Обзор PCI DSS и руководство по соответствию

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это всемирно признанный стандарт безопасности, один из самых популярных стандартов, с которым сталкивалось или работало большинство специалистов по безопасности и который влияет на предприятия, обрабатывающие платежи по картам. Хотя PCI сам по себе не является законом, последствия утечки данных могут привести к проблемам из-за других нормативных актов (например, GDPR), если этот стандарт не соблюдается. Так что соблюдать его все же полезно. Стандарт содержит требования, которым должны соответствовать предприятия, чтобы поддерживать безопасную среду при приеме, обработке, хранении или передаче информации о кредитных картах.

Давайте рассмотрим требования для соответствия этому стандарту и некоторые рекомендации о том, как ваш бизнес может достичь соответствия.

Почему PCI DSS важен

Киберпреступники используют любые бреши в безопасности. Слабые места безопасности в результате обработки карточных платежей или неадекватно защищенной среды, в которой обрабатываются или хранятся данные карт, не являются исключением — данные держателей карт являются очень важной целью. Данные владельца карты определяются как полный основной номер счета (PAN) и любой из следующих компонентов: имя владельца карты, срок действия, сервисный код. Все конфиденциальные данные аутентификации, такие как полные данные магнитной полосы, должны быть защищены.

Киберпреступники нацелены на слабые звенья в платежной цепочке, чтобы похитить конфиденциальные личные данные (имена, адреса и номера телефонов), включая данные карты (номера счетов и коды безопасности).

Таким образом, независимо от того, руководствуется ли она соответствием PCI или безопасностью данных, в интересах любого бизнеса, обрабатывающего данные держателей карт, обеспечить наличие необходимых средств контроля для безопасной обработки этой личной информации. Существует не только реальный риск кибератаки, но и компрометация данных из-за случайной или преднамеренной ошибки сотрудников, особенно там, где управление доступом неэффективно.

Все эти инциденты могут привести к утечке данных и серьезным последствиям для несоблюдения других обязательных обязательств по соблюдению данных, когда личные данные должны быть защищены. Таким образом, цена несоблюдения намного выше, чем стоимость обеспечения соответствия стандарту PCI DSS.

Внедрение PCI DSS также помогает соблюдать другие правила безопасности и конфиденциальности данных, такие как Общий регламент ЕС по защите данных (GDPR) и Закон Грэмма-Лича-Блайли США (GLBA), который направлен на финансовые учреждения в отношении защиты и безопасный обмен конфиденциальными данными клиентов. Как правило, PCI DSS обеспечивает хорошую основу безопасности благодаря передовым методам обеспечения безопасности.

Несоблюдение стандарта PCI DSS может привести к негативным последствиям для многих предприятий, если данные держателей карт будут взломаны. А именно:

• Потеря доверия клиентов и ущерб деловому бренду и репутации.
• Денежные потери.
• Многочисленные последствия утечки данных.
• Штрафы и прекращение будущих полномочий по обработке карточных операций.

Следовательно, крайне важно серьезно относиться к безопасности данных платежных карт, и необходима постоянная комплексная проверка для обеспечения поддержки безопасной инфраструктуры для обработки этих данных, особенно при внесении изменений в системы и процессы. Оценки рисков и оценки пробелов полезны, особенно в это время, чтобы гарантировать, что безопасность остается адекватной.

Что такое PCI DSS

PCI DSS был инициирован, чтобы предоставить компаниям основу для обеспечения безопасности процесса оплаты картой и снижения возможностей для мошенничества, связанного с картами.

Это глобальный стандарт для обеспечения контроля над обработкой карт, включая хранение и передачу данных держателей карт, чтобы обеспечить постоянную защиту конфиденциальных данных держателей карт. Поскольку это глобальный стандарт, он направлен на обеспечение согласованности во многих странах с базовыми средствами контроля безопасности.

Каждый раз, когда совершается транзакция, когда вы принимаете кредитную или дебетовую карту в качестве оплаты, онлайн, по телефону или лично, применяется соответствие PCI. Если вы решите не сохранять данные карты, соответствие по-прежнему применяется, хотя риск снижается, а соответствия легче добиться. Использование стороннего процессора для карточных транзакций может снизить риск раскрытия информации, но не исключает вас из-под контроля.

Стандарт администрируется и управляется самими ведущими брендами карт через Совет по стандартам безопасности индустрии платежных карт (SSC). Таким образом, это не закон, а скорее способ для брендов карт, включая Visa, Mastercard, American Express, Discover и JCB, управлять обработкой карт, чтобы каждый раз, когда бизнес обрабатывает данные карты, он выполнялся безопасно. Требуя от компаний применять меры контроля, изложенные в стандарте, бренды карт могут обеспечивать соблюдение требований всякий раз, когда происходит обработка платежей по картам. Бренды карт могут налагать штрафы за несоблюдение требований.

Вместе SSC и PCI DSS призваны помочь организациям понять риски для платежных систем и способы защиты платежных систем, например, путем внедрения эффективных технологий и политик безопасности для безопасных платежных систем и решений.

Дорожная карта соответствия: шесть целей и 12 требований

Чтобы следовать стандарту, бизнес должен обеспечить наличие технических и организационных средств контроля для выполнения 12 требований, которые, в свою очередь, достигают шести целей. Выполняя 12 требований (важно для защиты данных карты), бизнес может достичь шести целей. Они указаны PCI SCC следующим образом:

6 голов

1. Создайте и поддерживайте безопасную сеть.
2. Защитите данные держателя карты.
3. Поддерживать программу управления уязвимостями.
4. Внедрите строгие меры контроля доступа.
5. Регулярно контролируйте и тестируйте сети.
6. Поддерживать политику информационной безопасности.

12 основных требований для достижения этих целей

1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.

3. Защитите сохраненные данные о держателях карт.
4. Шифруйте передачу данных держателей карт через открытые общедоступные сети.

5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы.
6. Разрабатывать и поддерживать безопасные системы и приложения.

7. Ограничьте доступ к данным о держателях карт по служебной необходимости.
8. Назначьте уникальный идентификатор каждому человеку, имеющему доступ к компьютеру.
9. Ограничить физический доступ к данным держателей карт.

10. Отслеживайте и контролируйте весь доступ к сетевым ресурсам и данным держателей карт.
11. Регулярно тестируйте системы и процессы безопасности.

12. Поддерживайте политику, касающуюся информационной безопасности для сотрудников и подрядчиков.

Все это основные элементы управления безопасностью данных, и в любом случае это хорошая практика. Скорее всего, если вы обрабатываете конфиденциальные данные и даже если вы специально не рассматривали стандарт PCI DSS, вы уже используете многие необходимые средства контроля.

Тем не менее, эти методы следует соблюдать, если ваша компания обрабатывает личную и конфиденциальную информацию, чтобы обеспечить безопасность и конфиденциальность данных клиентов и клиентов. Игнорирование этих вопросов является просто небрежностью со стороны организации.

Измерение соответствия бизнеса стандарту

Это тогда, когда оценки и аудиты вступают в игру. Предприятия должны продемонстрировать соответствие стандарту, и это можно сделать несколькими способами, включая самооценку (проводимую внутри компании), внешнюю оценку третьей стороной и аудит, проводимый сертифицированным органом.

Требуемые оценки и уровни безопасности могут различаться и определяются уровнем продавца предприятия (любой, кто принимает платежную карту в качестве формы платежа, является продавцом). Квалифицированный оценщик безопасности (PCI QSA) часто используется в зависимости от требований бизнеса.

Часто бывает полезно начать с оценки пробелов, поскольку это может помочь упростить будущие оценки и аудиты PCI DSS.

Уровень продавца определяется с учетом годового объема транзакций по платежным картам, которые проводит бизнес, и средств, используемых для их совершения. Кроме того, каждая марка карты имеет разные требования, поэтому в зависимости от используемой марки могут потребоваться разные оценки. Поэтому важно уточнить это у эмитентов вашей карты, чтобы определить, что требуется. Обычно, если один эмитент карты считает вас определенным уровнем, остальные будут считать вас таким же, но у каждого эмитента могут быть небольшие различия в требованиях, поэтому лучше проверить.

Уровни продавца существуют для установления риска и безопасности, необходимых для наилучшего покрытия риска. Как правило, уровни варьируются от 1 до 4. Где уровень 1, самый высокий, предназначен для бизнеса, который обрабатывает более 6 миллионов транзакций в год, а уровень 4, самый низкий, предназначен для тех, кто совершает менее 20 тысяч транзакций в год.

В конечном счете, банк несет ответственность за обеспечение соответствия стандарту PCI DSS при обработке данных карты, поэтому он потребует от продавца продемонстрировать свое соответствие стандарту.

Самооценка может привести к тому, что пробелы будут упущены из виду, в то время как внешний аудит, хотя и более дорогостоящий, часто бывает более строгим и тщательным, если проводится профессионалом в этой области, поэтому обычно имеет более высокий статус и более успешные результаты.

Поддержание соответствия

Важно обеспечить постоянное соответствие. Основная часть поддержания соответствия заключается в обеспечении соответствия всей цепочки. Любые пробелы могут привести к нарушению. Важно убедиться, что весь жизненный цикл транзакции соответствует требованиям PCI — ваш бизнес, любой сторонний процессор, с которым вы имеете дело, а также вовлеченные банки.

Внедрите эффективные процедуры защиты данных в своем бизнесе и отслеживайте, проверяйте и тестируйте, чтобы практики применялись безопасно и соблюдались должным образом.

Классифицируйте и защищайте конфиденциальные данные, используя сквозное шифрование и надежные методы аутентификации. Правильно управляйте доступом к данным и контролируйте его — контроль доступа имеет важное значение и всегда следует модели с наименьшими привилегиями. Отслеживайте активность и поведение пользователей, это помогает выявить все, что выходит за рамки нормы, и с этим можно быстро справиться. Информируйте пользователей о рисках кибербезопасности, их ролях и обязанностях, чтобы обеспечить защиту данных и соответствие требованиям.

Защита, мониторинг, обнаружение, оценка, тестирование, аудит, создание отчетов и исправление — все это важные элементы управления для обеспечения соответствия требованиям.

Стандарт требует, чтобы все продавцы регулярно проверяли наличие уязвимостей. Сканирование уязвимостей проверяет системы, службы и устройства на наличие уязвимостей безопасности, которые потенциально могут быть использованы киберпреступниками. В зависимости от уровня продавца может потребоваться ежеквартальное сканирование уязвимостей для обеспечения соответствия стандарту PCI DSS.

Новая версия выйдет в конце 2020 г.

Текущая версия PCI DSS — 3.2.1; версия 4.0 должна быть выпущена в конце следующего года. Ожидается, что 12 основных требований останутся прежними, но стандарт будет развиваться для решения конкретных областей, таких как достижения в области технологий и методы снижения рисков, а также изменения в ландшафте угроз.

Новая версия находится в стадии разработки, но она направлена на то, чтобы стандарт развивался вместе с отраслью, чтобы он продолжал удовлетворять ее растущие потребности. Он направлен на обеспечение большей гибкости, предлагая дополнительные подходы к обеспечению безопасности. Это будет способствовать постоянной безопасности и улучшению процессов проверки.

Все заинтересованные стороны PCI DSS во всем мире высказывают свое мнение, и версия 4.0 будет включать их вклад, чтобы обеспечить надлежащее решение всех проблемных областей для достижения более совершенной версии стандарта.