Выполнение требований PCI DSS V.3.2.1 по защите данных держателей платежных карт
На сегодняшний день тяжело представить себе жизнь без платежных карт. Они распространены повсеместно.
Однако в процессе оплаты необходимо передать сервису проведения платежей (включая интернет-сервисы) личные данные, позволяющие осуществить списание средств для оплаты покупки. В случае компрометации сервиса будут прямые потери финансовых средств покупателей.
Вряд ли кто-то из покупателей захочет, чтобы его финансовые средства ушли в неизвестном направлении, поэтому для защиты подобных сервисов необходимо прибегать к продуманным и многократно проверенным решениям.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это международные нормативно-правовые акты со списком требований, которым должен удовлетворять сервис, если он как-то управляет такими данными, как номер карты, срок ее действия и CVV-код (в терминологии PCI DSS — данные держателей карт).
Разработкой данного документа занимается Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платежными системами (Visa, Master Card, American Express, JCB и Discover).
Организации, которые работают с данными держателей (банк-эмитент, банк-эквайер, поставщик услуг, торгово-сервисное предприятия) обязаны выполнять требования безопасности той или иной платежной системы. В то же время часть этих требований стандартизированы и объединены в стандарт PCI DSS.
Выполнение требований PCI DSS является довольно сложной задачей, связанной не только с построением процессов защиты информации и организационными мерами, но также и с приобретением и внедрением специализированных средств защиты информации. PCI DSS содержит достаточно жесткие меры по отношению к защите данных держателей карт, которые выполнить значительно сложнее, чем меры иных стандартов и нормативно-правовых актов по защите информации.
Однако одного выполнения мер недостаточно. Необходимо пройти сертификацию на соответствие PCI DSS, чем занимаются сторонние аудиторы, аккредитованные упомянутым Советом.
После прохождения сертификации и получения сертификата организации обязаны поддерживать систему защиты в актуальном состоянии, а также следить за выпуском новых версий PCI DSS и требований платежных систем.
В случае неисполнения требований, либо в случае инцидента, после которого клиенты потеряли деньги, компанию ждут большие штрафы, исчисляемые десятками и сотнями тысяч долларов, не говоря уже о серьезных репутационных потерях для организации.
Как показывает практика, корректное и грамотное выполнение требований PCI DSS позволяет снизить до минимума вероятность возникновения инцидента, связанного с утечкой данных держателей карт или с потерей денег.
В случае невозможности исполнения требований стандарта — можно воспользоваться услугами соответствующего поставщика, сертифицированного на соответствие PCI DSS, что, правда, налагает определенные ограничения, так как поставщики таких сервисов тоже предъявляют повышенные требования к своим клиентам.
Программные комплексы компании «Индид» помогают реализовать основные задачи технического характера в своей области функционирования/развертывания в группах требований (все, кроме управления полномочиями в целевых сервисах):
- Требования 7. Ограничивать доступ к ДДК в соответствии со служебной необходимостью;
- Требования 8. Идентифицировать и аутентифицировать доступ к системным компонентам.
Дополнительно ПО компании «Индид» реализует некоторую часть технических задач в следующих группах требований в своей области функционирования/развертывания:
- Требования 1. Установить и поддерживать конфигурацию межсетевых экранов для защиты ДДК;
- Требования 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем;
- Требования 10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК;
- Требования A1. Дополнительные требования PCI DSS для поставщиков услуг хостинга с общей средой.
Таблица: «Оценка степени выполнения мер требований к системе защиты информации, приведенных в PCI DSS V.3.2.1».
Напишите нам в чат, чтобы получить детальную таблицу с оценкой выполнения требований PCI DSS v.3.2.1 при использовании программных комплексов Компании Индид в вашей компании.
Смотрите также:
- Выполнение требований Приказов ФСТЭК России с помощью решений компании Индид
- Выполнение требований ГОСТ 57580.1-2017 по защите информации в финансовых организациях
Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите на почту sales@indeed-company.ru
Читайте еще по теме
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
Indeed Privileged Access Manager сертифицирован ФСТЭК России (сертификат соответствия № 4667)
Компания Индид объявляет о прохождении Indeed Privileged Manager (Indeed РАМ) сертификационных испытаний в Системе сертификации ФСТЭК России по 4 уровню доверия. Важно отметить, что сертифицированный Indeed PAM поддерживает […]
Softline-direct: “Конечно, Indeed!”
В июньском номере каталога Softline-direct (№6, 2015) опубликована статья Дениса Гундорина, руководителя направления инфраструктурных решений ИБ, Департамент информационной безопасности Softline “Управление жизненным циклом ключевых носителей”.Говоря о главных задачах […]
Аутентификация и единая точка доступа в ПАО “СДМ-Банк”
О внедрении технологии аутентификации по смарт-картам и сертификатам, сложностях внедрения и изменениях для пользователей редакции журнала «Информационная безопасность» рассказал директор по информационной безопасности СДМ-банка Владимир Солонин. Приводим полный […]
Пять мифов об инсайде или в каждом мифе есть доля мифа
Сколько копий было сломано в дебатах о том, представляют ли инсайдеры реальную угрозу бизнесу или нет. Часто компании попросту не осознают все возможные последствия для бизнеса, когда речь […]