PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт. Данный стандарт разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учрежденным международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт PCI DSS объединяет в себе требования международных платежных систем по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций.

Версии PCI DSS

Совет PCI SSC следует трехлетнему циклу обновления стандарта. Первый год – внедрение стандарта в индустрии, второй год – сбор обратной связи в виде комментариев и пожеланий от участников индустрии платежных карт, третий год – подготовка новой версии стандарта. Между этапами проводятся конференции PCI SSC Community Meeting, которые состоят из американской и европейской сессий. Версия 1.1 стандарта PCI SSC была принята в сентябре 2006 года, 1.2 – в октябре 2008 года, малая редакция 1.2.1 – в июле 2009 года, 2.0 – в октябре 2010 года.

Требования PCI DSS

Требования стандарта PCI DSS распространяются на все компании, которые хранят, обрабатывают или передают данные держателей платежных карт. В число таких организаций входят торгово-сервисные предприятия (розничные магазины, принимающие пластиковые карты, интернет-магазины, ж.-д./ авиаперевозчики) и сервис-провайдеры (процессинговые центры, платежные шлюзы, call center, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт). Сертификационный аудит необходимо ежегодно проходить торгово-сервисным предприятиям, обрабатывающим более 6 млн транзакций в течение года, а также сервис-провайдерам, обрабатывающим более 300 тыс. транзакций.

Основным принципом реализации проектов по выполнению требований PCI DSS является правило разделения ролей между системным интегратором и сертифицированной QSA-компанией. Основная задача проекта – достижение и постоянное поддержание требуемого стандартом уровня информационной безопасности, подтверждением чего является успешное прохождение сертификационного аудита.

Выполнение требований PCI DSS

Проект по выполнению требований PCI DSS включает в себя три этапа. На этапе анализа несоответствий происходит определение границ области оценки, анализ документации, интервьюирование сотрудников, выборочный контроль систем, входящих в область оценки, разработка экспертного заключения с рекомендациями по приведению инфраструктуры в соответствие требованиям стандарта PCI DSS. На этапе устранения несоответствий выполняются проектирование процессов обеспечения ИБ, разработка организационно-распорядительной документации, поставка и внедрение программных и аппаратных средств защиты, отработка и корректировка внедренных процедур. Наконец, 3-й этап включает в себя получение сертификата соответствия требованиям стандарта PCI DSS и разработку плана построения системы постпроектного сопровождения клиента для поддержания соответствия требованиям стандарта PCI DSS.

Постпроектное сопровождение

Постпроектное сопровождение клиентов включает в себя четыре основных момента. Это, во-первых, ежеквартальное сканирование на уязвимости (ASV) – это проверка безопасности всех информационных систем, входящих в границу области оценки PCI DSS и подключенных к Internet, включая межсетевые экраны, почтовые серверы, web-серверы, DNS-серверы и балансировщики нагрузки. Во-вторых, имеет место ежегодное тестирование на проникновение – это проверка возможности получения злоумышленником (хакером, сотрудником компании) доступа к данным держателей платежных карт путем преодоления средств защиты, используемых компанией. По результатам тестирования на проникновение разрабатывается итоговый отчет, содержащий детальное описание проведенных работ, выявленные уязвимости системы и способы их эксплуатации, а также рекомендации по устранению. В-третьих, в случае изменения стандарта или модернизации инфраструктуры организации проводится корректировка процессов. В-четвертых, проводятся обучающие семинары по вопросам информационной безопасности для персонала клиента.

Из российских ИТ-компаний в сегменте аудиторских услуг по обеспечению соответствия стандартам индустрии платежных карт (PCI Data Security Standard) работает, например, компания softline.

PCI DSS: Все материалы с этим ключевым словом