Сертификат pci dss что это

Обновлено: 05.07.2024

Друзья, мы расширяем ассортимент предоставляемых услуг и в ближайшее время добавим на наш сайт возможность заказывать сервисы по сканированию сайтов на наличие вредоносного кода (ASV-сканирование), которые требует сертификация PCI DSS.

В связи с этим мы начинаем новую рубрику публикаций, связанных со стандартами и требованиями безопасности данных. И в первую очередь мы хотим поговорить о сертификации PCI DSS.
Использование оплаты кредитными и дебетовыми картами предусматривает возможную передачу, хранение и обработку данных платежных карт, что повышает риски киберпреступности. В связи с этим MasterCard, Visa, American Express и другие платежные системы выдвигают определенные требования по безопасности к торговым предприятиям и поставщикам услуг, которые работают с данными платежных карт. Эти требования описаны в стандарте PCI DSS. Давайте разберемся, что такое сертификация PCI DSS и какие основные положения нужно знать.

Что такое PCI DSS?

PCI DSS – это сокращение от Payment Card Industry Data Security Standard, что означает – стандарт безопасности данных индустрии платёжных карт.

Стандарт PCI DSS был разработан советом PCI SSC (Payment Card Industry Security Standards Council, что в переводе означает Совет по стандартам безопасности индустрии платежных карт). Члены-основатели совета PCI SSC - международные платёжные системы Visa, MasterCard, American Express, JCB International и Discover Financial Services – согласились принять общий стандарт безопасности в качестве части технических требований для каждой из их программ соответствия безопасности данных.

Кроме того каждый член-основатель признает квалифицированных советом PCI SSC аудиторов систем безопасности (Qualified Security Assessors, QSA) и утверждённых поставщиков услуг сканирования (Approved Scanning Vendors, ASV). К последним относится наш партнер Comodo (Sectigo), чей лицензированный сервис сканирования HackerGuardian PCI Scanning Service в ближайшее время будет доступен для заказа на нашем сайте.

Кому нужна сертификация PCI DSS?

Торгово-сервисные компании любого размера;
Финансовые учреждения;
Поставщики кассовых терминалов;
Производители технических средств ЭВМ и программного обеспечения, словом, все кто создает и использует международную инфраструктуру для обработки платежей.

Таким образом, требования стандартов PCI DSS применяются ко всем организациям, независимо от их размера или количества проводимых транзакций, которые принимают, передают, обрабатывают или хранят любую информацию держателей кредитных карт, или же если бизнес-процессы в этих организациях могут влиять на безопасность платежных карт.

Требования стандарта PCI DSS

Сертификация PCI DSS подразумевает соответствие стандарту, который состоит из 12 разделов исчерпывающих требований к обеспечению безопасности информации о владельцах платёжных карт, с которыми работают торгово-сервисные предприятия и поставщики услуг. Соответствие требованиям PCI стандарта подразумевает комплексное принятие мер по обеспечению безопасности на каждом из шагов работы с платежными картами, от передачи данных до ее хранения в базах данных компании.

В этой статье мы подробно расскажем о том, что представляет собой PCI DSS и какие преимущества даст прохождение сертификации нашим клиентам и партнёрам.

PCI DSS: общие сведения

Аббревиатура PCI DSS означает Payment Card Data Security Standard — стандарт безопасности данных индустрии платёжных карт. Стандарт PCI DSS представляет собой документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения карт. Первая версия стандарта появилась в январе 2005 года. На сегодняшний день актуальной является третья версия стандарта (полный текст см. на английском языке см. здесь , на русском языке — здесь ) Она содержит 241 требование, распределенные по 12 разделам:

Защита вычислительной сети.
Конфигурация компонентов информационной инфраструктуры.
Защита хранимых данных о держателях карт.
Защита передаваемых по сети данных о держателях карт.
Антивирусная защита информационной инфраструктуры.
Разработка и поддержка информационных систем.
Управление доступом к данным о держателях карт.
Механизмы аутентификации.
Физическая защита информационной инфраструктуры.
Протоколирование событий и действий.
Контроль защищённости информационной инфраструктуры.
Управление информационной безопасностью.

