От чего зависит штраф за несоблюдение требований pci dss
Этот стандарт должен применяться всеми организациями, которые хранят, обрабатывают и передают данные карт «Мир». К таким организациям относятся и торгово-сервисные предприятия, которые принимают к оплате карты «Мир».
Стандарт PCI DSS — это международный стандарт безопасности, созданный специально для защиты данных платежных карт. Он позволяет защитить организацию от инцидентов безопасности и обеспечить необходимый уровень защищенности во всей платежной системе.
Как получить сертификат PCI DSS
Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:
- сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
- мерчантам, если количество транзакций не превышает миллиона в год.
А вот как все пройдет, если нужно обратиться к аудиторам:
- Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
- После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
- Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.
Ответственность за нарушение
Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.
Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе»).
Требования PCI DSS
Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.
Конкретно это выражено в шести официальных пунктах:
- Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
- Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
- В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
- Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
- Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
- Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.
Можно ли получить сертификат PCI DSS проще и быстрее
- специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
- определят, насколько они применимы к вашим внутренним процессам;
- подскажут, что делать, если трудно выполнить какие-то из требований;
- посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
- на каждом этапе вы будете получать подробную и профессиональную консультацию.
Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.
Требования стандарта
PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:
Защищать корпоративные сети. Настроить файрволы и заменить все пароли, установленные производителем сетевого оборудования.
Защищать данные карт. Внедрить шифрование и осуществлять передачу данных карт по сети с помощью протокола TLS 1.1 (или выше).
Своевременно закрывать уязвимости. Устанавливать обновления для используемых программ и корпоративных антивирусов.
Контролировать доступ к хранилищу. Ограничить круг сотрудников, имеющих доступ к месту физического хранения данных.
Установить политики информационной безопасности. Проверить соответствие им и продумать алгоритм действий при взломе.
Мониторить инфраструктуру. Плюс проводить регулярное тестирование всех систем, отвечающих за информационную безопасность.
Самооценка PCI DSS
Может проводиться ТСП самостоятельно. ТСП вправе привлекать QSA для помощи в проведении самооценки. QSA должен быть привлечен для проведения оценки ТСП на соответствие набору требований PCI DSS, указанных в соответствующем Листе самооценки (SAQ), если того потребует Банк-эквайрер.
Программа безопасности ПС «Мир» определяет контрольные процедуры по соответствию Участников ПС «Мир» и организаций, с которыми они взаимодействуют, требованиям PCI DSS. Форма подтверждения соответствия зависит от категории организации и ее уровня. Требования к типам и уровням ТСП указаны на странице Программа безопасности. Подтверждение соответствия организаций требованиям Стандарта PCI DSS может выполняться путем проведения сертификационного аудита или проведения самооценки.
Сертификационный аудит в ТСП имеет право проводить организация, имеющая статус Qualified Security Assessor (QSA) и указанная в списке или сертифицированный внутренний аудитор, имеющий статус Internal Security Assessor (ISA) и указанный в списке.
Примерно каждые 39 секунд в мире совершается одна хакерская атака. Жертвами злоумышленников становятся не только крупные корпорации — более 40% кибератак направлены на малый бизнес. Чтобы усложнить работу мошенникам и хакерам, ИТ-индустрия разрабатывает специальные стандарты. Следование этим стандартам помогает компаниям защитить их инфраструктуру, сети и персональные данные пользователей. Например, данные клиентов Robokassa находятся в безопасности, потому что наш сервис соответствует требованиям стандарта PCI DSS.
Стандарту PCI DSS должны следовать все организации, которые хранят или передают данные хотя бы одной банковской карты. Он описывает меры для защиты таких данных и необходимые требования к ИТ-инфраструктуре компании.
Первую редакцию стандарта приняли Visa, MasterCard и несколько других американских платежных систем в 2004 году. На российский рынок PCI DSS пришел в 2006-м, после того, как его действие расширили на страны Центральной и Восточной Европы. Перевод документации на русский появился позднее — с выходом PCI DSS v2.0.
Стандарт не закреплен на законодательном уровне ни в одном государстве. Контроль осуществляют Visa и MasterCard — они отвечают за санкции и штрафы. Однако отдельные требования PCI DSS можно встретить в различных правовых документах. Так, американском штате Миннесота с 2007 года действует Plastic Card Security Act, запрещающий бизнесу хранение PIN-кодов карт клиентов. Если говорить о России, то стандарт во многом соответствует положению ЦБ РФ 382-П от 2012 года. Оно касается защиты информации при переводе денежных средств.
Процесс сертификации
Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:
Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.
Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.
Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.
Как получить сертификат PCI DSS
Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:
- сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
- мерчантам, если количество транзакций не превышает миллиона в год.
