Стандарт PCI DSS – это перечень требований, которые предъявляются к организациям для обеспечения сохранности сведений о держателях банковских карт. Их цель состоит в том, чтобы нивелировать возможность утечки конфиденциальных данных и денежных средств. Из статьи вы узнаете, к каким организациям предъявляются эти требования и что необходимо делать, чтобы им соответствовать.
Когда следует выполнять требования
Стандарт должен быть соблюден в том случае, если в процессе работы организация занимается хранением, обработкой или передачей третьим лицам номеров платёжных карточек. Сюда относятся любая из 5-ти международных платежных систем, являющихся членами Совета PCI SSC (Visa, MasterCard, American Express, JCB и Discover). Причём для соответствия стандарту обязательно выполнять требования на 100%.
Если предписания будут нарушены, компании не смогут пользоваться системами оплаты по международным картам, а текущие договоры с вышеперечисленными платежными системами будут расторгнуты.
Раздел 3 стандарта PCI DSS запрещает заниматься хранением критичных аутентификационных данных (сокращённо КАД), включающих TRACK, CVV2, PIN-код или PIN-block, после выполнения транзакции. Однако это не касается КАД эмитентов, когда данные требуются для авторизации транзакции. Также можно хранить номера банковских карточек (PAN), относящиеся к сведениям об их держателях (ДДК), однако такие данные следует защищать, как предписано требованиями стандарта. Все эти меры призваны исключить утечку чувствительных данных пользователей после проведения транзакций на сайте.
Если после авторизации происходит автоматическое сохранение важных аутентификационных данных, их следует удалить. В дальнейшем нужно настроить инфраструктуру так, чтобы подобные данные не оставались в системе.
Хранение номеров банковских карт может понадобиться компании для ведения бизнес-процессов, это менее рискованно, чем хранение КАД. Тем не менее, их также необходимо защитить и ограничить срок хранения с учётом потребностей бизнеса.
Стандарт PCI DSS, последняя версия которого (3.2.1) вышла в декабре 2018 года, включает 415 проверочные процедуры, входящие в 12 разделов:
1. Сохранение безопасности внутренней сети.
2. Конфигурация IT-инфраструктуры.
3. Сохранность информации о держателях карт.
4. Сохранность информации о держателях, которая передаётся третьим лицам.
5. Защита IT-инфраструктуры с помощью программ-антивирусов.
6. Построение и техподдержка информационных систем.
7. Настройки уровня доступа к информации о держателях карточек.
8. Способы аутентификации.
9. Физическая защита IT-инфраструктуры.
10. Ведение протоколов событий и действий.
11. Контроль степени защищенности IT-инфраструктуры.
12. Информационная безопасность
Это касается всех элементов IT-инфраструктуры, где происходит обработка, хранение и передача информации о держателях платёжных карт, а также соприкасающихся с ним IT-систем.
С чего начать выполнение требований
Совет PCI SSC подготовил документ «Приоритетный подход к выполнению требований стандарта PCI DSS», который упростит для компаний составление плана работ. Он включает 6 этапов:
1. Удаление КАД и сокращение сроков хранения ДДК.
2. Работа по поддержанию безопасности внутренних и беспроводных сетей.
3. Защита приложений, БД и ОС.
4. Отслеживание и контроль доступа.
5. Обеспечение сохранности сведений.
6. Соблюдение информационной безопасности систем.
Как сократить область применимости PCI DSS
Для этого вы можете прибегнуть к следующим способам:
- там, где возможно, избегать обработки, хранения и передачи информации о держателях банковских карт;
- шифровать информацию о держателях; изолировать смежные IT-системы, которые напрямую не участвуют в обработке, хранении и передаче сведений;
- использовать токенизацию – вместо прямых сведений о держателях банковских карт применять уникальные идентификаторы, которые сами по себе не являются информацией о держателях карт. Важно сохранить связь между начальными данными и созданным токеном.
Как подтверждать соответствие стандарту
Тип организации и число транзакций в расчётный год могут повлиять на требования PCI DSS. Организации делят на 2 типа: торгово-сервисные предприятия (именуемые мерчанты) и поставщики каких-либо услуг. Далее происходит деление по числу транзакций, выполненных за год. Мерчанты делятся на уровни от 1 (высшего) до 4 (низшего), а поставщики услуг – от 1 (высшего) до 2 (низшего). Но у каждой платёжной системы может быть собственная классификация, отличающаяся от упомянутой.
Эта классификация влияет на варианты подтверждения соответствия.
Банк-эквайер имеет право переопределить уровень компании с учётом собственной оценки рисков. При этом он будет считаться приоритетным перед уровнем, который определяется по классификации международной платежной системы.
Все компании, к которым применим PCI DSS, обязаны проходить проверки степени защищенности в независимых организациях. Сюда входит:
- Проверка уязвимостей IT-инфраструктуры (ASV), которая должна проходить раз в четыре месяца сторонними организациями (Approved Scanning Vendor, ASV), сертифицированным Советом PCI SSC.
- Внешнее и внутреннее тестирование на проникновение (pentest). Осуществляются раз в год независимым специалистом.
- Проверка степени защищенности внешних (публичных) веб-приложений.
Что собой представляет PCI DSS хостинг
Это услуга, которая способствует безопасному обращению банковских карт для организаций, чья инфраструктура размещается у сертифицированного PCI DSS хостера. Вся информация о платёжных средствах хранится и обрабатывается внутри этой инфраструктуры.
Сервис "PCI DSS хостинг" от Cloud4Y даёт компаниям возможность взаимодействовать с банками прямо через платежные интерфейсы банка и непосредственно интернет-предприятия. Благодаря этому можно исключить переход покупателя на сторонний сайт. Помимо этого, можно будет работать напрямую сразу с несколькими банками. Cloud4Y также поможет выполнить аудит на соответствие всем необходимым стандартам.
Использование услуги PCI DSS хостинга закрывает основную часть требований стандарта. Иными словами, хостинг-провайдер выполняет значительную часть работ по соблюдению предписаний стандарта, включая физическую защиту серверов, администрирование IT-систем, обнаружение вторжений, аудит и многое другое.
