Сертификация PCI DSS: Что это и с чем её едят



    Последнее время Visa и MasterCard начали требовать от торговых предприятий и поставщиков услуг, работающих с карточными данными, соответствия стандарту PCI DSS. В этой связи вопрос требований этого стандарта становится важным не только для крупных игроков на рынке, но и для небольших торгово-сервисных предприятий.

    Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council) и регламентирует определенный перечень требований к обеспечению безопасности данных платежных карт (ДПК), которые затрагивают как техническую, так и организационную сторону организаций.

    В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Начиная с середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям, определяемым PCI DSS, и компании на территории Российской Федерации не являются исключением.

    Чтобы понять, необходимо ли вашей компании соблюдать требования стандарта PCI DSS, следует ответить на два главных вопроса: хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации? И могут ли бизнес-процессы вашей организации повлиять на безопасность этих платежных карт? Если ответ на оба вопроса отрицательный, то сертифицироваться по PCI DSS нет нужды.



    Очевидно, что для соответствия стандарту необходимо выполнение определенных требований, вот некоторые из них: защита вычислительной сети, управление доступом к данным о держателях карт, конфигурация компонентов информационной инфраструктуры, механизмы аутентификации, физическая защита информационной инфраструктуры, защита передаваемых данных о держателях карт и так далее. В общем, стандарт требует прохождения порядка 440 проверочных процедур.

    Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или проведении организацией самооценки (SAQ).

    Внешний аудит QSA выполняется внешней аудиторской организацией, сертифицированной Советом PCI SSС. В ходе проверки аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их на период длительностью в три года.

    Внутренний аудит ISA выполняется внутренним, прошедшим обучение и сертифицированным по программе Совета PCI SSC, аудитором. Что касается самооценки SAQ, то она выполняется самостоятельно путём заполнения листа самооценки. В этом случае сбор свидетельств выполнения требований стандарта не требуется.

    Чтобы ответить на вопрос, в какой ситуации необходимо проводить внешний аудит, а в какой – внутренний, и стоит ли это вообще делать, нужно взглянуть на тип организации и оценить количество обрабатываемых транзакций в год. Существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия и поставщики услуг.

    Торгово-сервисное предприятие является организацией, принимающей для оплаты товаров и услуг платежные карты (магазины, рестораны, интернет-магазины и другие).

    Поставщик услуг же, в свою очередь, является организацией, оказывающей услуги в индустрии платежных карт, связанные с обработкой транзакций (это дата-центры, хостинг-провайдеры, международные платежные системы и другие).

    В зависимости от количества обрабатываемых в год транзакций, торгово-сервисные предприятия и поставщики услуг могут быть отнесены к различным уровням. Например, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции.

    По классификации Visa и MasterCard организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS нужно проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодной самооценки SAQ.



    Что касается поставщиков услуг, то количество сервисов, предлагаемых облачными провайдерами, растет ежегодно. Потому для организаций, использующих облачную инфраструктуру, становится актуальным вопрос PCI DSS-хостинга.

    PCI DSS-хостинг – это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт.

    Выбрав такую услугу, организация автоматически закрывает значительную часть требований стандарта PCI DSS – это означает, что провайдер берет на себя выполнение части требований, например, физическую защиту размещаемых северов и администрирование операционных систем.

    Как известно, аутсорсинг решает множество задач, облегчая и упрощая жизнь организациям. Если раньше многие компании разворачивали информационную инфраструктуру в собственном серверном помещении и выполняли все требования соответствия стандартам самостоятельно, то сейчас многие отдают эти задачи на откуп сертифицированным поставщикам услуг, тем самым повышая уровень защищенности среды обработки карточных данных и снижая риски финансовых потерь от возможных инцидентов информационной безопасности.

    Любая организация, использующая собственный карточный процессинг, рано или поздно сталкивается с необходимостью сертификации по стандарту PCI DSS. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне.

    P.S. Другие интересные материалы из нашего блога на Хабре:

    • +7
    • 19.8k
    • 9
    ИТ-ГРАД
    157.59
    vmware iaas provider
    Share post

    Comments 9

      0
      Вопрос по необходимости сертификации.
      дано:
      интернет-магазин при оплате переадресует клиента на сайт банка, оплата производится там.
      платежные данные магазином не хранятся и не обрабатываются.
      но:
      нельзя исключать вероятность компрометации сайта интернет-магазина и подмены страницы оплаты.
      т.е. раньше клиент вводил данные на сайте банка, сейчас на сайте магазина (они пересылаются в банк, операция успешна, платежные данные скомпрометированы).
      необходима ли сертификация при таких исходных данных?
        0
        Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, e-commerce и т.п.). Причем требования относятся только к тем информационным системам компании, в которых обрабатывается или хранится информация о платежных картах, а также к системам, которые с ними взаимосвязаны.

        Данные же передаются, значит, вполне есть смысл в сертификации
          0
          Данные же передаются, значит, вполне есть смысл в сертификации

          Нет, не передаются — я указал, что платежные данные магазином не хранятся и не обрабатываются.
          В исходных данных магазин только переадресует клиента для оплаты на сайт банка (платёжной системы).

            0
            Сертификация не требуется.
          0
          Сертификация требуется. Вы правильно написали про компрометацию сайта интернет-магазина и подмену страницы оплаты.
          Если не ошибаюсь, в вашем случае потребуется SAQ A (Self-Assessment Questionnaire). Не применимы все пункты кроме 12.8. Скачать можно с сайта PCI Security Standards Council.
          Вам также нужно будет заключить доп. соглашение с вашим банком и включить формулировку, наподобие "контрагент обязуется обеспечивать безопасность данных платежных карт". Помимо доп. соглашения необходимо собирать с контрагентов Attestation of Compliance. Это документ (как и SAQ), который необходимо обновлять каждый год — проходить аудит, либо заполнять SAQ.
          +1
          Мы хотели её проходить, но оказалось что с технической стороны всё достаточно просто, но бумажная волокита может затянуться на пол года.
            0
            Может вам не повезло с аудитором? Потому что полгода — это черезчур… Если предположить, что всё готово к сертификации (без подготовительного этапа), то её можно закончить за 3-5 рабочих дней на территории компании и ещё 4-6 рабочих дней в офисе аудитора на заполнение документации.
            При полном сотрудничестве, разумеется.
            0
            Сбербанк начал своё обновление порядка 3 месяцев назад и до сих пор продолжает
              0
              Требуется ли сертификация:
              У нас связка ЛК+Мобильное приложение, пополнение через ЛК работает по схеме: введите сумму и по кнопке далее перекидываем на paypal или Яндекс.Кассу(далее ЯК), где происходит оплата и платежная система нас только уведомляет о факте оплаты. В мобильном приложении мы используем официальные sdk от paypal и як. Если с лк более или менее все понятно, мы ничего не обрабатываем и не храним, только сумму передаем третьей стороне и весь процесс оплаты происходит на стороне платежной системы. Но в случаи с мобильным приложением не понятный вопрос, мы встраиваем sdk платежной системы и теоретически мы можем повлиять на данные или нет? Нужно ли нам проходить сертификацию?

              Only users with full accounts can post comments. Log in, please.