А вот как все пройдет, если нужно обратиться к аудиторам:
- Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
- После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
- Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.
Можно ли не выполнять требования PCI DSS
Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.
Требования
PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты.
Установить и поддерживать конфигурацию межсетевых экранов для защиты данных
Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию
Защищать хранимые данные держателей карт
Шифровать данные держателей карт при их передаче в открытых общедоступных сетях
Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы
Разрабатывать и поддерживать безопасные системы и приложения
Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
Определять и подтверждать доступ к системным компонентам
Ограничить физический доступ к данным держателей карт
Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт
Регулярно выполнять тестирование систем и процессов обеспечения безопасности
Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации
ПРЕДИСЛОВИЕ РЕДАКЦИИ
По мере всё более широкого распространения карточных платежных систем растёт количество трансграничных транзакций. Заблаговременно нейтрализовать потенциальные информационные угрозы этой индустрии в любой стране помогает выполнение требований стандарта информационной безопасности платежных карт PCI DSS (Payment Card Industry Data Security Standard). Разработан он был совместно крупными платежными системами − MasterCard Worldwide, Visa International, American Express, Discover Financial Services и JCB и действует с 30 июня 2006 года.
Какова сегодняшняя практика применения этих норм в России, в чём проблемы и как они решаются, как оцениваются дальнейшие перспективы? Площадкой для обсуждения этой актуальной проблематики была определена Межбанковская конференция «Вопросы применения и соответствия стандартам PCI DSS / PA DSS». Намеченный на 16 июня 2011 года форум при официальной поддержке Банка России проводят Ассоциация российских банков и сообщество ABISS при организационном содействии компаний «Авангард Центр» и «ФортКонсалт».
Список обсуждаемых на форуме вопросов обширный, если не сказать всеобъемлющий. В первую очередь это «национальные особенности» внедрения и применения стандартов PCI DSS / PA DSS, в частности − соотношение с нормами стандарта Банка России по информационной безопасности. Практиков заинтересует, насколько предъявляемые требования удаётся выполнять банкам-эмитентам, процессинговым центрам и другим «звеньям» операционной цепочки. Не останутся без внимания сопутствующие темы − сертификации соответствия, контроля качества предоставляемых услуг и аудит, деятельности PCI Security Standards Council и обучение QSA.
Предваряя дискуссии, редакция на страницах журнала «BIS Journal − Информационная безопасность банков» даёт возможность представить своё видение представителям типичных участников подобных отраслевых деловых мероприятий. С одной стороны − сотрудникам компаний, которые работают на рынке информационных услуг, регулируемых требованиями PCI DSS / PA DSS, с другой − банковским специалистам, отвечающим за информационную безопасность.
Итак, трое на трое: представители компаний делятся своим видением проблематики, сотрудники подразделений информационной безопасности банков комментируют. Представляем первую "пару": точку зрения специалистов компании "Енвижн Груп" комментирует эксперт из "Россельхозбанка".
В данной статье изложены некоторые наиболее распространенные проблемы и заблуждения, с которыми сталкиваются специалисты консалтинговых организаций на практике в ходе внедрения и поддержания соответствия уровня защиты требованиям стандарта PCI DSS у заказчиков − компаний разного масштаба.
1. НЕКОТОРЫЕ ПРОБЛЕМЫ ПРИ ВНЕДРЕНИИ СТАНДАРТА
Требования стандарта PCI DSS в общей части понятны, логичны и обоснованы, описаны конкретным и понятным языком. Однако есть требования, которые вызывают некоторые затруднения в ходе внедрения данного стандарта и дальнейшей поддержки соответствия.
Требование 3.4 стандарта PCI DSS устанавливает необходимость хранения номеров платежных карт (PAN) в нечитаемом виде, например, используя шифрование. Это требование должно реализовываться везде, где применяется хранение номеров платежных карт, включая любые физические носители, лог-файлы и т.д. У подавляющего большинства организаций до выпуска стандарта PCI DSS номера платежных карт не шифровались. После выхода стандарта они встали перед выбором:
- внедрить шифрование – самая действенная мера, но зачастую заказчик высказывает опасения, что данная мера может привести к снижению производительности и необходимости тестирования работоспособности существующей базы данных в условиях шифрования;
- использовать компенсационные меры(1) – в данном случае существует опасность, что аудитор посчитает их недостаточными для соблюдения требования стандарта. Лучше всего заранее обсудить внедряемые меры с аудитором, при этом следует учитывать, что компания не будет застрахована от того, что в будущем данное требование не будет ужесточено или не введут запрет на применение компенсационных мер. Например, хранить PIN-код, полное содержание магнитной полосы (fulltrack) и код проверки подлинности платежной карты (CVC2/CVV2) нельзя ни при каких условиях и компенсационных мерах.
Смысл термина «компенсационные меры» из контекста понятен, но не следует использовать его без пояснений.
На практике шифрование не так страшно, как кажется поначалу, и пример многих компаний это доказывает. Конечно, это сложнее, чем использование компенсационных мер, но практика показывает, что рано или поздно придется возвращаться к этому вопросу, поэтому лучше сделать это сразу.
Такое возможно в случае удачи администратора или появления большого количества нетипичных событий. Использование же инструментальных средств анализа лог-файлов на практике позволит более качественно обнаруживать инциденты, а также освободит администратора от лишней нагрузки. Стоит помнить, что необнаруженный вовремя инцидент может в итоге привести к серьезным последствиям - компрометации данных платежных карт, что означает для заказчика потерю репутации и клиентов.
Требование 11.2, 11.3 отвечает за выполнение сканирования внешних IP-адресов компании и внутреннего сканирования сегмента платежных карт, а также за проведение теста на проникновение в информационную систему. Хотя реализация данных требований обычно не вызывает затруднений, приходится часто сталкиваться с недопониманием отличий внешнего и внутреннего сканирования, теста на проникновение и соответственно с неверной реализацией требования стандарта. Согласно этим пунктам, периодически должны выполняться следующие работы:
Важно обратить внимание на две тонкости, которые нельзя упускать из вида:
Помимо установленной частоты выполнения сканирований и тестов (ежеквартально или ежегодно), стандарт требует выполнять их и после совершения значительных изменений в инфраструктуре. Например, был внедрен web-банкинг, но сканирование и тестирование на проникновение после этого не выполнялось, это повод для аудитора поставить несоответствие.
Вторая тонкость – выполнение работ после устранения серьезных уязвимостей, в терминологии PCI DSS- до получения «чистого результата». Неоднократно приходилось сталкиваться с тем, что после устранения критичных уязвимостей, найденных по результатам сканирования или теста на проникновение, не выполняется повторное сканирование (тестирование) как того требует стандарт.
В результате нет гарантии, что ошибки в защите были устранены полностью и не образовалась новая брешь в защите. Кроме того, это прямое противоречие требованиям стандарта. Мы рекомендуем сразу включать в договор с подрядчиком пункт о том, что в случае обнаружения уязвимостей и после их устранения, должны выполняться работы по дополнительному тестированию или сканированию.
Кроме того, аудитор вправе попросить предоставить подтверждение устранения найденных уязвимостей (отчетов, служебных записок об устранении уязвимостей) и отчет о выполненном повторном тестировании на проникновение (или отчет о повторном ASV-сканировании, внутреннем сканировании).
Требование 12.9. регламентирует вопросы реагирования на инциденты. Эта тема достаточно новая и чаще всего рассматривается в контексте ответа на чрезвычайную ситуацию. Нередки случаи, когда в компании нет соответствующей документации, хотя персонал знает, куда обращаться в случае возникновения проблем.
Следует обратить внимание, что кроме развернутой документации (требования к которой приведены в пункте 12.9.1 стандарта PCI DSS) необходимо:
- определить ответственных сотрудников за реагирование на разные типы инцидентов;
- проводить ежегодное обучение сотрудников процедурам реагирования на инциденты;
- проводить ежегодное тестирование плана реагирования на инциденты.
Последние два пункта нередко теряются на фоне подготовки большого объема документов по реагированию на инциденты. При этом аудитор может попросить предоставить ему подтверждения выполнения этих двух требований - утвержденные планы обучения и тестирования, отчеты о выполненных работах, приказы о назначении лиц, ответственных за проведение обучения и тестирования. Кроме того, аудитор имеет право уточнить у самих сотрудников, когда и каким образом проводилось обучение и насколько хорошо они знают свои обязанности по реагированию на инциденты.
2. РЯД ОСОБЕННОСТЕЙ ВНЕДРЕНИЯ СТАНДАРТА И ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ
Следует помнить, что просто разработать процедуру и описать ее в соответствующих документах недостаточно. Необходимо ее выполнять и подтверждать этот факт. Наличие документа без подтверждений о его выполнении не считается выполнением требования стандарта.
На практике бывает так - документ создан, процедура отлично описана, но персонал не знает, каким образом нужно действовать, отсутствуют необходимые документы, прописанные в процедуре (например, создание и утверждение необходимых заявок, написание отчетов по результатам выполнения процедуры). На вопрос: «Как данная процедура реализована у вас», аудитор слышит странный ответ: «Давайте прочитаем в документе».
Вот два примера из личного опыта. Организация предоставила утвержденный план обучения сотрудников вопросам информационной безопасности. Но ни один сотрудник не подтвердил, что данное обучение проводилось. Причем в ходе опросов выяснилось, что сами сотрудники имеют слабое представление о своих обязанностях по вопросам информационной безопасности.
В другой компании была разработана политика и процедура обновления программного обеспечения. Но проверка показала, что актуальные обновления не устанавливались более года. И это не единичные случаи.
Поэтому основной сложностью при внедрении PCI DSSявляется не разработка процедур и соответствующих документов, а необходимость донесения их содержания до ответственных лиц, чтобы в итоге компания работала в соответствии с утвержденными стандартами.
Внедрение и соответствие требованиям стандарта PCI DSS – не такая сложная задача, как может показаться сначала. До начала процесса лучше проконсультироваться с аудитором, который поможет понять требования, по которым возникают разногласия и разночтения, а также определить, являются ли применяемые в компании методы защиты достаточными для соответствия и что нужно сделать, чтобы успешно пройти аудит.
КОММЕНТАРИЙ БАНКА
Евгений БОЛОТИН,
начальник отдела управления информационной безопасности департамента безопасности
ОАО «Россельхозбанк»:
Непрерывное взаимодействие с квалифицированной QSA-«командой», в составе которой есть специалисты способные не только выявить уязвимости в процессе аудита, но и рекомендовать действия, соотношение которых – минимизация финансовых затрат / достижение положительного результата, уже является гарантом соответствия PCI DSS.
Именно квалифицированной аудитор, при просмотре результатов сканирования и тестирования (требование 11.2 и 11.3) укажет все текущие тонкие проблемы, на которые по ряду причин не обратит внимания персонал процессинга. И опять же превалирующая задача не только заказчика, но и QSA-аудитора, в минимальные сроки устранить обнаруженные уязвимости.
Особенности требования 12.9. заключаются не только в разработке и утверждении регламентов, политик и планов реагирования на инциденты, сколько в адекватном и правильном доведении нужной информации до ответственных сотрудников банка. При прохождении повторного аудита Банку необходимо предоставить документы подтверждающие, как и устранение ранее найденных уязвимостей, так и доказательство восприятия сотрудниками документов разработанных по рекомендации аудитора.
Профессиональный QSA-аудитор, обладая высоким знанием «тонкостей» приведения к соответствию, готов предложить достаточно большое количество компенсационных мер для наибыстрейшего достижения положительного результата.
Как правило, банки – это динамически развивающиеся структуры в зависимости от потребностей бизнеса. Поэтому одна из проблем, с которой не редко приходится сталкиваться банкам – это серьезные технические, организационные или иные изменения в структуре банка, которые произошли после прохождения первоначального аудита.
В этой связи огромное количество нормативно-распорядительной и регламентной документации должно претерпеть существенное изменение. Технические изменения не всегда совместимы с отработанными ранее мерами безопасности. Поэтому приходится всю процедуру подтверждения соответствия PCI DSSпроходить с нуля.
При этом существенное значение играет опыт QSA-команды, способной оперативно разобраться в тонкостях произошедших изменений и предложить наиболее приемлемые варианты мер и средств обеспечения информационной безопасности для достижения полного соответствия требованиям стандарта PCI DSS.
[1] Меры защиты, которые применяются в случае невозможности реализации в полной мере того или иного требования стандарта PCI DSS. Подробное описание и требования, предъявлемые к компенсационным мерам, приведены в Приложении Bстандарта PCI DSS
Можно ли получить сертификат PCI DSS проще и быстрее
- специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
- определят, насколько они применимы к вашим внутренним процессам;
- подскажут, что делать, если трудно выполнить какие-то из требований;
- посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
- на каждом этапе вы будете получать подробную и профессиональную консультацию.
Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.
Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.
Альтернативный подход
Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.
Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.
Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.
Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.
Можно ли не выполнять требования PCI DSS
Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.
Требования
PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты.
Установить и поддерживать конфигурацию межсетевых экранов для защиты данных
Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию
Защищать хранимые данные держателей карт
Шифровать данные держателей карт при их передаче в открытых общедоступных сетях
Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы
Разрабатывать и поддерживать безопасные системы и приложения
Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
Определять и подтверждать доступ к системным компонентам
Ограничить физический доступ к данным держателей карт
Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт
Регулярно выполнять тестирование систем и процессов обеспечения безопасности
Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации
Требования PCI DSS
Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.
Конкретно это выражено в шести официальных пунктах:
- Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
- Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
- В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
- Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
- Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
- Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.
Читайте также: