Aoc pci dss это

Обновлено: 01.07.2024

Стандарт безопасности данных индустрии платежных карт (PCI-DSS) — это глобальный стандарт по информационной безопасности, призванный предотвращать мошенничество путем усиленного контроля данных кредитных карт. Если организация (любого масштаба) принимает платежные карты пяти ведущих операторов кредитных карт (Visa, MasterCard, American Express, Discover и Japan Credit Bureau (JCB)), она должна неукоснительно выполнять требования стандартов PCI DSS. Для любой организации, которая хранит, обрабатывает или передает данные о платежах и о держателях карт, требуется соответствие PCI DSS.

Корпорация Майкрософт и PCI DSS

Корпорация Майкрософт прошла ежегодную оценку PCI DSS с помощью утвержденного Квалифицированного аудитора по безопасности (QSA). Аудиторы проверили среды Microsoft Azure, Microsoft OneDrive для бизнеса и Microsoft SharePoint Online. Процедура включала проверку инфраструктуры, разработки, операций, управления, поддержки и служб компонентов. PCI DSS определяет четыре уровня соответствия в зависимости от объема транзакций. Azure, OneDrive для бизнеса и SharePoint Online сертифицированы как соответствующие требованиям стандарта PCI DSS версии 3.2 на уровне поставщика услуг 1 (самый большой объем транзакций — более 6 миллионов в год).

Результатом оценки является доступная для клиентов Аттестация соответствия (AoC) и Отчет о соответствии (RoC), изданный QSA. Срок действия соответствия начинается после прохождения аудита и получения AoC от аудитора и заканчивается через год с момента подписания AoC.

Клиенты, желающие создать среду держателя карты или службу обработки карты, могут использовать эти проверки при разработке входящих в них процедур, тем самым сокращая затрачиваемые усилия и расходы на получение собственной сертификации PCI DSS.

Важно понимать, что статус соответствия требованиям PCI DSS для Azure, OneDrive для бизнеса и SharePoint Online не подразумевает автоматическую сертификацию PCI DSS для служб, которые клиенты создают или размещают на этих платформах. Клиенты обязаны обеспечить соблюдение требованиям PCI DSS.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure и Azure для государственных организаций
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Graph
  • Office 365
  • OneDrive для бизнеса и SharePoint Online (только Соединенные Штаты)
  • Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Power Automate (в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365)
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365

Azure, Dynamics 365 и PCI DSS

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure PCI DSS.

Office 365 и PCI DSS

Облачные среды Office 365

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

Этот раздел посвящен следующим облачным средам Office 365.

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор OneDrive для бизнеса (США), SharePoint Online (США)

Аудит, отчеты и сертификаты Office 365

Вопросы и ответы

Почему на титульной странице "Аттестация соответствия (AoC)" указана дата "Июнь 2018 г."?

Дата "Июнь 2018 г." на титульной странице выводится при публикации шаблона AoC. Дата оценки приведена в разделе 2.

Как соотносятся PA DSS и PCI DSS??

Стандарт безопасности данных платежного приложения (PA DSS) — это набор требований, соответствующих PCI DSS, который заменяет рекомендации Visa для платежных приложений и объединяет требования соответствия других основных эмитентов карт. PA DSS позволяет поставщикам программного обеспечения разрабатывать приложения сторонних разработчиков, которые хранят, обрабатывают или передают платежные данные владельца карты в рамках процедуры авторизации или расчета. Розничные продавцы должны использовать сертифицированные приложения PA DSS для эффективного обеспечения соответствия PCI DSS. PA DSS не применяется к Azure.

Что такое эквайрер и использует ли его Azure?

Эквайрер — это банк или другой субъект, который обрабатывает транзакции платежной карты. В Azure не предлагается обработка платежных карт в качестве услуги, поэтому не используется эквайрер.

К каким организациям и продавцам применяется PCI DSS?

