/ фото Håkan Dahlström CC
Недавно мы провели опрос среди пятидесяти значимых игроков на рынке электронных платежей в России и Казахстане. Крупнейшие платежные системы рассказали нам о том, какую выгоду несет сертификация по стандарту PCI DSS.
Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт (Payment Card Industry Security Standards Council). Он определяет требования к организациям, имеющим отношение к безопасности данных платежных карт.
Всего стандарт содержит 12 требований, которые подразделяются на шесть категорий:
Поддержка сетевой безопасности
- Защита вычислительной сети и настройка брандмауэров;
- Изменение стандартных настроек сетевого оборудования;
Защита данных
- Защита хранимых данных о держателях карт;
- Защита и шифрование передаваемых данных о держателях карт;
Управление уязвимостями
- Установка и регулярное обновление антивирусных программ;
- Разработка и поддержка информационных систем безопасности;
Контроль доступа
- Ограничение доступа к данным о держателях карт;
- Реализация механизмов аутентификации;
- Ограничение физического доступа к информационной инфраструктуре;
Мониторинг сетей
- Протоколирование событий и действий;
- Регулярная проверка систем информационной безопасности;
Управление информационной безопасностью
- Управление информационной безопасностью.
В общей сложности стандарт требует прохождения порядка 440 проверочных процедур.
Преимущества PCI DSS
Преимущества от сертификации PCI DSS можно условно разбить на две категории: имиджевые и технологические. С технологической точки зрения PCI DSS выступает гарантом сохранности данных клиентов и устойчивости сервиса по отношению ко внешним угрозам: вирусным и DDoS-атакам.
Более того, защита от попыток кражи карточных данных злоумышленниками позволяет избежать связанных с этим убытков и штрафов.
/ фото Anders.Bachmann CC
«Буквально за последние два года количество попыток злоумышленников взломать данные наших клиентов участились, и работа в полном соответствии с требованиями сертификата помогает снизить интенсивность головной боли, – отмечает Дмитрий Попов, коммерческий директор IntellectMoney. – Плюс пользователи, которые видят знак PCI DSS на нашей странице, показывают большую конверсию успешных платежей».
Имеется и имиджевая составляющая. Когда человек, далекий от кибернетической безопасности, видит значок PCI DSS, он воспринимает его как дополнительный уровень защиты (по аналогии с валидным SSL-сертификатом). Таким образом, сертификат становится еще одним аргументом, позволяющим убедить потенциальных клиентов компании «прыгнуть» в воронку конверсии.
Факт прохождения аудита на соответствие стандарту PCI DSS говорит клиентам компании о действительно высоком уровне защищенности карточных данных. Кроме того, PCI DSS структурирует знания и критерии, к которым нужно стремиться сотрудникам служб информационной безопасности.
Таким образом, соответствие данному стандарту – это не просто формальная процедура, а вопрос безопасности обработки и передачи данных о клиентах, использующих платежные средства. Внедрение PCI DSS позволяет приобщиться к лучшим мировым практикам, упорядочить бизнес-процессы и улучшить репутацию компании, а это нередко открывает дорогу на новые рынки.
Хостинг PCI DSS
Аудит на соответствие стандарту PCI DSS бывает первичный и регулярный ежегодный. Некоторые компании сталкиваются с определенными трудностями при первичной подготовке, потому привлекают сертифицированных консультантов, помогающих разработать документацию и создать архитектуру (подробнее о процессе сертификации можно прочитать в нашем блоге).
Участники рынка электронных платежных систем сходятся во мнении, что внедрение стандарта PCI DSS – трудоемкая задача, требующая временных и финансовых затрат, потому, для облегчения процесса сертификации, большинство компаний пользуются услугами поставщиков, берущих на себя задачи по выполнению части требований стандарта. Согласно проведенному нами опросу 77% участников рынка электронных платежей пользуются услугами сертифицированных поставщиков.
Это объясняется тем, что передача части ответственности за реализацию требований PCI DSS внешней компании значительно упрощает работу. Самой распространенной услугой в России на данный момент является физическое размещение или colocation, когда компания арендует стойки или отдельные юниты в сертифицированном дата-центре.
Но при всем при этом намечается тенденция к постепенному переходу от физического размещения к более высоким уровням передачи ответственности – к аренде серверной инфраструктуры (IaaS).
«Использование сертифицированных поставщиков, обладающих необходимой экспертизой и гарантированным ресурсом, существенно упрощает жизнь. Чем больше ресурсоемких задач можно отдать надежному партнеру, эксперту в своей области, тем лучше», – говорит Дмитрий Теленов, технический директор InPlat.
Более высоким уровнем аутсорсинга выступают так называемые управляемые сервисы, или услуги MSP (Managed Service Provider), когда поставщик предоставляет своим клиентам не только аренду оборудования или виртуальной инфраструктуры в модели IaaS, но и возможность администрирования в соответствии с требованиями стандарта PCI DSS.
«Использование услуг сертифицированного поставщика весьма существенно облегчает задачу прохождения аудита. Моя позиция такова: все, что можно отдать на аутсорсинг, нужно отдавать, – сказал Константин Ян, CTO CloudPayments. – В стандарте PCI DSS двенадцать разделов. В идеале, поставщик закрывает одиннадцать из них – все, кроме разработки программного обеспечения, на основании которого мы предоставляем услуги нашим клиентам».
Иными словами, такие технологии позволяют акцентировать внимание на собственном бизнесе, не отвлекаясь на административные работы, и снижают часть технических рисков.
Рыночные тренды
Сегодня 8 из 10 участников рассматриваемого нами рынка, пользующихся услугами внешнего сертифицированного поставщика, ограничиваются передачей на аутсорсинг требований к физической безопасности, то есть пользуются услугой размещения серверов в дата-центрах с PCI DSS. Однако colocation начинают «подпирать» такие перспективные услуги, как PCI DSS IaaS (32 %) и управляемые сервисы MSP (21 %).
«Дата-центр, в котором размещается наше оборудование, прошел сертификацию. Это закрывает вопрос физической защиты информационной инфраструктуры на уровне ЦОД, – говорит Иван Сергеев, технический директор ЗАО «МОБИ.Деньги». – Сегодня физическое размещение и виртуальная серверная инфраструктура – это наиболее перспективные уровни аутсорсинга выполнения требований стандарта PCI DSS».
Если ранее на территории Российской Федерации не наблюдалось ни одного PCI DSS сертифицированного хостинг-провайдера, то сегодня картина изменилась. Еще в прошлом году несколько наиболее крупных облачных провайдеров сертифицировали свои платформы по стандарту PCI DSS, что дало им возможность брать на себя ответственность за выполнение требований PCI DSS на уровне виртуальной инфраструктуры (IaaS). Сертификацию прошла и компания «ИТ-ГРАД».
«На подготовку к сертификационному аудиту нашего облака мы потратили больше года, и в 2015 году успешно сертифицировали по PCI DSS свои услуги PCI DSS Compliant Hosting на всех востребованных рынком уровнях передачи ответственности: физическое размещение, IaaS и управляемые сервисы.
Наши клиенты – банки, платежные системы, шлюзы – получают все преимущества от сертификации PCI DSS с минимальными усилиями: при аудите большая часть требований закрывается посредством предоставления нашего PCI DSS сертификата сервис-провайдера», – рассказывает Александр Стародубцев, заместитель генерального директора группы компаний «ИТ-ГРАД».
Используя сертифицированное по стандарту PCI DSS облако в модели IaaS, организации значительно повышают уровень защищенности среды обработки карточных данных и снижают риски финансовых потерь от различных инцидентов в сфере информационной безопасности, одновременно получая возможность сконцентрироваться на развитии своего бизнеса.
Другие материалы из нашего блога: