Что такое стандарт PCI DSS и нужен ли он вам
Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.
Требования PCI DSS
Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.
Конкретно это выражено в шести официальных пунктах:
- Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
- Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
- В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
- Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
- Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
- Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.
Как получить сертификат PCI DSS
Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:
- сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
- мерчантам, если количество транзакций не превышает миллиона в год.
А вот как все пройдет, если нужно обратиться к аудиторам:
- Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
- После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
- Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.
Можно ли не выполнять требования PCI DSS
Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.
Можно ли получить сертификат PCI DSS проще и быстрее
Чтобы соблюсти все требования нужно много времени и сил. Иногда для этого нужно полностью поменять ИТ-инфраструктуру компании. Чем больше размер организации и чем дольше она на рынке, тем болезненнее и длительнее процесс. ITGLOBAL.COM может помочь с обоими типами сертификации — как аудиторской, так и самостоятельной:
- специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
- определят, насколько они применимы к вашим внутренним процессам;
- подскажут, что делать, если трудно выполнить какие-то из требований;
- посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
- на каждом этапе вы будете получать подробную и профессиональную консультацию.
Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.