Mastercard правила размещения логотипа если компания имеет сертификат pci dss
Если вы хотите, чтобы ваши клиенты могли расплачиваться банковской картой, вам не обойтись без сертификации PCI DSS. Она нужна для подтверждения того, что вы проводите операции с платежами с учетом самых строгих требований безопасности.
Вы можете не получать сертификацию, но тогда вам придется пользоваться «костылями» наподобие встраивания iframe платежной страницы банка-эквайера на сайте или редиректа на его сайт. А это — ухудшение пользовательского опыта, то есть потенциально упущенные клиенты и прибыль. Вывод: сертификация все-таки пригодится.
После консультаций со своим эквайером и QSA-компаниями легко подумать, что такая сертификация — процесс сложный, долгий и дорогой. Но на самом деле это не всегда так.
Сертифицируй себя сам
По правилам платежных систем Visa и MasterCard, если вы сервис-провайдер и обрабатываете, храните или передаете данные менее чем о 300 000 транзакциях в год, для успешной сертификации можно обойтись заполнением специального листа самооценки (SAQ), то есть без QSA-аудита. Если же вы — мерчант, то планка — от 1 млн транзакций в год.
Аудит проводит Qualified Security Assessor — компания, которой Совет PCI SSC предоставил право проведения оценки на соответствие стандарту. В ходе проверки тестируется соответствие бизнес-процессов, процессов по безопасности, средств защиты информации и ИТ-инфраструктуры вашей компании требованиям безопасности.
Вот основные отличия аудита от самооценки (обратите внимание на стоимость):
Пример из жизни
Недавно к нам обратился клиент, который считал, что ему нужно пройти полноценный QSA-аудит. Компания обрабатывает данные банковских карт в мобильном приложении, для этого люди перенаправлялись на платежную страницу банка-эквайера. Чтобы повысить качество пользовательского опыта клиент хотел сделать в мобильном приложении собственную платежную форму. Но для этого надо было предоставить банку-эквайеру сертификат. На вопрос клиента «В каком формате нужна сертификация?» специалисты банка просто отправили ссылку на сайт стандартов PCI DSS.
Когда клиент обратился к нам, сразу выяснилось, что он может подтвердить соответствие требованиям PCI DSS, заполнив лист самооценки (SAQ). Наши специалисты провели аудит бизнес-процессов и инфраструктуры компании, разработали план того, как привести всё это в соответствие требованиям PCI DSS, а также разработали необходимые нормативные документы. Кроме того, они проконтролировали выполнение всех требований.
Затем клиент с нашей помощью заполнил лист самооценки и отправил его банку-эквайеру. После некоторых раздумий (похоже, банк-эквайер редко сталкивался с SAQ) лист самооценки был принят в качестве подтверждения соответствия требованиям PCI DSS. Клиент смог встроить в мобильное приложение собственную платежную форму.
А можно без сертификации?
Сертификат PCI DSS — свидетельство того, что вы серьезно относитесь к работе и данным банковских карт клиентов, строго соблюдая международные стандарты безопасности. Конечно, теоретически вы можете работать без нее, но за это предусмотрен крупный штраф. Кроме того, вам придется работать с не очень ответственными банками или платежными шлюзами, игнорирующими требования безопасности, что делает вас более уязвимым перед мошенниками. В случае обнаружения в транзакциях фрода, случившегося по вашей вине, компенсировать последствия вам придется самостоятельно.
И напоследок напомним о стоимости аудита и самооценки. Средние цены на оба варианта сертификации на российском рынке такие:
- заполнение листа самооценки с пентестом и ASV-сканированием уязвимостей сети — от 450 тысяч рублей;
- QSA-аудит — от 1 миллиона рублей.
Таким образом, на самооценке вы сэкономите, как минимум, вдвое.
Первый шаг в деле сертификации PCI DSS вы можете сделать прямо сейчас, посчитав количество ваших транзакций в год. Скорее всего, логотип «PCI DSS Certified» на вашем сайте намного ближе, чем кажется.
Программа SDP на основе PCIDSS содержит подробную информацию о безопасности данных и требования к проверке соответствия, необходимые для защиты собранных и переданных данных с платежного счета Mastercard.
PCIDSS создана для выявления слабых сторон в защите безопасности, функционировании и конфигурации веб-сайта. Соблюдение PCI DSS и смежных с SDPпрограмм помогает торговцам, поставщикам услуг и эмитентам защитить себя от нарушений безопасности, укрепить доверие клиентов, а также сохранить целостность платежной системы.
Требования PCI DSS
Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.
Конкретно это выражено в шести официальных пунктах:
- Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
- Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
- В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
- Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
- Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
- Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.
Как получить сертификат PCI DSS
Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:
- сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
- мерчантам, если количество транзакций не превышает миллиона в год.
А вот как все пройдет, если нужно обратиться к аудиторам:
- Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
- После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
- Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.
Можно ли получить сертификат PCI DSS проще и быстрее
- специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
- определят, насколько они применимы к вашим внутренним процессам;
- подскажут, что делать, если трудно выполнить какие-то из требований;
- посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
- на каждом этапе вы будете получать подробную и профессиональную консультацию.
Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.
Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.
Мандат Mastercard , действующий на 1 июля 2012
С 1 июля 2012 Mastercard пересмотрел стандарты программы Mastercard SDP , по которым все торговцы и поставщики услуг могут использовать платежные программы третьих сторон, только если те совместимы с PCI PA - DSS . Совместимость PCI PA - DSS с программами третьих сторон определена Программной инструкцией PCI PA - DSS . Кроме того, Mastercard создаст новые требования к проверке соответствия торговцев 1, 2, 3 уровней, а также поставщиков услуг 1 и 2 уровней.
Мандат Mastercard стандартов PA - DSS поможет глобальному внедрению и соблюдению PCI DSS всех заинтересованных сторон в рамках платежной экосистемы.
Этот стандарт должен применяться всеми организациями, которые хранят, обрабатывают и передают данные карт «Мир». К таким организациям относятся и торгово-сервисные предприятия, которые принимают к оплате карты «Мир».
Стандарт PCI DSS — это международный стандарт безопасности, созданный специально для защиты данных платежных карт. Он позволяет защитить организацию от инцидентов безопасности и обеспечить необходимый уровень защищенности во всей платежной системе.
Самооценка PCI DSS
Может проводиться ТСП самостоятельно. ТСП вправе привлекать QSA для помощи в проведении самооценки. QSA должен быть привлечен для проведения оценки ТСП на соответствие набору требований PCI DSS, указанных в соответствующем Листе самооценки (SAQ), если того потребует Банк-эквайрер.
Программа безопасности ПС «Мир» определяет контрольные процедуры по соответствию Участников ПС «Мир» и организаций, с которыми они взаимодействуют, требованиям PCI DSS. Форма подтверждения соответствия зависит от категории организации и ее уровня. Требования к типам и уровням ТСП указаны на странице Программа безопасности. Подтверждение соответствия организаций требованиям Стандарта PCI DSS может выполняться путем проведения сертификационного аудита или проведения самооценки.
Сертификационный аудит в ТСП имеет право проводить организация, имеющая статус Qualified Security Assessor (QSA) и указанная в списке или сертифицированный внутренний аудитор, имеющий статус Internal Security Assessor (ISA) и указанный в списке.
Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.
Можно ли не выполнять требования PCI DSS
Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.
Требования
PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты.
Установить и поддерживать конфигурацию межсетевых экранов для защиты данных
Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию
Защищать хранимые данные держателей карт
Шифровать данные держателей карт при их передаче в открытых общедоступных сетях
Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы
Разрабатывать и поддерживать безопасные системы и приложения
Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
Определять и подтверждать доступ к системным компонентам
Ограничить физический доступ к данным держателей карт
Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт
Регулярно выполнять тестирование систем и процессов обеспечения безопасности
Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации
Можно ли не выполнять требования PCI DSS
Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.
6 целей, 12 требований
Стандарты безопасности данных индустрии платежных карт (PCI DSS)
Среди более чем 250 отдельных требований PCI DSS можно классифицировать и выделить 6 целей и 12 основных требований.
Как получить сертификат PCI DSS
Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:
- сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
- мерчантам, если количество транзакций не превышает миллиона в год.
А вот как все пройдет, если нужно обратиться к аудиторам:
- Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
- После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
- Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.
Платежное приложение системы безопасности данных ( PA - DSS )
Платежное приложение системы безопасности данных ( PA - DSS ) создано для разработчиков и интеграторов программного обеспечения платежных приложений, хранящих, обрабатывающих или передающих данные о держателях карт в рамках авторизации или настройки, когда эти программы продаются, распространяются или права на них передаются третьим лицам.
PA - DSS требует от поставщиков платежных приложений третьих сторон обеспечения надлежащего контроля безопасности данных держателей карт. Многие из элементов управления в рамках PA - DSS предназначены специально для устранения слабых сторон, которые стали основной причиной потерь данных по кредитным картам.
Можно ли получить сертификат PCI DSS проще и быстрее
- специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
- определят, насколько они применимы к вашим внутренним процессам;
- подскажут, что делать, если трудно выполнить какие-то из требований;
- посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
- на каждом этапе вы будете получать подробную и профессиональную консультацию.
Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.
Требования PCI DSS
Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.
Конкретно это выражено в шести официальных пунктах:
- Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
- Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
- В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
- Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
- Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
- Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.
Читайте также: