Что нужно знать о PCI DSS: обзор стандарта

Безопасность
Павел Игнатьев
18.03.2019
Количество просмотров
8048
Стандарт PCI DSS — это набор требований для защиты данных пользователей платежных карт. Его представили 15 лет назад Visa, MasterCard и ряд других финансовых организаций. Сегодня этому стандарту обязаны следовать все компании, которые обрабатывают данные держателей пластиковых карт. Далее расскажем, что требует стандарт и как проводится аудит.

Набор из шести требований

Основу стандарта составляет набор из шести требований. В той или иной степени, они являются общепризнанными best practices в мире информационной безопасности. Согласно PCI DSS, компания должна:

  • Защитить сетевую инфраструктуру. Весь входящий и исходящий трафик фильтруется файрволами. При этом часть сети, ответственная за обработку клиентских данных, должна быть сегментирована — то есть разделена на несколько независимых друг от друга кластеров. Это позволяет ограничить потенциальный ущерб, если хакерам все же удастся «проникнуть» в сеть.

При этом все виртуальные машины обязаны выполнять только одну функцию. Такой подход гарантирует, что взлом сервера не позволит злоумышленникам получить контроль над несколькими ступенями процесса обработки данных.

Пароли, используемые для доступа к компонентам инфраструктуры, должны отличаться от фабричных и не входить в список наиболее распространенных паролей. Иначе возникает риск взлома с помощью простого перебора по словарю. К примеру, одной из причин утечки в кредитном бюро Equifax в 2017 году как раз стал слабый пароль. Jанизация использовала логин и пароль admin для доступа к базе данных.

  • Использовать шифрование. Дли шифрования данных нужно использовать сильную криптографию (с ключами длиной не менее 128 бит). Последняя версия документа PCI DSS от 1 января 2019 года, обязует компании использовать TLS 1.2. Эта мера была введена из-за уязвимости в предшественнике протокола — SSL 3.0, которая дает злоумышленнику возможность извлечь из зашифрованного канала связи закрытую информацию.

При этом в документе PCI DSS указан список провайдеров криптографических решений, чьи продукты рекомендуется использовать для успешного прохождения сертификации. В него входят 886 поставщиков платежного программного обеспечения и более 200 разработчиков различных шифровальных систем.

  • Установить антивирусное ПО. Сам процесс обновления уязвимого программного обеспечения должен быть регламентирован, чтобы превентивно закрывать все потенциальные уязвимости.
  • Настроить политики доступа к данным. Одно из требований — использовать многофакторную аутентификацию для подключения к критическим инфраструктурным компонентам и персональным данным. При этом нужно ограничить доступ к местам физического хранения клиентских данных. Эти политики корректируются каждый раз, когда в компании происходят кадровые перестановки.
  • Организовать мониторинг инфраструктуры. Важно логировать все операции, проводимые над данными, чтобы быстро обнаруживать взломы. Сами системы безопасности стоит регулярно тестировать, чтобы оперативно выявлять слабые места в ИТ-инфраструктуре.
  • Сформулировать корпоративную политику по ИБ. Важно прописать общие принципы обеспечения безопасности ИТ-инфраструктуры, алгоритм предоставления доступа к ПД пользователей и шаги, которые будут предприняты в случае возникновения угрозы этим данным. Документы должны корректироваться каждый год в соответствии с вносимыми в ИТ-структуру изменениями.

Процесс аудита

Компании, обрабатывающие менее 20 тысяч платежей в год, могут провести аудит самостоятельно. Остальным организациям обязательно прибегать к помощи сертифицированных аудиторов.

Начинается аудит с теоретической части. Здесь проверяется актуальность внутренних политик безопасности и компетентность персонала. Компания предоставляет разработанные инструкции, регламенты и другие нормативно-распорядительные документы по ИБ.

Затем оценивается надежность ИТ-инфраструктуры. Для этого аудиторы проводят испытание на проникновение — симулированную атаку на сети компании. Таким образом проверяется работа решений, направленных на защиту данных владельцев карт, и выявляются потенциальные «дыры» в безопасности.

Если все успешно, то останется согласовать технические характеристики инфраструктуры с аудиторами. Специалисты оценивают программное обеспечение, параметры железа, топологию сети, конфигурацию операционных систем и др. Отметим, что если во время аудита обнаруживаются небольшие нарушение требований PCI DSS, их можно устранить «на месте».

Как упростить сертификацию

Сертификация PCI DSS отнимает много сил и времени. У нас этот процесс занял более года. Команде специалистов «ИТ-ГРАД» пришлось пересобрать большой сегмент нашей хостинг-инфраструктуры. Мы создали изолированную сеть на основе ESX, vSphere и vCenter, доступ к которой предоставляется через VPN с двухфакторной аутентификацией. В этой сети мы  системы мониторинга, ведения логов и контроля целостности данных, а также антивирусное ПО.

Для прохождения аудита порой приходится полностью переосмыслить ИТ-инфраструктуру. И чем больше компания, тем длительнее этот процесс. Получается, что бизнесам, которые нуждаются в PCI DSS инфраструктуре больше других — банкам и крупным ритейлерам — тяжелее всего самостоятельно организовать соответствие этим стандартам.

Упростить процесс сертификации способны IaaS-провайдеры. Например, мы в «ИТ-ГРАД» предоставляем услугу PCI DSS хостинга. Она дает компаниям возможность переложить часть ответственности за выполнение требований стандарта на плечи облачного провайдера. К примеру, специалисты «ИТ-ГРАД» отвечают за защиту сети и контроль физического доступа к оборудованию. Наши дата-центры в Москве и Санкт-Петербурге соответствуют самым высоким требованиям безопасности. Дополнительно мы помогаем настроить серверную среду и организовать необходимый для сертификации мониторинг.

Таким образом, пользуясь услугой PCI DSS хостинга, клиент экономит свои средства и сокращает время на сертификацию. Такой подход дает возможность сосредоточиться на профильном развитии бизнеса.

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Решения
Корпоративное облако — облачные хранилища для бизнеса
04.08.2023
Количество просмотров
10434

Корпоративное облако — облачные хранилища для бизнеса

Все больше компаний переходят на использование корпоративного облака для хранения и обработки своих данных. Корпоративное облако - это современная технология, которая позволяет организациям создавать виртуальные рабочие среды, доступные с любого устройства и из любой точки мира. Определение понятия "корпоративное облако" включает в себя использование облачных технологий для хранения, обработки и управления данными компании. В отличие от традиционных локальных серверов, облачное хранилище предоставляет гибкость и масштабируемость, что позволяет компаниям эффективно управлять своими ресурсами и сократить затраты на обслуживание и обновление оборудования.
Решения
SAP HANA в облаке VMware. Расчет необходимых ресурсов.
13.01.2015
Количество просмотров
6303

SAP HANA в облаке VMware. Расчет необходимых ресурсов.

Сегодня поговорим о том, как в условиях динамично развивающего бизнеса у подавляющего большинства компаний, работающих с огромным объемом данных, растут потребности в их оперативной и динамической обработке и какое инновационное решение, а говорить мы будем про принципиально «облачный» подход, поможет Вам реализовать анализ данных «на лету».
Тенденции
Эксперты «ИТ-ГРАД» для HWP: Как работают системы бесперебойного энергоснабжения в ЦОДах
06.09.2019
Количество просмотров
3639

Эксперты «ИТ-ГРАД» для HWP: Как работают системы бесперебойного энергоснабжения в ЦОДах

Вопрос обеспечения бесперебойной подачи питания в ЦОД стоит не менее остро, чем вопросы пожаротушения или физической безопасности оборудования.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.