Стандарт безопасности данных индустрии платежных карт - PCI DSS

Стандарт безопасности данных индустрии платежных карт - PCI DSS

Злоумышленники, занимающиеся мошенничеством с кредитными картами, каждый год зарабатывают миллиарды долларов. Совершенно очевидно, что киберпреступники (все еще) впереди в войне за кредитные карты. Защита информации о клиентах и платежах должна стать приоритетом для потребителей, предприятий и банков, чтобы положить конец мошенничеству с кредитными картами.

Соответствие индустрии платежных карт (PCI) относится к стандартам, которых компании должны придерживаться для обработки платежной информации в Интернете. Эти передовые методы в совокупности известны как Стандарт безопасности данных индустрии платежных карт Payment Card Industry Data Security Standard (PCI DSS), и они были созданы Советом по стандартам безопасности PCI (PCI SSC). PCI DSS – это набор передовых методов, который работает для усиления контроля и защиты данных о держателях карт при одновременном сокращении мошенничества с кредитными картами.

Соблюдение требований PCI является демонстрацией того, что компания предприняла шаги для защиты своих систем и инфраструктуры. Когда вы делаете свой бизнес совместимым с PCI, это означает значительный прогресс в защите ваших клиентов от утечки данных и защите вашего бизнеса от кибератак. Если ваша компания обрабатывает платежи в Интернете, то соответствие стандартам PCI – в ваших интересах.

Кому нужно соответствие PCI?

Соответствие PCI необходимо для любого бизнеса, который обрабатывает, хранит или передает данные кредитных карт и другую конфиденциальную информацию, независимо от размера компании. Поскольку мы живем во времена широкого распространения электронной коммерции, это относится к большинству предприятий. Такие компании должны подтверждать свое соответствие каждый год или раз в квартал, привлекая сертифицированного эксперта или компанию, имеющую квалификацию, чтобы определить, правильно ли они проводят транзакции. Они подвергаются аудиту, который, образно говоря, дает представление о том, как они взаимодействуют с клиентами и обрабатывают информацию, которая позволяет совершать транзакции.

Разные предприятия будут придерживаться разных стандартов в зависимости от количества транзакций по кредитным картам, которые они обрабатывают.

Но размер бизнеса, объем транзакций или характер того, как они обрабатываются, не должны удерживать руководство от соблюдения требований PCI. Даже если вы владелец небольшого бизнеса со сторонней обработкой транзакций, и вам кажется, что вы не представляете стоящей цели для киберпреступников, вы все равно можете оказаться одной из многих жертв.

Компании, которые не соблюдают правила в полном объеме, в конечном итоге оказываются в очереди на выплату штрафов Совету по стандартам безопасности PCI. Это делает соблюдение требований PCI стоящим делом для любого бизнеса, который обрабатывает онлайн-платежи, хочет защитить свою репутацию и одновременно хочет защитить данные своих клиентов. Финансовые последствия несоблюдения правил выходят за рамки того, что кражи данных ваших клиентов– ведь вас также могут заставить заплатить за игнорирование правил. Путь к соблюдению требований PCI может быть технически сложным, но его стоит пройти, если вы хотите защитить свой бизнес в будущем, защитить данные своих клиентов и одновременно защитить свою репутацию.

В чем преимущества, когда PCI DSS стандарты соблюдены?

Компания, предлагающая платежи по кредитным картам, соответствующая стандарту PCI DSS, не только получает доверие в глазах потенциальных клиентов, но также открывает рынок для клиентов, предпочитающих метод оплаты кредитной картой. Например, стартапы и компании в процессе создания должны знать, что оплата кредитной картой может быть предложена в качестве варианта только при соблюдении правил PCI DSS стандарта.

Как получить соответствие стандарту PCI DSS?

Двенадцать требований PCI DSS представляют собой набор мер безопасности, которые организации должны внедрить для защиты информации о кредитных картах и соблюдения Стандарта безопасности данных индустрии платежных карт (PCI DSS).

Любая организация, обрабатывающая данные с карт с функцией оплаты, включая дебетовые и кредитные карты, должна соответствовать двенадцати требованиям. Несоблюдение двенадцати требований может привести к штрафам или отзыву разрешения на обработку данных кредитных карт.

  1. Необходимо установить и поддерживать конфигурацию брандмауэра таким образом, чтобы данные владельца кредитной карты были защищены.
  2. Ни в коем случае нельзя использовать стандартные пароли и игнорировать важные параметры безопасности.
  3. Третье требование состоит в защите сохраненных данных держателя карты, информация о которой была получена Вами.
  4. Необходимо использовать шифрование при передаче данных кредитной карты по открытым и общедоступным сетям.
  5. Вы должны использовать и регулярно обновлять антивирусное ПО.
  6. Системы безопасности и приложений должны сопровождаться соответствующими компетентными специалистами.
  7. Доступ к данным держателей кредитных карт должен быть ограничен до круга лиц, которым он абсолютно необходим.
  8. Каждому клиенту должен быть присвоен уникальный идентификатор.
  9. Физический доступ к данным держателя кредитной карты должен быть ограничен.
  10. Доступ к сетевым ресурсам и данным держателей кредитных карт должен находиться под постоянным мониторингом и записываться.
  11. Необходимо проводить регулярные тесты систем безопасности и связанных с ними процессов.
  12. Нужно создать и всегда поддерживать политику информационной безопасности.

Теперь вопрос «PCI DSS как получить?» не будет для вас сложным, а станет осуществимым благодаря внедрению данных 12 пунктов и решений, далее предлагаемых нами для его внедрения.

Решение Tufin Orchestration Suite для обеспечения непрерывного соответствия требованиям стандарта PCI DSS и готовности к аудиту

ИТ-менеджеры и внутренние аудиторы PCI должны проводить периодические проверки каждые шесть месяцев. Команды сетевой безопасности не могут вручную интегрировать новые политики, управления и тестирования, необходимые для соответствия, при этом сохраняя обычный рабочий процесс. Многочисленные устройства безопасности (брандмауэры, маршрутизаторы и другие) руководствуются сотнями и тысячами правил, что в сумме составляет чрезвычайно сложную корпоративную сетевую среду. Поддержание постоянного соответствия последней версии PCI DSS требует правильного набора инструментов и автоматизированных решений.

Tufin Orchestration Suite поддерживает постоянное соответствие стандарту PCI DSS v3.2:

  • Сокращает время и усилия, необходимые для готовности к аудиту, до 70%
  • Дает возможность внедрения совместимых изменений сетевой безопасности за считанные минуты вместо дней для повышения гибкости
  • Повышает контроль с помощью единой консоли для определения сетевых зон и управления сегментацией
  • Выполняет упреждающий анализ рисков, чтобы избежать нарушений нормативных требований и политики безопасности
  • Использует гибкие настраиваемые рабочие процессы для полной интеграции в корпоративные процессы ITSM
  • Обеспечивает автоматическое выделение ресурсов и сквозную оркестровку для сред с несколькими поставщиками, чтобы уменьшить сложность и уменьшить количество ошибок, связанных с человеческим фактором

Таким образом, если защита платежной информации является неотъемлемой частью вашего основного бизнеса, соблюдение стандартов PCI DSS имеет важное значение.

Нужна помощь в начале работы? Свяжитесь с ESKA сегодня!

BAS платформа Cymulate

Безусловно, что для соблюдения PCI наличие нескольких уровней защиты и безопасной модели защиты данных, сочетающей в себе физические и виртуальные методы безопасности, необходимо, но этого недостаточно. Ведь как мы знаем, нет предела совершенству, а в кибербезопасности – и подавно.

Организации могут добиться еще большего, если будут использовать BAS платформу от Cymulate, чтобы проверить, насколько уязвимы их сеть и данные кредитных карт для кибератак. После установки платформа выполняет наступательные действия, чтобы выявить критические уязвимости. В частности, платформа имитирует многовекторные кибератаки с точки зрения злоумышленника. Это позволяет организации, совместимой с PCI, принимать превентивные меры до того, как злоумышленник получит шанс воспользоваться слабыми местами вашей системы и украсть клиентские данные.

Чтобы помочь всем предприятиям, которые должны соответствовать требованиям PCI, Cymulate сделал процедуру тестирования быстрой и простой – она проводится по запросу, в любое время и в любом месте. Вместо того, чтобы использовать платформу для ежегодной оценки рисков, Cymulate рекомендует проводить более частые оценки (не реже одного раза в месяц) в зависимости от возможностей и ресурсов организации.

Хотите узнать, сможет ли ваша организация противостоять кибератаке, направленной на данные кредитных карт клиентов? Вы хотите знать, соответствует ли ваша система безопасности стандарту безопасности данных PCI (PCI DSS)? Если да, то вы можете проверить эффективность средств контроля безопасности против возможных киберугроз с помощью 14-дневной пробной версии платформы Cymulate и всегда оставаться совместимыми с PCI.

Подробнее о Tufin

Подробнее о Cymulate

Бесплатный пилот Cymulate