Сертификация PCI DSS

Содержание

Pci dss: что сделано у нас
Что получает клиент по итогам сертификации по PCI DSS?
Внедрение pci dss: основные этапы
# в какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? или же достаточно ограничиться самооценкой организации?
# как можно подтвердить соответствие стандарту pci dss?
# каковы требования стандарта pci dss?
. Есть ли в Украине аудиторы PCI DSS?
. Сколько стоит услуга сертификации по PCI DSS?
Нужна ли какая-то техническая база для проведения аудита и сертификации по PCIDSS? Есть ли привязка требований стандарта PCI DSS к конкретным решениям — оборудованию, программному обеспечению, технологиям?
Сколько по времени занимает услуга сертификации по PCI DSS?
Кто проводит аудит? Как стать аудитором по PCI DSS?
Pci dss в украине
Pci dss: общие сведения
Зачем сертифицировать облако
Как получить сертификат pci dss
Можно ли не выполнять требования pci dss
Проблема коротко
Раздел 11: контроль защищённости информационной инфраструктуры
Раздел 12: управление информационной безопасностью
Раздел 9: физическая защита информационной инфраструктуры
Сертификация pci dss
Сертификация pci dss: часто задаваемые вопросы
Требования pci dss
Заключение

Pci dss: что сделано у нас

Наши дата-центры сертифицированы на уровне обеспечения физической безопасности. Таким образом, в рамках сертификата PCI DSS нами выполняются требования разделов 9, 11 (частично) и 12. Рассмотрим эти требования более подробно.

Что получает клиент по итогам сертификации по PCI DSS?

По результатам аудита соответствия информационной инфраструктуры компании требованиям стандарта QSA-аудитор (сертифицированный аудитор) подготовит Отчет о Соответствии (ReportonCompliance), содержащий детальную информацию о выполнении каждого из требований PCI DSS.

Если информационная система компании соответствует стандарту PCI DSS по результатам сертификационного аудита, Заказчик получает сертификат соответствия после одобрения PCI SSC (PCI Security Standard Council).

Внедрение pci dss: основные этапы

Согласно официальным документами, процесс внедрения PCI DSS подразделяется на следующие этапы:

анализ исходного уровня соотвестствия;
приведение к требуемому уровню соответствия;
подтверждение соответствия;
поддержка соответствия.

Рассмотрим процесс внедрения PCI DSS более подробно. Для оценки соответствия выполняется аудит. Его проводит сторонняя организация, имеющая специальную сертификацию от PCI SSC. Мы в качестве аудитора привлекатели немецкую компанию SRC Security Research and Consulting GmbH.

Процедура аудита включает интервью с сотрудниками организации-заказчика, изучение информационных систем, а также изучение и анализ внутренней нормативной документации. Результатом этого этапа является определение сферы применимости требований PCI DSS в информационной инфраструктуре заказчика.

После того, как определена сфера применимости и собрана вся необходимая информация, разрабатываются рекомендации по внедрению PCI DSS.На основе этих рекомендаций вносятся конкретные изменения в информационную инфраструктуру: модернизируется оборудование, дорабатывается программное обеспечение, внедряются системы защиты информации, разрабатывается необходимая документация.

На следующем этапе проводится специализированный аудит. В случае успешного прохождения аудита составляется Отчёт о соответствии (англ. Report on Compliance). Организация-заказчик заполняет также лист самооценки (Self-Assessment Questionnaire, SAQ). Форма этого документа зависит от специфики обработки карточных данных в организации.

Получением необходимых документов процесс сертификации не заканчивается. Соответствие необходимо регулярно подтверждать. Поставщикам услуг (к ним относятся и дата-центры) необходимо ежегодно заполнять лист самооценки, а также раз в квартал проводить так называемое ASV-сканирование — автоматизированную проверку всех точек подключения информационной структуры к Интернету на наличие уязвимостей.

# в какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? или же достаточно ограничиться самооценкой организации?

Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

Торгово-сервисное предприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).

Поставщик услуг – организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций (дата-центры, хостинг-провайдеры, платежные шлюзы, международные платежные системы и т. д.).

В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

# как можно подтвердить соответствие стандарту pci dss?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации.Особенности каждого из них проиллюстрированы в таблице.

Таблица 2. Способы подтверждения соответствия стандарту PCI DSS

Несмотря на кажущуюся простоту представленных способов, клиенты зачастую сталкиваются с непониманием и затруднениями при выборе соответствующего способа. Примером тому являются возникающие вопросы, приведенные ниже.

# каковы требования стандарта pci dss?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

. Есть ли в Украине аудиторы PCI DSS?

Есть. Но немного. В России есть больше таких аудиторов.

SBSB не имеет право проводить сертификацию PCI DSS. Мы можем рекомендовать партнерские компании, которые занимаются этим.

. Сколько стоит услуга сертификации по PCI DSS?

Четких тарифов не существует. Существуют цены на человеко-часы, курс евро, объем работ. Но сегодняшний день сертификационный аудит стоит не менее 13.000 EUR.

Дополнительно будут оплачиваться проведение идентификации и сканирование на уязвимость беспроводных точек доступа и проведение предварительного аудита на соответствие (от 2,500 EUR).

Нужна ли какая-то техническая база для проведения аудита и сертификации по PCIDSS? Есть ли привязка требований стандарта PCI DSS к конкретным решениям — оборудованию, программному обеспечению, технологиям?

Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения. PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений.

Сколько по времени занимает услуга сертификации по PCI DSS?

Время проведения аудита зависит от размера области применения стандарта PCI DSS, а также от особенностей инфраструктуры компании. В среднем аудит на объекте компании длится 3-5 дней (с выездом сотрудника в офис компании).

Однако, при подготовке к сертификации на соответствие PCI DSS необходимо принимать во внимание ряд важных моментов.

Так, аудит и разработка плана, учитывая определение границ проекта, занимает от одного до четырех месяцев. Сроки устранения несоответствий стандарту напрямую зависят от выявленных недостатков, развитости ИТ-инфраструктуры и текущей загрузки ИТ-систем финансового учреждения другими проектами. Поэтому на данную процедуру может потребоваться от двух месяцев до двух лет.

Основными же сложностями на этапе аудита может стать отсутствие документации, регламентирующей деятельность ИТ (это усложняет определение границ проекта и замедляет сбор информации), а также большое количество «самописного» ПО, что затрудняет его легализацию, недостаточное количество документации на русском и украинском языках, отсутствие шаблонов документов политик безопасности (разработать их самостоятельно очень непросто), а также большая организационная нагрузка.

Про сертификаты: Тексты для шуточных сертификатов | Частичка счастья

Кто проводит аудит? Как стать аудитором по PCI DSS?

Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor).

Аудиторы бывают двух статусов:

Статусы QSA (Qualified Security Assessor) и ASV (Authorized Scanning Vendor)

QSA-аудитор выполняет аудит по PCI DSS (ежегодный аудит на объекте компании)

ASV-аудитор выполняет сканирование. Сканирование проводится для компаний с меньшими транзакциями (ежеквартальное сканирование, выполняемое сертифицированным поставщиком услуг (ASV))

Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.

Как стать аудитором PCI DSS?

Необходимо пройти курсы в Америке в PCI SSC и сдать экзамены. Также можно обучение проходить дистанционно и сдать экзамены после обучения.

Pci dss в украине

В целом, данный стандарт распространяется на все организации, работающие с электронными платежными системами, независимо от количества транзакций. Однако для Украины пока носит скорее рекомендательный характер, а основная инициатива исходит от производителей соответствующих решений.

Входят ли банкоматы в область применения стандарта PCI DSS?

Да, отдельные подсистемы банкомата, участвующие в обработке, хранении и передаче данных о владельцах платежных карт, входят в область применения стандарта PCI DSS.

Pci dss: общие сведения

Аббревиатура PCI DSS означает Payment Card Data Security Standard — стандарт безопасности данных индустрии платёжных карт. Стандарт PCI DSS представляет собой документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения карт.

Первая версия стандарта появилась в январе 2005 года. На сегодняшний день актуальной является третья версия стандарта (полный текст см. на английском языке см. здесь, на русском языке — здесь) Она содержит 241 требование, распределенные по 12 разделам:

Защита вычислительной сети.
Конфигурация компонентов информационной инфраструктуры.
Защита хранимых данных о держателях карт.
Защита передаваемых по сети данных о держателях карт.
Антивирусная защита информационной инфраструктуры.
Разработка и поддержка информационных систем.
Управление доступом к данным о держателях карт.
Механизмы аутентификации.
Физическая защита информационной инфраструктуры.
Протоколирование событий и действий.
Контроль защищённости информационной инфраструктуры.
Управление информационной безопасностью.

Вопросами внедрения и применения стандарта PCI DSS занимается специальная организация — PCI SSC (Payment Card Industry Security Standards Council, Совет по стандартам безопасности индустрии платежных карт). Совет был создан в 2006 году коллективным решением пятью крупными платёжными системами — Visa, MasterCard, American Express, JCB и Discover.

Советом PCI SSC разработаны также следующие документы:

стандарт PCI PA DSS (Payment Card Industry Payment Application Data Security Standard, стандарт безопасности данных в приложениях индустрии платёжных карт) —определяет требования к приложениям, обрабатывающим персональные данные владельцев карт, а также к процессу их разработки;
руководства PCI PTS (Payment Card Industry PIN Transaction Security) — содержат требования к устройствам, обрабатывающим PIN-коды платёжных карт (POS-терминалам, шифрующим PIN-клавиатурам, аппаратным модулям безопасности).

Стандарт PCI DSS предназначен для организаций, в информационной инфраструктуре которых обрабатываются или передаются данные платёжных карт. Его область применения включает также организации, в бизнес-процессах которых задействованы персональные данные владельцев карт.

Зачем сертифицировать облако

Наши заказчики используют

для решения своих задач. Например, решили добавить какой-то сервис в банке, а потом через полгода выяснилось, что он в продакшине жрёт слишком много ресурсов, и надо дозакупать железо. Железо едет долго, оно дорогое, согласования мучительные. Естественно, с облаком в разы удобнее — да и все уже давно привыкают платить за ресурсы по мере потребления и быстро масштабироваться.

Но просто так взять и встать в облако нельзя — площадка облачного провайдера (то есть в данном случае наша), на которой заказчики хранят, обрабатывают и передают данные держателей карт платёжных систем Visa и MasterСard, должна соответствовать стандарту PCI DSS. Иначе с ним нельзя работать. Если клиент не работает с такими данными, то сертификация ему не нужна.

Заказчик может сертифицироваться сам на любой инфраструктуре, но на практике это выглядит крайне сложно и порой невыполнимо. Для сертификации потребуется активное участие со стороны поставщика услуг облака, т. к. придётся выстраивать процессы и внедрять технические решения для соответствия PCI DSS на уровне инфраструктуры самого облака, поскольку на ней будут обрабатываться карточные данные.

Нашим заказчикам наша же сертификация позволяет быстрее мигрировать и проходить свои аудиты. Этот сертификат закрывает все требования, предъявляемые к ЦОДу (точнее, в нашем случае — ЦОДам) и к инфраструктуре облака, включая все технические и организационные процессы.

Как получить сертификат pci dss

Есть два варианта — самостоятельное заполнение листа самооценки или внешний QSA-аудит. Решить задачу самим разрешается в двух случаях:

сервис-провайдерам, если годовое количество транзакций не превышает 300 тысяч;
мерчантам, если количество транзакций не превышает миллиона в год.

А вот как все пройдет, если нужно обратиться к аудиторам:

Сначала специалисты изучат регламенты, инструкции и другие внутренние документы, регулирующие информационную безопасность компании, а также проверят как они соблюдаются на практике.
После этого проводится тестовая хакерская атака на вашу инфраструктуру. Цель — найти уязвимости.
Если оба этапа пройдены успешно, специалисты оценят техническое состояние сети и выполняет ли она требования стандарта PCI DSS. Оцениваться будут актуальность ПО, архитектура сети, настройки операционных систем и другое. Если в этот момент обнаружатся небольшие нарушения, их разрешается устранить сразу же.

Можно ли не выполнять требования pci dss

Можно, но это работа в «серой зоне». Для этого нужны банки и платежные компании, которые легкомысленно относятся к безопасности. Вероятные последствия легко представить. Кроме того, вы становитесь легкой добычей для мошенников, ведь вы не выполняете отраслевые требования к уровню безопасности.

Проблема коротко

Изначально у каждой платёжной системы — Visa, MasterCard, American Express, JCB и Discover — имелись свои программы с минимальным набором требований по безопасности при работе с данными держателей карт, и эти требования пересекались. Затем был сформирован Совет Payment Card Industry Security Standards Council (PCI SSC), в который вошли платёжные системы, указанные раньше.

Где-то во второй половине 2000-х стали активно развиваться облачные вычисления. Выяснилось, что некоторые нюансы облаков как относительно нового типа хостинга не учитываются в текущей версии стандарта PCI DSS. Например, не учитывается архитектура, в которой идёт постоянное изменение набора компонентов и их количества, а также реализация некоторых технических решений.

Часть требований может быть неприменима из-за отсутствия различных процессов. Например, требования раздела 4 про шифрование платёжных данных при передаче через сети общего пользования. В нашем случае данная задача ложится полностью на клиента. По большей части одни и те же требования применяются как к площадке хостинга, так и к виртуальной инфраструктуре клиента.

В целом все пункты очень здравые и на первый взгляд понятные. Вот прямо взять и сделать. Но когда начинаешь делать — начинаются сложности и толкования. Например, в требованиях стандарта есть пункт о необходимости статического анализа кода. У нас большая часть кода написана на языке Python, в настоящий момент статических анализаторов кода нет — точнее, есть, например, Bandit, но конкретно к нашей истории он не подходил.

Про сертификаты: FinCERT: с чем его едят?

Раздел 11: контроль защищённости информационной инфраструктуры

Обработка электронных платёжных транзакций, а также персональных данных держателей карт должны осуществляться на базе защищённой информационной инфраструктуры.Требования одиннадцатого раздела мы выполняем лишь частично, но реализованных у нас мер вполне достаточно, чтобы обеспечить надёжную защиту персональных данных держателей карт и миниммизировать их уязвимость во время передачи по сети.

Мы проводим регулярное сканирование сети на предмет наличия неавторизованных точек доступа. Процедуру сканирования мы осуществляем полностью самостоятельно, без привлечения специалистов со стороны.

Раздел 12: управление информационной безопасностью

Политикой информационной безопасности (далее для удобства мы будем использовать аббревиатуру ИБ) называется совокупность правил, процедур, методов и принципов в области ИБ, используемых организацией в своей деятельности.В нашей компании разработан и внедрён весь необходимый набор документации по обеспечению ИБ, который поддерживается в актуальном состоянии.

Раздел 9: физическая защита информационной инфраструктуры

Охрана наших дата-центров осуществляются в режиме 24/7/365. Все дата-центры оснащены системами защиты от несанкционированного доступа как в периметр здания, так и в серверные помещения. На входе имеется пост вооружённой охраны. Для исключительных случаев предусмотрена и кнопка тревожной сигнализации.

Стандарт PCI DSS предполагает также строгий контроль доступа в помещения. Как для сотрудников, так и для сторонних посетителей проход на территорию дата-центра возможен только с использованием магнитных карт. Доступ сотрудников в дата-центр осуществляется по магнитным картам, выдаваемых под контролем службы безопасности.

Представители сторонних организаций могут посетить дата-центр по предварительной договорённости с предъявлением удостоверения личности.По особым регламентам организован доступ в дата-центры клиентов (тех, кто размещает у нас своё оборудование) и подрядчиков (представителей обслуживающих организаций, проводящих работы на нашей территории).

Вопросам идентификации посетителей мы также уделяем большое внимание: так, у нас уже используются пропуски-бэджи для постоянных сотрудников, клиентов и гостей.Данные обо всех посетителях записываются в журнал и хранятся в течение не менее чем полгода.

На территории всех дата-центров ведётся круглосуточное видеонаблюдение. Видеокамеры установлены во всех серверных, технических и офисных помещениях. Анализ видеозаписей со всех камер осуществляют сотрудники, прошедшие обучение по информационной безопасности.Согласно нашим внутренним регламентам, данные с видеокамер хранятся в течение 6 месяцев.

Максим Сапронов, технический директор Avito

«Avito — одна из крупнейших IT-компаний, наша деятельность предполагает хранение и обработку и большого объема данных. Мы стремимся предоставлять своим клиентам непрерывный сервис высокого уровня, для чего необходима качественная ИТ-инфраструктура. Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное — безопасности. Успешное прохождение сертификации на соответствие стандарту безопасности данных в очередной раз подчеркивает высокую квалификацию центра и подтверждает наш правильный выбор DataSpace как надежного партнера».

«Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное — безопасности. Успешное прохождение сертификации подчеркивает высокую квалификацию дата-центра, и подтверждает наш правильный выбор DataSpace, как надежного партнера».

Михаил Тележкин, технический директор «ИТ-ГРАД»

«Прохождение DataSpace сертификации по стандарту PCI DSS v3.2 для нас, как поставщика облачных услуг, является гарантией надежности и наглядным доказательством высоких стандартов работы, которых придерживается DataSpace. Получив данный сертификат, компания DataSpace берет на себя ответственность по выполнению требований физической безопасности ЦОД и выступает надежным партнером, что позволяет нам оказывать полный спектр PCI DSS-услуг собственным клиентам».

Сертификация pci dss: часто задаваемые вопросы

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2021 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.

Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.

Первым делом следует ответить на два вопроса:

Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?

При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. В случае же хотя бы одного положительного ответа, как видно на рисунке 1, соответствие стандарту является необходимым.

# Каковы требования стандарта PCI DSS?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.

Таблица 1. Верхнеуровневые требования стандарта PCI DSS

Требования стандарта PCI DSS
1. Защита вычислительной сети	7. Управление доступом к данным о держателях карт
2. Конфигурация компонентов информационной инфраструктуры	8. Механизмы аутентификации
3. Защита хранимых данных о держателях карт	9. Физическая защита информационной инфраструктуры
4. Защита передаваемых данных о держателях карт	10. Протоколирование событий и действий
5. Антивирусная защита информационной инфраструктуры	11. Контроль защищённости информационной инфраструктуры
6. Разработка и поддержка информационных систем	12. Управление информационной безопасностью

# Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита ( QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.

Таблица 2. Способы подтверждения соответствия стандарту PCI DSS

Внешний аудит QSA (Qualified Security Assessor)	Внутренний аудит ISA (Internal Security Assessor)	Самооценка SAQ (Self Assessment Questionnaire)
Выполняется внешней аудиторской организацией QSA, сертифицированной Советом PCI SSС.	Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором.Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом.	Выполняется самостоятельно путём заполнения листа самооценки.
В результате проверки QSA -аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт.	В результате проверки ISA -аудиторы, как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт.	Сбор свидетельств выполнения требований стандарта не требуется.
По результатам проведённого аудита подготавливается отчёт о соответствии — ROC (Report on Compliance).	Самостоятельно заполняется лист самооценки SAQ.

Про сертификаты: Купить Вставные дефлекторы боковых окон Team Heko CITROEN XSARA PICASSO 1999г- Citroen (Ситроен) в интернет-магазине

# В какой ситуации необходимо проводить внешний аудит, а в какой — внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.

Торгово – сервисное предприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.

Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.

# Представляет ли однократное нарушение сроков ASV-сканирования серьёзный риск с точки зрения соответствия PCI DSS?

Организация, получившая статус PCI DSS, должна регулярно выполнять ряд требований, например проводить ежеквартальное ASV-сканирование. При первичном прохождении аудита достаточно иметь документированную процедуру ASV-сканирования и результаты хотя бы однократного её успешного выполнения за последние три месяца. Все последующие сканирования должны быть ежеквартальными, отрезок времени не должен превышать трёх месяцев.

Нарушение расписания внешнего сканирования на уязвимости влечет за собой наложение дополнительных требований к системе менеджмента информационной безопасности в организации. Во-первых, необходимо будет все же провести ASV-сканирование на уязвимости, добиться «зеленого» отчета. А во-вторых, потребуется разработать дополнительную процедуру, которая не будет допускать подобных нарушений расписания в будущем.

В заключение

Основные выводы можно выразить цитатой Петра Шаповалова, инженера по защите информации :

«Несмотря на то, что на территории Российской Федерации уже начала функционировать своя Национальная система платежных карт (НСПК), требования международных платежных систем не упразднили. Наоборот, в последнее время от Visa и MasterCard участились письма банкам-эквайерам о том, чтобы последние требовали соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий.

Актуальной для российского рынка сейчас является услуга по управляемым сервисам. Заключается она в том, что поставщик услуг предоставляет клиентам не только оборудование или виртуальную информационную инфраструктуру в аренду, но и услуги по ее администрированию в соответствии с требованиями стандарта PCI DSS. Особенно полезно это для небольших торгово-сервисных предприятий, которые не имеют своих подразделений информационных технологий и информационной безопасности. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации по стандарту PCI DSS для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне».

В качестве примера компании, предоставляющей услуги по управляемым сервисам PCI DSS (не только аренда инфраструктуры PCI DSS, но и её администрирование в соответствии с требованиями стандарта), можно привести

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Требования pci dss

Компания, которая выполняет стандарт PCI DSS должна серьезно подходить к работе с личной информацией.

Конкретно это выражено в шести официальных пунктах:

Корпоративная сеть должна быть надежно защищена, а трафик — фильтроваться межсетевыми экранами. Участки, в которых обрабатываются данные клиентов, нужно разбить на изолированные сегменты. Виртуальные машины должны выполнять одну серверную функцию. Это нужно, чтобы на одной ВМ не выполнялось несколько функций, требующих разных степеней защиты. Такая схема затруднит для потенциального взломщика доступ ко всей системе. Пароли в сети должны быть надежными и не стандартными.
Важное требование PCI DSS — информация в сети должна быть надежно зашифрована с помощью ключей не меньше 128 бит.
В организации нужно использовать актуальные антивирусные программы. А процесс обновления уязвимого ПО должен быть документально регламентирован.
Доступ к критически важным частям инфраструктуры — только через многофакторную аутентификацию. Физический доступ к серверам, на которых хранятся данные клиентов должен быть ограничен соответствующими; политиками. И они должны меняться после каждой кадровой перестановки.
Для всех операций в инфраструктуре должны постоянно вестись логи. Это необходимо, чтобы быстро находить следы взломов. Необходимо регулярно тестировать инфраструктуру на предмет уязвимостей.
Нужна описанная корпоративная политика информационной безопасности. Необходимо определить общие принципы и порядок доступа к персональным данным пользователей. Также важно спланировать шаги в случае обнаруженного взлома. Все эти документы необходимо обновлять каждый год, в соответствии с изменениями в компании.

Заключение

Получение нами сертификата cоответствия стандарту PCI DSS в очередной раз подтверждает, что мы стремимся поддерживать высокий уровень безопасности для клиентов.Арендуя или размещая оборудование в сертифицированном дата-центре, пользователи наших услуг получат не только гарантии безопасности, но и дополнительные репутационные преимущества, заключающиеся в повышении доверия со стороны клиентов, партнёров и контрагентов.

Обеспечение полного соответствия требованиям PCI DSS — работа очень долгая и сложная, и нам предстоит ещё много сделать в этом направлении. О наиболее значимых результатах мы обязательно расскажем в нашем блоге.