Выполнение требований PCI DSS V.3.2.1 по защите данных держателей платежных карт
На сегодняшний день тяжело представить себе жизнь без платежных карт. Они распространены повсеместно.
Однако в процессе оплаты необходимо передать сервису проведения платежей (включая интернет-сервисы) личные данные, позволяющие осуществить списание средств для оплаты покупки. В случае компрометации сервиса будут прямые потери финансовых средств покупателей.
Вряд ли кто-то из покупателей захочет, чтобы его финансовые средства ушли в неизвестном направлении, поэтому для защиты подобных сервисов необходимо прибегать к продуманным и многократно проверенным решениям.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Другими словами, это международные нормативно-правовые акты со списком требований, которым должен удовлетворять сервис, если он как-то управляет такими данными, как номер карты, срок ее действия и CVV-код (в терминологии PCI DSS — данные держателей карт).
Разработкой данного документа занимается Совет по стандартам безопасности индустрии платежных карт, образованный пятью крупнейшими платежными системами (Visa, Master Card, American Express, JCB и Discover).
Организации, которые работают с данными держателей (банк-эмитент, банк-эквайер, поставщик услуг, торгово-сервисное предприятия) обязаны выполнять требования безопасности той или иной платежной системы. В то же время часть этих требований стандартизированы и объединены в стандарт PCI DSS.
Выполнение требований PCI DSS является довольно сложной задачей, связанной не только с построением процессов защиты информации и организационными мерами, но также и с приобретением и внедрением специализированных средств защиты информации. PCI DSS содержит достаточно жесткие меры по отношению к защите данных держателей карт, которые выполнить значительно сложнее, чем меры иных стандартов и нормативно-правовых актов по защите информации.
Однако одного выполнения мер недостаточно. Необходимо пройти сертификацию на соответствие PCI DSS, чем занимаются сторонние аудиторы, аккредитованные упомянутым Советом.
После прохождения сертификации и получения сертификата организации обязаны поддерживать систему защиты в актуальном состоянии, а также следить за выпуском новых версий PCI DSS и требований платежных систем.
В случае неисполнения требований, либо в случае инцидента, после которого клиенты потеряли деньги, компанию ждут большие штрафы, исчисляемые десятками и сотнями тысяч долларов, не говоря уже о серьезных репутационных потерях для организации.
Как показывает практика, корректное и грамотное выполнение требований PCI DSS позволяет снизить до минимума вероятность возникновения инцидента, связанного с утечкой данных держателей карт или с потерей денег.
В случае невозможности исполнения требований стандарта — можно воспользоваться услугами соответствующего поставщика, сертифицированного на соответствие PCI DSS, что, правда, налагает определенные ограничения, так как поставщики таких сервисов тоже предъявляют повышенные требования к своим клиентам.
Программные комплексы компании «Индид» помогают реализовать основные задачи технического характера в своей области функционирования/развертывания в группах требований (все, кроме управления полномочиями в целевых сервисах):
- Требования 7. Ограничивать доступ к ДДК в соответствии со служебной необходимостью;
- Требования 8. Идентифицировать и аутентифицировать доступ к системным компонентам.
Дополнительно ПО компании «Индид» реализует некоторую часть технических задач в следующих группах требований в своей области функционирования/развертывания:
- Требования 1. Установить и поддерживать конфигурацию межсетевых экранов для защиты ДДК;
- Требования 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем;
- Требования 10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК;
- Требования A1. Дополнительные требования PCI DSS для поставщиков услуг хостинга с общей средой.
Таблица: «Оценка степени выполнения мер требований к системе защиты информации, приведенных в PCI DSS V.3.2.1».
Напишите нам в чат, чтобы получить детальную таблицу с оценкой выполнения требований PCI DSS v.3.2.1 при использовании программных комплексов Компании Индид в вашей компании.
Смотрите также:
- Выполнение требований Приказов ФСТЭК России с помощью решений компании Индид
- Выполнение требований ГОСТ 57580.1-2017 по защите информации в финансовых организациях
Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите на почту sales@indeed-company.ru
Читайте еще по теме
Портал документации Компании Индид
Теперь техническая документация программного обеспечения Компании Индид находится в одном месте — на портале https://docs.indeed-company.ru/. У документации каждого продукта свой сайт: Indeed Access Manager — централизованное управление доступом […]
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
Контейнерная инфраструктура и микросервисы
Микросервисная архитектура Микросервисная архитектура – разновидность архитектуры приложений, которая представляет собой альтернативу монолитной архитектуре. В монолитной архитектуре сервис – это комплексная система, состоящая из тесно взаимосвязанных компонентов, которые […]
Центробанк: 40% российских банков не контролируют свои базы данных
В половине российских банков нет специалистов по информационной безопасности, 40% российских банков не контролируют свои базы данных. Это приводит к миллиардным потерям от промышленного шпионажа и воровства. Зампред […]
«Информационная безопасность: никакой теории, только практика»
29 мая состоялась V ежегодная выездная конференция «Информационная безопасность: никакой теории, только практика», организованная компанией Инфосистемы Джет. Специлисты компании «Индид» с удовольтсвием приняли участие в этом мероприятии и […]