От чего зависит штраф за несоблюдение требований pci dss

Обновлено: 30.06.2024

Компании, выпускающие стандартам безопасности PCI и управляются им .

Ключевые моменты

• Компании, которые следуют и соблюдают стандарты безопасности данных индустрии платежных карт (PCI DSS), считаются соответствующими PCI.
• Совет по стандартам безопасности PCI отвечает за разработку стандарта PCI DSS.
• PCI DSS содержит 12 ключевых требований, 78 базовых требований и 400 процедур тестирования, чтобы убедиться, что организации соответствуют требованиям PCI.
• Соответствие стандарту PCI снижает вероятность утечки данных, защищает данные держателей карт, позволяет избежать штрафов и улучшает репутацию бренда.
• Соблюдение требований PCI не требуется по закону, но считается обязательным в судебном порядке.

Понимание соответствия PCI

В общем, соответствие PCI является основным компонентом протокола безопасности любой компании, выпускающей кредитные карты. Обычно это требуется компаниями, выпускающими кредитные карты, и обсуждается в сетевых соглашениях по кредитным картам.

Совет по стандартам PCI отвечает за разработку стандартов соответствия PCI. Эти стандарты применяются к обработке данных для продавцов, а также были расширены для определения требований к ключевые организации, которые также связаны с установлением стандартов в индустрии кредитных карт, включают Сеть ассоциации карт и Национальную автоматизированную клиринговую палату (NACHA).

Требования для соответствия PCI

Стандарты соответствия PCI требуют, чтобы продавцы и другие предприятия обрабатывали информацию о кредитных картах безопасным образом, что помогает снизить вероятность кражи конфиденциальной информации о финансовых счетах держателей карт. Если продавцы не обрабатывают информацию о кредитной карте в соответствии со стандартами PCI, информация о карте может быть взломана и использована для множества мошеннических действий. Кроме того, конфиденциальная информация о держателе карты может быть использована для мошенничества с идентификационными данными .

Соответствие PCI означает постоянное соблюдение набора руководящих принципов, установленных Советом по стандартам PCI. Соответствие PCI регулируется Советом по стандартам PCI, организацией, созданной в 2006 году с целью управления безопасностью кредитных карт.

Требования, разработанные Советом, известны как Стандарты безопасности данных индустрии платежных карт (PCI DSS).PCI DSS содержит 12 ключевых требований, 78 базовых требований и более 400 процедур тестирования. Рекомендации также считаются передовыми методами обеспечения безопасности. Его 12 основных требований включают следующее:

1. Внедрите брандмауэры для защиты данных
2. Соответствующая защита паролем
3. Защитите данные держателей карт
4. Шифрование передаваемых данных о держателях карт
5. Используйте антивирусное программное обеспечение
6. Обновление программного обеспечения и обслуживание систем безопасности
7. Ограничить доступ к данным держателей карт
8. Уникальные идентификаторы, назначаемые тем, у кого есть доступ к данным
9. Ограничить физический доступ к данным
10. Создание и мониторинг журналов доступа
11. Регулярно тестируйте системы безопасности
12. Создайте документально оформленную политику, которой можно будет следовать

Самая последняя версия PCI DSS была выпущена в мае 2018 года и называется версией 3.2.1. В целом, шесть целей и 12 требований описывают серию шагов, которые должны постоянно выполняться обработчиками кредитных карт. Компании сначала просят оценить свои сети и системы, которые включают инфраструктуру информационных технологий, бизнес-процессы и процедуры обработки кредитных карт.

Преимущества соответствия PCI

Постоянное обслуживание и оценка любых пробелов в безопасности также очень важны для предотвращения кражи конфиденциальной информации о держателях карт, такой как номера социального страхования и водительские права, когда это возможно.

Все компании, обрабатывающие информацию о кредитных картах, обязаны соблюдать требования PCI в соответствии с их соглашениями об обработке карт. Соответствие PCI является отраслевым стандартом, и бизнес без него может привести к значительным штрафам за нарушение соглашений и халатность. Без соблюдения требований PCI компании также очень уязвимы для краж, мошенничества и утечки данных.

Процентнарушений кибербезопасности , вызванных человеческой ошибкой.

Преимущества соблюдения требований включают снижение риска утечки данных, защиту данных о держателях карт, что позволяет избежать кражи личных данных. Для компаний соблюдение нормативных требований является хорошей практикой, поскольку это снижает любые штрафы, связанные с утечкой данных, помогает репутации бренда компании , сохраняет клиентов счастливыми и уверенными в том, что они ведут дела с ответственной компанией, что ведет к лояльности к бренду.

В первой половине 2020 года в результате утечки данных было обнаружено 36 миллиардов записей.Восемьдесят шесть процентов нарушений были финансово мотивированы, а с учетом того, что мировой рынок информационной безопасности, как ожидается, достигнет 170 миллиардов долларов в 2020 году, финансовый риск еще выше.Защита данных о держателях карт не только полезна для бизнеса, но и является правильным поступком, гарантируя, что люди не пострадают или не понесут каких-либо финансовых потерь.

Соответствие PCI и утечки данных

Соответствие требованиям PCI помогает избежать мошенничества и снижает вероятность утечки данных. Verizon предоставляет ежегодную оценку безопасности платежей в своем «Отчете о безопасности платежей Verizon». В отчете за 2019 год стандарту PCI DSS посвящен целый раздел под названием «Состояние соответствия требованиям PCI DSS в 2019 году: и 12 ключевых требований». Некоторые основные моменты стандарта PCI DSS из «Отчета о безопасности платежей Verizon 2019» включают следующее:

• 36,7% организаций активно поддерживали программы PCI DSS в 2018 году.
• Азиатско-Тихоокеанский регион превзошел Америку, Европу, Ближний Восток и Африку.
• С точки зрения отрасли гостиничный бизнес несколько отстает от других секторов.

Часто задаваемые вопросы о соответствии PCI

Что означает соответствие PCI?

Соответствие PCI означает, что любая компания или организация, которая принимает, передает или хранит личные данные держателей карт, соблюдает различные меры безопасности, изложенные Советом по стандартам безопасности PCI, чтобы гарантировать безопасность и конфиденциальность данных.

Требуется ли соответствие PCI по закону?

Не существует нормативного мандата, требующего соблюдения требований PCI, но он считается обязательным в судебном порядке.

Как добиться соответствия стандарту PCI?

Чтобы соответствовать требованиям PCI, вы должны сначала определить, какую анкету самооценки вам нужно использовать, чтобы соответствовать требованиям.После того, как вы заполните анкету, вам нужно будет заполнить и сохранить доказательства прохождения сканирования уязвимостей с помощью утвержденного поставщика сканирования PCI SSC.Сканирование применимо только к некоторым торговцам.Затем вам нужно будет заполнить Аттестацию соответствия.Последним шагом будет отправка всей вышеуказанной информации.

Кто должен соответствовать требованиям PCI?

Любая компания или организация, которая принимает, передает или хранит личные данные держателей карт.

Вопросы безопасности и защищенности персональных данных сегодня наиболее обострены. И далеко не последнюю роль в этом сыграли такие документы, как GDPR, PCI DSS, Федеральный закон № 152-ФЗ «О персональных данных». Рассмотрим более подробно каждый из перечисленных документов, выделим круг субъектов, попадающих под их действие, а также общие требования к защите данных.

На кого распространяется
Требования GDPR (General Data Protection Regulation) распространяются не только на операторов в Европейском Союзе, но и на компании в любой стране, деятельность которых направлена на физических лиц в Евросоюзе. GDPR не требует принятия законов на национальном уровне и действует напрямую.

Что по GDPR относится к персональным данным
Общие персональные данные:

• имя;
• адрес;
• телефон;
• дата и место рождения;
• паспортные данные;
• данные о месте работы и/или учёбы.

К персональным данным в интернете относятся:

Принципы обработки персональных данных по GDPR

• Законность, справедливость и прозрачность. Все методы и цели сбора и обработки персональных данных должны быть чётко изложены в политике конфиденциальности.
• Ограничение цели. Необходимо чётко заявить, с какой целью вы собираете и обрабатываете данные.
• Минимизация данных. Нельзя собирать больше данных, чем требуется для достижения целей обработки данных.
• Точность. Неточные личные данные пользователей должны быть удалены или исправлены по требованию пользователя.
• Ограничение хранения. Данные должны храниться не дольше, чем это требуется в целях обработки.
• Целостность и конфиденциальность. Компании обязаны обеспечить защиту и конфиденциальность данных от несанкционированной обработки, повреждения или удаления.

Следует учитывать, что помимо штрафных санкций, несоответствие может повлечь за собой ущерб для репутации организации, блокировку веб-сайта или прекращение деятельности организации на территории ЕС.

Несмотря на то, что Регламент действует меньше двух лет, уже были достаточно громкие случаи назначения штрафов.

• В январе 2019 года Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Google на 50 млн евро за «отсутствие прозрачности, неудовлетворительное информирование и отсутствие действительного согласия» при обработке и использовании персональных данных пользователей для показа им персонализированной рекламы.
• Авиакомпания British Airways оштрафована Управлением комиссара по информации Великобритании (ICO) на £183 млн ($229,3 млн) из-за утечки данных нескольких сотен своих клиентов. Уведомление о штрафе направило британское Управление уполномоченного по вопросам информации. Сумма, названная регулятором, соответствует 1,5% глобального оборота British Airways за 2017 год.

Как обеспечить соответствие требованиям GDPR
В целях приведения процессов обработки персональных данных в соответствие требованиям GDPR организации следует определить потоки персональных данных с учетом мест сбора, использования и хранения персональных данных, перечень обрабатываемых персональных данных, перечень участвующих в обработке персональных данных информационных систем, баз данных, аппаратных средств и структурных подразделений организации. На основании полученной информации составить карту потоков данных, далее провести оценку рисков утечки персональных данных и влияния утечки на права и свободы субъектов персональных данных, а также связанные с этим риски для организации. По результатам проведенного анализа принять решение о разработке и внедрении организационных и технических мер защиты, при этом по возможности минимизируя потоки персональных данных или обезличивая данные.

Таким образом, в результате внедрения мер защиты персональных данных в организации должно быть обеспечено наличие следующих доказательств соответствия GDPR:

• документированные процедуры управления рисками;
• закрепленные роли и ответственность за обеспечение конфиденциальности данных;
• документированные процедуры обработки персональных данных, включающие описание порядка удаления персональных данных субъектов по запросу субъекта с учетом требований законодательства страны присутствия организации, порядка прекращения обработки персональных данных субъекта по запросу субъекта, порядка предоставления субъектам данных о процессах обработки персональных данных, в том числе с использованием «стандартизированных иконок», порядка передачи персональных данных субъекту или иной организации по запросу субъекта (data portability), порядка трансграничной передачи персональных данных в страны, не обеспечивающие адекватный уровень защиты персональных данных, и порядка обеспечения конфиденциальности данных;
• актуальная информация об обработке персональных данных в организации с указанием целей обработки персональных данных, сроков хранения данных, категорий персональных данных и субъектов персональных данных, перечня организаций, в которые персональные данные передаются, перечня стран-получателей персональных данных, перечня мер защиты персональных данных;
• шаблоны понятных и детальных согласий субъектов на обработку персональных данных;
• задокументированная ответственность поставщиков услуг за обеспечение конфиденциальности данных, закрепленные требования к поставщикам услуг в договорах в части обеспечения защиты данных и инструкции по защите данных для поставщиков услуг;
• документированные процедуры управления инцидентами ИБ.

Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ

Что относится к персональным данным согласно Закону
Согласно ст. 3 Закона персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). В то же время оператором персональных данных выступает любое лицо (как физическое, так и юридическое), которое самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных включает в себя любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Принципы обработки персональных данных согласно закону

• Обработка персональных данных должна осуществляться на законной и справедливой основе.
• Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только персональные данные, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Требования к защите персональных данных
Постановлением Правительства РФ от 01.11.2012 № 1119 утверждены Требования к защите персональных данных при их обработке. Согласно Постановлению система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Выделяется три уровня угроз безопасности (в зависимости от особенностей информационной системы, с использованием которой осуществляется обработка персональных данных) и четыре уровня защищённости персональных данных.

Санкции
Лицам, нарушившим требования Закона, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и дисциплинарная. При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. рублей.

За нарушение Закона также предусмотрена уголовная (в зависимости от состава преступления — штраф до 300 тыс. рублей), гражданско-правовая (компенсация причинённых убытков и морального вреда пострадавшей стороне) и дисциплинарная ответственность (негативные последствия для работника оператора персональных данных — вплоть до увольнения).

Действие Закона на практике
За первые девять месяцев 2019 года Роскомнадзор выявил более 2,4 тыс. нарушений со стороны операторов персональных данных. По итогам проверок было составлено 4 тыс. административных протоколов, наложено штрафов на сумму 2,6 млн рублей. Кроме того, был ограничен доступ более, чем к 1000 интернет-страницам, где осуществлялось незаконное распространение персональных данных.

PCI DSS

Стандарт безопасности данных индустрии платежных карт (PCI DSS) разработан в целях повышения уровня безопасности данных о держателях карт и содействия широкому внедрению унифицированных мер защиты данных по всему миру. Стандарт PCI DSS содержит базовые технические и операционные требования, которые разработаны для защиты данных платежных карт.

На кого распространяется
Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт: торгово-сервисных предприятий, процессинговых центров, эквайеров, эмитентов и поставщиков услуг, а также всех прочих организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

С развитием услуг, предоставляемых провайдерами, увеличивались и зоны ответственности, которые клиенты могли передать на аутсорсинг в рамках стандарта PCI DSS. На данный момент это физическая безопасность используемого оборудования, администрирование и обеспечение безопасности сетевых устройств (межсетевые экраны, системы обнаружения и предотвращения вторжений (IPS/IDS), защита от DDOS и т.д.), безопасность виртуальной инфраструктуры и администрирование операционных систем, приложений и баз данных. В данном случае необходимо разграничить ответственность по выполнению требований PCI DSS между организацией и провайдером, документально зафиксировав это разграничение.

Требования PCI DSS
PCI DSS содержит 12 основных требований:
Построить и поддерживать защищенные сети и системы:

• Установить и поддерживать конфигурацию межсетевых экранов для защиты данных держателей карт.
• Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.

Защищать данные держателей карт:

• Защищать хранимые данные держателей карт.
• Шифровать данные держателей карт при передаче через сети общего пользования.

Поддерживать программу управления уязвимостями:

• Защищать все системы от вредоносного ПО и регулярно обновлять антивирусные ПО или программы.
• Разрабатывать и поддерживать безопасные системы и приложения.

Внедрять строгие меры контроля доступа:

• Ограничивать доступ к данным держателей карт в соответствии со служебной необходимостью.
• Идентифицировать и аутентифицировать доступ к системным компонентам.
• Ограничивать физический доступ к данным держателей карт.

Осуществлять регулярный мониторинг и тестирование сетей:

• Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным держателей карт.
• Регулярно тестировать системы и процессы безопасности.

Поддерживать политику информационной безопасности:

• Поддерживать политику информационной безопасности для всех работников.

PCI DSS содержит дополнительные требования для различных типов организаций: поставщиков услуг хостинга с общей средой, организаций, использующих SSL и (или) ранние версии TLS, организаций зоны повышенного риска.

Требования стандарта и соответствующие им проверочные процедуры скомбинированы в единый инструмент оценки безопасности. Данный документ предназначен для использования в процессе оценки соответствия требованиям PCI DSS как части процедуры подтверждения соответствия организации. Стандарт PCI DSS содержит минимальный набор требований для защиты данных платёжных карт, который может быть расширен дополнительными защитными мерами и методами для дальнейшего снижения рисков, а также местными, региональными и отраслевыми законами и нормативными актами. Кроме того, в соответствии с законодательством или нормативными требованиями может требоваться особая защита данных, идентифицирующих личность, или других элементов данных (например, имени держателя карты).

Санкции
Если компания не будет признана соответствующей требованиям PCI DSS, можно ожидать негативные последствия и различные санкции, например, штрафы, простои в работе и ущерб репутации.

Заключение

Использование Nemesida WAF на основе машинного обучения позволит минимизировать риск компрометации веб-ресурса, обеспечив комплексную защиту от хакерских атак.

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.

Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.

Рисунок 1. Определение необходимости соответствия стандарту PCI DSS

• Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
• Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?
  

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Требования стандарта PCI DSS
1. Защита вычислительной сети	7. Управление доступом к данным о держателях карт
2. Конфигурация компонентов информационной инфраструктуры	8. Механизмы аутентификации
3. Защита хранимых данных о держателях карт	9. Физическая защита информационной инфраструктуры
4. Защита передаваемых данных о держателях карт	10. Протоколирование событий и действий
5. Антивирусная защита информационной инфраструктуры	11. Контроль защищённости информационной инфраструктуры
6. Разработка и поддержка информационных систем	12. Управление информационной безопасностью

Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

Таблица 2. Способы подтверждения соответствия стандарту PCI DSS

Внешний аудит QSA (Qualified Security Assessor)	Внутренний аудит ISA (Internal Security Assessor)	Самооценка SAQ (Self Assessment Questionnaire)
Выполняется внешней аудиторской организацией QSA , сертифицированной Советом PCI SSС.	Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором .Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом.	Выполняется самостоятельно путём заполнения листа самооценки.
В результате проверки QSA -аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт.	В результате проверки ISA -аудиторы , как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт.	Сбор свидетельств выполнения требований стандарта не требуется.
По результатам проведённого аудита подготавливается отчёт о соответствии — ROC (Report on Compliance).	Самостоятельно заполняется лист самооценки SAQ .

Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — набор стандартов безопасности в индустрии платежных карт, принятый в 2004 году ассоциацией крупнейших платежных операторов, включая Visa, MasterCard и др. В 2006 году его действие распространили на страны Восточной Европы.

Стандарт обеспечивает безопасность финансовых транзакций, поэтому применим ко всем организациям, которые имеют отношение к обработке платежных карт:

• торговые предприятия любого размера;
• финансовые учреждения;
• разработчики ПО и аппаратного обеспечения для этой области;
• сервис-провайдеры.

То есть ко всем организациям, которые хранят, обрабатывают или передают данные платежных карт. В таблице указано, что конкретно считается «данными платежных карт».

Данные держателя карты	Хранение разрешено	Привести в нечитаемый вид
Основной номер держателя банковской карты (PAN)	Да	Да
Имя держателя карты	Да	Нет
Сервисный код	Да	Нет
Дата истечения срока действия карты	Да	Нет
Критические аутентификационные данные
Полные данные дорожки	Нет	Хранение запрещено
CAV2/CVC2/CVV2/CID	Нет	Хранение запрещено
ПИН/ПИН-блок	Нет	Хранение запрещено

Зачем нужен сертификат PCI DSS?

В первую очередь сертификация важна для самой компании, которая защищает свой бизнес и минимизирует ущерб от взлома. Она важна и для клиентов, которые могут рассчитывать на безопасность своих данных. Сертификат помогает строить долгосрочные отношения с клиентами, улучшает имидж.

Сертификация PCI DSS дает конкретные права, без которых электронная коммерция в интернете в крупном масштабе практически невозможна:

• Возможность принимать платежи через банковские карты.
• Возможность работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия.

Примечание. Чтобы избежать сертификации, некоторые компании прибегают к помощи платежных шлюзов, но это не избавляет от необходимости защищать информацию клиентов. Также важно, чтобы сервисные партнеры — операторы, провайдеры, хостеры — тоже соответствовали PCI DSS.

Сертификат PCI DSS компании Миран

Область применения стандарта PCI DSS

Стандарт применяется ко всем системным компонентам, которые так или иначе связаны со средой данных платежных карт. Эта среда включает в себя людей, процессы и технологии, которые хранят, обрабатывают или передают их. Вот примеры системных компонентов:

• Системы, обеспечивающие стандарты безопасность (например, серверы аутентификации), соответствующие сегментации (например, внутренние файрволы) или влияющие на безопасность.
• Компоненты виртуализации, такие как виртуальные машины, виртуальные коммутаторы и маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие столы и гипервизоры.
• Сетевые компоненты, в том числе файрволы, коммутаторы, маршрутизаторы, беспроводные точки доступа, устройства сетевой безопасности и иные устройства безопасности.
• Типы серверов, включая веб-серверы, серверы приложений, серверы баз данных, серверы аутентификации, почтовые серверы, прокси-серверы, серверы NTP (протокол сетевого времени) и серверы DNS.
• Приложения, включая все приобретенные или заказанные приложения, в том числе внутренние и внешние (например, веб-приложения).
• Любой иной компонент или устройство, расположенное в среде данных держателей карт или подключенное к ней.

На первом этапе оценки соответствия производится точная оценка области аудита. Минимум раз в год перед каждой проверкой оцениваемая организация должна проверять корректность этой области.

Чтобы уменьшить область применения стандарта PCI DSS, можно выполнить сегментацию и изолировать системы, которые хранят, обрабатывают или передают данные держателей карт.

Соответствие означает соблюдение технических и операционных стандартов. Стандарты соответствия PCI DSS разрабатываются и публикуются Советом по стандартам безопасности PCI.

В документе 168 страниц с подробным техническим описанием двенадцати групп требований.

12 требований стандарта PCI DSS

Создание и поддержка защищенной сети и систем

1. Установить и поддерживать конфигурацию межсетевых экранов для защиты данных держателей карт.
2. Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию.

Защита данных держателей карт

1. Защищать хранимые данные держателей карт.
2. Шифровать их при передаче в открытых общедоступных сетях.

Ведение программы по управлению зависимостями

1. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы.
2. Разрабатывать и поддерживать безопасные системы и приложения.

Внедрение строгих мер контроля доступа

1. Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью.
2. Определять и подтверждать доступ к системным компонентам.
3. Ограничить физический доступ к данным держателей карт.

Регулярный мониторинг и тестирование сети

1. Контролировать и отслеживать весь доступ к сетевым ресурсам и данным держателей карт.
2. Регулярно выполнять тестирование систем и процессов обеспечения стандартов

Поддержание политики информационной безопасности

1. Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации.

Регламент PCI DSS v3.2.1 содержит подробное техническое описание, какие именно меры должна принять организация для соответствия каждому из этих требований.

Уровни соответствия

По классификации Visa, торгово-сервисные предприятия подразделяются на четыре уровня соответствия PCI, в зависимости от количества операций с платежными картами.

Уровень 1

Более 6 млн операций по платежным картам в год. Такие компании раз в год должны проходить внутренний аудит с уполномоченным аудитором. Раз в квартал они должны проходить процедуру сканирования на уязвимости с уполномоченным вендором (Approved Scanning Vendor, ASV). Процедура сертификации включает обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту.

Уровень 2

От 1 млн до 6 млн транзакций. Ежегодное самостоятельное заполнение анкеты SAQ (Self-Assessment Questionnaire). Рекомендовано ежеквартальное сканирование. В уровнях 3 и 4 требования те же, кроме объема транзакций.

Уровень 3

От 20 тыс до 1 млн транзакций.

Уровень 4

Менее 20 тыс. операций в год.

Кроме того, определено два уровня поставщиков услуг, в зависимости по количеству данных, которые они обрабатывают, хранят или передают (более или менее 300 тыс. транзакций в год).

Лучшие практики

Чтобы гарантировать оптимальный уровень, стандарт PCI DSS рекомендуется внедрить в традиционные рабочие процессы в рамках общей стратегии безопасности предприятия. Пример лучших практик из официальной документации PCI DSS:

1. Мониторинг мер безопасности.
2. Своевременное обнаружение и реагирование на любые отказы с целью определения причин, решения проблем, принятия мер и возобновления мониторинга.
3. Оценка изменений среды до окончательного внесения изменений в нее, включая определение потенциального влияния на область действия и внедрение необходимых средств контроля.
4. Внесение изменений в организационную структуру предприятия должно приводить к официальному пересмотру области применения PCI DSS и применения требований.
5. Выполнение регулярной оценки и проведение опросов с целью подтверждения, что стандарт PCI DSS соблюдаются, а сотрудники следуют процессам обеспечения безопасности.
6. Выполнение проверки аппаратных и программных технологий не реже одного раза в год для подтверждения наличия их поддержки производителем и способности соблюдать требования организации по безопасности, включая PCI DSS.

Кроме этого, компаниям предлагается разделить обязанности сотрудников так, чтобы это функции и/или оценки были отделены от функций оперативного управления. Идея в том, чтобы никакой сотрудник не обладал полным контролем над процессом.

Модернизация требований

С момента своего создания PCI DSS пережил несколько итераций, чтобы соответствовать изменениям в современном ландшафте онлайновых угроз. Хотя основные правила соответствия остаются неизменными, периодически добавляются новые.

Одним из наиболее значительных дополнений стало требование 6.6, введенное в 2008 году. Это требование защиты данных от некоторых наиболее распространенных векторов атак на веб-приложения, включая SQL-инъекции, RFI (remote file inclusion) и другие методы. Его выполнение требует аудита кода или установки файрвола веб-приложений (WAF).

В 2010 году приняли вторую версию с ранжированием уязвимостей по уровню риска и новым требованием идентификации в процессе разработки приложений всех уязвимостей с «высоким» риском.

Ответственность за нарушение

От уровня компании зависит размер штрафов, которые накладывают на компанию платежные системы Visa и MasterCard в случае несоответствия правилам:

Штрафные санкции за нарушение требований по защите данных платежных систем

Платежная система	Нарушение	Участник	Торговое-сервисное предприятие	Поставщики услуг
1, 2 уровень	3 уровень
Visa	Первое	$50 000	—	—	—
Второе	$100 000	—	—	—
Третье и последующие	$200 000	—	—	—
MasterCard	Первое	$25 000	$25 000	$10 000	$25 000
Второе	$50 000	$50 000	$20 000	$50 000
Третье	$75 000	$100 000	$40 000	$100 000
Четвертое и последующие	$100 000	$200 000	$80 000	$200 000

Кроме того, многие требования PCI DSS совпадают с национальным законодательством. Таким образом, нарушение PCI DSS может быть нарушением европейского закона GDPR, в России — 152-ФЗ «О персональных данных» и пункта 6 статьи 13.12 КоАП РФ «Нарушение правил защиты информации».

Примечание. Международный стандарт PCI DSS во многом совпадает с Положением № 382-П Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Читайте также:

  
• Все компьютерные изображения разделяют на два типа
  
• Как очистить планшет самсунг sm t231
  
• Ошибка логина по секретному ключу проверьте файл javarushplugin properties
  
• Как установить автономную справку в autocad 2021
  
• Не работает двойное касание на тачпаде macbook