PCI DSS 2019 – новый стандарт, новая сертификация?

Новости рынка
Екатерина Юдина
14.02.2020
Количество просмотров
4762

PCI DSS 2019 – новый стандарт, новая сертификация?

Если ваша компания обрабатывает, хранит или передает данные платежных карт, значит она попадает под требования стандарта PCI DSS и должна пройти сертификацию. Но этот процесс можно значительно упростить, если часть ответственности за ежегодный аудит и аттестацию возьмет на себя облачный провайдер, который предоставил услугу «PCI DSS в облаке».

Начиная с 15 декабря 2004 года стандарт PCI DSS претерпел множество изменений. С выходом каждой новой версии он становился более требовательным к безопасности. Последний полноценный релиз состоялся в ноябре 2013 года, стандарт PCI DSS версии 3.0 сделал первый шаг в сторону эволюции мобильных и облачных систем. А версия 3.2 частично изменила терминологию, например, ввела понятие многофакторной аутентификации, вместо двухфакторной, предъявила новые требования к поставщикам услуг – документирование криптографической архитектуры, своевременно обнаружение сбоев в системах контроля, обязательны пентесты сегментированной сети, а также ускорила переход на безопасные протоколы SSL 3.0 и TLS 1.2. А вот последняя на текущий момент версия 3.2.1 напротив, лишь добавила несколько косметических штрихов в даты и понятия.

Казалось бы, новые версии выходят не так часто, чтобы переживать за регулярность обновлений, вот только выполнять аудит и проводить сертификацию надо ежегодно, а не по мере выхода новых релизов стандарта.

Как безопасно и в соответствии с требованиями регуляторов работать с платежными картами, но не тратить силы на выполнение всех 12 разделов стандарта PCI DSS? Воспользоваться услугой PCI DSS хостинга.

PCI DSS в облаке

Облачный провайдер разрабатывает матрицу ответственности, в которой четко определены зоны ответственности за выполнение требований стандарта PCI DSS. Клиенту не надо отвлекаться на вопросы соответствия инфраструктуры разделам стандарта и его требованиям, достаточно обеспечить безопасность работы платёжного приложения. За аудит и сертификацию облачной инфраструктуры и дата-центра отвечает облачный провайдер, в случае проверки достаточно сослаться на то, что рабочие ресурсы находятся в облаке PCI DSS. Именно облачный провайдер обеспечивает меры физической и информационной безопасности, протоколирует все события, использует межсетевые экраны для защиты веб-приложений, применяет многофакторную аутентификацию, защищает от вирусов и других вредоносных программ, а главное – проходит регулярный аудит и обновляет сертификаты по соответствию всех выше причисленных мероприятий.

Такой аудит состоит из трех этапов. На теоретическом проверяется актуальность и соответствие требованиям внутренних регламентов, политик безопасности и квалификации персонала. Далее, проверяется надежность ИТ-инфраструктуры –производится симуляция проникновение в сеть компании с целью похищения данных платежных карт. На последнем этапе аудиторы согласовывают используемые компанией оборудование, программное обеспечение, топологию сети и другие технические параметры инфраструктуры.

Подготовка к проверке и сам процесс получения сертификата занимает много времени и сил. Опытные специалисты по информационной безопасности и ИТ-архитекторы облачного провайдера самостоятельно разрабатывают услугу предоставления PCI DSS в облаке, так, чтобы их клиенты могли сосредоточиться на развитии своего бизнеса и пользоваться готовыми решениям при работе с платежными картами.

В зону ответственности провайдера входит: защита сетевой инфраструктуры, физическая защита и безопасность, управление доступом к хранящимся данным о платежных картах, многофакторная аутентификация, шифрование, управление системными компонентами, и, что очень важно, политика и регламенты информационной безопасности (ИБ).

ИБ безопасность – это специальные правила и процедуры компании

Почему так важны именно регламенты и внутренние нормативы обеспечения безопасности? В вашей компании может не быть сложной ИТ-инфраструктуры, а работу с картами можно осуществлять вручную, с использованием минимума средств вычислительной техники. PCI DSS касается не только и не столько оборудования, сколько систем и процедур компании, а также ее бизнес-процессов, отвечающих за ИБ. Облачный провайдер в данном случае выступает не только поставщиком защищенных услуг, но еще консультантом и интегратором по правильной работа с платежными картами. Зарплата собственного специалиста, отвечающего за PCI DSS может измеряться сотнями тысяч рублей, не каждая компания или стартап могут себе позволить такие расходы. И разместить свою инфраструктуру в облаке провайдера получается дешевле не только с финансовой стороны, но и с точки зрения затрат на повышение квалификации в данном направлении.

PCI DSS от «ИТ-ГРАД»

В конце 2019 года облачный провайдер «ИТ-ГРАД» (входит в Группу МТС) подтвердил соответствие требованиям стандарта PCI DSS версии 3.2.1,обновив сертификат PCI DSS. Аудит был выполнен организацией Compliance Control Ltd, обладающей статусом Qualified Security Assessor (QSA). В ходе сертификации был доказан высочайший уровень компетенции специалистов облачного провайдера, а также отличное выполнение всех надлежащих требований.

Сертификат PCI DSS ИТ-ГРАД

Заказчики услуги PCI DSS в облаке «ИТ-ГРАД» могут быть уверены в том, что данные карт их клиентов надежно защищены, а с появлением новых версий стандарта – все необходимые требования будут выполнены в кратчайший срок.

Так нужна ли с выходом новой версии стандарта новая спецификация? Для облачного провайдера да, для клиента – нет. В современном мире, чтобы лидировать на рынке, важно грамотно распределять ресурсы, вынося вторичные функции на аутсорсинг. Сегодня переносить в облако можно не только ИТ-инфраструктуру. Облачные технологии закрывают и вопросы безопасности, в частности связанные с соблюдением требований PCI DSS.  Такой подход позволяет упростить процедуру аудита и сертификации, существенно облегчая жизнь клиенту.

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Технологии
Конфигурация кластера хранилища VMware Virtual SAN 6.1 для удаленного офиса
10.11.2015
Количество просмотров
4492

Конфигурация кластера хранилища VMware Virtual SAN 6.1 для удаленного офиса

Наши читатели наверняка слышали о прошедшей недавно конференции VMworld 2015, где было сделано много интереснейших анонсов. Следуя традиции освещать заявленные новинки, остановимся подробнее на решении для создания кластеров хранилищ VMware Virtual SAN 6.1. Заявленные возможности продукта позволяют решать множество задач, включая организацию географически растянутых кластерных хранилищ между дата-центрами, а также развертывание двух узловых кластерных хранилищ, управление которыми осуществляется с помощью единой консоли VMware vCenter Server.
Истории успеха
Кейс, электронная торговая площадка RailCommerce разместилась в IaaS-облаке «ИТ-ГРАД»
18.10.2017
Количество просмотров
2724

Кейс, электронная торговая площадка RailCommerce разместилась в IaaS-облаке «ИТ-ГРАД»

Еще с конца прошлого века информационные технологии начали определять не только форму, но и суть ведения многих бизнес-проектов. А за последние десять лет существенно преобразилась даже такая консервативная отрасль, как железнодорожные грузоперевозки.
Истории успеха
Azoft: как IaaS-облака помогают в проектах по сервисной разработке
09.11.2017
Количество просмотров
3124

Azoft: как IaaS-облака помогают в проектах по сервисной разработке

Azoft — сервисная компания с 15-летней историей в разработке серверных, мобильных и веб-приложений для бизнеса. Начав в 2002 году с создания программных решений для крупных клиентов из игровой индустрии и телекома, сегодня компания оказывает не только услуги разработки на заказ, но и занимается перспективными исследованиями в области IT.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.