Вопросами внедрения и применения стандарта PCI DSS занимается специальная организация — PCI SSC (Payment Card Industry Security Standards Council, Совет по стандартам безопасности индустрии платежных карт). Совет был создан в 2006 году коллективным решением пятью крупными платёжными системами — Visa, MasterCard, American Express, JCB и Discover.

Советом PCI SSC разработаны также следующие документы:

стандарт PCI PA DSS (Payment Card Industry Payment Application Data Security Standard, стандарт безопасности данных в приложениях индустрии платёжных карт) —определяет требования к приложениям, обрабатывающим персональные данные владельцев карт, а также к процессу их разработки;
руководства PCI PTS (Payment Card Industry PIN Transaction Security) — содержат требования к устройствам, обрабатывающим PIN-коды платёжных карт (POS-терминалам, шифрующим PIN-клавиатурам, аппаратным модулям безопасности).

Стандарт PCI DSS предназначен для организаций, в информационной инфраструктуре которых обрабатываются или передаются данные платёжных карт. Его область применения включает также организации, в бизнес-процессах которых задействованы персональные данные владельцев карт. К таким организациям относятся и дата-центры, в которых может быть размещено оборудование платёжных систем, предприятий электронной коммерции и т.п.

Внедрение PCI DSS: основные этапы

Согласно официальным документами, процесс внедрения PCI DSS подразделяется на следующие этапы:

анализ исходного уровня соотвестствия;
приведение к требуемому уровню соответствия;
подтверждение соответствия;
поддержка соответствия.

Рассмотрим процесс внедрения PCI DSS более подробно. Для оценки соответствия выполняется аудит. Его проводит сторонняя организация, имеющая специальную сертификацию от PCI SSC. Мы в качестве аудитора привлекатели немецкую компанию SRC Security Research and Consulting GmbH.
Процедура аудита включает интервью с сотрудниками организации-заказчика, изучение информационных систем, а также изучение и анализ внутренней нормативной документации. Результатом этого этапа является определение сферы применимости требований PCI DSS в информационной инфраструктуре заказчика.
После того, как определена сфера применимости и собрана вся необходимая информация, разрабатываются рекомендации по внедрению PCI DSS.
На основе этих рекомендаций вносятся конкретные изменения в информационную инфраструктуру: модернизируется оборудование, дорабатывается программное обеспечение, внедряются системы защиты информации, разрабатывается необходимая документация.

На следующем этапе проводится специализированный аудит. В случае успешного прохождения аудита составляется Отчёт о соответствии (англ. Report on Compliance). Организация-заказчик заполняет также лист самооценки (Self-Assessment Questionnaire, SAQ). Форма этого документа зависит от специфики обработки карточных данных в организации.

Получением необходимых документов процесс сертификации не заканчивается. Соответствие необходимо регулярно подтверждать. Поставщикам услуг (к ним относятся и дата-центры) необходимо ежегодно заполнять лист самооценки, а также раз в квартал проводить так называемое ASV-сканирование — автоматизированную проверку всех точек подключения информационной структуры к Интернету на наличие уязвимостей.

PCI DSS: что сделано у нас

Наши дата-центры сертифицированы на уровне обеспечения физической безопасности. Таким образом, в рамках сертификата PCI DSS нами выполняются требования разделов 9, 11 (частично) и 12. Рассмотрим эти требования более подробно.

Раздел 9: физическая защита информационной инфраструктуры

Охрана наших дата-центров осуществляются в режиме 24/7/365. Все дата-центры оснащены системами защиты от несанкционированного доступа как в периметр здания, так и в серверные помещения. На входе имеется пост вооружённой охраны. Для исключительных случаев предусмотрена и кнопка тревожной сигнализации.

Стандарт PCI DSS предполагает также строгий контроль доступа в помещения. Как для сотрудников, так и для сторонних посетителей проход на территорию дата-центра возможен только с использованием магнитных карт. Доступ сотрудников в дата-центр осуществляется по магнитным картам, выдаваемых под контролем службы безопасности. Представители сторонних организаций могут посетить дата-центр по предварительной договорённости с предъявлением удостоверения личности.
По особым регламентам организован доступ в дата-центры клиентов (тех, кто размещает у нас своё оборудование) и подрядчиков (представителей обслуживающих организаций, проводящих работы на нашей территории). Вопросам идентификации посетителей мы также уделяем большое внимание: так, у нас уже используются пропуски-бэджи для постоянных сотрудников, клиентов и гостей.
Данные обо всех посетителях записываются в журнал и хранятся в течение не менее чем полгода.

На территории всех дата-центров ведётся круглосуточное видеонаблюдение. Видеокамеры установлены во всех серверных, технических и офисных помещениях. Анализ видеозаписей со всех камер осуществляют сотрудники, прошедшие обучение по информационной безопасности.
Согласно нашим внутренним регламентам, данные с видеокамер хранятся в течение 6 месяцев.

Раздел 11: контроль защищённости информационной инфраструктуры

Обработка электронных платёжных транзакций, а также персональных данных держателей карт должны осуществляться на базе защищённой информационной инфраструктуры.
Требования одиннадцатого раздела мы выполняем лишь частично, но реализованных у нас мер вполне достаточно, чтобы обеспечить надёжную защиту персональных данных держателей карт и миниммизировать их уязвимость во время передачи по сети.

Мы проводим регулярное сканирование сети на предмет наличия неавторизованных точек доступа. Процедуру сканирования мы осуществляем полностью самостоятельно, без привлечения специалистов со стороны.

Раздел 12: управление информационной безопасностью

Политикой информационной безопасности (далее для удобства мы будем использовать аббревиатуру ИБ) называется совокупность правил, процедур, методов и принципов в области ИБ, используемых организацией в своей деятельности.
В нашей компании разработан и внедрён весь необходимый набор документации по обеспечению ИБ, который поддерживается в актуальном состоянии.

Заключение

Получение нами сертификата cоответствия стандарту PCI DSS в очередной раз подтверждает, что мы стремимся поддерживать высокий уровень безопасности для клиентов.
Арендуя или размещая оборудование в сертифицированном дата-центре, пользователи наших услуг получат не только гарантии безопасности, но и дополнительные репутационные преимущества, заключающиеся в повышении доверия со стороны клиентов, партнёров и контрагентов.

Обеспечение полного соответствия требованиям PCI DSS — работа очень долгая и сложная, и нам предстоит ещё много сделать в этом направлении. О наиболее значимых результатах мы обязательно расскажем в нашем блоге.

Соответствие ЦОД DataSpace требованиям гарантирует надежность и высокий уровень физической безопасности дата-центра.

Успешное прохождение ежегодной сертификации, начиная с 2015 года

Сертификация PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт разработан советом по стандартам безопасности индустрии платежных карт (PCI SSC) и учреждён международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
Требования PCI DSS обязательны для соблюдения любыми компаниями, работающими с крупнейшими платежными системами. Наличие сертификата PCI DSS гарантирует защиту от кражи клиентской информации и других мошеннических действий при транзакциях.
Аудит инфраструктуры ЦОД DataSpace, проводившийся в рамках сертификации PCI DSS 3.2.1, подтвердил наличие всех необходимых мер, средств и процессов, отвечающих в полной мере требованиям стандарта.

Александр Крупчик, директор по развитию бизнеса и руководитель направления PCI DSS ДиалогНауки

«DataSpace успешно проходит аудит уже в седьмой раз, и на протяжении этого времени мы видим улучшения и актуализацию процедур с учетом изменяющейся обстановки, в том числе с учетом необходимости перехода на дистанционный режим работы, которая возникла в 2020 году. Проверка соответствия международным требованиям стандарта PCI DSS показала, что DataSpace полностью отвечает строгим требованиям к информационной безопасности платежных систем».

«Проверка соответствия международным требованиям стандарта PCI DSS показала, что DataSpace полностью отвечает строгим требованиям к информационной безопасности платежных систем».

«Avito — одна из крупнейших IT-компаний, наша деятельность предполагает хранение и обработку и большого объема данных. Мы стремимся предоставлять своим клиентам непрерывный сервис высокого уровня, для чего необходима качественная ИТ-инфраструктура. Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное — безопасности. Успешное прохождение сертификации на соответствие стандарту безопасности данных в очередной раз подчеркивает высокую квалификацию центра и подтверждает наш правильный выбор DataSpace как надежного партнера».

«Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное — безопасности. Успешное прохождение сертификации подчеркивает высокую квалификацию дата-центра, и подтверждает наш правильный выбор DataSpace, как надежного партнера».

«Прохождение DataSpace сертификации по стандарту PCI DSS v3.2 для нас, как поставщика облачных услуг, является гарантией надежности и наглядным доказательством высоких стандартов работы, которых придерживается DataSpace. Получив данный сертификат, компания DataSpace берет на себя ответственность по выполнению требований физической безопасности ЦОД и выступает надежным партнером, что позволяет нам оказывать полный спектр PCI DSS-услуг собственным клиентам».

Арсен Кондахчан, руководитель ИТ департамента БПЦ Процессинг

«Для нас, как для процессингового центра, данная сертификация очень важна, так как упрощает нашу собственную сертификацию, а также подтверждает, что DataSpace является серьезным и ответственным партнером, который думает о нуждах клиентов».

Кирилл Павельев, вице-президент по технологиям DataSpace

«Наличие у DataSpace сертификата PCI DSS существенно облегчит жизнь нашим клиентам из области платежных систем и финансовой сферы, поскольку им не придется беспокоиться о ежегодном прохождении проверки физической безопасности, мы берем это на себя в рамках услуги колокейшн».

Стандарт PCI DSS подтверждает, что компания отвечает отраслевым требованиям обработки платежей. Требования в 2005 году разработал Совет по стандартам безопасности данных индустрии платежных карт, учрежденный мировыми платежными компаниями — Visa, MasterCard, American Express и другими. Сертификация стала обязательной с 2012 года для организаций, работающих с банковскими картами. Этим документом компания дает понять участникам рынка, что безопасность данных клиентов для нее — на первом месте.

Требования PCI DSS

Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.

Конкретно это выражено в шести официальных пунктах:

Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.

Как получить сертификат PCI DSS

Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:

сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
мерчантам, если количество транзакций не превышает миллиона в год.

А вот как все пройдет, если нужно обратиться к аудиторам:

Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.

Можно ли не выполнять требования PCI DSS

Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности. Если транзакции станут жертвами фрода, компенсировать убытки клиентов будете именно вы. Кроме того, невыполнение требований PCI DSS в какой-то момент может обойтись в серьезный штраф.

Можно ли получить сертификат PCI DSS проще и быстрее

специалисты дадут профессиональную консультацию — как привести инфраструктуру и бизнес-процессы компании к стандартам PCI DSS;
определят, насколько они применимы к вашим внутренним процессам;
подскажут, что делать, если трудно выполнить какие-то из требований;
посоветуют, какие технические решения стоит внедрить, с учетом бюджета и необходимости;
на каждом этапе вы будете получать подробную и профессиональную консультацию.

Разумеется, все будет организовано так, чтобы не отвлекать ваших сотрудников от работы. Кроме того, мы сами много раз проходили такой аудит и досконально знаем этот процесс изнутри. И наши специалисты готовы облегчить этот процесс для вас.

Читайте также: