Стандарт безпеки даних індустрії платіжних карток - PCI DSS
Зловмисники, які займаються шахрайством із кредитними картками, щороку заробляють мільярди доларів. Цілком очевидно, що кіберзлочинці (все ще) попереду у війні за кредитні картки. Захист інформації про клієнтів та платежі має стати пріоритетом для споживачів, підприємств та банків, щоб покласти край шахрайству з кредитними картками.
Відповідність індустрії платіжних карток (PCI) відноситься до стандартів, яких компанії повинні дотримуватись для обробки платіжної інформації в Інтернеті. Ці передові методи разом відомі як Стандарт безпеки даних індустрії платіжних карток Payment Card Industry Data Security Standard (PCI DSS), і вони були створені Радою стандартів безпеки PCI (PCI SSC). PCI DSS – це набір передових методів, який працює для посилення контролю та захисту даних про власників карток при одночасному скороченні шахрайства з кредитними картками.
Дотримання вимог PCI є демонстрацією того, що компанія зробила кроки для захисту своїх систем та інфраструктури. Коли ви робите свій бізнес сумісним із PCI, це означає значний прогрес у захисті ваших клієнтів від витоку даних та захисті вашого бізнесу від кібератак. Якщо ваша компанія обробляє платежі в Інтернеті, то відповідність стандартам PCI – у ваших інтересах.
Кому потрібна сертифікація PCI?
Відповідність PCI необхідна для будь-якого бізнесу, який обробляє, зберігає або передає дані кредитних карток та іншу конфіденційну інформацію, незалежно від розміру компанії. Оскільки ми живемо за часів поширення електронної комерції, це стосується більшості підприємств. Такі компанії повинні підтверджувати свою відповідність щороку або раз на квартал, залучаючи сертифікованого експерта чи компанію, яка має кваліфікацію, щоб визначити, чи правильно вони проводять транзакції. Вони піддаються аудиту, який, образно кажучи, дає уявлення про те, як вони взаємодіють із клієнтами та обробляють інформацію, що дозволяє здійснювати транзакції.
Різні підприємства дотримуватимуться різних стандартів залежно від кількості транзакцій кредитними картками, які вони обробляють.
Але розмір бізнесу, обсяг транзакцій чи характер того, як вони обробляються, не повинні утримувати керівництво від дотримання вимог PCI. Навіть якщо ви власник невеликого бізнесу зі сторонньою обробкою транзакцій, і вам здається, що ви не уявляєте мети, що стоїть, для кіберзлочинців, ви все одно можете виявитися однією з багатьох жертв.
Компанії, які не дотримуються правил у повному обсязі, зрештою опиняються в черзі на виплату штрафів Раді зі стандартів безпеки PCI. Це робить дотримання вимог PCI справою для будь-якого бізнесу, який обробляє онлайн-платежі, хоче захистити свою репутацію і одночасно хоче захистити дані своїх клієнтів. Фінансові наслідки недотримання правил виходять за межі того, що крадіжки даних ваших клієнтів - адже вас також можуть змусити заплатити за ігнорування правил. Дорога до дотримання вимог PCI може бути технічно складною, але її варто пройти, якщо ви хочете захистити свій бізнес у майбутньому, захистити дані своїх клієнтів і одночасно захистити свою репутацію.
У чому переваги, коли PCI DSS стандарти дотримуються?
Компанія, що пропонує платежі за кредитними картками, відповідає стандарту PCI DSS, не тільки отримує довіру в очах потенційних клієнтів, але також відкриває ринок для клієнтів, які віддають перевагу методу оплати кредитною карткою. Наприклад, стартапи та компанії в процесі створення повинні знати, що оплата кредитною карткою може бути запропонована як варіант лише за дотримання правил PCI DSS стандарту.
Як отримати серифікат PCI DSS?
Дванадцять вимог PCI DSS є набором заходів безпеки, які організації повинні впровадити для захисту інформації про кредитні картки та дотримання Стандарту безпеки даних індустрії платіжних карток (PCI DSS).
Будь-яка організація, яка обробляє дані з карток з функцією оплати, включаючи дебетові та кредитні картки, повинна відповідати дванадцяти вимогам. Недотримання дванадцяти вимог може призвести до штрафів або відкликання дозволу на обробку даних кредитних карток.
1. Необхідно встановити та підтримувати конфігурацію брандмауера таким чином, щоб дані власника кредитної картки були захищені.
2. У жодному разі не можна використовувати стандартні паролі та ігнорувати важливі параметри безпеки.
3. Третя вимога полягає у захисті збережених даних власника картки, інформацію про яку було отримано Вами.
4. Необхідно використовувати шифрування для передачі даних кредитної картки по відкритих і загальнодоступних мережах.
5. Ви повинні використовувати та регулярно оновлювати антивірусне програмне забезпечення.
6. Системи безпеки та додатків повинні супроводжуватись відповідними компетентними фахівцями.
7. Доступ до даних власників кредитних карток має бути обмежений до кола осіб, яким він абсолютно необхідний.
8. Кожному клієнту має бути присвоєний унікальний ідентифікатор.
9. Фізичний доступ до даних власника кредитної картки має бути обмежений.
10. Доступ до мережевих ресурсів та даних власників кредитних карток повинен перебувати під постійним моніторингом та записуватися.
11. Необхідно проводити регулярні тести систем безпеки та пов'язаних із ними процесів.
12. Потрібно створити та завжди підтримувати політику інформаційної безпеки.
Тепер питання "PCI DSS як отримати?" не буде вам складним, а стане здійсненним завдяки впровадженню даних 12 пунктів і рішень, далі запропонованих нами для його впровадження.
Рішення Tufin Orchestration Suite для забезпечення безперервної відповідності вимогам стандарту PCI DSS та готовності до аудиту
ІТ-менеджери та внутрішні аудитори PCI повинні проводити періодичні перевірки кожні шість місяців. Команди мережної безпеки не можуть вручну інтегрувати нові політики, управління та тестування, необхідні для відповідності, зберігаючи при цьому звичайний робочий процес. Численні пристрої безпеки (брандмауери, маршрутизатори та інші) керуються сотнями та тисячами правил, що в сумі становить надзвичайно складне корпоративне мережеве середовище. Підтримка постійної відповідності останньої версії PCI DSS потребує правильного набору інструментів та автоматизованих рішень.
Tufin Orchestration Suite підтримує постійну відповідність стандарту PCI DSS v3.2:
- Скорочує час та зусилля, необхідні для готовності до аудиту, до 70%
- Надає можливість впровадження сумісних змін мережевої безпеки за лічені хвилини замість днів для підвищення гнучкості.
- Підвищує контроль за допомогою єдиної консолі для визначення мережевих зон та управління сегментацією
- Виконує запобіжний аналіз ризиків, щоб уникнути порушень нормативних вимог та політики безпеки
- Використовує гнучкі робочі процеси, що настроюються, для повної інтеграції в корпоративні процеси ITSM
- Забезпечує автоматичне виділення ресурсів та наскрізне оркестрування для середовищ із кількома постачальниками, щоб зменшити складність та зменшити кількість помилок, пов'язаних з людським фактором
Таким чином, якщо захист платіжної інформації є невід'ємною частиною вашого основного бізнесу, дотримання стандартів PCI DSS має важливе значення.
Потрібна допомога на початку роботи? передзвоніть ESKA сьогодні!
BAS платформа Cymulate
Безумовно, що для дотримання PCI наявність декількох рівнів захисту та безпечної моделі захисту даних, що поєднує в собі фізичні та віртуальні методи безпеки, потрібна, але цього недостатньо. Адже, як ми знаємо, немає межі досконалості, а в кібербезпеці – і поготів.
Організації можуть досягти ще більшого, якщо будуть використовувати BAS платформу від Cymulate, щоб перевірити, наскільки вразливі їхня мережа та дані кредитних карток для кібератак. Після встановлення платформа виконує наступальні дії, щоб виявити критичні вразливості. Зокрема, платформа імітує багатовекторні кібератаки з погляду зловмисника. Це дозволяє організації, сумісної з PCI, вживати превентивних заходів до того, як зловмисник отримає шанс скористатися слабкими місцями вашої системи та вкрасти клієнтські дані.
Щоб допомогти всім підприємствам, які повинні відповідати вимогам PCI, Cymulate зробив процедуру тестування швидкою та простою – вона проводиться на запит, у будь-який час та в будь-якому місці. Замість використання платформи для щорічної оцінки ризиків, Cymulate рекомендує проводити більш часті оцінки (не рідше одного разу на місяць) залежно від можливостей та ресурсів організації.
Бажаєте дізнатися, чи зможе ваша організація протистояти кібератаці, спрямованій на дані кредитних карток клієнтів? Ви хочете знати, чи відповідає ваша система безпеки стандарту безпеки даних PCI (PCI DSS)? Якщо так, ви можете перевірити ефективність засобів контролю безпеки проти можливих кіберзагроз за допомогою 14-денної пробної версії платформи Cymulate і завжди залишатися сумісними з PCI.