Andmed on kaitstud vastavalt rahvusvahelisele PCI DSS standardile. PCI DSS sertifikaat: kõik, mida peate teadma

Mitmes varasemas väljaandes oleme juba käsitlenud mõningaid selle valdkonna rahvusvahelisi standardeid infoturbe. Põhiliselt kuulusid nad siiski majasiseselt , st. ettevõtte sisemine infrastruktuur. Kõige selgem arusaam infoturbest tuleb siis, kui turvalisus on otseselt seotud rahandusega, kui see näitab numbrites selle olulist mõju ettevõtlusele. Seetõttu räägime täna turvalisusest finants institutsioonid nagu pangad, krediidiorganisatsioonid, makseagendid jne. Nad kõik teevad rahaülekanded, mis tähendab, et need kuuluvad tööstusstandardi reguleerimisalassePCI DSS(Maksekaarditööstuse andmeturbe standard)


Standard PCI DSS on mõeldud maksekaardi omanike andmete töötlemise, säilitamise ja edastamise turvalisuse tagamiseks infosüsteemid rahvusvaheliste maksesüsteemidega töötavad ettevõtted Visa , MasterCard ja teised. Kogukonna välja töötatud standard PCI turvastandardite nõukogu, kuhu kuuluvad maksekaardituru maailma liidrid, nagu American Express, Avastage finantsteenused, JCB, MasterCard kogu maailmas Ja Visa International. Standardnõuded PCI DSS levik kõikidele ettevõtetele mis töötlevad, salvestavad või edastavad andmeid maksekaardi omanike kohta (pangad, töötlemiskeskused, teenusepakkujad, e-kaubandussüsteemid jne). Venemaal standardi järgimine PCI DSS sai alates 2007. aastast asjaomastes organisatsioonides kasutamiseks kohustuslik.

Vastavalt uuringutulemustele Analüüsid Mason, ligikaudu 42% pilveteenuse pakkujatest vastavad maksekaarditööstuse andmeturbe standarditele (PCI DSS, Payment Card Industry Data Security Standard). Need kehtivad kogu maailmas ja kehtivad kõigi protsessiga tegelevate organisatsioonide kohta krediitkaardid ning salvestada või edastada teavet nende omanike kohta. See standard võeti kasutusele, et anda maksekaarditööstusele suurem kontroll tundlike andmete üle ja välistada andmete lekke võimalus. Samuti on selle eesmärk tagada, et tarbijad oleksid krediitkaarte kasutades kaitstud pettuse või identiteedivarguse eest.

Nii Visa kui ka MasterCardi klassifikatsioonide kohaselt klassifitseeritakse süsteemid, mis töötlevad, salvestavad või edastavad andmeid rohkem kui 6 miljoni tehingu kohta aastas. esimene tase (1. tase) ja on kohustatud igal aastal läbima auditi .

STANDARDI ARENDAMISE AJALUGU

1.0 on standardi esialgne versioon.

1.1 – vastu võetud 2006. aasta septembris.

1.2 – vastu võetud 2008. aasta oktoobris.

2.0 – vastu võetud 2010. aasta oktoobris.

3.0 – vastu võetud 2013. aasta novembris.

3.1 - vastu võetud 2015. aasta aprillis.

PCI DSS versioon 3.0

"PCI-DSS 3.0 uus versioon muudab standardi normaalse äritegevuse orgaaniliseks osaks," ütles maksekaarditööstuse turvastandardite nõukogu (PCI SSC) tegevjuht Bob Russo eWeekile. "Tahame püüda võõrutada inimesi ideest, et PCI-DSS-iga saab tegeleda kord aastas, ja siis mitte mõelda sellele. Reaalsetes olukordades tekivad sageli lüngad.

PCI-DSS sageli peeti seda vaid aluseks ettevõtte eeskirjadele vastavuse kontrollimisel, kui on võimalik teha linnuke kasti, et Sel hetkel kõik on korras ja asuge rahulikult muude asjade juurde. Bob Russo rõhutas, et uus standard PCI-DSS 3.0 Rõhk on koolitusel ja poliitikal, muutes maksete turvalisuse igapäevaseks mureks ja osaks pidevast rutiinist. Põhimõte on see, et standard aitab pakkuda järjepidevamat protsessidele orienteeritud juhtimist, mis on eriti oluline suurte organisatsioonide jaoks. Ja see suurendab ka rõhuasetust pidevale vastutusele, mitte ainult juhuslikele PCI-DSS-i audititele.

Üks kriitika PCI-DSS standardile on selle sätete ebaselgus. Näiteks võib standard nõuda organisatsioonilt veebirakenduse tulemüüri (WAF) juurutamist ilma nõutavat tulemüüri konfiguratsiooni täpsustamata või isegi selgitamata, miks seda vaja on. PCI SCC liikmed väljendasid seda kriitikat selgelt ja jõuliselt ning see tingis vajaduse välja töötada uus ja täiustatud standard.

Standardi eelmistes versioonides oli alati kaks veergu, mis selgitasid konkreetset turvakontrolli nõuet. Esimeses veerus esitati nõue ja teises veerus testimisprotseduuri üksikasjad. IN PCI-DSS standard 3.0, peaks olema kolmas veerg, mis Leachi sõnul sisaldab reaalseid näiteid riskidest, mida turvakontrolli eesmärk on maandada.

Seega selgitab uus standard WAF-i puhul, mida see tehnoloogia suudab teha ja milliseid riske see maandada aitab.

Üks olulisi muudatusi PCI-DSS 3.0 standardis on seotud paroolide kasutamisega. Viimase kolme aasta jooksul on PCI SCC läbi viinud mitmeid parooli tugevuse uuringuid, mis on aidanud sõnastada uusi nõudeid.

Üks PCI-DSS 3.0 nõuetest, mida jaemüüjad peavad täitma, on pahatahtliku koodi õigeaegne tuvastamine. Reegel 5.1.2 on lisatud tagamaks, et igal maksekaardi andmeid töötleval isikul on selles valdkonnas paigas tugev riskijuhtimisprotsess.

PCI-DSS 3.0 rõhutab pidevalt vajadust paindlikkuse järele turbehalduses, mida tuleb saavutada erinevatel pidevalt arenevatel viisidel.

PCI DSS versioon 2.0

28. oktoobril 2010 anti välja standardi uus versioon PCI DSS , nimelt versioon 2.0. Valdkonda reguleerivas dokumendis tehtud muudatusi ei saa nimetada radikaalseks, need on peamiselt täpsustuste ja täpsustuste iseloomuga. Lisaks on mõned auditiprotseduurid rühmitatud uuel viisil, et neid oleks auditi käigus lihtsam mõista ja teostada.

Kuigi standardi versioon 2.0 hakkas kehtima 1. jaanuaril 2011, saavad maksekaarditööstuses osalejad eelmist versiooni kasutada kuni 2011. aasta lõpuni. See PCI SSC nõukogu algatus võimaldab järk-järgult üle minna uus versioon. Järgmise versiooni toodab PCI SSC kolmeaastase elutsükli jooksul.

PCI DSS nõuded

PCI DSS määratleb järgmised kuus juhtimisala ja 12 põhilist turbenõuet.


Turvalise võrgu ehitamine ja hooldus

  • Nõue 1: installige ja hooldage tulemüürid, et kaitsta kaardiomanike andmeid.
  • Nõue 2: süsteemiparoolide ja muude tootjate poolt vaikimisi seatud turvaseadete mittekasutamine.

Kaardiomanike andmete kaitsmine

  • Nõue 3: veenduge, et kaardiomaniku andmed on salvestamise ajal kaitstud.
  • Nõue 4: veenduge, et kaardiomaniku andmed oleksid avalike võrkude kaudu edastamisel krüpteeritud.

Haavatavuse haldamise programmi tugi

  • Nõue 5: kasutage ja värskendage regulaarselt viirusetõrjetarkvara.
  • Nõue 6: arendada ja hooldada turvalisi süsteeme ja rakendusi.
  • Rakendage rangeid juurdepääsukontrolli meetmeid
  • Nõue 7: Piirake juurdepääs kaardiomaniku andmetele ärivajadusega.
  • Nõue 8: kordumatu identifikaatori määramine igale teabeinfrastruktuurile juurdepääsu omavale isikule.
  • Nõue 9: kaardiomaniku andmetele füüsilise juurdepääsu piiramine.

Regulaarne võrgu jälgimine ja testimine

  • Nõue 10: kõigi võrguressurssidele ja kaardiomanike andmetele juurdepääsu seansside juhtimine ja jälgimine.
  • Nõue 11: regulaarne turvasüsteemide ja -protsesside testimine.

Infoturbepoliitika tugi

  • Nõue 12: Infoturbepoliitika väljatöötamine, hooldamine ja elluviimine.

Hoolimata kogu standardite avatusest on paljudel inimestel endiselt küsimusi. Püüame allpool mõnele neist vastata.

1. Kes on PCI DSS-iga kaetud?

Esiteks määratleb standard nõuded organisatsioonidele, kelle infoinfrastruktuuris andmeid säilitatakse, töödeldakse või edastatakse. maksekaardid, samuti organisatsioonidele, kes võivad nende andmete turvalisust mõjutada. Standardi eesmärk on üsna ilmne – tagada maksekaartide turvalisus. Alates 2012. aasta keskpaigast peavad kõik WPC-de säilitamise, töötlemise ja edastamisega seotud organisatsioonid järgima nõudeid. PCI DSS ja ettevõtted territooriumil Venemaa Föderatsioon ei ole erand. Et mõista, kas teie organisatsioonile kehtib standardi nõuete kohustuslik täitmine PCI DSS , soovitame kasutada lihtsat plokkskeemi.

Esimene samm on vastata kahele küsimusele:

  • Kas teie organisatsioonis säilitatakse, töödeldakse või edastatakse maksekaardi andmeid?
  • Kas teie organisatsiooni äriprotsessid võivad maksekaardiandmete turvalisust otseselt mõjutada?
    •

Kui vastused mõlemale küsimusele on eitavad, hankige sertifikaat vastavalt PCI DSS pole tarvis. Vähemalt ühe positiivse vastuse korral, nagu on näha jooniselt 1, on standardile vastavus vajalik.

2. Millised on PCI DSS nõuded?

Standardile vastavus eeldab nõuete täitmist, mis on kokku võetud kaheteistkümnes jaotises, mis on toodud allolevas tabelis:


Kui veidi süveneda, siis standard nõuab umbes 440 taatlusprotseduuri läbimist, mis peaks nõuetele vastavuse kontrollimisel andma positiivse tulemuse.

3. Kuidas ma saan tõendada vastavust PCI DSS standardile?

Standardi nõuetele vastavuse kinnitamiseks on erinevaid viise PCI DSS , mis seisnevad läbiviimises välisaudit (QSA) , siseaudit (ISA) või Enesehindamine Q (SAQ) organisatsioonid.

Iga nende omadused on illustreeritud tabelis.


Vaatamata esitatud meetodite näilisele lihtsusele, tekib klientidel sageli arusaamatusi ja raskusi sobiva meetodi valikul. Selle näiteks on allpool esilekerkivad küsimused.

4. Millises olukorras on vaja läbi viia välisaudit ja millises - siseaudit? Või piisab sellest, kui piirdume organisatsiooni enesehinnanguga?

Vastused neile küsimustele sõltuvad organisatsiooni tüübist ja aastas töödeldavate tehingute arvust. See ei saa olla juhuslik valik, kuna on dokumenteeritud reeglid, mis reguleerivad, millist meetodit organisatsioon standardile vastavuse tõendamiseks kasutab. Kõik need nõuded on kehtestatud rahvusvaheliselt maksesüsteemid, on neist Venemaal populaarseimad Visa Ja MasterCard. On olemas isegi klassifikatsioon, mille järgi eristatakse kahte tüüpi organisatsioone: kaubandus- teenindusettevõtted (kaupmehed) ja teenusepakkujad.

Kaubandus- ja teenindusettevõte on organisatsioon, mis aktsepteerib maksekaarte kaupade ja teenuste eest tasumiseks (poed, restoranid, veebipoed, tanklad jne). Kaubandus- ja teenindusettevõte on organisatsioon, mis aktsepteerib kaupade ja teenuste eest tasumiseks maksekaarte (poed, restoranid, veebipoed, tanklad jne).

Sõltuvalt aastas töödeldud tehingute arvust võidakse kaupmehed ja teenusepakkujad liigitada erinevatesse tasanditesse.

Oletame, et kaubandus- ja teenindusettevõte töötleb e-kaubandust kasutades kuni 1 miljon tehingut aastas. Klassifikatsiooni järgi Visa Ja MasterCard(Joonis 2) organisatsioon hakkab kuuluma tasemele 3. Seega, et kinnitada vastavust PCI DSS Kord kvartalis on vaja läbi viia ASV (Approved Scanning Vendor) infoinfrastruktuuri komponentide haavatavuste väliskontroll ja iga-aastane SAQ enesehindamine. Sel juhul ei pea organisatsioon koguma tõendeid vastavuse kohta, kuna see pole praeguse taseme jaoks vajalik. Aruandlusdokumendiks on täidetud SAQ enesehinnanguleht.

ASV skannimine (kinnitatud skannimise tarnija)— kõigi infoinfrastruktuuri Interneti-ühenduspunktide automaatne kontroll, et tuvastada turvaauke. Vastavalt PCI DSS standardi nõuetele tuleks seda protseduuri teha kord kvartalis.

Või võtame näiteks pilveteenuse pakkuja, kes töötleb aastas üle 300 tuhande tehingu. Vastavalt kehtestatud klassifikatsioonile Visa või MasterCard, klassifitseeritakse teenusepakkuja 1. tasemele. See tähendab, nagu näidatud joonisel 2, on vaja kord kvartalis läbi viia USA teabeinfrastruktuuri komponentide haavatavuste väliskontroll ja iga-aastane väline QSA audit.

Väärib märkimist, et kaupade või teenuste eest tasumiseks maksekaartide vastuvõtmise protsessis osalev pank ehk nn vastuvõttev pank, samuti rahvusvahelised maksesüsteemid (IPS ) saavad ümber määratleda nendega seotud kaubandus- ja teenindusettevõtte või kasutatava teenusepakkuja taseme vastavalt nendele enda hinnang riske. Määratud tase on ülimuslik joonisel 2 näidatud rahvusvahelise maksesüsteemi klassifikatsiooni suhtes.

Maksekaarditööstuse andmeturbe standard PCI DSS kirjeldab infoturbe nõudeid ja on rakendatav kõikidele organisatsioonidele, mis töötlevad, salvestavad ja edastavad kaardiomanike andmeid. Visa kaardid, MasterCard, JCB, Discover, American Express. Selliste organisatsioonide hulka kuuluvad pangad, jaekauplused, e-kaubandussüsteemid, makselahenduste pakkujad, andmekeskused ja teised.

Organisatsiooni PCI DSS standardi kohane sertifitseerimisskeem sõltub tema rollist makseprotsessis ja töödeldavate kaardiomanike andmete hulgast. Näiteks kaaluge teenusepakkujate sertifitseerimist, mille hulka kuuluvad pangad, makseväravad ja andmekeskused. Kui töödeldavate kaardiandmete maht ületab 300 000 tehingut aastas, peavad sellised organisatsioonid läbima iga-aastase QSA sertifitseerimisauditi ja tegema automaatse ASV-skanni võrgu haavatavuste osas. Vähemate tehingute tegemiseks täitke lihtsalt enesehinnangu küsimustik (SAQ) ja viige läbi ASV skannimine.

Kuid olenemata vastavuse kinnitamise viisist peavad standardi nõuded olema täielikult täidetud makseinfrastruktuurile eraldatud võrgusegmendis. Selle probleemi lahendamiseks pakume spetsiaalset konsultatsiooniteenuste komplekti, mida ühendab eesmärk rakendada organisatsioonis PCI DSS ja selle hilisem sertifitseerimine vastavalt sellele standardile.


PCI DSS (Payment Card Industry Data Security Standard) on dokument, mis kirjeldab reegleid maksekaardi omanike teabe turvalisuse tagamiseks selle töötlemise, edastamise või säilitamise ajal.

PCI DSS-standardi töötas välja maksekaartide tööstuse turvastandardite nõukogu (PCI SSC). PCI SSC asutasid juhtivad rahvusvahelised maksesüsteemid - Visa, MasterCard, American Express, JCB, Discover. PCI SSC avaldab oma tegevuse kohta teavet oma veebisaidil.

PCI DSS standardi nõuded kehtivad organisatsioonidele, mis töötlevad maksekaardi omanike kohta teavet. Kui organisatsioon salvestab, töötleb või edastab aasta jooksul teavet vähemalt ühe kaarditehingu või maksekaardi omaniku kohta, siis peab see vastama PCI DSS standardi nõuetele. Sellisteks organisatsioonideks on näiteks kaubandus- ja teenindusettevõtted (jaekauplused ja e-kaubanduse teenused), samuti kaarditeabe töötlemise, säilitamise ja edastamisega seotud teenusepakkujad (töötluskeskused, makseväravad, kõnekeskused, andmekandjad). varukoopiad andmed, kaardi isikupärastamisega seotud organisatsioonid jne).

Viies oma infotaristu vastavusse PCI DSS nõuetega, tõstate oma kaardiandmete töötlemise keskkonna turvataset. Seda tehes vähendate infoturbeintsidentidest tuleneva rahalise kahju riski ja täidate rahvusvaheliste maksesüsteemide nõuet järgida seda standardit.

PCI DSS standardi nõuete täitmise põhieesmärk on infotaristu turvalisuse taseme tõstmine, just seetõttu on standard välja töötatud. Sellest võime järeldada, et standard on kasulik kõigile, kes mõtlevad oma teabe turvalisusele.

PCI DSS-standard sisaldab üksikasjalikke teabeturbenõudeid, mis on jagatud 12 temaatiliseks osaks:

  • tulemüüride kasutamine;
  • seadmete seadistamise eeskirjad;
  • maksekaardi omanike kohta salvestatud andmete kaitse;
  • krüptograafiliste kaitsevahendite kasutamine andmete edastamisel;
  • viirusevastaste ainete kasutamine;
  • rakenduste ja süsteemide turvaline arendamine ja tugi;
  • kasutajate andmetele juurdepääsu haldamine;
  • konto haldamine;
  • füüsilise turvalisuse tagamine;
  • andmeturbe monitooring;
  • süsteemide regulaarne testimine;
  • infoturbepoliitika arendamine ja toetamine.

PCI DSS standard ei sisalda nõudeid konkreetsete tehniliste lahenduste, riistvaramudelite ja tarkvaraversioonide kasutamiseks. PCI DSS seab nõuded infoturbe protsesside korraldusele, infoturbe tööriistade funktsionaalsusele, nende konfigureerimisele ja rakenduste seadistustele.

Saate alla laadida PCI DSS-standardi praeguse versiooni 1.2.

Kõik PCI DSS nõuded on kohustuslikud. Teatud nõuded ei pruugi teie organisatsioonile kehtida infotaristu teatud komponentide puudumise tõttu, näiteks kui te ei kasuta traadita võrke, siis teie ettevõttele ei kehti traadita võrgu turvanõuded. Kui te ei suuda täita teatud standardi nõuet seaduse, äriprotsesside või tehnoloogiaga kehtestatud piirangute tõttu, võite kasutada kompenseerivaid meetmeid. Tasandusmeetmete valiku põhireegel on, et tasandusmeede peab vähendama standardi nõudega samasugust riski, mida piirangute tõttu ei ole võimalik täita.

PCI DSS standardi nõuded kehtivad süsteemidele, mida kasutatakse maksekaardi omanike andmete töötlemiseks, säilitamiseks ja edastamiseks, samuti süsteemidele, millel on nendega võrguühendus (süsteemid, mille ühendusi ei kaitse tulemüür).

Jah, üksikud sularahaautomaatide alamsüsteemid, mis on seotud maksekaardi omanike andmete töötlemise, salvestamise ja edastamisega, kuuluvad PCI DSS standardi kohaldamisalasse.

PCI standardi arenedes teeb SSC tekstis muudatusi ja avaldab dokumendi uued versioonid veebisaidil www.pcisecuritystandards.org. Alates 1. oktoobrist 2008 kuni praeguseni on kehtiv PCI DSS standardi versioon 1.2.

Vastavalt rahvusvaheliste maksesüsteemide poolt kehtestatud PCI DSS nõuetele vastavuse kontrolli programmidele on mitmed organisatsioonid kohustatud läbima iga-aastase auditi. Kaupmeeste ja teenusepakkujate vastavustestiprogrammid on erinevad.

Kaupmehed, kes teevad aastas üle kuue miljoni kaarditehingu, peavad läbima iga-aastase auditi. Teenusepakkujate osas rahvusvaheline makse VISA süsteem nõuab iga-aastast auditit kõigis töötlemiskeskustes ja teenusepakkujates, kes töötlevad rohkem kui 300 000 tehingut aastas, ning MasterCard nõuab, et kõik töötlemiskeskused ja teenusepakkujad töötleksid üle ühe miljoni tehingu aastas. Leiate PCI DSS-i vastavuskontrolli protseduuride üksikasjaliku kirjelduse.

QSA (Qualified Security Assessor) staatusega ettevõtetel on õigus PCI DSS standardile vastavuse kontrollimiseks läbi viia auditeid. Selle staatusega ettevõtete ametlik nimekiri on saadaval PCI SSC veebisaidil. QSA staatusega ettevõte peab kasutama sertifitseeritud QSA audiitoreid.

Auditi ajastus sõltub PCI DSS standardi ulatuse suurusest, aga ka ettevõtte infrastruktuuri omadustest. Keskmiselt kestab audit ettevõtte objektil kolm päeva.

Teie infoinfrastruktuuri standardi nõuetele vastavuse auditi tulemuste põhjal koostab QSA audiitor vastavusaruande, mis sisaldab üksikasjalikku teavet iga PCI DSS nõude rakendamise kohta. Auditi tulemused annavad ülevaate sellest, kuhu tuleks esmalt suunata ressursse maksekaarditöötluskeskkonna turvalisuse parandamiseks.

Rahvusvaheliste maksesüsteemide nõuete kohaselt tuleb infotaristu ebakõlade tuvastamisel PCI DSS standardi nõuetega koostada tegevuskava nende kõrvaldamiseks. Tegevuskava koostamisel on abiks vastavuskontrolli teostanud QSA audiitori soovitused.

Rahvusvahelised maksesüsteemid näevad ette karistuste määramise organisatsioonidele, kes peavad läbima iga-aastase välisauditi PCI DSS-i vastavuse kohta, kuid ei läbi seda.

Sel juhul tuleb rahvusvaheliste maksesüsteemide iga-aastase välisauditi nõude täitmiseks muuta turvapoliitikat, mis peab PCI DSS-i järgi arvestama kõigi standardi nõuetega.

Vastavussertifikaat väljastatakse pärast auditit, kui ettevõtte maksete infrastruktuur vastab täielikult PCI DSS standardi nõuetele.

Väliste ja sisemiste läbitungimiskatsete läbiviimist reguleerib PCI DSS standardi nõue 11.3. Läbipääsutest tuleks läbi viia igal aastal ja ka pärast seda, kui ettevõtte maksete infrastruktuuris on tehtud olulisi muudatusi. Sissetungimise katse, mille teostab spetsialist, kes rakendab turvaaukude komplekti vastavalt antud ründaja mudelile, näitab selgelt maksekeskkonna turvalisuse taset. Pange tähele, et spetsialisti tehtud läbitungimistestil pole automatiseeritud skaneerimisega midagi ühist.

Ettevõtte makseinfrastruktuuri välisperimeetri kord kvartalis skaneerimine, mida teostab heakskiidetud skannimismüüja (ASV), on PCI DSS-i vastavusprotseduuride kohustuslik osa. Leiate PCI DSS-i vastavuskontrolli protseduuride üksikasjaliku kirjelduse.

Kui te pole oma küsimusele vastust leidnud, ärge heitke meelt. Saatke see meile ja proovime hea meelega esimesel võimalusel vastata.

Perekonnanimi ja eesnimi:

E-post:

Visa ja MasterCard on viimasel ajal üha enam nõudnud PCI DSS-i vastavust nii makselüüsidelt, nendega ühendatud kaupmeestelt kui ka teenusepakkujatelt, mis võivad mõjutada kaardiandmete turvalisust. Sellega seoses muutub PCI DSS-standardile vastavuse küsimus oluliseks mitte ainult suuremad tegijad maksekaarditööstusele, aga ka väikestele kaubandus- ja teenindusettevõtetele. Selles artiklis vastame peamistele küsimustele, mis puudutavad organisatsioone, kes seisavad silmitsi PCI DSS-i sertifitseerimise ülesandega.


PCI DSS-i KKK neile, kes on huvitatud sertifitseerimisest


# Keda hõlmab PCI DSS?

Esiteks määratleb standard nõuded organisatsioonidele, kelle infoinfrastruktuuris maksekaardiandmeid hoitakse, töödeldakse või edastatakse, aga ka organisatsioonidele, kes saavad nende andmete turvalisust mõjutada. Standardi eesmärk on üsna ilmne – tagada maksekaartide turvalisus. Alates 2012. aasta keskpaigast peavad kõik DPC salvestamise, töötlemise ja edastamisega seotud organisatsioonid järgima PCI DSS nõudeid ning Venemaa Föderatsiooni ettevõtted pole erandiks.

Et mõista, kas teie organisatsioon peab järgima PCI DSS-i kohustuslikku vastavust, soovitame kasutada lihtsat vooskeemi.

Joonis 1. PCI DSS-i vastavuse vajaduse kindlaksmääramine


Esimene samm on vastata kahele küsimusele:
  • Kas teie organisatsioonis säilitatakse, töödeldakse või edastatakse maksekaardi andmeid?
  • Kas teie organisatsiooni äriprotsessid võivad maksekaardiandmete turvalisust otseselt mõjutada?
Kui vastused mõlemale küsimusele on eitavad, ei ole vaja saada PCI DSS sertifikaati. Vähemalt ühe positiivse vastuse korral, nagu on näha jooniselt 1, on standardile vastavus vajalik.

# Millised on PCI DSS-i nõuded?

Standardi täitmiseks peavad olema täidetud nõuded, mis on kokku võetud allolevas tabelis näidatud kaheteistkümnes jaotises.

Tabel 1. PCI DSS standardi tipptaseme nõuded

Kui veidi süveneda, siis standard nõuab umbes 440 taatlusprotseduuri läbimist, mis peaks nõuetele vastavuse kontrollimisel andma positiivse tulemuse.

# Kuidas saate kinnitada vastavust PCI DSS standardile?
PCI DSS-i nõuetele vastavuse kinnitamiseks on mitmeid viise, sealhulgas: organisatsiooni välisaudit (QSA), siseaudit (ISA) või enesehinnang (SAQ). Iga nende omadused on illustreeritud tabelis.


Tabel 2. PCI DSS standardile vastavuse kinnitamise meetodid


Välise auditi QSA (kvalifitseeritud turbehindaja)
ISA siseaudit
(Siseturvalisuse hindaja)
Enesehindamine SAQ
(Enesehindamise küsimustik)
Esitatud välised auditeerimisorganisatsioon QSA, sertifitseeritud PCI SSC nõukogu poolt.Esitatud sisemine koolitatud ja sertifitseeritud PCI SSC nõukogu programmi alusel audiitor.Saab läbi viia ainult siis, kui esmane vastavus on kinnitatud QSA auditiga.Esitatud omapäi täites enesehinnangulehe.
Kontrolli tulemusena QSA audiitorid koguda tõendid rakendamise kohta Kontrolli tulemusena ISA audiitorid, nagu välisauditi puhul, koguda tõendid rakendamise kohta standardi nõuetele ja säilitama neid kolm aastat.Tõendite kogumine vastavad standardi nõuetele pole nõutud.
Auditi tulemuste põhjal koostatakse vastavusaruanne- ROC(vastavuse aruanne).Isetäituv SAQ enesehinnanguleht.
Vaatamata esitatud meetodite näilisele lihtsusele, tekib klientidel sageli arusaamatusi ja raskusi sobiva meetodi valikul. Selle näiteks on allpool esilekerkivad küsimused.

# Millises olukorras ja millises olukorras on vaja läbi viia välisaudit- interjöör? Või piisab sellest, kui piirdume organisatsiooni enesehinnanguga?

Vastused neile küsimustele sõltuvad organisatsiooni tüübist ja aastas töödeldavate tehingute arvust. See ei saa olla juhuslik valik, kuna on dokumenteeritud reeglid, mis reguleerivad, millist meetodit organisatsioon standardile vastavuse tõendamiseks kasutab. Kõik need nõuded on kehtestatud rahvusvaheliste maksesüsteemidega, millest Venemaal on populaarseimad Visa ja MasterCard. On olemas isegi klassifikatsioon, mille järgi eristatakse kahte tüüpi organisatsioone: kaubandus- ja teenindusettevõtted (kaupmehed) ning teenusepakkujad.

Sõltuvalt aastas töödeldud tehingute arvust võidakse kaupmehed ja teenusepakkujad liigitada erinevatesse tasanditesse.

Oletame, et kaubandus- ja teenindusettevõte töötleb e-kaubandust kasutades kuni 1 miljon tehingut aastas. Visa ja MasterCardi klassifikatsiooni järgi (joonis 2) hakkab organisatsioon kuuluma 3. tasemele. Seetõttu on PCI DSS-i järgimise kinnitamiseks vaja läbi viia kord kvartalis väline kontroll infoinfrastruktuuri komponentide USA (kinnitatud) haavatavuste kohta. Scanning Vendor) ja iga-aastane enesehindamine SAQ. Sel juhul ei pea organisatsioon koguma tõendeid vastavuse kohta, kuna see pole praeguse taseme jaoks vajalik. Aruandlusdokumendiks on täidetud SAQ enesehinnanguleht.

Või võtame näiteks pilveteenuse pakkuja, kes töötleb aastas üle 300 tuhande tehingu. Vastavalt kehtestatud Visa või MasterCardi klassifikatsioonile klassifitseeritakse teenusepakkuja tasemele 1. See tähendab, et nagu näidatud joonisel 2, tuleb kord kvartalis läbi viia USA infoinfrastruktuuri komponentide haavatavuste väliskontroll, samuti iga-aastane väline QSA audit.

Joonis 2. PCI DSS standardile vastavuse kinnitamise tasemete klassifikatsioon ja nõuded

# Kas ASV skannimistähtaegade ühekordne rikkumine kujutab endast tõsist ohtu PCI DSS-i vastavuse seisukohast?

Organisatsioon, mis saab PCI DSS-i staatuse, peab regulaarselt täitma teatud nõudeid, näiteks tegema kord kvartalis ASV skaneeringuid. Esmase auditi käigus piisab dokumenteeritud ASV skannimisprotseduurist ja vähemalt ühe eduka teostuse tulemustest viimase kolme kuu jooksul. Kõik järgnevad skaneeringud peaksid olema kord kvartalis, ajaperiood ei tohiks ületada kolme kuud.
Välise haavatavuse skaneerimise ajakava rikkumine toob kaasa täiendavate nõuete kehtestamise organisatsiooni infoturbe juhtimissüsteemile. Esiteks on ikkagi vaja läbi viia ASV-skannimine turvaaukude leidmiseks ja saada "roheline" aruanne. Ja teiseks on vaja välja töötada täiendav kord, mis ei võimalda tulevikus selliseid ajakava rikkumisi.

Lõpuks

Peamised järeldused võib väljendada Deuterium LLC infoturbeinseneri Peter Šapovalovi tsitaadis:

"Vaatamata sellele, et Vene Föderatsiooni territooriumil oma Riiklik süsteem maksekaarte (NSCP), rahvusvaheliste maksesüsteemide nõudeid ei ole kaotatud. Vastupidi, viimasel ajal on Visa ja MasterCard sagenenud kirju vastuvõtvatele pankadele, et viimased nõuavad PCI DSS standardi järgimist nii makselüüsidelt, nendega ühendatud kaupmeestelt kui ka teenusepakkujatelt, kes võivad mõjutada kaardi turvalisust. andmed . Sellega seoses muutub PCI DSS standardile vastavuse küsimus oluliseks mitte ainult maksekaarditööstuse suurtele tegijatele, vaid ka väikestele kaupmees- ja teenindusettevõtetele.

Asjakohane Venemaa turg on nüüd hallatavate teenuste teenus. See seisneb selles, et teenusepakkuja ei paku klientidele rendile mitte ainult seadmeid või virtuaalset infoinfrastruktuuri, vaid ka teenuseid selle haldamiseks vastavalt PCI DSS standardi nõuetele. See on eriti kasulik väikestele kaubandus- ja teenindusettevõtetele, kellel pole oma osakondi infotehnoloogiad ja infoturbe. Sertifitseeritud teenusepakkujate poole pöördumine aitab oluliselt lihtsustada kaupmeeste jaoks PCI DSS sertifitseerimisprotsessi ja tagada maksekaardi andmete kaitse õigel tasemel.

Näitena juhitud PCI DSS-teenuseid (mitte ainult PCI DSS-i taristu rentimist, vaid ka selle standardi nõuetekohast haldust) pakkuvast ettevõttest võib tuua

Standardi kohta

PCI DSS (Payment Card Industry Data Security Standard) on maksekaarditööstuse andmeturbe standard, mille on välja töötanud Payment Card Industry Security Standards Council (PCI SSC), mille lõid Visa, MasterCard, American Express, JCB ja Discover.

Standardi nõuded kehtivad kõikidele rahvusvaheliste maksesüsteemidega töötavatele ettevõtetele: pangad, kaubandus- ja teenindusettevõtted, tehnoloogiateenuste pakkujad ja muud organisatsioonid, kelle tegevus on seotud maksekaardi omanike andmete töötlemise, edastamise ja säilitamisega.

PCI DSS – põhjalik turvajuhend

PCI DSS standard esitab nõuded infrastruktuuri komponentide turvalisusele, milles edastatakse, töödeldakse või salvestatakse teavet maksekaartide kohta. Makseinfrastruktuuri nendele nõuetele vastavuse kontrollimisel ilmnevad põhjused, mis vähendavad oluliselt selle turvalisuse taset. Läbitungimistestid, mis sisalduvad PCI DSS standardiga reguleeritud kohustuslike tegevuste nimekirjas, näitavad ettevõtte inforessursside tegelikku turvalisuse taset nii väljaspool uuritavat perimeetrit paikneva ründaja kui ka kasutaja positsioonilt. ettevõtte töötaja, kellel on juurdepääs "seestpoolt".

PCI DSS nõukogu on andmekaitse korraldamise võtmenõuded sõnastanud dokumendis „Maksekaarditööstuse andmeturbe standard (PCI DSS). Ohutuse hindamise nõuded ja protseduurid. Versioon 3.0". Need nõuded on rühmitatud nii, et lihtsustada turvaauditi protseduuri.

Laadige alla PCI DSS vene keeles.

PCI DSS-i turvalisuse hindamise nõuded ja protseduurid

Ehitage ja hooldage turvalisi võrke ja süsteeme

  • Nõue 1: „Kaardiomanike andmete kaitsmiseks tuleb luua ja säilitada tulemüüri konfiguratsioonid.”
  • Nõue 2. "Ärge kasutage süsteemi paroole ja muid tootja poolt vaikimisi seatud turvasätteid."

Kaitske kaardiomaniku andmeid

  • Nõue 3. "Kaitske kaardiomaniku salvestatud andmeid."
  • Nõue 4: "Krüptige kaardiomaniku andmed, kui neid edastatakse avalike võrkude kaudu."

Haavatavuse haldamise programmi haldamine

  • Nõue 5: "Kaitske kõiki süsteeme pahavara eest ja värskendage regulaarselt viirusetõrjetarkvara."
  • Nõue 6: "Turvaliste süsteemide ja rakenduste arendamine ja hooldamine."

Rakendage rangeid juurdepääsukontrolli meetmeid

  • Nõue 7. Piirata juurdepääsu kaardiomaniku andmetele vastavalt ärivajadustele.
  • Nõue 8: "Tuvastage ja autentige juurdepääs süsteemikomponentidele."
  • Nõue 9. Piirata füüsilist juurdepääsu kaardiomaniku andmetele.

Teostage regulaarselt võrkude jälgimist ja testimist

  • Nõue 10: "Jälgige ja jälgige kogu juurdepääsu võrguressurssidele ja kaardiomanike andmetele."
  • Nõue 11. "Turvasüsteemide ja -protsesside korrapärane testimine"

Hoidke infoturbepoliitikat

  • Nõue 12. "Kõigi töötajate infoturbepoliitika säilitamine."

“Prospektiivne monitooring” aitab pankadel, kaubandus- ja teenindusettevõtetel ning finantsteenuste arendajatel valmistuda PCI DSS-i vastavuse auditiks ning pakub asjatundlikku tuge standardi nõuete täitmisel.