Pci dss что это такое

Обновлено: 03.07.2024

Если вы хотите, чтобы ваши клиенты могли расплачиваться банковской картой, вам не обойтись без сертификации PCI DSS. Она нужна для подтверждения того, что вы проводите операции с платежами с учетом самых строгих требований безопасности.

Вы можете не получать сертификацию, но тогда вам придется пользоваться «костылями» наподобие встраивания iframe платежной страницы банка-эквайера на сайте или редиректа на его сайт. А это — ухудшение пользовательского опыта, то есть потенциально упущенные клиенты и прибыль. Вывод: сертификация все-таки пригодится.

После консультаций со своим эквайером и QSA-компаниями легко подумать, что такая сертификация — процесс сложный, долгий и дорогой. Но на самом деле это не всегда так.

Сертифицируй себя сам

По правилам платежных систем Visa и MasterCard, если вы сервис-провайдер и обрабатываете, храните или передаете данные менее чем о 300 000 транзакциях в год, для успешной сертификации можно обойтись заполнением специального листа самооценки (SAQ), то есть без QSA-аудита. Если же вы — мерчант, то планка — от 1 млн транзакций в год.

Аудит проводит Qualified Security Assessor — компания, которой Совет PCI SSC предоставил право проведения оценки на соответствие стандарту. В ходе проверки тестируется соответствие бизнес-процессов, процессов по безопасности, средств защиты информации и ИТ-инфраструктуры вашей компании требованиям безопасности.

Вот основные отличия аудита от самооценки (обратите внимание на стоимость):

Пример из жизни

Недавно к нам обратился клиент, который считал, что ему нужно пройти полноценный QSA-аудит. Компания обрабатывает данные банковских карт в мобильном приложении, для этого люди перенаправлялись на платежную страницу банка-эквайера. Чтобы повысить качество пользовательского опыта клиент хотел сделать в мобильном приложении собственную платежную форму. Но для этого надо было предоставить банку-эквайеру сертификат. На вопрос клиента «В каком формате нужна сертификация?» специалисты банка просто отправили ссылку на сайт стандартов PCI DSS.

Когда клиент обратился к нам, сразу выяснилось, что он может подтвердить соответствие требованиям PCI DSS, заполнив лист самооценки (SAQ). Наши специалисты провели аудит бизнес-процессов и инфраструктуры компании, разработали план того, как привести всё это в соответствие требованиям PCI DSS, а также разработали необходимые нормативные документы. Кроме того, они проконтролировали выполнение всех требований.

Затем клиент с нашей помощью заполнил лист самооценки и отправил его банку-эквайеру. После некоторых раздумий (похоже, банк-эквайер редко сталкивался с SAQ) лист самооценки был принят в качестве подтверждения соответствия требованиям PCI DSS. Клиент смог встроить в мобильное приложение собственную платежную форму.

А можно без сертификации?

Сертификат PCI DSS — свидетельство того, что вы серьезно относитесь к работе и данным банковских карт клиентов, строго соблюдая международные стандарты безопасности. Конечно, теоретически вы можете работать без нее, но за это предусмотрен крупный штраф. Кроме того, вам придется работать с не очень ответственными банками или платежными шлюзами, игнорирующими требования безопасности, что делает вас более уязвимым перед мошенниками. В случае обнаружения в транзакциях фрода, случившегося по вашей вине, компенсировать последствия вам придется самостоятельно.

И напоследок напомним о стоимости аудита и самооценки. Средние цены на оба варианта сертификации на российском рынке такие:

• заполнение листа самооценки с пентестом и ASV-сканированием уязвимостей сети — от 450 тысяч рублей;
• QSA-аудит — от 1 миллиона рублей.

Таким образом, на самооценке вы сэкономите, как минимум, вдвое.

Первый шаг в деле сертификации PCI DSS вы можете сделать прямо сейчас, посчитав количество ваших транзакций в год. Скорее всего, логотип «PCI DSS Certified» на вашем сайте намного ближе, чем кажется.

В этой статье мы подробно расскажем о том, что представляет собой PCI DSS и какие преимущества даст прохождение сертификации нашим клиентам и партнёрам.

PCI DSS: общие сведения

Аббревиатура PCI DSS означает Payment Card Data Security Standard — стандарт безопасности данных индустрии платёжных карт. Стандарт PCI DSS представляет собой документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения карт. Первая версия стандарта появилась в январе 2005 года. На сегодняшний день актуальной является третья версия стандарта (полный текст см. на английском языке см. здесь , на русском языке — здесь ) Она содержит 241 требование, распределенные по 12 разделам:

1. Защита вычислительной сети.
2. Конфигурация компонентов информационной инфраструктуры.
3. Защита хранимых данных о держателях карт.
4. Защита передаваемых по сети данных о держателях карт.
5. Антивирусная защита информационной инфраструктуры.
6. Разработка и поддержка информационных систем.
7. Управление доступом к данным о держателях карт.
8. Механизмы аутентификации.
9. Физическая защита информационной инфраструктуры.
10. Протоколирование событий и действий.
11. Контроль защищённости информационной инфраструктуры.
12. Управление информационной безопасностью.

Вопросами внедрения и применения стандарта PCI DSS занимается специальная организация — PCI SSC (Payment Card Industry Security Standards Council, Совет по стандартам безопасности индустрии платежных карт). Совет был создан в 2006 году коллективным решением пятью крупными платёжными системами — Visa, MasterCard, American Express, JCB и Discover.

Советом PCI SSC разработаны также следующие документы:

• стандарт PCI PA DSS (Payment Card Industry Payment Application Data Security Standard, стандарт безопасности данных в приложениях индустрии платёжных карт) —определяет требования к приложениям, обрабатывающим персональные данные владельцев карт, а также к процессу их разработки;
• руководства PCI PTS (Payment Card Industry PIN Transaction Security) — содержат требования к устройствам, обрабатывающим PIN-коды платёжных карт (POS-терминалам, шифрующим PIN-клавиатурам, аппаратным модулям безопасности).

Стандарт PCI DSS предназначен для организаций, в информационной инфраструктуре которых обрабатываются или передаются данные платёжных карт. Его область применения включает также организации, в бизнес-процессах которых задействованы персональные данные владельцев карт. К таким организациям относятся и дата-центры, в которых может быть размещено оборудование платёжных систем, предприятий электронной коммерции и т.п.

Внедрение PCI DSS: основные этапы

Согласно официальным документами, процесс внедрения PCI DSS подразделяется на следующие этапы:

• анализ исходного уровня соотвестствия;
• приведение к требуемому уровню соответствия;
• подтверждение соответствия;
• поддержка соответствия.

Рассмотрим процесс внедрения PCI DSS более подробно. Для оценки соответствия выполняется аудит. Его проводит сторонняя организация, имеющая специальную сертификацию от PCI SSC. Мы в качестве аудитора привлекатели немецкую компанию SRC Security Research and Consulting GmbH.
Процедура аудита включает интервью с сотрудниками организации-заказчика, изучение информационных систем, а также изучение и анализ внутренней нормативной документации. Результатом этого этапа является определение сферы применимости требований PCI DSS в информационной инфраструктуре заказчика.
После того, как определена сфера применимости и собрана вся необходимая информация, разрабатываются рекомендации по внедрению PCI DSS.
На основе этих рекомендаций вносятся конкретные изменения в информационную инфраструктуру: модернизируется оборудование, дорабатывается программное обеспечение, внедряются системы защиты информации, разрабатывается необходимая документация.

На следующем этапе проводится специализированный аудит. В случае успешного прохождения аудита составляется Отчёт о соответствии (англ. Report on Compliance). Организация-заказчик заполняет также лист самооценки (Self-Assessment Questionnaire, SAQ). Форма этого документа зависит от специфики обработки карточных данных в организации.

Получением необходимых документов процесс сертификации не заканчивается. Соответствие необходимо регулярно подтверждать. Поставщикам услуг (к ним относятся и дата-центры) необходимо ежегодно заполнять лист самооценки, а также раз в квартал проводить так называемое ASV-сканирование — автоматизированную проверку всех точек подключения информационной структуры к Интернету на наличие уязвимостей.

PCI DSS: что сделано у нас

Наши дата-центры сертифицированы на уровне обеспечения физической безопасности. Таким образом, в рамках сертификата PCI DSS нами выполняются требования разделов 9, 11 (частично) и 12. Рассмотрим эти требования более подробно.

Раздел 9: физическая защита информационной инфраструктуры

Охрана наших дата-центров осуществляются в режиме 24/7/365. Все дата-центры оснащены системами защиты от несанкционированного доступа как в периметр здания, так и в серверные помещения. На входе имеется пост вооружённой охраны. Для исключительных случаев предусмотрена и кнопка тревожной сигнализации.

Стандарт PCI DSS предполагает также строгий контроль доступа в помещения. Как для сотрудников, так и для сторонних посетителей проход на территорию дата-центра возможен только с использованием магнитных карт. Доступ сотрудников в дата-центр осуществляется по магнитным картам, выдаваемых под контролем службы безопасности. Представители сторонних организаций могут посетить дата-центр по предварительной договорённости с предъявлением удостоверения личности.
По особым регламентам организован доступ в дата-центры клиентов (тех, кто размещает у нас своё оборудование) и подрядчиков (представителей обслуживающих организаций, проводящих работы на нашей территории). Вопросам идентификации посетителей мы также уделяем большое внимание: так, у нас уже используются пропуски-бэджи для постоянных сотрудников, клиентов и гостей.
Данные обо всех посетителях записываются в журнал и хранятся в течение не менее чем полгода.

На территории всех дата-центров ведётся круглосуточное видеонаблюдение. Видеокамеры установлены во всех серверных, технических и офисных помещениях. Анализ видеозаписей со всех камер осуществляют сотрудники, прошедшие обучение по информационной безопасности.
Согласно нашим внутренним регламентам, данные с видеокамер хранятся в течение 6 месяцев.

Раздел 11: контроль защищённости информационной инфраструктуры

Обработка электронных платёжных транзакций, а также персональных данных держателей карт должны осуществляться на базе защищённой информационной инфраструктуры.
Требования одиннадцатого раздела мы выполняем лишь частично, но реализованных у нас мер вполне достаточно, чтобы обеспечить надёжную защиту персональных данных держателей карт и миниммизировать их уязвимость во время передачи по сети.

Мы проводим регулярное сканирование сети на предмет наличия неавторизованных точек доступа. Процедуру сканирования мы осуществляем полностью самостоятельно, без привлечения специалистов со стороны.

Раздел 12: управление информационной безопасностью

Политикой информационной безопасности (далее для удобства мы будем использовать аббревиатуру ИБ) называется совокупность правил, процедур, методов и принципов в области ИБ, используемых организацией в своей деятельности.
В нашей компании разработан и внедрён весь необходимый набор документации по обеспечению ИБ, который поддерживается в актуальном состоянии.

Заключение

Получение нами сертификата cоответствия стандарту PCI DSS в очередной раз подтверждает, что мы стремимся поддерживать высокий уровень безопасности для клиентов.
Арендуя или размещая оборудование в сертифицированном дата-центре, пользователи наших услуг получат не только гарантии безопасности, но и дополнительные репутационные преимущества, заключающиеся в повышении доверия со стороны клиентов, партнёров и контрагентов.

Обеспечение полного соответствия требованиям PCI DSS — работа очень долгая и сложная, и нам предстоит ещё много сделать в этом направлении. О наиболее значимых результатах мы обязательно расскажем в нашем блоге.

Примерно каждые 39 секунд в мире совершается одна хакерская атака. Жертвами злоумышленников становятся не только крупные корпорации — более 40% кибератак направлены на малый бизнес. Чтобы усложнить работу мошенникам и хакерам, ИТ-индустрия разрабатывает специальные стандарты. Следование этим стандартам помогает компаниям защитить их инфраструктуру, сети и персональные данные пользователей. Например, данные клиентов Robokassa находятся в безопасности, потому что наш сервис соответствует требованиям стандарта PCI DSS.

Стандарту PCI DSS должны следовать все организации, которые хранят или передают данные хотя бы одной банковской карты. Он описывает меры для защиты таких данных и необходимые требования к ИТ-инфраструктуре компании.

Первую редакцию стандарта приняли Visa, MasterCard и несколько других американских платежных систем в 2004 году. На российский рынок PCI DSS пришел в 2006-м, после того, как его действие расширили на страны Центральной и Восточной Европы. Перевод документации на русский появился позднее — с выходом PCI DSS v2.0.

Стандарт не закреплен на законодательном уровне ни в одном государстве. Контроль осуществляют Visa и MasterCard — они отвечают за санкции и штрафы. Однако отдельные требования PCI DSS можно встретить в различных правовых документах. Так, американском штате Миннесота с 2007 года действует Plastic Card Security Act, запрещающий бизнесу хранение PIN-кодов карт клиентов. Если говорить о России, то стандарт во многом соответствует положению ЦБ РФ 382-П от 2012 года. Оно касается защиты информации при переводе денежных средств.

Требования стандарта

PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:

Защищать корпоративные сети. Настроить файрволы и заменить все пароли, установленные производителем сетевого оборудования.

Защищать данные карт. Внедрить шифрование и осуществлять передачу данных карт по сети с помощью протокола TLS 1.1 (или выше).

Своевременно закрывать уязвимости. Устанавливать обновления для используемых программ и корпоративных антивирусов.

Контролировать доступ к хранилищу. Ограничить круг сотрудников, имеющих доступ к месту физического хранения данных.

Установить политики информационной безопасности. Проверить соответствие им и продумать алгоритм действий при взломе.

Мониторить инфраструктуру. Плюс проводить регулярное тестирование всех систем, отвечающих за информационную безопасность.

Ответственность за нарушение

Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.

Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе»).

Процесс сертификации

Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:

Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.

Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.

Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.

Альтернативный подход

Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.

Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.

Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.

Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.

Требования PCI DSS

Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.

Конкретно это выражено в шести официальных пунктах:

• Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
• Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
• В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
• Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
• Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
• Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.

Как получить сертификат PCI DSS

Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:

• сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
• мерчантам, если количество транзакций не превышает миллиона в год.

А вот как все пройдет, если нужно обратиться к аудиторам:

1. Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
2. После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
3. Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.

Можно ли не выполнять требования PCI DSS

Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.

Можно ли получить сертификат PCI DSS проще и быстрее

• специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
• определят, насколько они применимы к вашим внутренним процессам;
• подскажут, что делать, если трудно выполнить какие-то из требований;
• посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
• на каждом этапе вы будете получать подробную и профессиональную консультацию.

Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.

Читайте также:

  
• Можно ли чистить компьютер зубной щеткой
  
• Как подключить гопро к компьютеру для трансляции
  
• Primary dns suffix что это
  
• Не удается создать временный файл журнала сбоев ets 2
  
• Куда сдать старый ноутбук челябинск