PCI DSS 2019 – новый стандарт, новая сертификация?

Новости рынка
Екатерина Юдина
14.02.2020
Количество просмотров
4759

PCI DSS 2019 – новый стандарт, новая сертификация?

Если ваша компания обрабатывает, хранит или передает данные платежных карт, значит она попадает под требования стандарта PCI DSS и должна пройти сертификацию. Но этот процесс можно значительно упростить, если часть ответственности за ежегодный аудит и аттестацию возьмет на себя облачный провайдер, который предоставил услугу «PCI DSS в облаке».

Начиная с 15 декабря 2004 года стандарт PCI DSS претерпел множество изменений. С выходом каждой новой версии он становился более требовательным к безопасности. Последний полноценный релиз состоялся в ноябре 2013 года, стандарт PCI DSS версии 3.0 сделал первый шаг в сторону эволюции мобильных и облачных систем. А версия 3.2 частично изменила терминологию, например, ввела понятие многофакторной аутентификации, вместо двухфакторной, предъявила новые требования к поставщикам услуг – документирование криптографической архитектуры, своевременно обнаружение сбоев в системах контроля, обязательны пентесты сегментированной сети, а также ускорила переход на безопасные протоколы SSL 3.0 и TLS 1.2. А вот последняя на текущий момент версия 3.2.1 напротив, лишь добавила несколько косметических штрихов в даты и понятия.

Казалось бы, новые версии выходят не так часто, чтобы переживать за регулярность обновлений, вот только выполнять аудит и проводить сертификацию надо ежегодно, а не по мере выхода новых релизов стандарта.

Как безопасно и в соответствии с требованиями регуляторов работать с платежными картами, но не тратить силы на выполнение всех 12 разделов стандарта PCI DSS? Воспользоваться услугой PCI DSS хостинга.

PCI DSS в облаке

Облачный провайдер разрабатывает матрицу ответственности, в которой четко определены зоны ответственности за выполнение требований стандарта PCI DSS. Клиенту не надо отвлекаться на вопросы соответствия инфраструктуры разделам стандарта и его требованиям, достаточно обеспечить безопасность работы платёжного приложения. За аудит и сертификацию облачной инфраструктуры и дата-центра отвечает облачный провайдер, в случае проверки достаточно сослаться на то, что рабочие ресурсы находятся в облаке PCI DSS. Именно облачный провайдер обеспечивает меры физической и информационной безопасности, протоколирует все события, использует межсетевые экраны для защиты веб-приложений, применяет многофакторную аутентификацию, защищает от вирусов и других вредоносных программ, а главное – проходит регулярный аудит и обновляет сертификаты по соответствию всех выше причисленных мероприятий.

Такой аудит состоит из трех этапов. На теоретическом проверяется актуальность и соответствие требованиям внутренних регламентов, политик безопасности и квалификации персонала. Далее, проверяется надежность ИТ-инфраструктуры –производится симуляция проникновение в сеть компании с целью похищения данных платежных карт. На последнем этапе аудиторы согласовывают используемые компанией оборудование, программное обеспечение, топологию сети и другие технические параметры инфраструктуры.

Подготовка к проверке и сам процесс получения сертификата занимает много времени и сил. Опытные специалисты по информационной безопасности и ИТ-архитекторы облачного провайдера самостоятельно разрабатывают услугу предоставления PCI DSS в облаке, так, чтобы их клиенты могли сосредоточиться на развитии своего бизнеса и пользоваться готовыми решениям при работе с платежными картами.

В зону ответственности провайдера входит: защита сетевой инфраструктуры, физическая защита и безопасность, управление доступом к хранящимся данным о платежных картах, многофакторная аутентификация, шифрование, управление системными компонентами, и, что очень важно, политика и регламенты информационной безопасности (ИБ).

ИБ безопасность – это специальные правила и процедуры компании

Почему так важны именно регламенты и внутренние нормативы обеспечения безопасности? В вашей компании может не быть сложной ИТ-инфраструктуры, а работу с картами можно осуществлять вручную, с использованием минимума средств вычислительной техники. PCI DSS касается не только и не столько оборудования, сколько систем и процедур компании, а также ее бизнес-процессов, отвечающих за ИБ. Облачный провайдер в данном случае выступает не только поставщиком защищенных услуг, но еще консультантом и интегратором по правильной работа с платежными картами. Зарплата собственного специалиста, отвечающего за PCI DSS может измеряться сотнями тысяч рублей, не каждая компания или стартап могут себе позволить такие расходы. И разместить свою инфраструктуру в облаке провайдера получается дешевле не только с финансовой стороны, но и с точки зрения затрат на повышение квалификации в данном направлении.

PCI DSS от «ИТ-ГРАД»

В конце 2019 года облачный провайдер «ИТ-ГРАД» (входит в Группу МТС) подтвердил соответствие требованиям стандарта PCI DSS версии 3.2.1,обновив сертификат PCI DSS. Аудит был выполнен организацией Compliance Control Ltd, обладающей статусом Qualified Security Assessor (QSA). В ходе сертификации был доказан высочайший уровень компетенции специалистов облачного провайдера, а также отличное выполнение всех надлежащих требований.

Сертификат PCI DSS ИТ-ГРАД

Заказчики услуги PCI DSS в облаке «ИТ-ГРАД» могут быть уверены в том, что данные карт их клиентов надежно защищены, а с появлением новых версий стандарта – все необходимые требования будут выполнены в кратчайший срок.

Так нужна ли с выходом новой версии стандарта новая спецификация? Для облачного провайдера да, для клиента – нет. В современном мире, чтобы лидировать на рынке, важно грамотно распределять ресурсы, вынося вторичные функции на аутсорсинг. Сегодня переносить в облако можно не только ИТ-инфраструктуру. Облачные технологии закрывают и вопросы безопасности, в частности связанные с соблюдением требований PCI DSS.  Такой подход позволяет упростить процедуру аудита и сертификации, существенно облегчая жизнь клиенту.

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Процессы
«ИТ-ГРАД»: служба поддержки облачного провайдера
02.02.2015
Количество просмотров
6108

«ИТ-ГРАД»: служба поддержки облачного провайдера

Значимость службы технической поддержки трудно переоценить, особенно если речь идет о поддержке облачного IaaS-провайдера. Это, пожалуй, одно из критичных звеньев облачного бизнеса, где любой промах может отрицательно сказаться на деятельности клиентов и, как следствие, на репутации самой компании.
Тенденции
Тенденции российского рынка IaaS: интервью с Дмитрием Гачко, руководителем облачного провайдера «ИТ-ГРАД»
18.11.2015
Количество просмотров
3562

Тенденции российского рынка IaaS: интервью с Дмитрием Гачко, руководителем облачного провайдера «ИТ-ГРАД»

О тенденциях рынка IaaS, подходах к использованию технологий, особенностях взаимодействия с вендорами и многом другом рассказал Дмитрий Гачко, генеральный директор компании «ИТ-ГРАД».
Истории успеха
Yota Devices: как облака в моделях IaaS и SaaS помогают разработчику YotaPhone
17.06.2016
Количество просмотров
2792

Yota Devices: как облака в моделях IaaS и SaaS помогают разработчику YotaPhone

Yota Devices — разработчик YotaPhone, первого в мире смартфона с двумя сенсорными экранами, один из которых всегда включен. Yota Devices — молодая быстрорастущая российская компания, которая за три года сумела не только с нуля разработать, запатентовать и довести до серийного производства принципиально новый тип смартфона, но и организовать его продажу более чем в 20 странах.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.