1. Главная страница » Компьютеры » Pci dss что это такое

Pci dss что это такое

Автор: | 16.12.2019

В конце 2015 года система электронных платежей PayOnline уже в восьмой раз доказала, что мерчанты и плательщики находятся под надежной защитой. А в мае 2016 года компания получила физический сертификат соответствия требованиям стандарта PCI DSS версии 3.1, подтверждающий высший мировой уровень безопасности.

На фоне этого события мы бы хотели подробнее рассказать, что такое PCI DSS, по каким критериям осуществляется проверка на соответствие стандарту и как, не имея собственного сертификата, интернет-магазин может обеспечить безопасность финансовых данных пользователей.

Если попробовать забить аббревиатуру PCI DSS в Google или поискать по ней на Хабре, то можно обнаружить достаточно много статей, описывающих этот стандарт. Тут же выяснится, что целевой аудиторией всех этих материалов будут те, кто так или иначе связан с электронной коммерцией. Главным образом это платёжные агрегаторы и процессинговые центры, а уже потом разработчики интернет-магазинов.

Любой вид электронной коммерции так или иначе основан на том, что покупатели, желающие приобрести товар, должны будут расплатиться за него. Несмотря на то, что возможность расплатиться архаичным способом (отдать деньги курьеру при встрече) наиболее популярна в России, есть большая вероятность, что покупатель предпочтет воспользоваться своей платёжной картой. Тут разработчикам магазина придётся иметь дело с такой деликатной материей как личные данные пользователей, которые ещё и связаны с их финансами. Вряд ли кто-то из клиентов магазина захочет, чтобы все это стало достоянием общественности, поэтому здесь приходится прибегать к продуманным и многократно проверенным решениям.

Создание целого интернет-магазина с нуля — мягко говоря, задача непростая. Поэтому на рынке довольно много фреймворков, помогающих разработчикам с этим (у всех на слуху Magento, к примеру). Задачу приема платежей, как одну из самых важных, потому что она связана с деньгами, включают в себя все решения для электронной коммерции. Разработчики, имевшие с этим дело, знают, что это достаточно простая последовательность шагов, которая часто выглядит как «качаем код библиотеки для платёжного шлюза XYZ», «настраиваем его» (все обычно сводится к получению и использованию специального ключа, позволяющего шлюзу понять с каким магазином он имеет дело), «немного допиливаем» и «выгружаем на продакшн».

Как правило, это не вызывает существенных проблем. Правда, после того, как пользователь вашего магазина перешел на страницу оплаты выбранного платежного шлюза, ввел данные своей платежной карты и нажал на кнопку «Оплатить», вмешаться в процесс уже не получится — разве только обработать ответ шлюза на своей стороне и показать пользователю красивую страничку с благодарностью (если всё прошло нормально) или извиниться (если что-то пошло не так).

Квалифицированный пользователь знает, к примеру, что https лучше http и проверяет это, многие браузеры будут показывать в адресной строке данные сертификата сайта. Однако когда платёжный шлюз начнёт свои «внутренние» транзакции с банком-эмитентом (тот, который выдал карту) и с банком-эквайером (тот, который должен получить оплату), то может возникнуть вполне закономерный вопрос — а насколько это всё вообще безопасно? Ведь передача данных по протоколу https — еще не гарантия безопасности, а лишь один из сотен параметров, обеспечивающих защиту информации.

Может быть ребята из этого шлюза и смогли настроить себе https, купили сертификат и даже большими буквами написали на своём сайте, что всё очень хорошо и всё очень защищено. Но единственным по-настоящему надёжным способом убедиться в этом является выполнение каких-то процедур, удостоверяющих безопасность внутреннего кода платежного шлюза. И, конечно, желательно, чтобы пройти такую проверку было бы сложнее, чем написать на своём сайте немного красивого HTML — «100% гарантия безопасности».

Мы опишем такую процедуру и попробуем понять, почему она является стандартом в индустрии электронной коммерции. Всё это будет скрываться под аббревиатурой PCI DSS, и именно наличие этого сертификата у платёжного шлюза вполне может означать, что данные платёжной карты (да что там, проще говоря, деньги плательщика) дойдут до адресата без проблем.

Что такое PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это документация со списком критериев, которому должен удовлетворять сервис, если он как-то управляет такими вещами, как номер карты, срок её действия и CVV-код.

Платёжных карт можно насчитать довольно много (все знают Visa и MasterCard), а поскольку речь идёт о стандарте индустрии, то было бы нелишним всем компаниям договориться между собой о том, что они будут считать безопасным. Для этого существует Совет PCI SSC (Payment Card Industry Security Standards Council) — Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платёжными системами. Именно он создаёт правила «безопасной игры», и именно его правилам должны следовать компании, желающие получить заветный шильдик «Сертифицировано PCI-DSS». Проходить сертификацию необходимо каждый год.

Что именно проверяют?

На самом деле описать все критерии проверки будет сложно — их 288. Сама процедура довольно длительная, потому что затрагивает проверку ряда сложных технических моментов. Полностью список критериев, разбитый на 12 групп, выглядит следующим образом:

  • Защита вычислительной сети.
  • Конфигурация компонентов информационной инфраструктуры.
  • Защита хранимых данных о держателях карт.
  • Защита передаваемых данных о держателях карт.
  • Антивирусная защита информационной инфраструктуры.
  • Разработка и поддержка информационных систем.
  • Управление доступом к данным о держателях карт.
  • Механизмы аутентификации.
  • Физическая защита информационной инфраструктуры.
  • Протоколирование событий и действий.
  • Контроль защищенности информационной инфраструктуры.
  • Управление информационной безопасностью.

Тут хорошо заметно, что речь идёт и о программной части, и о «физическом компоненте» — проще говоря, проверяется всё. При этом под словом «проверка» понимается буквальное присутствие того, кто эту проверку выполняет, в офисе той компании, которую проверяют. Уполномоченный аудитор, обладающий статусом QSA (Qualified Security Assessor — а этот статут подтверждается Советом PCI SSC) имеет право пообщаться с сотрудником платежного шлюза (для этого есть специальная процедура интервью), изучить настройки компонентов системы, сделать скриншоты и просто посмотреть «как это работает». Аудитором PayOnline в последние годы выступает компания Deiteriy. Её заключения признаются международными платёжными системами Visa, MasterCard, МИР, American Express, Discover и JCB.

Сам программный код библиотек проверяется выборочно, наибольшее внимание уделяют ядру, непосредственно обрабатывающему данные платёжных карт, при этом внимание обращают на соответствие внешнему стандарту безопасности OWASP, который описывает основные требования к поиску и исключению в коде уязвимостей. Также в бизнес-процессе разработки присутствует звено Code Review, на котором, собственно, проходит дополнительная проверка другим разработчиком, не участвующим в самом написании кода.

Все взаимоотношения и ответственность в рамках требований PCI DSS между сервис-провайдерами, а именно между процессинговым центром и датацентром, а также банками-эквайерами, фиксируются в так называемых матрицах ответственности. Наличие подписанных матриц ответственности между сервис-провайдерами стало обязательным требованием с версии 3.1 стандарта PCI DSS. Помимо прочего, разумеется, у датацентра должен быть также актуальный сертификат соответствия PCI DSS на компоненты инфраструктуры, которые использует в работе процессинговый центр — виртуализация, сервисы, физическое оборудование и так далее.

Читайте также:  Disk problem seek failure hdd regenerator

Сами серверы, так же как и все остальные компоненты инфраструктуры, например, сетевое оборудование, также подлежат обязательной проверке. Основным требованием здесь является актуальность статуса PCI-DSS, который ставится в прямую зависимость от частоты изменений программного обеспечения, конфигураций оборудования или/и виртуальных машин и, что не менее важно, от ставших известными уязвимостей, таких как печально известный HeartBleed. Администраторы инфраструктуры обязаны проводить аудит системы на предмет поиска внутренних/внешних уязвимостей и приводить компоненты инфраструктуры в соответствие стандарту PCI DSS.

Аудит безопасности выполняется дважды. Первый раз используется автоматический сканер на известные уязвимости, который предоставляет сертифицированная организация ASV (Approved Scanning Vendor). В случае успешного прохождения этого теста, система проверяется на безопасность второй раз экспертами, что называется, вручную, с вынесением официального заключения.

Возможные трудности

Здесь хотелось бы привести пример из личного опыта. Во время последней сертификации PCI-DSS наши специалисты организовали специальную службу мониторинга, которая следила за тем, чтобы транзакции между нашим дата-центром и банками выполнялись непрерывно. Источником потенциальных проблем было то, что некоторые банки сообщают о том, что их сертификат TLS 1.0 был обновлён до версии 1.2 уже постфактум. Потенциально могло произойти так, что мы пытаемся общаться с банком, имея старый сертификат, тогда как на их стороне он уже обновлён. Благодаря тому, что теперь у нас отдельная служба мониторинга непрерывности транзакций, такая проблема больше невозможна.

Вообще можно привести несколько примеров, как работает проверка, и как мы приводили нашу инфраструктуру в соответствие с требованиями. Как известно, согласно PCI-DSS, платёжная система не должна хранить у себя так называемые Критичные аутентификационные данные (КАД), к которым относят, к примеру, CVV или PIN-код (последний обычно поступает из POS-терминалов супермаркетов). Реализовано это таким образом:

Когда транзакция получает от процессингового центра специальный статус, говорящий о том, что она завершена (независимо от того успешно или нет), то в системе инициируется специальный программный код, решающий две задачи. Если во время транзакции по какой-либо причине её данные были записаны на диск, то специальная операция, удаляющая эту запись, получает максимальный приоритет и выполняется специальным воркером. Если обращения к диску не было, то всё еще проще: процесс транзакции удаляется из памяти сервера и таким образом фиксации КАД не происходит. Единственные данные, которые можно хранить — это номер карты PAN (Primary Account Number), и то исключительно в зашифрованном виде.

Еще один пример напрямую связан с одним из наших пользователей (хотя на самом деле таких историй много, просто эта последняя по времени), который покупал товар в интернет-магазине. После того, как что-то «пошло не так», он не стал читать достаточно подробные сообщения об ошибке, а просто сфотографировал свою платёжную карту с обеих сторон (наверно, потому, что в форме платежа ему объяснили, что надо вводить три последние цифры после магнитной полосы на оборотной стороне) и прислал её нам в службу поддержки. По мнению покупателя, это должно было помочь нам выяснить статус его платежа — «снялись деньги» или нет. Надо сказать, что даже такие курьёзные и одновременно печальные случаи оговорены стандартом PCI-DSS.

В случае компрометации данных пользователя платёжная система обязана уведомить его самого и банк-эмитент, выпустивший «засвеченную» карту. Кроме того, необходимо было удалить письмо с вложениями-картинками из клиентской почтовой программы оператора службы поддержки, а также на почтовом сервере. Всё это делалось для того, чтобы следовать золотому правилу обеспечения безопасности индустрии платёжных карт — «Если тебе не нужна эта информация, то не храни её».

Интеграция PayOnline с интернет-магазином

Как уже упоминалось выше, задачу интеграции конкретного интернет-магазина с платёжной системой вряд ли можно назвать сложной. В интернете можно найти множество примеров для многих шлюзов. Всё обычно сводится к установке на сервер специально написанной библиотеки (у нас их много и под разные платформы) и написанию какого-то клиентского кода, который будет собирать информацию пользовательской формы и отправлять её платёжному шлюзу. Единственным моментом, на который хотелось бы обратить внимание, должно быть месторасположение самой платёжной формы — будет она находиться на стороне интернет-магазина или будет работать на стороне PayOnline. Несмотря на то, что многие решения вполне могут позволить принимать платежи прямо на своём сайте, в случае отсутствия у мерчанта собственного сертификата PCI-DSS, необходимо будет организовать всё так, чтобы платежи выполнялись на стороне платёжного шлюза. Обоснование тут одно — это безопасность финансовых данных пользователя. При этом платёжную форму можно кастомизировать под компанию, так что отторжения у конечного пользователя не возникнет.

У нас есть библиотеки для организации платежей для десктопных и мобильных решений, включая и Windows Phone (хотя позиции этой платформы с точки зрения популярности у пользователей гораздо слабее, чем у тех же Android или iOS). Говорить о библиотеке для PHP мы даже не будем — это практически подразумевается само собой. У нас также есть SDK для .NET-решений. Часто спрашивают, почему для Android выбран не традиционный подход — библиотека на Java — а используется Node.js. Такое решение было принято некоторое время назад — интегрировать такой код чуть проще, чем написанный на Java, равно как и отвечать требованиям субстандарта PCI PA-DSS. Что касается будущих интеграций, то мы сейчас располагаем адаптивными платежными формами, которые великолепно работают в нативных мобильных приложениях, интегрированных в приложение через WebView, и отвечают всем требованиям PCI PA-DSS.

Что получает интернет-магазин

Среди основных преимуществ системы электронных платежей PayOnline мы можем выделить особо наши технические возможности, нацеленные на увеличение конверсии в успешные платежи. В первую очередь, конечно, это тонкая работа с 3-D Secure, позволяющая сохранить высокий уровень защиты от мошеннических операций и одновременно увеличить платежную конверсию.

Мы внимательно изучаем поведение плательщиков, которое из года в год меняется вслед за технологическим прогрессом. Благодаря возможности измерять конверсию и поведение человека на платёжной странице в момент заполнения данных и совершения платежа, мы технологически позволяем своим клиентам шаг за шагом отследить путь покупателя, представить себя на его месте и максимально упростить его пользовательский опыт на основе полученной статистики. В случае же, если при совершении платежа у покупателя по какой-то причине не получается провести оплату, магазин получает от процессингового центра точную причину отклонения, далее магазин транслирует причину отклонения плательщику в любом кастомизированном виде. Таким образом, клиент сразу понимает, почему платеж не прошел и что ему необходимо сделать, чтобы приобрести товар или услугу.

Если вас заинтересовала такая возможность, обращайтесь, наши специалисты предоставят дополнительную информацию и, в случае необходимости, помогут настроить прием платежей на сайте и в мобильном приложении по защищенному шлюзу, отвечающему требованиям стандарта PCI DSS 3.1.

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

Читайте также:  4K blu ray плеер udp 205 oppo

Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council), который был учрежден международными платежными системами Visa, MasterCard, American Express, JCB, Discover. Стандарт регламентирует предопределенный перечень требований, как с технической, так и с организационной стороны, подразумевая комплексный подход с высокой степенью требовательности к обеспечению безопасности данных платежных карт (ДПК).

FAQ по PCI DSS для тех, кто интересуется сертификацией

# На кого распространяются требования стандарта PCI DSS?

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.

Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.

  • Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
  • Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?

При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.

# Каковы требования стандарта PCI DSS?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Требования стандарта PCI DSS
1. Защита вычислительной сети 7. Управление доступом к данным о держателях карт
2. Конфигурация компонентов информационной инфраструктуры 8. Механизмы аутентификации
3. Защита хранимых данных о держателях карт 9. Физическая защита информационной инфраструктуры
4. Защита передаваемых данных о держателях карт 10. Протоколирование событий и действий
5. Антивирусная защита информационной инфраструктуры 11. Контроль защищённости информационной инфраструктуры
6. Разработка и поддержка информационных систем 12. Управление информационной безопасностью

Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

# Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.

Таблица 2. Способы подтверждения соответствия стандарту PCI DSS

Внешний аудит QSA (Qualified Security Assessor) Внутренний аудит ISA
(Internal Security Assessor)
Самооценка SAQ
(Self Assessment Questionnaire)
Выполняется внешней аудиторской организацией QSA, сертифицированной Советом PCI SSС. Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором.Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом. Выполняется самостоятельно путём заполнения листа самооценки.
В результате проверки QSA-аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт. В результате проверки ISA-аудиторы, как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт. Сбор свидетельств выполнения требований стандарта не требуется.
По результатам проведённого аудита подготавливается отчёт о соответствииROC (Report on Compliance). Самостоятельно заполняется лист самооценки SAQ.

Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.

# В какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

Торговосервисноепредприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).

Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций (дата-центры, хостинг-провайдеры, платежные шлюзы, международные платежные системы и т. д.).

В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

Стоит отметить, что банк, участвующий в процессе приёма платёжных карт к оплате за товары или услуги, так называемый банк-эквайер, а также международные платежные системы (МПС) могут переопределить уровень подключённого к ним торгово-сервисного предприятия или используемого поставщика услуг согласно своей собственной оценке рисков. Присвоенный уровень будет иметь приоритет перед классификацией международной платёжной системы, указанной на рисунке 2.

Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS

# Представляет ли однократное нарушение сроков ASV-сканирования серьёзный риск с точки зрения соответствия PCI DSS?

Организация, получившая статус PCI DSS, должна регулярно выполнять ряд требований, например проводить ежеквартальное ASV-сканирование. При первичном прохождении аудита достаточно иметь документированную процедуру ASV-сканирования и результаты хотя бы однократного её успешного выполнения за последние три месяца. Все последующие сканирования должны быть ежеквартальными, отрезок времени не должен превышать трёх месяцев.

Нарушение расписания внешнего сканирования на уязвимости влечет за собой наложение дополнительных требований к системе менеджмента информационной безопасности в организации. Во-первых, необходимо будет все же провести ASV-сканирование на уязвимости, добиться «зеленого» отчета. А во-вторых, потребуется разработать дополнительную процедуру, которая не будет допускать подобных нарушений расписания в будущем.

В заключение

Основные выводы можно выразить цитатой Петра Шаповалова, инженера по защите информации ООО «Дейтерий»:

«Несмотря на то, что на территории Российской Федерации уже начала функционировать своя Национальная система платежных карт (НСПК), требования международных платежных систем не упразднили. Наоборот, в последнее время от Visa и MasterCard участились письма банкам-эквайерам о том, чтобы последние требовали соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий.

Актуальной для российского рынка сейчас является услуга по управляемым сервисам. Заключается она в том, что поставщик услуг предоставляет клиентам не только оборудование или виртуальную информационную инфраструктуру в аренду, но и услуги по ее администрированию в соответствии с требованиями стандарта PCI DSS. Особенно полезно это для небольших торгово-сервисных предприятий, которые не имеют своих подразделений информационных технологий и информационной безопасности. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации по стандарту PCI DSS для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне».

Читайте также:  Explay gps cls5 обновление карт

В качестве примера компании, предоставляющей услуги по управляемым сервисам PCI DSS (не только аренда инфраструктуры PCI DSS, но и её администрирование в соответствии с требованиями стандарта), можно привести IaaS-провайдера «ИТ-ГРАД».

PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении.

Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Информацию о своей деятельности PCI SSC публикует на своем сайте.

Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).

Приведя информационную инфраструктуру в соответствие требованиям PCI DSS, вы повысите уровень защищенности среды обработки карточных данных. Тем самым вы снизите риски финансовых потерь от инцидентов информационной безопасности и выполните требование международных платежных систем о необходимости соответствия данному стандарту.

Основная цель соответствия требованиям стандарта PCI DSS — повышение уровня защищенности информационной инфраструктуры, именно для этого стандарт и был разработан. Отсюда можно сделать вывод, что стандарт будет полезен всем, кто задумывается о безопасности своей информации.

Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения. PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений.

Актуальную на сегодняшний день версию 1.2 стандарта PCI DSS вы можете скачать здесь.

Все требования стандарта PCI DSS являются обязательными. Некоторые требования могут быть неприменимы к вашей организации по причине отсутствия тех или иных компонентов информационной инфраструктуры, например, если вы не используете беспроводные сети, то на вашу компанию не распространяются требования по обеспечению безопасности беспроводных сетей. Если вы не можете выполнить то или иное требование стандарта из-за ограничений, накладываемых законодательством, бизнес-процессами или применяемыми технологиями, то вы можете использовать компенсирующие меры. Основным правилом выбора компенсирующих мер является то, что компенсирующая мера должна снижать тот же риск, что и требование стандарта, которое невозможно выполнить из-за ограничений.

Требования стандарта PCI DSS распространяются на системы, используемые для обработки, хранения и передачи данных о владельцах платежных карт, а также системы, имеющие с ними сетевую связь (системы, соединения с которыми не защищены межсетевым экраном).

Да, отдельные подсистемы банкомата, участвующие в обработке, хранении и передаче данных о владельцах платежных карт, входят в область применения стандарта PCI DSS.

По мере развития стандарта PCI SSC вносит в его текст изменения и публикует новые версии документа на сайте www.pcisecuritystandards.org. С 1 октября 2008 года по настоящее время актуальна версия 1.2 стандарта PCI DSS.

Согласно установленным международными платежными системами программам проверки соответствия требованиям PCI DSS ряду организаций необходимо проходить ежегодный аудит. Программы проверки соответствия различаются для торгово-сервисных предприятий (merchants) и поставщиков услуг (service providers).

Ежегодный аудит необходимо проходить торгово-сервисным предприятиям, проводящим более шести миллионов карточных транзакций в год. Касаемо поставщиков услуг, международная платежная система VISA требует прохождение ежегодного аудита от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более 300 000 транзакций в год, а MasterCard – от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более одного миллиона транзакций в год. Подробное описание процедур проверки соответствия PCI DSS вы можете найти здесь.

Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.

Время проведения аудита зависит от размера области применения стандарта PCI DSS, а также от особенностей инфраструктуры компании. В среднем аудит на объекте компании длится три дня.

По результатам аудита соответствия вашей информационной инфраструктуры требованиям стандарта QSA-аудитор подготовит Отчет о Соответствии (Report on Compliance), содержащий детальную информацию о выполнении каждого из требований PCI DSS. Результаты аудита дадут представление о том, куда в первую очередь необходимо направить ресурсы на повышение защищенности среды обработки платежных карт.

Согласно требованиям международных платежных систем, в случае выявления несоответствий информационной инфраструктуры требованиям стандарта PCI DSS вам необходимо подготовить План мероприятий по их устранению. В подготовке Плана мероприятий помогут рекомендации QSA-аудитора, выполнившего проверку соответствия.

Международные платежные системы предусматривают наложение штрафных санкций на организации, которые обязаны проходить ежегодный внешний аудит соответствия PCI DSS, но не проходят его.

В таком случае для выполнения требования международных платежных систем о прохождении ежегодного внешнего аудита придется менять политику безопасности, которая, согласно PCI DSS, должна учитывать все требования стандарта.

Сертификат соответствия выдается после проведения аудита, в случае полного соответствия платежной инфраструктуры компании требованиям стандарта PCI DSS.

Проведение внешнего и внутреннего теста на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тест на проникновение должен выполняться ежегодно, а также после внесения значительных изменений в платежную инфраструктуру компании. Попытка проникновение, выполняемая специалистом, реализующим комплекс уязвимостей в соответствии с заданной моделью нарушителя, наглядно демонстрирует уровень защищенности платежной среды. Следует обратить внимание на то, что тест на проникновение, выполняемый специалистом, не имеет ничего общего с автоматизированным сканированием.

Ежеквартальное сканирование внешнего периметра платежной инфраструктуры компании, выполняемое сертифицированным поставщиком услуг сканирования (approved scanning vendor, ASV) является обязательной частью процедур проверки соответствия PCI DSS. Подробное описание процедур проверки соответствия PCI DSS вы можете найти здесь.

В случае, если вы не нашли ответ на интересующий вас вопрос — не отчаивайтесь. Пришлите его нам и мы с радостью постараемся ответить на него в самые короткие сроки.

Фамилия и имя:

Электронная почта:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *