Друзья, мы расширяем ассортимент предоставляемых услуг и в ближайшее время добавим на наш сайт возможность заказывать сервисы по сканированию сайтов на наличие вредоносного кода (ASV-сканирование), которые требует сертификация PCI DSS.
В связи с этим мы начинаем новую рубрику публикаций, связанных со стандартами и требованиями безопасности данных. И в первую очередь мы хотим поговорить о сертификации PCI DSS.
Использование оплаты кредитными и дебетовыми картами предусматривает возможную передачу, хранение и обработку данных платежных карт, что повышает риски киберпреступности. В связи с этим MasterCard, Visa, American Express и другие платежные системы выдвигают определенные требования по безопасности к торговым предприятиям и поставщикам услуг, которые работают с данными платежных карт. Эти требования описаны в стандарте PCI DSS. Давайте разберемся, что такое сертификация PCI DSS и какие основные положения нужно знать.
Что такое PCI DSS?
PCI DSS – это сокращение от Payment Card Industry Data Security Standard, что означает – стандарт безопасности данных индустрии платёжных карт.
Стандарт PCI DSS был разработан советом PCI SSC (Payment Card Industry Security Standards Council, что в переводе означает Совет по стандартам безопасности индустрии платежных карт). Члены-основатели совета PCI SSC - международные платёжные системы Visa, MasterCard, American Express, JCB International и Discover Financial Services – согласились принять общий стандарт безопасности в качестве части технических требований для каждой из их программ соответствия безопасности данных.
Кроме того каждый член-основатель признает квалифицированных советом PCI SSC аудиторов систем безопасности (Qualified Security Assessors, QSA) и утверждённых поставщиков услуг сканирования (Approved Scanning Vendors, ASV). К последним относится наш партнер Comodo (Sectigo), чей лицензированный сервис сканирования HackerGuardian PCI Scanning Service в ближайшее время будет доступен для заказа на нашем сайте.
Кому нужна сертификация PCI DSS?
О безопасности данных платежных карт должны заботиться все, кто работает с платежными картами или каким-либо образом влияет на их безопасность, а это могут быть:
- Торгово-сервисные компании любого размера;
- Финансовые учреждения;
- Поставщики кассовых терминалов;
- Производители технических средств ЭВМ и программного обеспечения, словом, все кто создает и использует международную инфраструктуру для обработки платежей.
Таким образом, требования стандартов PCI DSS применяются ко всем организациям, независимо от их размера или количества проводимых транзакций, которые принимают, передают, обрабатывают или хранят любую информацию держателей кредитных карт, или же если бизнес-процессы в этих организациях могут влиять на безопасность платежных карт.
Требования стандарта PCI DSS
Сертификация PCI DSS подразумевает соответствие стандарту, который состоит из 12 разделов исчерпывающих требований к обеспечению безопасности информации о владельцах платёжных карт, с которыми работают торгово-сервисные предприятия и поставщики услуг. Соответствие требованиям PCI стандарта подразумевает комплексное принятие мер по обеспечению безопасности на каждом из шагов работы с платежными картами, от передачи данных до ее хранения в базах данных компании.
Контрольные объекты
|
Требования PCI DSS
|
Создание и поддержка безопасной сети
|
1. Установка и поддержка конфигурации файервола для защиты данных владельцев платежных карт
|
2. Отказ от использования,параметров по умолчанию для систем паролей и других параметров безопасности
|
Защита данных владельцев платежных карт
|
3. Защита полученных данных владельцев платежных карт
|
4. Шифрование передачи данных владельцев платежных карт по открытым публичным сетям
|
Поддержка программы по управлению уязвимостями
|
5. Использование и регулярное обновление антивирусного ПО на всех системах, которые обычно подвергаются действию вредоносных программ
|
6. Разработка и поддержка защищенных систем и приложений
|
Внедрение строгого контроля доступа
|
7. Ограничение доступа к данным владельцев платежных карт по принципу служебной необходимости
|
8. Присвоение уникального идентификационного номера каждому человеку с доступом к ЭВМ
|
9. Ограничение физического доступа к данным владельцев платежных карт
|
Регулярный мониторинг и проверка сетей
|
10. Отслеживание и мониторинг доступа к ресурсам сетей и данным владельцев платежных карт
|
11. Регулярная проверка систем и процессов безопасности
|
Поддержка политики безопасности информации
|
12. Поддержка политики, адресованной на обеспечение безопасности данных
|
Прочитать наиболее актуальные и полные стандарты PCI DSS можно на официальном сайте Совета по стандартам безопасности по ссылке:
https://ru.pcisecuritystandards.org
Уровни сертификации PCI DSS
Сертификация PCI DSS определяет четыре уровня торгово-сервисных предприятий и два уровня поставщиков услуг в зависимости от количества проводимых транзакций с платежными картами Visa (включая кредитные, дебетовые и предоплаченные карты) в течение 12 месяцев.
Visa определяет следующие уровни торгово-сервисных предприятий:
Уровень
|
Описание
|
Сертификация PCI DSS включает:
|
4
|
• Торгово-сервисные предприятия, обрабатывающие менее 20 тыс. транзакций в год в области электронной торговли, а также• Все остальные торгово-сервисные предприятия, не перечисленные в остальных уровнях, которые обрабатывают до 1 млн. транзакций в год, независимо от канала их получения.
|
• Ежегодно: рекомендовано заполнение анкеты самооценки безопасности (SAQ);• Ежеквартально: рекомендовано ASV-сканирование;• Банк-эквайер определяет требования соответствия.
|
3
|
Торгово-сервисные предприятия, обрабатывающие 20 тыс. - 1 млн. транзакций в области электронной торговли в год.
|
• Ежегодно: заполнение анкеты самооценки безопасности (SAQ);• Ежеквартально: рекомендовано ASV-сканирование.
|
2
|
Торгово-сервисные предприятия, обрабатывающие 1-6 млн. транзакций в год, независимо от канала их получения.
|
• Ежегодно: заполнение анкеты самооценки безопасности (SAQ);• Ежеквартально: рекомендовано ASV-сканирование.
|
1
|
Торгово-сервисные предприятия, которые обрабатывают более 6 млн. транзакций в год, независимо от канала их получения.
|
• Ежегодно: аудит, выполняемый утвержденным аудитором систем безопасности (QSA-аудит);• Ежеквартально: ASV-сканирование на наличие уязвимостей.
|
Уровни поставщиков услуг:
Уровень
|
Описание
|
Сертификация PCI DSS включает:
|
2
|
Поставщики услуг, которые обрабатывают, хранят или передают данные о менее 300 тыс. транзакций в год.
|
• Ежегодно: заполнение анкеты самооценки безопасности (SAQ);• Ежеквартально: рекомендовано ASV-сканирование.
|
1
|
• Все платежные системы (процессинговые центры);• Поставщики услуг, которые обрабатывают, хранят или передают данные о менее 300 тыс. транзакций в год.
|
• Ежегодно: аудит, выполняемый утвержденным аудитором систем безопасности (QSA-аудит);• Ежеквартально: ASV-сканирование на наличие уязвимостей.
|