Стандарт PCI DSS: требования и сертификация

Стандарт (Payment Card Industry Data Security Standard) разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council). Он определяет конкретный перечень требований к обеспечению безопасности данных платежных карт, затрагивающих как организационную, так и техническую сторону компаний.

О стандарте

Популярные платежные системы Visa и MasterCard стали требовать от поставщиков услуг и различных торговых предприятий, работающих с данными платежных карт, соответствия PCI DSS. Поэтому вопрос соблюдения правил, утвержденных этим документом, стало важным не только для крупной организации, но и для небольших торговых предприятий.

Стандарт PCI DSS определяет требования к предприятиям, информационные системы которых хранят, обрабатывают и/или передают данные платежных карт. Также они определяются и для предприятий, которые способны каким-либо способом повлиять на сохранность этой конфиденциальной платежной информации.

Все организации, вовлеченные в процесс обработки платежных карт, должны соответствовать предписаниям, содержащимся в этом документе. Компании, находящиеся на территории Российской Федерации — не исключение.

Нужно ли соответствовать стандарту

Чтобы понять, должна ли ваша организация соответствовать требованиям стандарта, ответьте на два простых вопроса:

1. Ваша фирма хранит/обрабатывает/передает данные платежных карт?
2. Может ли ваша компания влиять на безопасность таких данных?

Если хоть на один из вопросов есть положительный ответ, значит, компания должна соответствовать правилам, установленным этим документом.

Требования стандарта

Перечислять PCI DSS требования можно долго, т. к. их очень много. Так, согласно действующему документу, требует прохождения 440 различных проверочных процедур. Вот некоторые из них:

1. Управление доступом к данным о платежных картах.
2. Механизмы аутентификации
3. Конфигурация компонентов информационной инфраструктуры.
4. Защита вычислительной сети.
5. Физическая защита информационной инфраструктуры.

Конечно, все 440 требований перечислять не станем. В данной статье это не нужно. При желании информацию вы найдете в Интернете без особых проблем.

Сертификация

Сертификация PCI DSS может осуществляться тремя способами:

1. Внешний аудит (QSA)
2. Внутренний аудит (ISA)
3. Самооценка (SAQ).

Внешний аудит проводится аудиторской компанией, которая должна быть сертифицирована Советом PCI SSС. В ходе проверки собираются доказательства выполнений всех предписаний. Результаты аудита сохраняются на определенный период (длительность зависит от уровня организации), после чего нужно проводить внешний аудит заново.

Внутренний аудит ISA выполняется внутренним специалистом, который прошел обучение и сертификацию по программе Совета PCI SSC.

Сертификация PCI DSS с помощью самооценки (SAQ) выполняется компанией самостоятельно — с помощью заполнения листа самооценки. Этот способ аудита не требует сбора свидетельств выполнения стандартизированных правил.
Чтобы понять, какой тип аудита нужно проводить, нужно посмотреть на разновидность компании и оценить численность годовых транзакций.

Так, по классификации Visa, если торгово-сервисное предприятие обрабатывает более чем 6 млн. транзакций в год, нужен ежегодный QSA-аудит и ежеквартальное ASV-сканирование.

Облако по стандарту PCI DSS

Все PCI DSS требования соблюдать сложно, плюс это потребует сил, времени и определенных вложений. Гораздо проще арендовать облако, соответствующее принятому постановлению.

Облако по стандарту PCI DSS — это специальная услуга, обеспечивающая безопасную работу с платежными картами для организаций, разместивших свою инфраструктуру на стороне сертифицированного облачного провайдера. Сертификат выглядит, как показано на изображении ниже:

Выбрав такую услугу, предприятие автоматически закрывает существенную долю предписаний PCI DSS и перекладывает заботу о сертификации на плечи провайдера. Провайдер берет на себя часть обязанностей, к примеру, управление действующими операционными системами и физическую защиту устанавливаемых серверов.

Использование сертифицированного облака значительно упрощает жизнь организации. Раньше организациям приходилось разворачивать собственную информационную инфраструктуру, строить собственное серверное помещение, выполнять все предписания собственноручно. Сейчас можно часть требований передать сертифицированным провайдерам. Это поможет вам повысить уровень защищенности среды обработки платежных данных, а также максимально уменьшить риски финансовых потерь от вероятных неприятных инцидентов информационной безопасности.

Дополнительную информацию об этой услуге можно получить по адресу: https://www.xelent.ru/news/tsod-sdn-sertifitsirovan-po-standartu-pci-dss/

Защищенное облако 152 ФЗ

Защищенное облако 152 ФЗ – ИТ-инфраструктура, предназначенная для создания информационных систем персональных данных (ИСПДн), соответствующих требованиям федеральных законов.

Миграция вашей инфраструктуры в облако за 1 день

Перенесите Вашу физическую инфраструктуру в облако за 1 день.

Облачный архив для 1C

Автоматизация обязательного архивирования – первый шаг к упрощенному управлению ИТ-структурой предприятия. Аренда облачного архива для 1С в Xelent поможет справиться с этой задачей. Все данные размещаются на защищенном от сбоев оборудовании в ЦОДах Москвы и Санкт-Петербурга.