Обзор стандарта PCI DSS

Для защиты информации о пользователях платежных карт используются специальные меры. Одной из основных является стандарт PCI DSS – это набор специальных требований, которые помогают повысить безопасность сетевой инфраструктуры и устранить уязвимости, угрожающие конфиденциальности пользователей.

Стандарт был введен более 15 лет назад, однако до сих пор является актуальным. Среди разработчиков Payment Card Industry Data Security Standard – Visa, MasterCard и прочие финансовые организации. Соблюдать представленные требования должны все организации, которые обрабатывают любую информацию о держателях банковских карт.

Стандарт предполагает аудит компаний, позволяющий определить правильность соблюдения всех норм и требований. Разберемся, в чем же особенности PCI DSS и как происходит сертификация.

Требования стандарта PCI DSS

Стандарт представляет собой официальный документ, в котором подробно прописаны необходимые меры для поставщиков услуг и торговых предприятий, которые работают с данными платежных карт. Стоит отметить, что описанные требования являются обязательными и для организаций, которые могут влиять на сохранность конфиденциальной платежной информации. Документ является всемирным и используется, в том числе, и для компаний в России.

Всего в стандарте описывается более 280 критериев оценки, которые нужно выполнить, чтобы получить необходимую сертификацию. Это проверка на управление доступом, защиту вычислительной сети, физическую защищенность системы, способы аутентификации и т. д.

Если обобщать, то можно выделить 6 требований, лежащих в основе стандарта безопасности PCI DSS. Их в той или иной мере можно назвать общепринятыми во всем мире. Что же это за условия?

• Использование защиты сетевой инфраструктуры. Этот критерий подразумевает наличие фаерволов для фильтрации входящего/исходящего трафика. Кроме этого, потребуется особый подход к обработке любой информации о клиентах – процедуры должны быть сегментированы на несколько независимых кластеров. Каждая функция делегируется только одной ВМ, во избежание получения несанкционированного доступа к нескольким частям данных.
• Антивирусное ПО. Очень важный пункт, который обезопасит систему от хакерских атак и взлома, а также поможет защитить процесс обновления уязвимого ПО. Также мера носит предупредительный характер, помогая закрыть еще не обнаруженные уязвимости.
• Использование шифрования. Этот пункт стандарта PCI DSS подразумевает использование криптографии с ключами длиной более 128 бит. Мера была введена несколько лет назад из-за обнаруженной уязвимости, позволяющей злоумышленникам извлечь информацию из зашифрованного канала связи. Стандарт содержит и список рекомендуемых провайдеров, чьи решения позволят обеспечить шифрование данных.
• Постоянный мониторинг инфраструктуры. Потребуется контроль за всеми операциями, который позволит обнаружить попытки взлома или несанкционированные действия над данными. Также мониторинг потребуется для своевременного обнаружения уязвимостей в системе.
• Настройка политики доступа к данным. Обязательным является применение многофакторной аутентификации при подключении к компонентам инфраструктуры и хранилищам данных. При этом доступ к местам хранения файлов должен быть ограничен. Рекомендована корректировка политики при любых кадровых перестановках в компании, чтобы ограничить доступ для бывших сотрудников.
• Наличие корпоративной политики по информационной безопасности. Еще одно обязательное условие для сертификации – это разработка общих принципов обеспечения безопасности IT-инфраструктуры. В ней должны содержаться пункты об алгоритме доступа к персональным данным и мерах при угрозе безопасности.

Кроме этих пунктов для соответствия стандарту PCI DSS потребуется протоколирование всех событий и действий системы, дополнительная защита данных при передаче, настройка конфигурации компонентов информационной структуры и т. д. Как вы видите, речь в требованиях идет как о физической части, так и об аппаратном компоненте – то есть проверяется абсолютно все.

Какие организации должны соблюдать стандарт

Подробнее остановимся на том, для каких компаний требования документа станут обязательными. Это:

• банки;
• поставщики сервисов;
• интернет-магазины;
• call-центры;
• платежные шлюзы.

Этот список можно дополнить компаниями, оказывающими услуги и продающих их через свой сайт. Также не стоит забывать о других организациях, деятельность которых в той или иной мере касается обработки и хранения сведений о владельцах платежных карт.

Особенности сертификации

Для прохождение сертификации PCI DSS компании потребуется выбрать подходящий способ аудита:

• Внешний (QSA). Проводится аудиторской компанией, которая имеет соответствующую сертификацию. Проверка подразумевает изучение всех мер, принимаемых компанией, и сбор доказательств об их соблюдении. Специалисты оценивают «железо» и программное обеспечение инфраструктуры, конфигурацию ОС, топологию сети и другие технические параметры, которые могут повлиять на безопасность данных. Результаты аудита действительно в течение определенного периода, по истечении срока проверка проводится повторно. Подобный аудит подходит для организаций, которые обрабатывают более 6 млн транзакций в год.
• Внутренний (ISA). Выполняется внутренним специалистом, то есть одним из сотрудников компании. Основное требование – это прохождение обучения и наличие сертификата Совета PCI DSS. Во время сертификации специалист собирает сведения о выполнении норм стандарта. ISA потребуется для компаний, которые обрабатывают более 20 тыс. платежей в год (но менее 6 млн).
• Самостоятельный (SAQ). Наиболее простой вариант сертификации, который подойдет для компаний, обрабатывающих не более 20 тыс. платежей в год. Выполняется аудит при помощи заполнения листа самооценки. Сбор свидетельств о выполнении стандартизированных правил не потребуется.

Различают 4 уровня сертификатов, которые позволяют компании обрабатывать различное количество транзакций в год:

• Level 4 – до 20 тыс..
• Level 3 – от 20 тыс. до 1 млн.
• Level 2 – от 1 млн до 6 млн.
• Level 1 – более 6 млн.

Что получает компания

Сертификация PCI DSS является обязательной, однако многие организации стремятся пройти ее самостоятельно. Происходит это по ряду причин:

• Конверсия. Отсутствие перехода на отдельную платежную страницу позволяет избежать потери части оплат.
• Технические задачи. Иногда фирме из-за специфики бизнеса требуется собственная платформа для проведения платежей.
• Репутация и имидж. Это позволяет избежать перехода клиента на сайт сторонней организации для ввода банковских карт.

Кроме этого, соответствие стандарту помогает предотвратить любые мошеннические операции и повысить уровень защиты.

Надеемся, что вы разобрались в том, что такое PCI DSS. Если у вас остались вопросы, то специалисты дата-центра Xelent всегда готовы ответить на них!

Предоставление USB-порта по сети

Обеспечим подключение аппаратных USB ключей, USB накопителей, любых других USB устройств к вашим виртуальным машинам или физическим серверам.

Удаленные рабочие места (VDI)

Переведите офис на удаленную работу в течение 1 дня. Облако с площадками в Санкт-Петербурге, Москве, Алма-Ате и Минске.

Частное облако с управлением через vCloudDirector

Простая, удобная и надежная интеграция облачной инфраструктуры в IT-инфраструктуру компании с глубокими индивидуальными настройками.