Что такое PCI DSS и хостинг PCI DSS?

Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.
В каком случае вам следует применять требования этого стандарта?
В случае хранения, обработки или передачи хотя бы одного номера карты какой- либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в рамках какого-либо бизнес-процесса организации. Для соответствия станадрту PCI DSS необходимо выполнение 100% применимых требований стандарта PCI DSS.
В случае не соответствия применимым требованиям PCI DSS торгово-сервисные предприятия ожидает расторжение или не заключение договора на приобретение услуг международных платежных систем (нельзя будет работать с оплатой платежными картами).
Согласно требованиям раздела 3 стандарта PCI DSS, критичные аутентификационные данные (КАД), к которым относятся TRACK, CVV2, PIN или PIN-block карты, после авторизации транзакции хранить запрещается. Единственным исключением является хранение КАД эмитентом для обеспечения возможности авторизации транзакции. Номера карт (PAN), относящиеся к данным о держателях карт (ДДК), хранить можно, при этом они должны быть защищены в соответствии с требованием 3.4 стандарта PCI DSS.
Из конкретных мер по обеспечению безопасности платежной индустрии это требование является наиболее важным во всем стандарте PCI DSS. Оно направлено на снижение наиболее высоких рисков, связанных с утечкой данных, обладая которыми можно выполнить транзакцию по карте.
Если критичные аутентификационные данные сохраняются после авторизации, их необходимо удалить и настроить компоненты информационной инфраструктуры таким образом, чтобы исключить возможность сохранения КАД в будущем. Номера карт могут потребоваться организации в её бизнес-процессах, а их хранение несет меньший риск, чем хранение КАД. Однако их при хранении следует защищать, а срок хранения ДДК должен быть ограничен бизнес-требованиями организации.
«Если тебе это больше не нужно – не храни это» – золотое правило обеспечения безопасности индустрии платежных карт.
Стандарт PCI DSS актуальной на 28 апреля 2016 года версии 3.2 содержит в себе 415 проверочных процедуры, распределенных по двенадцати разделам:
1. Защита вычислительной сети.
2. Конфигурация компонентов информационной инфраструктуры.
3. Защита хранимых данных о держателях карт.
4. Защита передаваемых данных о держателях карт.
5. Антивирусная защита информационной инфраструктуры.
6. Разработка и поддержка информационных систем.
7. Управление доступом к данным о держателях карт.
8. Механизмы аутентификации.
9. Физическая защита информационной инфраструктуры.
10. Протоколирование событий и действий.
11. Контроль защищенности информационной инфраструктуры.
12. Управление информационной безопасностью
Требования стандарта PCI DSS применимы ко всем компонентам информационной инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях карт, а также смежным по отношению к ним информационным системам.
С выполнения какого требования стандарта лучше начинать его внедрение?
Советом PCI SSC был разработан документ под названием «Приоритетный подход к выполнению требований стандарта PCI DSS». Приоритетный подход рекомендует выполнять требования в шесть этапов:
1. Удаление КАД и ограничение хранения ДДК.
2. Защита периметра, внутренних и беспроводных сетей.
3. Обеспечение безопасности приложений, БД и ОС.
4. Мониторинг и контроль доступа.
5. Защита хранимых данных.
6. Внедрение системы менеджмента информационной безопасности.
Как сузить область применимости PCI DSS
Уменьшить размер области применимости требований PCI DSS можно следующими способами:
• избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет непосредственной необходимости с точки зрения бизнеса;
• шифровать хранимые и передаваемые данные о держателях карт, при условии шифрования, расшифрования и управления криптографическими ключами только на компонентах, находящихся в области применимости PCI DSS, исходя из того, что отсутствие актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие доступа к самим данным;
• отделить смежные информационные системы, не участвующие в обработке, хранении и передаче данных о держателях карт, корректно настроенными межсетевыми экранами;
• применить токенизацию – заменить данные о держателях карт при обработке их уникальными идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив корреляцию между исходными данными и используемым токеном.
Какие существуют способы подтверждения соответствия стандарту PCI DSS?
Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год. Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг.
В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт. В зависимости от типа и уровня предприятия или поставщика услуг определяются способы подтверждения соответствия стандарту PCI DSS
Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы.
Также все организации, к которым применим PCI DSS должны проводить обязательные независимые проверки защищенности:
Внешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV) выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC.
Внешнее и внутреннее тестирование на проникновение (pentest) выполняется ежегодно независимым поставщиком услуг тестирования на проникновение.
Контроль защищенности внешних (публичных) веб-приложений.
Что такое PCI DSS хостинг?
PCI DSS хостинг — это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт.
Услуга "PCI DSS хостинг" от Cloud4Y позволяет компаниям работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт сторонней организации. Кроме того, построение собственной платежной системы позволяет работать напрямую сразу с несколькими банками. Помимо этого, компания Cloud4Y оказывает помощь в проведении аудита на соответствие данным стандартам.
Выбрав такую PCI DSS хостинг как услугу, организация закрывает значительную часть требований стандарта PCI DSS. Это означает, что хостинг-провайдер берет на себя выполнение части требований стандарта — от физической защиты размещаемых серверов до администрирования операционных систем. При этом с самой организации снимаются вопросы, связанные с контролем физического доступа к серверам, видеонаблюдением, размещением управляемых межсетевых экранов, систем обнаружения вторжений и т. д.
Одним из наиболее важных соображений, при выборе PCI DSS хостинга является определение и понимание ролей и обязанностей. Рисунок ниже предоставлен Cloud Special Interest Group, входящей в состав PCI Security Standards Council, в информационном дополнении PCI DSS Cloud Computing Guidelines.

*CSP - Cloud Service Provider