Что такое PCI DSS и хостинг PCI DSS?

Что такое PCI DSS и хостинг PCI DSS? 17 Ноября 2017

Стандарт PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт – документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения платежных карт.

В каком случае вам следует применять требования этого стандарта?

В случае хранения, обработки или передачи хотя бы одного номера карты какой- либо из пяти международных платежных систем – участниц Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover) в рамках какого-либо бизнес-процесса организации. Для соответствия станадрту PCI DSS необходимо выполнение 100% применимых требований стандарта PCI DSS.

В случае не соответствия применимым требованиям PCI DSS торгово-сервисные предприятия ожидает расторжение или не заключение договора на приобретение услуг международных платежных систем (нельзя будет работать с оплатой платежными картами).

Согласно требованиям раздела 3 стандарта PCI DSS, критичные аутентификационные данные (КАД), к которым относятся TRACK, CVV2, PIN или PIN-block карты, после авторизации транзакции хранить запрещается. Единственным исключением является хранение КАД эмитентом для обеспечения возможности авторизации транзакции. Номера карт (PAN), относящиеся к данным о держателях карт (ДДК), хранить можно, при этом они должны быть защищены в соответствии с требованием 3.4 стандарта PCI DSS.

15558-nomer-m4677a7a.png

Из конкретных мер по обеспечению безопасности платежной индустрии это требование является наиболее важным во всем стандарте PCI DSS. Оно направлено на снижение наиболее высоких рисков, связанных с утечкой данных, обладая которыми можно выполнить транзакцию по карте.

Если критичные аутентификационные данные сохраняются после авторизации, их необходимо удалить и настроить компоненты информационной инфраструктуры таким образом, чтобы исключить возможность сохранения КАД в будущем. Номера карт могут потребоваться организации в её бизнес-процессах, а их хранение несет меньший риск, чем хранение КАД. Однако их при хранении следует защищать, а срок хранения ДДК должен быть ограничен бизнес-требованиями организации.

«Если тебе это больше не нужно – не храни это» – золотое правило обеспечения безопасности индустрии платежных карт.

Стандарт PCI DSS актуальной на 28 апреля 2016 года версии 3.2 содержит в себе 415 проверочных процедуры, распределенных по двенадцати разделам:

1. Защита вычислительной сети.

2. Конфигурация компонентов информационной инфраструктуры.

3. Защита хранимых данных о держателях карт.

4. Защита передаваемых данных о держателях карт.

5. Антивирусная защита информационной инфраструктуры.

6. Разработка и поддержка информационных систем.

7. Управление доступом к данным о держателях карт.

8. Механизмы аутентификации.

9. Физическая защита информационной инфраструктуры.

10. Протоколирование событий и действий.

11. Контроль защищенности информационной инфраструктуры.

12. Управление информационной безопасностью

Требования стандарта PCI DSS применимы ко всем компонентам информационной инфраструктуры организации, которые обрабатывают, хранят и передают данные о держателях карт, а также смежным по отношению к ним информационным системам.

компоненты.jpg

С выполнения какого требования стандарта лучше начинать его внедрение?

Советом PCI SSC был разработан документ под названием «Приоритетный подход к выполнению требований стандарта PCI DSS». Приоритетный подход рекомендует выполнять требования в шесть этапов:

1. Удаление КАД и ограничение хранения ДДК.

2. Защита периметра, внутренних и беспроводных сетей.

3. Обеспечение безопасности приложений, БД и ОС.

4. Мониторинг и контроль доступа.

5. Защита хранимых данных.

6. Внедрение системы менеджмента информационной безопасности.

Как сузить область применимости PCI DSS

Уменьшить размер области применимости требований PCI DSS можно следующими способами:

• избежать обработки, хранения и передачи данных о держателях карт там, где в этом нет непосредственной необходимости с точки зрения бизнеса;

• шифровать хранимые и передаваемые данные о держателях карт, при условии шифрования, расшифрования и управления криптографическими ключами только на компонентах, находящихся в области применимости PCI DSS, исходя из того, что отсутствие актуального ключа шифрования при доступе к зашифрованным данным означает отсутствие доступа к самим данным;

• отделить смежные информационные системы, не участвующие в обработке, хранении и передаче данных о держателях карт, корректно настроенными межсетевыми экранами;

• применить токенизацию – заменить данные о держателях карт при обработке их уникальными идентификаторами, в свою очередь не являющимися данными о держателях карт, сохранив корреляцию между исходными данными и используемым токеном.

Какие существуют способы подтверждения соответствия стандарту PCI DSS?

Международные платежные системы определяют требования к способу подтверждения соответствия стандарту PCI DSS в зависимости от типа организации и количества обрабатываемых ею транзакций по платежным картам в год. Классификация определяет два типа организаций, это торгово-сервисные предприятия (мерчанты) и поставщики услуг.

В зависимости от количества обрабатываемых транзакций торгово-сервисные предприятия делятся на уровни от первого (высший) до четвертого (низший), а поставщики услуг – от первого (высший) до второго (низший). Каждая международная платежная система имеет собственную классификацию уровней в зависимости от количества обрабатываемых транзакций или номеров платежных карт. В зависимости от типа и уровня предприятия или поставщика услуг определяются способы подтверждения соответствия стандарту PCI DSS

5Xq8mWdv6Co.jpg

Банк-эквайер может переопределить уровень подключенного к нему торгово-сервисного предприятия или используемого им поставщика услуг в соответствии с собственной оценкой рисков. Уровень, назначенный организации банком-эквайером, имеет приоритет перед уровнем, определенным в соответствии с классификацией международной платежной системы.

Также все организации, к которым применим PCI DSS должны проводить обязательные независимые проверки защищенности:

Внешнее сканирование уязвимостей компонентов информационной инфраструктуры (ASV) выполняется ежеквартально поставщиком услуг сканирования (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC.

Внешнее и внутреннее тестирование на проникновение (pentest) выполняется ежегодно независимым поставщиком услуг тестирования на проникновение.

Контроль защищенности внешних (публичных) веб-приложений.

Что такое PCI DSS хостинг?

PCI DSS хостинг — это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт.

Услуга "PCI DSS хостинг" от Cloud4Y позволяет компаниям работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт сторонней организации. Кроме того, построение собственной платежной системы позволяет работать напрямую сразу с несколькими банками. Помимо этого, компания Cloud4Y оказывает помощь в проведении аудита на соответствие данным стандартам.

cloud4y.jpg

Выбрав такую PCI DSS хостинг как услугу, организация закрывает значительную часть требований стандарта PCI DSS. Это означает, что хостинг-провайдер берет на себя выполнение части требований стандарта — от физической защиты размещаемых серверов до администрирования операционных систем. При этом с самой организации снимаются вопросы, связанные с контролем физического доступа к серверам, видеонаблюдением, размещением управляемых межсетевых экранов, систем обнаружения вторжений и т. д. 

Одним из наиболее важных соображений, при выборе PCI DSS хостинга является определение и понимание ролей и обязанностей. Рисунок ниже предоставлен Cloud Special Interest Group, входящей в состав PCI Security Standards Council, в информационном дополнении PCI DSS Cloud Computing Guidelines.

CDQprSZeDaY.jpg

*CSP - Cloud Service Provider


Для того, чтобы проконсультироваться и получить расчет стоимости услуги "PCI DSS" для вашего бизнеса обратитесь к любому менеджеру по телефону +7 495 268 04 12 или любым другим удобным способом.