Як підготуватися до сертифікації PCI DSS? Коротко про найголовніше

Сучасна комерція так чи інакше стикається з електронними способами оплати послуг і товарів, а підприємства стикаються з таким делікатним питанням, як безпека платіжних даних клієнтів. У цій статті ми коротко розповімо про те, що таке стандарт PCI DSS, чому він важливий для вашого бізнесу та як пройти сертифікацію. Читайте далі, щоб дізнатися більше.

Що таке відповідність вимогам безпеки PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безпеки даних для індустрії платіжних карток. Він був розроблений п’ятьма найбільшими платіжними системами: Visa, MasterCard, Discover Financial Services, JCB International і American Express, які у 2006 році сформували Раду стандартів безпеки PCI. І він спрямований на захист транзакцій кредитних і дебетових карток від крадіжки даних і шахрайства. 

PCI DSS не є обов'язковим стандартом, і якщо ви його не використовуєте, то, загалом, ви не порушуєте жодних законів. Однак, якщо ваш бізнес обробляє транзакції з кредитних і дебетових карток згаданих компаній і, відповідно, обробляє та зберігає дані клієнтів, ви повинні його дотримуватися.

За недотримання вимог PCI Data Security Standard (PCI DSS) організація рано чи пізно буде оштрафована на суму від 10 до 200 тисяч доларів. Розмір штрафу залежить від типу платіжної системи, статусу компанії, частоти порушення та деяких інших факторів.

Переваги сертифікації PCI DSS

Переваги сертифікації PCI DSS можна умовно розділити на дві категорії: імідж компанії та технології.

Стандарт диктує певні умови, яких повинна дотримуватися організація. Завдяки цьому підприємство може структурувати критерії, яким необхідно відповідати, щоб забезпечити належну безпеку транзакцій, враховуючи специфіку бізнесу.

Сертифікація PCI DSS дозволяє працювати з банками безпосередньо через платіжні інтерфейси банку і самого підприємства. Це дозволяє виключити перехід покупця на сайт сторонньої організації. Відповідно, знижується ймовірність шахрайства, а також того, що клієнт передумає здійснювати платіж.

Факт успішного аудиту на відповідність стандарту PCI DSS дає зрозуміти вашим клієнтам, що ви дбаєте про безпеку даних власників карток. Відповідно, вони охочіше будуть користуватися вашими послугами, що збільшить дохід від бізнесу.

Загалом відповідність PCI є найкращим способом захисту конфіденційних даних і інформації в цій області. Також наявність сертифіката дозволяє будувати більш довірливі відносини з клієнтами та діловими партнерами.

Рівні відповідності PCI DSS

Оскільки дані власників карток можуть зберігатися не лише компаніями, які займаються торгівлею, а й постачальниками послуг: платіжними посередниками, фінансовими та сервісними компаніями тощо, відповідно, комплаєнс для них дещо інший.

Для торговців існує 4 рівня сертифікатів, які в свою чергу відрізняються максимально можливою кількістю оброблених транзакцій:

Рівень 4: дозволяє обробляти до 20 тисяч транзакцій на рік. Потрібне щоквартальне сканування мережі схваленим постачальником сканування (ASV), а також заповнення анкети для самооцінки (SAQ).

3 рівень: від 20 тис. до 1 млн транзакцій на рік. Для сертифікації потрібні щоквартальні сканування ASV і SAQ.

Рівень 2: від 1 до 6 мільйонів транзакцій. Як і на попередніх рівнях, потрібне сканування ASV і завершення SAQ. При цьому для заповнення SAQ на цьому рівні необхідно залучати аудиторів, або направляти своїх співробітників на спеціальне навчання.

Рівень 1: понад 6 мільйонів транзакцій. У цьому випадку компанія проходить найретельнішу перевірку — аудитори перевіряють документацію та інфраструктуру компанії, щоб переконатися, що всі процеси в компанії відповідають стандарту.

Оскільки постачальники послуг можуть не приймати платежі безпосередньо, вони все одно можуть мати зв’язок із платіжними даними. Тому умови для них трохи інші, і рівнів менше:

Рівень 2: менше 300 тисяч транзакцій на рік. Зазвичай для цього рівня достатньо заповнити SAQ.

Рівень 1: дозволяє обробляти більше 300 тисяч транзакцій на рік. Постачальник повинен заповнити звіт про відповідність (ROC).

Основна відмінність між SAQ і ROC полягає в тому, що SAQ проводять внутрішні експерти компанії, тоді як ROC проводять кваліфіковані експерти з оцінки безпеки (QSA) або внутрішні експерти з оцінки безпеки (ISA).

Варто відзначити, що частіше обирають  другий варіант, оскільки він передбачає більш сувору перевірку, що позитивно позначається на безпеці та маркетингу.

У той же час ви можете використовувати автоматизовані рішення для відповідності стандартам безпеки даних галузі платіжних карток. Наприклад, ми в ESKA використовуємо в роботі з клієнтами продукт від Vanta, який значно спрощує процес підготовки до аудиту і скорочує час на ROC і SAQ.

Основні вимоги PCI DSS

Всього до підприємства ставляться 12 вимог, які поділяються на 6 категорій і представлені нижче:

Підтримка безпеки мережі:

а. Захист комп’ютерної мережі та налаштування міжмережевого екрану;

б. Зміна стандартних налаштувань мережевого обладнання.

Захист даних:

а. Захист даних власника картки;

б. Захист і шифрування даних про власників карток, що передаються.

Управління вразливістю:

а. програмний антивірус;

б. Потрібно розробляти та підтримувати безпечні системи та програми.

Управління доступом:

а. Обмеження доступу до даних власника картки;

б. Реалізація механізмів аутентифікації;

в. Обмеження фізичного доступу до інформаційної інфраструктури.

Моніторинг мережі:

а. Логування подій і дій;

б. Регулярні перевірки систем захисту інформації.

Управління інформаційною безпекою:

а. Створення ефективної політики інформаційної безпеки.

Всього стандарт вимагає проходження близько 440 процедур повірки.

Відповідність вимогам безпеки PСI DSS: підготовка до аудиту та сертифікації

Підготовка документів

Перш за все, ваше підприємство має підготувати всі нормативні та розпорядчі документи з інформаційної безпеки: політики, описи процедур, інструкції та положення. Пам’ятайте також, що документація повинна бути переглянута та виправлена, якщо в інфраструктурі відбулися будь-які зміни. Крім того, стандарти також періодично змінюються і доповнюються новими правилами. Тому бажано стежити за цим і вчасно вносити корективи.

Підготовка інфраструктури

Якщо організація проходить аудит вперше, то керівництву необхідно визначити, яка частина інфраструктури підприємства буде сертифікована. Це необхідно для того, щоб вам не довелося супроводжувати зміни в інфраструктурі новими тестами на відповідність вимогам стандарту.

Пентест

Тест на проникнення є дуже важливим кроком у підготовці компанії до сертифікації PCI DSS. Тому ставитися до нього потрібно максимально уважно. Дізнайтесь більше про тестування на проникнення. 

Аудит

Заключний етап, під час якого аудитор, перш за все, оцінює документацію підприємства. Також під час аудиту перевіряються параметри системи безпеки, топологія мережі, ізоляція сегментів інфраструктури та інші характеристики. Крім того, аудитор спілкується зі співробітниками, щоб переконатися, що вони дотримуються політики безпеки компанії, знають, як діяти у випадках загроз інформаційній безпеці тощо.

Автоматизація відповідності PCI DSS

Фахівці ESKA допоможуть вам в проходжені аудиту безпеки та отримати сертифікат PCI DSS. Використовуючи інструменти Vanta, ми можемо збільшити швидкість і якість підготовки аудиту. Це відбувається завдяки автоматизації робочих процесів за допомогою SAQ і ROC. А також за рахунок постійного моніторингу безпеки та комплексного підходу до роботи. З нами ви зможете привести своє підприємство у відповідність зі стандартом PCI Data Security Standard в найкоротші терміни.

Дотримання цього стандарту є не просто формальністю, а питанням безпеки даних ваших клієнтів і, відповідно, вашої репутації. Впровадження PCI DSS дозволяє оптимізувати певні процеси у вашому бізнесі та відкрити нові горизонти для вашого підприємства. Якщо у вас виникли питання щодо стандартизації, залиште свої контакти в спеціальній формі на нашому сайті, і наші спеціалісти зв’яжуться з вами в найкоротший термін.