PCI DSS применяется ко всем компаниям, независимо от размера или количества транзакций, которые принимают, передают или сохраняют данные о владельце карты. То есть, если какой-либо клиент осуществлял платеж для компании с помощью кредитной или дебетовой карты, тогда применяются требования PCI DSS. Компании проходят проверку по одному из четырех уровней на основании общего объема транзакций за период 12 месяцев. Уровень 1 предназначен для компаний, которые обрабатывают более 6 миллионов транзакций в год. Уровень 2 предназначен для компаний с объемом транзакций от 1 миллиона до 6 миллионов. Уровень 3 — для объема от 20 000 до 1 миллиона транзакций. Уровень 4 предназначен для компаний с объемом транзакций менее чем 20 000 в год.

Планируется ли, чтобы OneDrive для бизнеса и SharePoint Online соответствовали PCI DSS за пределами Соединенных Штатов?

В настоящее время OneDrive для бизнеса и SharePoint Online соответствуют PCI-DSS только в Соединенных Штатах (США). Корпорация Майкрософт оценит требования и сроки для регионов за пределами США и предоставит обновления в случае, если и когда другие регионы будут добавлены в дорожную карту.

Какое содержимое OneDrive для бизнеса и SharePoint Online затрагивает стандарт?

В настоящее время соответствовать PCI DSS будут только файлы и документы, отправленные в OneDrive для бизнеса и SharePoint Online.

Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)

Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Если вы хотите, чтобы ваши клиенты могли расплачиваться банковской картой, вам не обойтись без сертификации PCI DSS. Она нужна для подтверждения того, что вы проводите операции с платежами с учетом самых строгих требований безопасности.

Вы можете не получать сертификацию, но тогда вам придется пользоваться «костылями» наподобие встраивания iframe платежной страницы банка-эквайера на сайте или редиректа на его сайт. А это — ухудшение пользовательского опыта, то есть потенциально упущенные клиенты и прибыль. Вывод: сертификация все-таки пригодится.

После консультаций со своим эквайером и QSA-компаниями легко подумать, что такая сертификация — процесс сложный, долгий и дорогой. Но на самом деле это не всегда так.

Сертифицируй себя сам

По правилам платежных систем Visa и MasterCard, если вы сервис-провайдер и обрабатываете, храните или передаете данные менее чем о 300 000 транзакциях в год, для успешной сертификации можно обойтись заполнением специального листа самооценки (SAQ), то есть без QSA-аудита. Если же вы — мерчант, то планка — от 1 млн транзакций в год.

Аудит проводит Qualified Security Assessor — компания, которой Совет PCI SSC предоставил право проведения оценки на соответствие стандарту. В ходе проверки тестируется соответствие бизнес-процессов, процессов по безопасности, средств защиты информации и ИТ-инфраструктуры вашей компании требованиям безопасности.

Вот основные отличия аудита от самооценки (обратите внимание на стоимость):

Пример из жизни

Недавно к нам обратился клиент, который считал, что ему нужно пройти полноценный QSA-аудит. Компания обрабатывает данные банковских карт в мобильном приложении, для этого люди перенаправлялись на платежную страницу банка-эквайера. Чтобы повысить качество пользовательского опыта клиент хотел сделать в мобильном приложении собственную платежную форму. Но для этого надо было предоставить банку-эквайеру сертификат. На вопрос клиента «В каком формате нужна сертификация?» специалисты банка просто отправили ссылку на сайт стандартов PCI DSS.

Когда клиент обратился к нам, сразу выяснилось, что он может подтвердить соответствие требованиям PCI DSS, заполнив лист самооценки (SAQ). Наши специалисты провели аудит бизнес-процессов и инфраструктуры компании, разработали план того, как привести всё это в соответствие требованиям PCI DSS, а также разработали необходимые нормативные документы. Кроме того, они проконтролировали выполнение всех требований.

Затем клиент с нашей помощью заполнил лист самооценки и отправил его банку-эквайеру. После некоторых раздумий (похоже, банк-эквайер редко сталкивался с SAQ) лист самооценки был принят в качестве подтверждения соответствия требованиям PCI DSS. Клиент смог встроить в мобильное приложение собственную платежную форму.

А можно без сертификации?

