Выполнение требований PCI DSS V.3.2.1 по защите данных держателей платежных карт

На сегодняшний день тяжело представить себе жизнь без платежных карт. Они распространены повсеместно.

Однако в процессе оплаты необходимо передать сервису проведения платежей (включая интернет-сервисы) личные данные, позволяющие осуществить списание средств для оплаты покупки. В случае компрометации сервиса будут прямые потери финансовых средств покупателей.

Вряд ли кто-то из покупателей захочет, чтобы его финансовые средства ушли в неизвестном направлении, поэтому для защиты подобных сервисов необходимо прибегать к продуманным и многократно проверенным решениям.

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это международные нормативно-правовые акты со списком требований, которым должен удовлетворять сервис, если он как-то управляет такими данными, как номер карты, срок ее действия и CVV-код (в терминологии PCI DSS — данные держателей карт).

Разработкой данного документа занимается Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платежными системами (Visa, Master Card, American Express, JCB и Discover). 

Организации, которые работают с данными держателей (банк-эмитент, банк-эквайер, поставщик услуг, торгово-сервисное предприятия) обязаны выполнять требования безопасности той или иной платежной системы. В то же время часть этих требований стандартизированы и объединены в стандарт PCI DSS.

Выполнение требований PCI DSS является довольно сложной задачей, связанной не только с построением процессов защиты информации и организационными мерами, но также и с приобретением и внедрением специализированных средств защиты информации. PCI DSS содержит достаточно жесткие меры по отношению к защите данных держателей карт, которые выполнить значительно сложнее, чем меры иных стандартов и нормативно-правовых актов по защите информации.

Однако одного выполнения мер недостаточно. Необходимо пройти сертификацию на соответствие PCI DSS, чем занимаются сторонние аудиторы, аккредитованные упомянутым Советом.

После прохождения сертификации и получения сертификата организации обязаны поддерживать систему защиты в актуальном состоянии, а также следить за выпуском новых версий PCI DSS и требований платежных систем.

В случае неисполнения требований, либо в случае инцидента, после которого клиенты потеряли деньги, компанию ждут большие штрафы, исчисляемые десятками и сотнями тысяч долларов, не говоря уже о серьезных репутационных потерях для организации.

Как показывает практика, корректное и грамотное выполнение требований PCI DSS позволяет снизить до минимума вероятность возникновения инцидента, связанного с утечкой данных держателей карт или с потерей денег.

В случае невозможности исполнения требований стандарта — можно воспользоваться услугами соответствующего поставщика, сертифицированного на соответствие PCI DSS, что, правда, налагает определенные ограничения, так как поставщики таких сервисов тоже предъявляют повышенные требования к своим клиентам.

Программные комплексы компании «Индид» помогают реализовать основные задачи технического характера в своей области функционирования/развертывания в группах требований (все, кроме управления полномочиями в целевых сервисах):

• Требования 7. Ограничивать доступ к ДДК в соответствии со служебной необходимостью;
• Требования 8. Идентифицировать и аутентифицировать доступ к системным компонентам.

Дополнительно ПО компании «Индид» реализует некоторую часть технических задач в следующих группах требований в своей области функционирования/развертывания:

• Требования 1. Установить и поддерживать конфигурацию межсетевых экранов для защиты ДДК;
• Требования 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем;
• Требования 10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК;
• Требования A1. Дополнительные требования PCI DSS для поставщиков услуг хостинга с общей средой.

Таблица: «Оценка степени выполнения мер требований к системе защиты информации, приведенных в PCI DSS V.3.2.1».

Напишите нам в чат, чтобы получить детальную таблицу с оценкой выполнения требований PCI DSS v.3.2.1 при использовании программных комплексов Компании Индид в вашей компании.

Смотрите также:

• Выполнение требований Приказов ФСТЭК России с помощью решений компании Индид
• Выполнение требований ГОСТ 57580.1-2017 по защите информации в финансовых организациях

Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите на почту sales@indeed-company.ru