DSS 4.0 — это продвижение безопасности как непрерывного процесса, или «обычной практики ведения бизнеса» (BAU). Стандарт подробно описывает это в Разделе 5:

Этот акцент на процессах «обычной практики ведения бизнеса» (BAU) означает, что организации должны встраивать безопасность в свою повседневную деятельность. Речь идет о формировании культуры, в которой безопасность — это не запоздалая мысль или ежегодная спешка, а неотъемлемая часть операций, обеспечивающая непрерывный мониторинг, регулярные оценки и адаптивные меры безопасности для постоянной защиты данных держателей карт. Для внедрения Passkeys это означает постоянную бдительность в мониторинге их эффективности, моделей принятия пользователями и любых возникающих угроз, превращая безопасность в устойчивое усилие, а не в одномоментное упражнение по комплаенсу.

Индивидуальное внедрение и целевой анализ рисков

Значительной новой особенностью PCI DSS 4.0 является формализованная возможность индивидуального внедрения, которая неразрывно связана с тщательной оценкой рисков. Стандарт предписывает эту связь в Требовании 12.3.2:

Эта формализованная опция позволяет организациям достигать целей безопасности, используя новые технологии и инновационные контроли, адаптированные к их уникальной среде, вместо того чтобы строго придерживаться предписывающих методов. Однако, как подчеркивается в цитате, эта гибкость основана на проведении целевого анализа рисков для каждого индивидуального контроля. Этот анализ должен быть задокументирован, одобрен высшим руководством и пересматриваться ежегодно. Затем сторонний аудитор (Qualified Security Assessor или QSA) проверяет эти индивидуальные контроли, изучая документированный подход организации, включая анализ рисков, и разрабатывая конкретные процедуры тестирования. Этот путь является ключевым фактором для таких решений, как Passkeys, позволяя организациям эффективно использовать их передовые функции безопасности, при условии, что они могут доказать через анализ рисков, что их подход соответствует целям безопасности. Возможность индивидуального внедрения, подкрепленная надежным анализом рисков, отражает понимание того, что быстрое развитие как угроз, так и защитных технологий делает жесткие, предписывающие контроли менее адаптируемыми со временем.

Сроки перехода

PCI DSS 3.2.1 оставался активным наряду с v4.0 до 31 марта 2024 года, после чего был выведен из обращения. Новые требования, введенные в PCI DSS 4.0, считались лучшими практиками до 31 марта 2025 года. После этой даты эти новые требования становятся обязательными для всех оценок. Такой поэтапный подход предоставил организациям время для понимания, планирования и внедрения изменений.

Эти изменения в совокупности сигнализируют о более зрелом, адаптивном и ориентированном на риски подходе к безопасности платежных карт, создавая основу для внедрения более сильных и современных механизмов аутентификации.

Несоблюдение требований PCI DSS — это не просто упущение; оно влечет за собой серьезные и многогранные последствия, которые могут серьезно повлиять на финансовую стабильность, юридическое положение и репутацию организации.

Самым прямым последствием несоответствия является наложение финансовых штрафов. Эти штрафы обычно взимаются банками-эквайерами и платежными процессорами, а не напрямую PCI SSC. Штрафы могут быть значительными, варьируясь от $5,000 до $100,000 в месяц, в зависимости от объема обрабатываемых транзакций (что определяет уровень мерчанта, например, Level 1 для более чем 6 миллионов транзакций в год по сравнению с Level 4 для менее чем 20,000 транзакций в e-commerce) и продолжительности и серьезности несоответствия. Например, мерчант уровня Level 1, не соответствующий требованиям в течение нескольких месяцев, скорее всего, столкнется со штрафами в верхней части этого диапазона, в то время как более мелкие предприятия уровня Level 4 могут понести штрафы ближе к $5,000 в месяц.

Крайне важно понимать, что эти штрафы могут быть повторяющимся ежемесячным бременем. Это постоянное финансовое давление, потенциально усугубляемое повышенными комиссиями за транзакции, которые платежные процессоры могут взимать с несоответствующих требованиям предприятий, означает, что совокупная стоимость несоответствия значительно превышает инвестиции, необходимые для достижения и поддержания соответствия. Это переосмысливает комплаенс не как просто центр затрат, а как критически важную инвестицию в снижение рисков. Инвестирование в надежные меры безопасности, включая сильную аутентификацию, такую как Passkeys, становится финансово разумным решением, чтобы избежать этих более крупных, часто непредсказуемых и потенциально разрушительных затрат.

Помимо прямых штрафов, несоответствие может привести к серьезным юридическим проблемам, особенно если оно приводит к утечке данных. Клиенты, чьи данные были скомпрометированы, могут подавать иски, а карточные бренды также могут предпринять юридические действия. Состояние несоответствия может значительно облегчить истцам демонстрацию халатности со стороны организации, что потенциально может привести к дорогостоящим мировым соглашениям и судебным решениям.

Возможно, одним из самых разрушительных, хотя и менее измеримых, последствий является вред репутации организации. Один сбой в соблюдении требований, особенно тот, который приводит к утечке данных, может серьезно подорвать доверие клиентов. Однажды утраченное, это доверие трудно восстановить, что часто приводит к оттоку клиентов, потере бизнеса в пользу конкурентов и долгосрочному ущербу имиджу бренда. Повторные или серьезные нарушения могут даже привести к отзыву привилегий на обработку платежей со стороны карточных брендов или банков-эквайеров, фактически лишая их возможности принимать карточные платежи. Это подчеркивает важность рассмотрения комплаенса не только как технического требования, но и как фундаментального компонента доверия к бренду и непрерывности бизнеса.

Если несоответствие способствует утечке данных, организация, скорее всего, будет нести ответственность за значительные компенсационные расходы в дополнение к штрафам и судебным издержкам. Эти расходы могут включать предоставление пострадавшим клиентам таких услуг, как бесплатный кредитный мониторинг, страхование от кражи личных данных и возмещение мошеннических списаний или комиссий за обслуживание. Кроме того, стоимость перевыпуска скомпрометированных платежных карт, оцениваемая в $3-$5 за карту, может быстро вырасти до миллионов долларов при утечках, затрагивающих большое количество держателей карт. И наоборот, если организация подвергается утечке, будучи полностью соответствующей PCI DSS, связанные с этим штрафы могут быть снижены или даже отменены, поскольку соответствие демонстрирует должную осмотрительность и приверженность безопасности, а не халатность.

Множество потенциальных негативных последствий подчеркивает, что соответствие PCI DSS является незаменимым аспектом современных бизнес-операций для любой организации, участвующей в экосистеме платежных карт.

Требование 8 PCI DSS всегда было краеугольным камнем стандарта. В версии 4.0 его положения были значительно усилены, что отражает критическую роль надежной аутентификации в предотвращении несанкционированного доступа к конфиденциальным данным держателей карт и системам, которые их обрабатывают.

Основная цель Требования 8 — обеспечить, чтобы каждое лицо, получающее доступ к компонентам системы в среде данных держателей карт (CDE) или подключенное к ней, могло быть однозначно идентифицировано и надежно аутентифицировано. Это важно для поддержания целостности и безопасности данных держателей карт путем предотвращения несанкционированного доступа и обеспечения того, чтобы все действия можно было отследить до конкретного, известного пользователя, тем самым устанавливая индивидуальную ответственность.

Основным изменением в PCI DSS 4.0 является расширение и укрепление требований к многофакторной аутентификации (MFA):

• Универсальная MFA для доступа к CDE: В отличие от PCI DSS 3.2.1, который в основном требовал MFA для административного доступа и всего удаленного доступа к CDE, версия 4.0 требует MFA для всего доступа в CDE. Это включает доступ администраторов, обычных пользователей и сторонних поставщиков, независимо от того, происходит ли доступ изнутри или извне сети. Это значительное расширение подчеркивает признание PCI SSC MFA как фундаментального контроля безопасности.
  Стандарт определяет эти требования:

  Выдержки из Требования 8

  «8.4.1 MFA внедряется для всего неконсольного доступа в CDE для персонала с административными правами». 

  «8.4.3 MFA внедряется для всего удаленного доступа, исходящего из-за пределов сети организации, который может получить доступ или повлиять на CDE». 

• Требования к факторам: Реализации MFA должны использовать как минимум два из трех признанных типов факторов аутентификации:

  • Что-то, что вы знаете (например, пароль, PIN)
  • Что-то, что у вас есть (например, токен, смарт-карта или устройство с Passkey)
  • Что-то, чем вы являетесь (например, биометрические данные, такие как отпечаток пальца или распознавание лица). Важно отметить, что эти факторы должны быть независимыми, то есть компрометация одного фактора не компрометирует другие.

• Целостность системы MFA: Системы MFA должны быть спроектированы так, чтобы противостоять атакам повторного воспроизведения (когда злоумышленник перехватывает и повторно использует данные аутентификации) и должны предоставлять доступ только после успешной проверки всех требуемых факторов аутентификации.

• Запрет несанкционированного обхода: MFA не должна быть обходима ни одним пользователем, включая администраторов, за исключением случаев, когда руководство предоставляет конкретное, документированное исключение для отдельного случая на ограниченный период времени.

• Устойчивая к фишингу аутентификация как исключение: PCI DSS 4.0 также вводит дополнительные указания относительно факторов аутентификации, устойчивых к фишингу, которые в некоторых случаях могут соответствовать цели MFA.

  Выдержки из Требования 8

  «Это требование не применяется к… учетным записям пользователей, которые аутентифицируются только с помощью факторов аутентификации, устойчивых к фишингу». — Примечания к применимости 8.4.2 

  «Устойчивая к фишингу аутентификация… Примерами устойчивой к фишингу аутентификации является FIDO2». — Приложение G, Глоссарий, определение устойчивой к фишингу аутентификации 

  Последствия использования устойчивой к фишингу аутентификации, как подчеркивают эти выдержки, будут рассмотрены далее в следующем разделе (4.3).

PCI DSS 4.0 делает заметный акцент на использовании методов аутентификации, устойчивых к фишингу. Это прямой ответ на распространенность и успешность фишинговых атак при компрометации традиционных учетных данных.

• Устойчивая к фишингу аутентификация как альтернатива/дополнение к MFA:

  • Критически важным нововведением в рамках Требования 8.4.2 является то, что методы аутентификации, устойчивые к фишингу, могут использоваться вместо традиционной MFA для всего неадминистративного доступа в CDE, исходящего изнутри сети организации. Это значительное положение для таких технологий, как Passkeys, которые по своей природе устойчивы к фишингу. Это сигнализирует о том, что PCI SSC рассматривает эти передовые методы как обеспечивающие уровень уверенности, сравнимый или даже превосходящий некоторые традиционные комбинации MFA для этого конкретного случая использования.

• Однако для административного доступа к CDE (Требование 8.4.1) и для всего удаленного доступа в CDE из-за пределов сети организации (Требование 8.4.3), хотя устойчивая к фишингу аутентификация настоятельно рекомендуется, она должна сочетаться как минимум с одним другим фактором аутентификации, чтобы соответствовать требованию MFA. Это различие требует тонкого подхода к внедрению Passkeys, возможно, многоуровневой стратегии, где для обычных внутренних пользователей достаточно только Passkeys, а для сценариев доступа с более высоким риском используются Passkeys в сочетании с другим фактором.

• Признание FIDO и мнения экспертов: Стандарт конкретно упоминает аутентификацию на основе FIDO (которая лежит в основе Passkeys) как предпочтительный метод для достижения MFA, в основном из-за ее надежных характеристик устойчивости к фишингу. Дополнительные сведения по этой теме были представлены в подкасте PCI SSC «Coffee with the Council» в эпизоде «Пароли против Passkeys: Дискуссия с FIDO Alliance» (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  В подкасте Эндрю Джеймисон, вице-президент по архитектуре стандартов в PCI SSC, подчеркнул ценность этих технологий:

  «Я бы повторил, что считаю устойчивую к фишингу аутентификацию отличной технологией. Это то, что может решить многие проблемы, которые у нас есть с паролями. И я бы настоятельно рекомендовал, чтобы люди, рассматривая, какие технологии они собираются внедрять для аутентификации, обратили внимание на устойчивую к фишингу аутентификацию и на то, что она может принести, но также понимали, что она немного отличается от того, к чему люди привыкли, и изучили, как они могут правильно и безопасно интегрировать ее в свою общую архитектуру аутентификации».

  Меган Шамас, директор по маркетингу FIDO Alliance (см. Руководство FIDO), подчеркнула фундаментальный сдвиг, который представляют эти технологии, и необходимость адаптации политик:

  «Это в корне отличается от того, к чему мы привыкли с паролями плюс фактор, фактор, фактор, и мы развили технологию, и теперь людям нужно также развивать свои требования и свои политики вместе с этим. И это действительно поможет организациям встать на правильный путь к избавлению от уязвимой для фишинга аутентификации».

  Эта совместная точка зрения подчеркивает движение индустрии к более безопасным, современным методам аутентификации.

Хотя PCI DSS 4.0 настоятельно подталкивает к использованию MFA и методов, устойчивых к фишингу, он также ужесточает требования к паролям и кодовым фразам, если они все еще используются:

• Увеличенная длина и сложность: Минимальная длина пароля увеличена с семи символов в v3.2.1 до 12 символов в v4.0 (или не менее 8 символов, если система не поддерживает 12). Пароли также должны содержать смесь цифровых и буквенных символов.
• Частота смены пароля: Пароли должны меняться не реже одного раза в 90 дней, если они являются единственным фактором, используемым для аутентификации (т.е. для этой учетной записи при данном доступе не применяется MFA). Это требование может быть отменено, если для доступа внедрена MFA, или если организация использует непрерывную, основанную на риске аутентификацию, которая динамически оценивает доступ в реальном времени.

Значительное ужесточение правил для паролей, в сочетании с расширенными требованиями к MFA и явной поддержкой подходов, устойчивых к фишингу, сигнализирует о стратегическом направлении PCI SSC: систематически снижать зависимость от паролей как основного или единственного механизма аутентификации. Пароли давно признаны слабым звеном в безопасности, и PCI DSS 4.0 активно стремится смягчить их врожденные риски, делая их самостоятельное использование более строгим и менее привлекательным, одновременно продвигая более сильные, современные альтернативы.

Чтобы наглядно проиллюстрировать эти изменения, следующая таблица сравнивает ключевые аспекты аутентификации между PCI DSS 3.2.1 и 4.0:

Таблица 1: Ключевые различия в аутентификации: PCI DSS 3.2.1 и 4.0

Этот повышенный фокус на аутентификации в PCI DSS 4.0 задает четкое направление для организаций по переоценке их текущих стратегий и изучению более надежных решений, таких как Passkeys.

Основанные на стандартах FIDO Alliance, Passkeys предлагают принципиально более безопасную и удобную для пользователя альтернативу традиционным паролям и даже некоторым формам устаревшей MFA.

Passkey — это цифровой идентификатор, который позволяет пользователям входить на веб-сайты и в приложения без необходимости вводить пароль. Они построены на стандартах FIDO2, наборе открытых спецификаций, разработанных FIDO Alliance. WebAuthn — это стандарт консорциума World Wide Web (W3C), который позволяет браузерам и веб-приложениям выполнять сильную, устойчивую к фишингу аутентификацию с использованием криптографических пар ключей. По сути, Passkeys являются реализацией этих стандартов FIDO2, используя WebAuthn для взаимодействия в веб-среде. Они заменяют традиционные пароли уникальными криптографическими ключами, надежно хранящимися на устройстве пользователя, таком как смартфон, компьютер или аппаратный ключ безопасности.

Безопасность Passkeys основана на криптографии с открытым ключом. Когда пользователь регистрирует Passkey в сервисе («доверяющая сторона» или RP), генерируется уникальная пара криптографических ключей:

• Закрытый ключ, который надежно хранится на устройстве пользователя. Этот ключ может находиться в аппаратном модуле безопасности (например, TPM или Secure Enclave). Закрытый ключ никогда не покидает это безопасное хранилище (за исключением случая синхронизируемых Passkeys, о чем будет рассказано позже).
• Открытый ключ, который отправляется и хранится доверяющей стороной (веб-сайтом или сервисом приложения) и связывается с учетной записью пользователя.

Во время аутентификации процесс выглядит следующим образом:

1. Доверяющая сторона отправляет уникальный «вызов» (случайный фрагмент данных) на устройство пользователя.
2. Чтобы разблокировать и использовать закрытый ключ, пользователь выполняет локальную проверку на своем устройстве. Обычно это включает использование биометрического идентификатора (например, отпечатка пальца или сканирования лица), ввод PIN-кода устройства или рисование графического ключа. Важно, что эти биометрические данные или PIN никогда не покидают устройство пользователя и не передаются доверяющей стороне.
3. После разблокировки закрытый ключ на устройстве подписывает вызов, полученный от доверяющей стороны.
4. Этот подписанный вызов («утверждение») отправляется обратно доверяющей стороне.
5. Доверяющая сторона использует сохраненный открытый ключ, соответствующий этому пользователю, для проверки подписи на утверждении. Если подпись действительна, аутентификация проходит успешно.

Существует два основных типа Passkeys:

• Синхронизируемые Passkeys: Эти Passkeys могут синхронизироваться между доверенными устройствами пользователя с помощью облачных менеджеров учетных данных, таких как Apple iCloud Keychain или Google Password Manager. Это обеспечивает удобство, позволяя использовать Passkey, созданный на одном устройстве, на другом устройстве, принадлежащем тому же пользователю в той же экосистеме.
• Привязанные к устройству Passkeys: Эти Passkeys привязаны к конкретному физическому аутентификатору, такому как USB-ключ безопасности (например, YubiKey) или приложению на определенном телефоне. Passkey не покидает это конкретное устройство.

Эта криптографическая основа и процесс локальной проверки пользователя обеспечивают врожденные преимущества безопасности, которые напрямую решают многие распространенные векторы атак.

Дизайн Passkeys предлагает несколько преимуществ в области безопасности по сравнению с традиционными методами аутентификации:

• Устойчивость к фишингу: Это краеугольное преимущество. Passkeys криптографически привязаны к конкретному источнику веб-сайта (Relying Party ID или RP ID), для которого они были созданы. Если пользователя обманом заставят посетить поддельный фишинговый сайт, имитирующий легитимный, браузер или операционная система распознают, что текущий домен не соответствует RP ID, связанному с Passkey. В результате Passkey просто не сработает, и аутентификация не удастся. Это перекладывает бремя выявления попыток фишинга с часто ошибающегося человека на надежные протоколы безопасности самой технологии.
• Отсутствие общих секретов: С Passkeys нет «общего секрета», такого как пароль, который известен и пользователю, и серверу, и который может быть украден. Закрытый ключ, являющийся критическим компонентом для аутентификации, никогда не покидает безопасное устройство пользователя. Открытый ключ, хранящийся на сервере, математически связан с закрытым ключом, но не может быть использован для получения закрытого ключа или для выдачи себя за пользователя. Это означает, что даже если сервер доверяющей стороны будет взломан и открытые ключи будут украдены, они бесполезны для злоумышленников без соответствующих закрытых ключей.
• Защита от подстановки учетных данных и атак повторного воспроизведения: Атаки подстановки учетных данных, когда злоумышленники используют списки украденных имен пользователей и паролей для получения доступа к различным учетным записям, становятся неэффективными, потому что нет паролей, которые можно было бы украсть и повторно использовать. Кроме того, каждая аутентификация с помощью Passkey включает уникальный механизм «вызов-ответ». Подпись, сгенерированная закрытым ключом, специфична для вызова, полученного для данной конкретной сессии входа, что делает невозможным для злоумышленника перехватить утверждение аутентификации и воспроизвести его позже для получения несанкционированного доступа.
• Значительное снижение риска захвата учетной записи (ATO): Эффективно нейтрализуя фишинг, устраняя общие секреты и предотвращая атаки подстановки учетных данных и повторного воспроизведения, Passkeys резко снижают основные векторы атак, используемые для захвата учетной записи. Поскольку злоумышленники не могут легко получить или злоупотребить учетными данными пользователя, вероятность успешного ATO резко падает.

Этот фундаментальный сдвиг от аутентификации на основе знаний (что пользователь знает, например, пароль) к комбинации аутентификации на основе владения (что у пользователя есть — его устройство с защищенным ключом) и на основе присущих качеств или локальных знаний (кем пользователь является через биометрию, или что он локально знает через PIN-код устройства) коренным образом ломает цепочки атак, которые полагаются на компрометацию удаленно используемых общих секретов. В отличие от многих мер безопасности, которые добавляют неудобства, Passkeys часто улучшают пользовательский опыт, предлагая более быстрые и простые входы без необходимости запоминать сложные пароли — двойное преимущество, которое может способствовать внедрению и повышению общего уровня безопасности.

Сильные функции безопасности, присущие Passkeys, замечательно согласуются с усиленными контролями аутентификации, предписанными PCI DSS 4.0, особенно с теми, что изложены в Требовании 8. Passkeys не только соответствуют этим требованиям, но и часто превосходят безопасность, обеспечиваемую традиционными методами.

Passkeys по своей сути удовлетворяют основным принципам многофакторной аутентификации, как это определено в PCI DSS 4.0:

• Многофакторная природа: Аутентификация с помощью Passkey обычно сочетает «что-то, что у вас есть» (физическое устройство, содержащее закрытый ключ, такое как смартфон или аппаратный ключ безопасности) с «чем-то, чем вы являетесь» (биометрические данные, такие как отпечаток пальца или сканирование лица, используемые для разблокировки Passkey на устройстве) или «что-то, что вы знаете» (PIN-код или графический ключ устройства). Эти факторы независимы; компрометация PIN-кода устройства, например, не приводит к компрометации криптографического ключа, если само устройство остается в безопасности.
• Устойчивость к фишингу: Как уже подробно обсуждалось, Passkeys устойчивы к фишингу по своей конструкции благодаря их криптографической природе и привязке к источнику. Закрытый ключ никогда не раскрывается доверяющей стороне и не передается по сети, а Passkey будет работать только на легитимном домене, для которого он был зарегистрирован. Это напрямую соответствует сильному акценту PCI DSS 4.0 на смягчении фишинговых угроз.
• Устойчивость к атакам повторного воспроизведения: Каждая аутентификация с помощью Passkey включает уникальный криптографический вызов от сервера, который затем подписывается закрытым ключом. Полученная подпись действительна только для этого конкретного вызова и сессии, что делает ее устойчивой к атакам повторного воспроизведения. Это выполняет Требование 8.5, которое предписывает, чтобы системы MFA предотвращали такие атаки.

По сравнению с традиционными паролями, Passkeys предлагают значительно превосходящую модель безопасности. Пароли уязвимы для множества атак: фишинг, социальная инженерия, подстановка учетных данных из-за повторного использования паролей, атаки методом перебора и кража из взломанных баз данных. Passkeys устраняют эти уязвимости, полностью исключая из уравнения общий секрет (пароль). Аутентификация полагается на криптографическое доказательство владения закрытым ключом, который сам защищен локальной безопасностью устройства, а не на секрет, который можно легко украсть или угадать.

Совет по стандартам безопасности PCI признал потенциал технологии Passkey. Информация из подкаста PCI SSC «Coffee with the Council» с участием FIDO Alliance проясняет их позицию:

• Для неадминистративного доступа в среду данных держателей карт (CDE) изнутри сети организации (Требование 8.4.2) PCI SSC указывает, что методы аутентификации, устойчивые к фишингу, такие как Passkeys, могут использоваться вместо традиционной MFA. Это значительное признание силы Passkeys.
• Для административного доступа к CDE (Требование 8.4.1) и для любого удаленного доступа в сеть (Требование 8.4.3), хотя Passkeys (как устойчивая к фишингу аутентификация) рекомендуются, они должны использоваться в сочетании с другим фактором аутентификации, чтобы удовлетворить требование MFA. Это предполагает подход, основанный на риске, где сценарии доступа с более высокими привилегиями или более высоким риском требуют дополнительного уровня защиты.
• PCI SSC активно разрабатывает руководства, такие как FAQ, чтобы помочь организациям понять, как внедрять Passkeys в соответствии с требованиями, и признает, что Passkeys представляют собой фундаментальный сдвиг от традиционного мышления, основанного на паролях.
• Кроме того, документация PCI DSS 4.0 явно ссылается на аутентификацию на основе FIDO как на предпочтительный, хотя и не обязательный, метод внедрения MFA, что подчеркивает ее соответствие целям стандарта.

Эта позиция позволяет организациям стратегически развертывать Passkeys. Для широкой базы неадминистративных пользователей, получающих доступ к CDE изнутри, бесшовный вход с помощью Passkey может соответствовать требованиям комплаенса. Для администраторов и удаленных пользователей Passkeys обеспечивают прочную, устойчивую к фишингу основу для решения MFA.

Хотя Passkeys предлагают значительное улучшение безопасности, аудиторы PCI DSS (QSA) будут тщательно проверять их внедрение, особенно для сценариев высокого риска, таких как административный доступ к CDE (Требование 8.4.1), чтобы убедиться в соблюдении принципов истинной многофакторной аутентификации. Ключевые соображения включают тип Passkey, независимость факторов аутентификации и использование аттестации.

Как мы уже обсуждали, Passkeys бывают двух основных видов:

• Синхронизируемые Passkeys: Они синхронизируются между доверенными устройствами пользователя через облачные сервисы, такие как Apple iCloud Keychain или Google Password Manager. Они предлагают удобство, так как Passkey, созданный на одном устройстве, можно использовать на другом.
• Привязанные к устройству Passkeys: Они привязаны к конкретному физическому аутентификатору, такому как USB-ключ безопасности (например, YubiKey) или защищенному оборудованию конкретного телефона. Закрытый ключ не покидает это конкретное устройство.

PCI DSS требует, чтобы факторы MFA были независимыми, то есть компрометация одного фактора не компрометирует другие. Passkey обычно сочетает «что-то, что у вас есть» (устройство с закрытым ключом) и «что-то, что вы знаете/чем вы являетесь» (локальный PIN-код устройства или биометрия для разблокировки ключа).

В случае синхронизируемых Passkeys, хотя они и очень безопасны от многих атак, некоторые QSA могут задать вопросы относительно абсолютной независимости фактора «владения» для административного доступа (Требование 8.4.1). Беспокойство вызывает то, что если облачная учетная запись пользователя (например, Apple ID, Google account), которая синхронизирует Passkeys, будет скомпрометирована, закрытый ключ потенциально может быть скопирован на устройство, контролируемое злоумышленником. Это может привести к тому, что некоторые аудиторы будут рассматривать синхронизируемый Passkey в контексте высокого риска как потенциально не соответствующий строгой интерпретации двух полностью независимых факторов, если сам механизм синхронизации не защищен надежно собственной сильной MFA. Руководства NIST, например, признают синхронизируемые Passkeys соответствующими AAL2, в то время как привязанные к устройству Passkeys могут соответствовать AAL3, что часто включает неэкспортируемые ключи.

• Понимание флагов аутентификатора WebAuthn: Во время церемонии WebAuthn (которая лежит в основе Passkeys) аутентификаторы сообщают определенные флаги. Два важных из них:
  • uv=1 (User Verified): Этот флаг указывает, что пользователь успешно подтвердил свое присутствие аутентификатору локально, обычно используя PIN-код устройства или биометрию. Эта проверка действует как один из факторов аутентификации — «что-то, что вы знаете» (PIN) или «что-то, чем вы являетесь» (биометрия).
  • up=1 (User Present): Этот флаг подтверждает, что пользователь присутствовал и взаимодействовал с аутентификатором во время церемонии (например, коснувшись ключа безопасности). Хотя это и крайне важно для подтверждения намерения пользователя и предотвращения определенных удаленных атак, присутствие пользователя само по себе обычно не считается отдельным, независимым фактором аутентификации для удовлетворения требования MFA о многофакторности. Это важная функция безопасности, но обычно она не считается вторым фактором сама по себе.
• Роль привязанных к устройству Passkeys и аппаратных ключей безопасности: Для административного доступа (Требование 8.4.1) и других сценариев с высокими требованиями к безопасности, привязанные к устройству Passkeys, хранящиеся на аппаратных ключах безопасности, предлагают более веский аргумент в пользу независимости факторов. Поскольку закрытый ключ спроектирован так, чтобы никогда не покидать аппаратный токен, фактор «что-то, что у вас есть» более надежно защищен от клонирования с помощью программных атак или компрометации облачной учетной записи. Это делает их предпочтительным вариантом для многих организаций, стремящихся удовлетворить строгие ожидания QSA в отношении административной MFA.

Аттестация — это функция в WebAuthn, при которой аутентификатор предоставляет проверяемую информацию о себе (например, его марку, модель, статус сертификации, является ли он аппаратно-защищенным) доверяющей стороне (вашему FIDO-серверу) во время процесса регистрации Passkey.

• Почему это важно для PCI DSS: Аттестация может предоставить QSA критически важные доказательства того, что используемые аутентификаторы соответствуют политикам безопасности организации и действительно являются тем, чем они себя заявляют (например, сертифицированным аппаратным ключом безопасности). Это может быть особенно важно при демонстрации силы и независимости факторов аутентификации.
• Рекомендация: Для доступа с высоким уровнем безопасности, такого как административный доступ к CDE, настоятельно рекомендуется использовать Passkeys на аппаратных ключах безопасности, которые поддерживают надежную аттестацию. Это позволяет организации применять политики в отношении приемлемых типов аутентификаторов и предоставлять более веские доказательства соответствия.

На практике, чтобы избежать трений при аудите по Требованию 8.4.1, многие предприятия предпочитают выдавать привязанные к устройству Passkeys на аппаратных ключах безопасности, которые обеспечивают надежные гарантии защиты ключей и потенциально аттестацию.

Чтобы наглядно проиллюстрировать, как Passkeys преодолевают разрыв и удовлетворяют контрольным требованиям, изложенным в Требовании 8, следующая таблица сопоставляет конкретные функции Passkey и характеристики с соответствующими подпунктами, указывая их пригодность для различных сценариев.

Это сопоставление демонстрирует, что Passkeys — это не просто теоретическое соответствие, а практичное и надежное решение для удовлетворения передовых требований к аутентификации PCI DSS 4.0.

Ландшафт безопасности платежей сложен и постоянно меняется. PCI DSS 4.0 отражает эту реальность, устанавливая более высокую планку для контролей безопасности, особенно в области аутентификации. В то время как организации стремятся соответствовать этим новым, более строгим требованиям, Passkeys, построенные на стандартах FIDO/WebAuthn, становятся не просто соответствующим решением, а преобразующей технологией, готовой переопределить безопасный доступ.

На протяжении всего этого анализа нас вели два центральных вопроса:

1. Поскольку PCI DSS 4.0 поднимает планку требований к аутентификации, как организациям эффективно соответствовать этим строгим новым правилам, не перегружая пользователей или команды безопасности? Данные убедительно свидетельствуют о том, что организации могут эффективно соответствовать требованиям PCI DSS 4.0 к аутентификации, стратегически внедряя устойчивые к фишингу решения многофакторной аутентификации (MFA), такие как Passkeys. Эти технологии по своей сути сочетают надежную, криптографически проверенную безопасность со значительно улучшенным, часто более быстрым, пользовательским опытом. Кроме того, допущение PCI DSS 4.0 «индивидуальных внедрений» позволяет организациям адаптировать такие передовые решения к своей конкретной среде и профилям рисков, выходя за рамки универсального подхода. Собственные рекомендации PCI SSC дополнительно облегчают это, позволяя упростить комплаенс для большого сегмента пользователей, оставляя более многоуровневые подходы для административного и удаленного доступа с более высоким риском.
2. Могут ли новые технологии, такие как Passkeys, не только удовлетворить строгие требования PCI DSS 4.0 к аутентификации, но и предложить ощутимые преимущества помимо простого соответствия, такие как повышенная безопасность и улучшенная операционная эффективность? Ответ — однозначное да. Passkeys очевидно способны удовлетворить основные контроли аутентификации в Требовании 8 PCI DSS 4.0, включая его критерии MFA, устойчивости к фишингу и устойчивости к повторному воспроизведению. Однако их ценность выходит за рамки простого соответствия. Врожденный дизайн Passkeys — устранение общих секретов и привязка аутентификации к конкретным источникам — резко снижает риск успешных фишинговых атак и захватов учетных записей, что приводит к ощутимому сокращению потерь, связанных с мошенничеством. В операционном плане отказ от паролей приводит к меньшему количеству обращений в службу поддержки, связанных с паролями, что экономит затраты и высвобождает ИТ-ресурсы. Пользователи получают более простой, быстрый и менее раздражающий опыт входа, что может повысить производительность и удовлетворенность клиентов. Более того, там, где пароли полностью заменены на Passkeys для конкретных путей доступа, устраняется бремя аудита для специфичных для паролей контролей, что потенциально упрощает усилия по обеспечению соответствия в этих областях.

Путь к действительно безопасной платежной экосистеме непрерывен. PCI DSS 4.0 устанавливает новые вехи, а аутентификация с помощью Passkey предоставляет мощный инструмент для их достижения. Организациям, которые обрабатывают, хранят или передают данные держателей карт, настоятельно рекомендуется оценить и начать планирование внедрения Passkeys. Речь идет не просто о соблюдении последней версии стандарта; речь идет о внедрении более безопасного, эффективного и ориентированного на пользователя подхода к аутентификации, который соответствует будущему цифровой идентичности. Стратегически внедряя Passkeys, компании могут укрепить свою защиту от развивающихся угроз, защитить ценные платежные данные и построить большее доверие со своими клиентами во все более цифровом мире.