Сертификат PCI DSS — свидетельство того, что вы серьезно относитесь к работе и данным банковских карт клиентов, строго соблюдая международные стандарты безопасности. Конечно, теоретически вы можете работать без нее, но за это предусмотрен крупный штраф. Кроме того, вам придется работать с не очень ответственными банками или платежными шлюзами, игнорирующими требования безопасности, что делает вас более уязвимым перед мошенниками. В случае обнаружения в транзакциях фрода, случившегося по вашей вине, компенсировать последствия вам придется самостоятельно.

И напоследок напомним о стоимости аудита и самооценки. Средние цены на оба варианта сертификации на российском рынке такие:

  • заполнение листа самооценки с пентестом и ASV-сканированием уязвимостей сети — от 450 тысяч рублей;
  • QSA-аудит — от 1 миллиона рублей.

Таким образом, на самооценке вы сэкономите, как минимум, вдвое.

Первый шаг в деле сертификации PCI DSS вы можете сделать прямо сейчас, посчитав количество ваших транзакций в год. Скорее всего, логотип «PCI DSS Certified» на вашем сайте намного ближе, чем кажется.


З а последние десять лет информационные технологии, подходы к администрированию и разработке программного обеспечения заметно изменились. Появились и стали широко применяться облачные технологии, технологии контейнеризации, программно-определяемые сети, практики Continuous Integration and Continuous Delivery (CI\CD), методика Agile и многое другое. В связи с этим становится сложно применять текущие требования PCI DSS в современных инфраструктурах.

Основное отличие новой версии стандарта от предыдущих – механизм компенсационных мер теперь будет встроен в тело стандарта. Для каждого требования будут определены контрольные цели, которые должны быть достигнуты. При этом у потребителей стандарта остается выбор – реализовывать требования так, как это описано в стандарте, или альтернативным способом. Организация сможет сама определить альтернативный набор защитных мер в зависимости от результатов оценки рисков.

До выпуска новой версии стандарта действует принцип компенсационных мер. Предполагалось, что они должны носить временный характер и действовать до тех пор, пока организация не сможет выполнить исходное требование так, как оно регламентируется стандартом. Сегодня компенсационные меры являются легитимной возможностью выполнить требование иным способом, чем предлагает стандарт. Компенсационная мера для конкретного требования PCI DSS должна быть направлена на снижение большего риска, чем исходное требование. При применении компенсационной меры организация должна иметь четкую аргументацию, почему эта компенсационная мера необходима и почему компания затрудняется выполнить требование, как предлагает стандарт.

Новый принцип построения стандарта придаст ему необходимую гибкость и актуальность. Теперь организации смогут использовать собственные подходы при реализации требований на постоянной основе, если предлагаемый стандартом вариант не может быть применен в силу каких-либо особенностей организации. Главное – это достижение цели исходного требования. Механизм компенсационных мер будет отменен.

Вариативность в выборе мер снижения рисков заставляет аудиторов самим определять состав тестовых процедур и необходимых свидетельств. Таким образом, увеличивается роль QSA-аудиторов. Аудиторам придется глубже вникать в особенности организаций, изучать защитные меры и оценивать их достаточность и эффективность.

Компенсационные меры. Статистика

Согласно предоставленным отчетам о соответствии PCI DSS отечественных участников ПС «Мир», чаще всего компенсационные меры применяются для требований раздела 6 (1-е место) и 3 (2-е место). Многим компаниям трудно обеспечить шифрование карточных данных при их хранении. Поэтому для обеспечения конфиденциальности карточных данных часто используются компенсационные меры.

Ситуация на глобальном рынке и рынке России несколько отличается. Так, в отчете Verizon в топе требования раздела 8 (на первом месте) и только потом 3 и 6 (второе и третье соответственно).

Новая форма изложения стандарта

В каждом разделе будут верхнеуровнево определены цели безопасности (Security Objectives). Для каждой цели безопасности определены исходные цели (Intents), а для исходных целей – требования. Цель безопасности будет считаться достигнутой, если реализованы все вложенные исходные цели. В руководстве к каждому требованию будет описан вариант реализации требования. Исходные цели являются не чем иным, как описанием риска, который должен быть обработан.

Подход, основанный на целях безопасности, применяется и в других стандартах PCI SSC. Например, в PCI Software Security Framework.

Несомненно, будут добавлены и новые требования, продиктованные современными угрозами и вызовами, которые появились в индустрии платежных карт.

Стандарт Software Security Framework

Любое платежное приложение должно отвечать определенному набору требований по обеспечению безопасности вне зависимости от того, является ли это решение собственной разработкой организации или стороннего поставщика. У платежных систем существует возможность проверки выполнения этих требований для «коробочных» решений в рамках сертификации на соответствие PCI Payment Application Data Security Standard (PA-DSS). Для ранее сертифицированных приложений в рамках аудита по PCI DSS аудитором проверяется только корректность использования такого ПО в платежной инфраструктуре – настройки соответствуют указанным в Implementation Guide (руководство по настройке ПО от производителя для соблюдения требований PCI DSS, которое поставляется с каждым ПО, сертифицированным по PCI PA-DSS).

Что нового ждать от изменений стандартов безопасности индустрии платежных карт?

Наличие у ПО сертификата PCI PA-DSS говорит о том, что при разработке были соблюдены требования к процессу безопасной разработки, обновление и поддержка этого ПО выполняются безопасным образом, а также свидетельствует о безопасности конкретной версии сертифицируемого приложения.

В начале 2019 года был разработан новый фреймворк оценки безопасности приложений и процессов их разработки PCI Software Security Framework (PCI SSF), который замещает стандарт PCI PA-DSS. При его создании учтены современные подходы к построению процессов разработки программного обеспечения. В состав PCI SSF входят два стандарта: PCI Secure SLC Standard и PCI Secure Software Standard. Первый стандарт нацелен на организацию процесса безопасной разработки. Второй – на безопасность самого приложения. В будущем в рамках этого фреймворка планируется разработка дополнительных стандартов.

Стандарты PCI SSF независимы от PCI PA-DSS. Это значит, что если продукт сертифицирован по одному стандарту, то он не становится автоматически сертифицированным по второму.

На сегодняшний день в PCI SSC ведется проработка Руководства к программе аудиторов по стандартам PCI Software Security Framework, а также разработка обучающих курсов. Программа для нового фреймворка должна быть принята до конца 2019 года. Именно тогда должны появиться первые аудиторы, и ориентировочно с первого квартала 2020 года станет возможна сертификация по стандартам фреймворка.

В 2022 году PCI PA-DSS перестает действовать, и с осени 2022 года сертификация будет возможна только по PCI Secure Software Standard.


Software-based PIN Entry on COTS (SPOC)

О мобильных POS-решениях (mPOS) рынку известно еще с 2010 года. Целевой аудиторией таких решений являются мелкие ТСП, которым дорого покупать и обслуживать обычные POS-терминалы.

Изначально предполагалось, что функции по считыванию данных платежных карт и ввода ПИН-кода будут выполняться на выделенных доверенных устройствах. Но после у индустрии появился запрос на ввод ПИН-кода на экране мобильного устройства.

Для mPOS – смартфонов с ОС Android и оборудованных NFC-ридером – будет разработан отдельный стандарт безопасности

Стандарт Software-based PIN Entry on COTS определяет требования к решениям, которые представляют собой мобильное устройство (смартфон или планшет) с подключенным к нему внешним устройством по Bluetooth, USB или через гнездо наушников. Такое устройство позволяет считывать данные платежных карт безопасным образом. Мобильное устройство выступает в качестве интерфейса для ввода ПИН-кода и передачи данных в процессинговую систему.

В мае 2019 года были выпущены отдельные требования к считывателям магнитной полосы, которые могут использоваться в SPOC-решениях (Software-based PIN Entry on COTS Magnetic Stripe Readers Annex). Для России такие решения не являются актуальными, так как доля операций по магнитной полосе на отечественном рынке незначительная.

Сегодня ведется активная разработка стандарта Contactless Payments on COTS (CPOC) и системы сертификации. Требования стандарта будут применяться для решений, которые представляют собой мобильные POS-терминалы, построенные на базе обычных смартфонов без дополнительных периферийных устройств. Продавцы смогут прийти в банк-эквайрер и подписать договор эквайрингового обслуживания. Банк направит ТСП ссылку для загрузки мобильного приложения из магазина приложений. Продавец загрузит это приложение на свой смартфон, имеющий NFC-модуль, и получит mPOS с возможностью принимать бесконтактные платежи на своем смартфоне.

На первый взгляд такие решения выглядят удобными и дешевыми. Но к ним возникает большое количество вопросов, если анализировать их с точки зрения безопасности. Здесь и вопросы к самому смартфону, и к серверной части такого решения. Для того чтобы платежи проходили безопасно, нужно гарантировать, что смартфон не является взломанным, что работа с секретными величинами ведется безопасным образом, что владелец смартфона не может повлиять на логику работы решения при операциях возврата средств. Поэтому для таких решений будет большой набор требований и отдельная программа сертификации.

Данный стандарт концептуально схож со SPOC. В CPOC, как и в SPOC, появится необходимость контролировать неизменность программной среды смартфона, реализовывать мониторинг и аттестацию смартфона на серверной стороне, разрабатывать программный код с применением практик безопасного программирования, обеспечить защищенность процессинговой части на серверной стороне согласно требованиям PCI DSS.

Основное отличие CPOC-решений от SPOC-решений в том, что в SPOC-решениях чтение карты происходит на отдельном защищенном устройстве, а в CPOC-решениях – с помощью штатного NFC-модуля смартфона. Поэтому для снятия рисков, которые возникают при использовании небезопасного считывателя смартфона, в стандарте CPOC будут отдельные требования.

Разработка стандарта CPOC завершится в этом году. Однако каждый оператор платежной системы будет устанавливать свои требования по схеме применения NFC mPOS-решений и этого стандарта в своей платежной системе.

Экспертный совет по безопасности НСПК

В 2017 году Национальная система платежных карт (НСПК, оператор платежной системы «Мир») вошла в состав Совета по стандартам безопасности данных индустрии платежных карт (Совет PCI SSC) в качестве аффилированного члена. Данный вид участия дает возможность стать участником рабочих групп PCI SSC и активно участвовать в процессах разработки стандартов PCI.

Платежная система «Мир» основывает свои требования по безопасности данных платежных карт на международных стандартах PCI. НСПК доступно использование общепризнанной системы сертификации PCI. Поэтому от субъектов ПС «Мир» требуется подтверждать свое соответствие требованиям стандартов PCI SSC с привлечением сертифицированных аудиторов PCI.

В конце 2018 года в НСПК был создан Экспертный совет по безопасности, участниками которого являются банки, аудиторские компании, а с 2019 года – и представители поставщиков услуг и крупных торгово-сервисных предприятий. Совет создан для обсуждения с участниками платежной индустрии инициатив НСПК в области регулирования вопросов безопасности в ПС «Мир», получения обратной связи и предложений к изменениям в стандартах PCI.


Жизненный цикл стандарта

Процесс выпуска стандартов подразумевает многошаговость. Первоначально идеи обсуждаются в рамках конкретной рабочей группы при PCI SSC. Оценивается актуальность того или иного предложения. Далее ведется проработка решений. Если в ходе обсуждения консенсус найти не удается, то вопрос эскалируют в наблюдательный орган при PCI SCC или в другие рабочие группы для получения дополнительного мнения или принятия решения.

Платежный рынок в разных странах имеет свои особенности. Например, специфика платежного рынка России и стран СНГ существенно отличается от южноазиатского рынка. На нашем рынке большое распространение получили EMV-технологии. В Азии до сих пор в ходу карты только с магнитной полосой. Исходя из этого, формируются несколько иные акценты.

После проработки новых версий стандартов или изменений в текущих проходит сбор отзывов от представителей международного сообщества. Дается время на предоставление PCI SSC обратной связи для того, чтобы понять, нет ли каких-либо противоречий, и т. д.

После того как будет подготовлена первая версия драфта новых правил, до момента их принятия и официального вступления в действие может пройти от полугода.

Разработка новой версии Стандарта (PCI DSS 4.0) ведется с 2018 года до конца лета 2019-го. Далее будут проходить прием и обработка обратной связи по драфту Стандарта в рамках процесса Request for comment (RFC) (четвертый квартал 2019 и второй квартал 2020 года). Порядок проведения RFC описан на официальном сайте.

До конца 2020 года будут актуализироваться сопутствующие документы (шаблоны отчетов, программы сертификации аудиторов, обучающие и информационные материалы), будет финализироваться итоговая версия PCI DSS и финальные версии документов, которые обнародуют в четвертом квартале 2020 года.

Сертификация по PCI DSS

В этой статье мы подробно расскажем о том, что представляет собой PCI DSS и какие преимущества даст прохождение сертификации нашим клиентам и партнёрам.

PCI DSS: общие сведения

Аббревиатура PCI DSS означает Payment Card Data Security Standard — стандарт безопасности данных индустрии платёжных карт. Стандарт PCI DSS представляет собой документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения карт. Первая версия стандарта появилась в январе 2005 года. На сегодняшний день актуальной является третья версия стандарта (полный текст см. на английском языке см. здесь , на русском языке — здесь ) Она содержит 241 требование, распределенные по 12 разделам:

  1. Защита вычислительной сети.
  2. Конфигурация компонентов информационной инфраструктуры.
  3. Защита хранимых данных о держателях карт.
  4. Защита передаваемых по сети данных о держателях карт.
  5. Антивирусная защита информационной инфраструктуры.
  6. Разработка и поддержка информационных систем.
  7. Управление доступом к данным о держателях карт.
  8. Механизмы аутентификации.
  9. Физическая защита информационной инфраструктуры.
  10. Протоколирование событий и действий.
  11. Контроль защищённости информационной инфраструктуры.
  12. Управление информационной безопасностью.

Вопросами внедрения и применения стандарта PCI DSS занимается специальная организация — PCI SSC (Payment Card Industry Security Standards Council, Совет по стандартам безопасности индустрии платежных карт). Совет был создан в 2006 году коллективным решением пятью крупными платёжными системами — Visa, MasterCard, American Express, JCB и Discover.

Советом PCI SSC разработаны также следующие документы:

  • стандарт PCI PA DSS (Payment Card Industry Payment Application Data Security Standard, стандарт безопасности данных в приложениях индустрии платёжных карт) —определяет требования к приложениям, обрабатывающим персональные данные владельцев карт, а также к процессу их разработки;
  • руководства PCI PTS (Payment Card Industry PIN Transaction Security) — содержат требования к устройствам, обрабатывающим PIN-коды платёжных карт (POS-терминалам, шифрующим PIN-клавиатурам, аппаратным модулям безопасности).

Стандарт PCI DSS предназначен для организаций, в информационной инфраструктуре которых обрабатываются или передаются данные платёжных карт. Его область применения включает также организации, в бизнес-процессах которых задействованы персональные данные владельцев карт. К таким организациям относятся и дата-центры, в которых может быть размещено оборудование платёжных систем, предприятий электронной коммерции и т.п.

Внедрение PCI DSS: основные этапы

Согласно официальным документами, процесс внедрения PCI DSS подразделяется на следующие этапы:

  • анализ исходного уровня соотвестствия;
  • приведение к требуемому уровню соответствия;
  • подтверждение соответствия;
  • поддержка соответствия.

Рассмотрим процесс внедрения PCI DSS более подробно. Для оценки соответствия выполняется аудит. Его проводит сторонняя организация, имеющая специальную сертификацию от PCI SSC. Мы в качестве аудитора привлекатели немецкую компанию SRC Security Research and Consulting GmbH.
Процедура аудита включает интервью с сотрудниками организации-заказчика, изучение информационных систем, а также изучение и анализ внутренней нормативной документации. Результатом этого этапа является определение сферы применимости требований PCI DSS в информационной инфраструктуре заказчика.
После того, как определена сфера применимости и собрана вся необходимая информация, разрабатываются рекомендации по внедрению PCI DSS.
На основе этих рекомендаций вносятся конкретные изменения в информационную инфраструктуру: модернизируется оборудование, дорабатывается программное обеспечение, внедряются системы защиты информации, разрабатывается необходимая документация.

На следующем этапе проводится специализированный аудит. В случае успешного прохождения аудита составляется Отчёт о соответствии (англ. Report on Compliance). Организация-заказчик заполняет также лист самооценки (Self-Assessment Questionnaire, SAQ). Форма этого документа зависит от специфики обработки карточных данных в организации.

Получением необходимых документов процесс сертификации не заканчивается. Соответствие необходимо регулярно подтверждать. Поставщикам услуг (к ним относятся и дата-центры) необходимо ежегодно заполнять лист самооценки, а также раз в квартал проводить так называемое ASV-сканирование — автоматизированную проверку всех точек подключения информационной структуры к Интернету на наличие уязвимостей.

PCI DSS: что сделано у нас

Наши дата-центры сертифицированы на уровне обеспечения физической безопасности. Таким образом, в рамках сертификата PCI DSS нами выполняются требования разделов 9, 11 (частично) и 12. Рассмотрим эти требования более подробно.

Раздел 9: физическая защита информационной инфраструктуры

Охрана наших дата-центров осуществляются в режиме 24/7/365. Все дата-центры оснащены системами защиты от несанкционированного доступа как в периметр здания, так и в серверные помещения. На входе имеется пост вооружённой охраны. Для исключительных случаев предусмотрена и кнопка тревожной сигнализации.

Стандарт PCI DSS предполагает также строгий контроль доступа в помещения. Как для сотрудников, так и для сторонних посетителей проход на территорию дата-центра возможен только с использованием магнитных карт. Доступ сотрудников в дата-центр осуществляется по магнитным картам, выдаваемых под контролем службы безопасности. Представители сторонних организаций могут посетить дата-центр по предварительной договорённости с предъявлением удостоверения личности.
По особым регламентам организован доступ в дата-центры клиентов (тех, кто размещает у нас своё оборудование) и подрядчиков (представителей обслуживающих организаций, проводящих работы на нашей территории). Вопросам идентификации посетителей мы также уделяем большое внимание: так, у нас уже используются пропуски-бэджи для постоянных сотрудников, клиентов и гостей.
Данные обо всех посетителях записываются в журнал и хранятся в течение не менее чем полгода.

На территории всех дата-центров ведётся круглосуточное видеонаблюдение. Видеокамеры установлены во всех серверных, технических и офисных помещениях. Анализ видеозаписей со всех камер осуществляют сотрудники, прошедшие обучение по информационной безопасности.
Согласно нашим внутренним регламентам, данные с видеокамер хранятся в течение 6 месяцев.

Раздел 11: контроль защищённости информационной инфраструктуры

Обработка электронных платёжных транзакций, а также персональных данных держателей карт должны осуществляться на базе защищённой информационной инфраструктуры.
Требования одиннадцатого раздела мы выполняем лишь частично, но реализованных у нас мер вполне достаточно, чтобы обеспечить надёжную защиту персональных данных держателей карт и миниммизировать их уязвимость во время передачи по сети.

Мы проводим регулярное сканирование сети на предмет наличия неавторизованных точек доступа. Процедуру сканирования мы осуществляем полностью самостоятельно, без привлечения специалистов со стороны.

Раздел 12: управление информационной безопасностью

Политикой информационной безопасности (далее для удобства мы будем использовать аббревиатуру ИБ) называется совокупность правил, процедур, методов и принципов в области ИБ, используемых организацией в своей деятельности.
В нашей компании разработан и внедрён весь необходимый набор документации по обеспечению ИБ, который поддерживается в актуальном состоянии.

Заключение

Получение нами сертификата cоответствия стандарту PCI DSS в очередной раз подтверждает, что мы стремимся поддерживать высокий уровень безопасности для клиентов.
Арендуя или размещая оборудование в сертифицированном дата-центре, пользователи наших услуг получат не только гарантии безопасности, но и дополнительные репутационные преимущества, заключающиеся в повышении доверия со стороны клиентов, партнёров и контрагентов.

Обеспечение полного соответствия требованиям PCI DSS — работа очень долгая и сложная, и нам предстоит ещё много сделать в этом направлении. О наиболее значимых результатах мы обязательно расскажем в нашем блоге.

Читайте также: