Автор: Интернет Хостинг Центр

Любой вид e-commerce базируется на принципе: покупатель, выбравший товар, должен за него заплатить. Это можно сделать, отдав деньги курьеру или воспользовавшись банковской картой. Ряд задач встает перед разработчиками при обеспечении второго варианта оплаты, ведь приходится иметь дело с такой чувствительной информацией как личные данные клиентов, да еще связанной с финансовой составляющей. Здесь требуются продуманные, надежные решения. Поэтому на сегодняшний день так актуален стандарт PCI DSS.

Для кого-то этот термин мало знаком – пришло время ближе познакомиться с ним, чтобы понять весь механизм обеспечения безопасности при финансовых операциях.

Суть и цели стандарта PCI DSS

Data Security Standard распространяет свое действие на платежные карты. Если простыми словами, PCI DSS – это документы, включающие в себя список требований, которым должен соответствовать сервис, если он различными способами взаимодействует с номером банковской карты, указанными в ней сроком, CVV-кодом.

Основная цель – обеспечение высокой степени защиты указанных атрибутов, предотвращение доступа к ним третьим лицам для несанкционированного использования, распространения информации. Такой подход защищает пользователей от мошенников, укрепляет доверие к данному бизнес-проекту.

Отслеживать соответствие стандарту PCI DSS возложено на Совет по стандартам безопасности в данной области, в состав которого входят 5 крупных систем платежей. Там формируются критерии, которым должны соответствовать компании, стремящиеся иметь маркировку о наличии сертификации. Процедура сертификации должна проводиться ежегодно.

Требования PCI DSS простыми словами описать сложно, так как их насчитывается 288 пунктов. Возьмемся перечислить только основные 12 групп, но об этом ниже.

Скрупулезный подход к сертификации, длительность процедуры порождают вопрос: зачем стандарт PCI DSS вообще нужен. Обязательность соответствия бизнеса предлагаемой документации объясняется необходимостью защищать конфиденциальные сведения покупателей, предотвратить возможные финансовые потери, связанные с мошенничеством.

Кто обязан соблюдать требования PCI DSS

Стандарт должны соблюдать все организации, совершающие обработку данных банковских карт. К этому числу относятся:

  • онлайн-магазины;
  • магазины розничной торговли;
  • гостевые дома, отели, санатории;
  • рестораны, питейные заведения;
  • транспортные компании и т. д.
Кто обязан соблюдать требования PCI DSS
Image by vectorjuice on Freepik.

Уровни PCI DSS и как определить свой

Классификация производится исходя из объемов транзакций в первую очередь, и по другим параметрам. Всего выделяют 4 уровня:

  1. Организации, которые обрабатывают более 6 миллионов транзакций за год, или те, которые признаны Советом компаниями, подверженными большому риску. Для них нужны самые жесткие меры обеспечения безопасного хранения, обработки сведений, регулярные проверки.
  2. Бизнес, который проводит от 1 до 6 миллионов операций. Ему предписывается строго соблюдать требования, но дается возможность самостоятельно проводить оценку своего соответствия.
  3. Организации, которые имеют дело с менее чем одним млн. транзакций, с информацией о 20 и меньше тысячах карт, которую хранят, обрабатывают, передают. Для этой категории предусматриваются определенные критерии, но фирмы оценивают себя сами.
  4. Компании, обрабатывающие до 20 тыс. транзакций за год. Им, для того чтобы подтвердить соответствие стандарту PCI DSS, необходимо каждый квартал проводить сканирование внешних адресов на различные уязвимости и заполнять бланк самооценки.

Для определения своего уровня бизнес должен принять во внимание объем финансовых операций, различные нюансы.

Основные требования стандарта

Как говорилось ранее, огромный список правил стандарта делится на 12 основных групп:

  1. Защита сетей. Цель – создать, поддерживать работу межсетевых экранов, защищая систему от несанкционированного доступа. Проблемы могут заключаться в недостаточном применении подобных экранов, уязвимости ПО.
  2. Создание протоколов доступа. Это означает, что доступ к чувствительным сведениям должен предоставляться авторизованным пользователям, специалистам по мере рабочей необходимости. При реализации данного пункта слабым местом оказывается отсутствие четкой стратегии в управлении доступом, пренебрежение многофакторной аутентификацией.
  3. Защита сохраняемых данных. Информацию следует хранить в зашифрованном виде, но при применении устаревших методов кодирования, хранении сведений в незашифрованном виде, слабой защите ключей все усилия сводятся к минимуму.
  4. Кодирование передаваемого. Сведения, подлежащие передаче, должны защищаться шифрованием. Проблемы часто возникают при отправке не закодированной инфы по незащищенным каналам или при применении недостаточно надежных протоколов шифрования.
  5. Систематические обновления, дополнения. Нужно своевременно делать обновления, патчинг для ОС, приложений. Слабые места: не стали создавать систему управления патчами, проводилось поверхностное тестирование после закачки обновлений.
  6. Контроль, анализ журналов событий. Следует систематически анализировать документацию, чтобы не пропустить необычную активность. Проблема не за горами, если не налажена схема централизованного сбора, изучения журналов, отсутствует алгоритм реагирования на подозрительные операции.
  7. Ограничение доступа к физическим носителям информации. Оно не может считаться выполненным, если шкафы с оборудованием не закрываются на ключ, недостаточен контроль за цифровыми носителями.
  8. Периодический контроль. Стандарт PCI DSS предусматривает регулярные проверки компаниями степени защиты собственных систем. Если этого делаться не будет, то незамеченными останутся возможные уязвимости. Важно не забывать документировать итоги проверок.
  9. Антивирусная защита. Использование устаревшего антивирусного ПО, отсутствие новых обновлений отражаются на уровне надежности хранения.
  10. Управление различными составляющими инфраструктуры. Недопустимо использовать устаревшие оборудование, версии ПО, поверхностно проверять продавцов компонентов.
  11. Обучение сотрудников базовым навыкам информационной гигиены. Это будет возможно при наличии программ обучения, серьезного отношения к процессу, систематического контроля знаний.
  12. Разработка стратегии по информационной безопасности. Она станет неэффективной, если все не получит документального оформления, не будет достаточной интеграции с бизнес-процессами.

Как пройти сертификацию: этапы и сроки

Хотелось бы подчеркнуть, что период прохождения сертификации может быть различен. Это зависит от определенных критериев стандарта PCI DSS, сложности исполнения, возможностей фирмы, проводящей данную процедуру. В связи с этим перед стартом сертификации следует ознакомиться с требованиями, проконсультироваться со специалистом.

Этап 1: Подготовка и аудит текущего состояния

Подготовительный этап включает в себя аудит, позволяющий понять, как обстоят дела с продуктом, услугой на сегодняшний день. Это поможет понять степень их соответствия стандарту PCI DSS. Для проверки можно привлекать своих специалистов или экспертов со стороны.

При проведении аудита нужно:

  • ознакомиться с требованиями и свериться с ними;
  • проанализировать документацию;
  • выработать план действий по устранению выявленных недостатков.

Сроки проверки исчисляются или несколькими днями или 2-3 неделями.

Этап 2: Устранение несоответствий

Предусматривается реализация плана по устранению несоответствий. Это означает:

  • внесение определенных поправок в документацию;
  • оптимизацию различных процессов;
  • повышение уровня навыков сотрудников;
  • приобретение современного оборудования, ПО и т. д.

Прохождение всего этапа может занять традиционно от 2-3 дней до нескольких недель.

Этап 3: Проведение внешнего аудита

Внешний аудит преследует ту же цель, что и внутренний: получить подтверждение соответствия продукта стандарту PCI DSS. Теперь проверка проводится независимыми специалистами, аккредитованными для этой миссии.

Скорость процедуры будет зависеть от сложности процесса и может растянуться до 10-14 дней.

Этап 4: Получение сертификата

Успешное завершение внешнего аудита позволяет получить документ, который подтверждает, что проверяемый объект соответствует всем нормам.

Срок получения сертификата будет зависеть от типа сертификации, исчисляться как 2-3 неделями, так и 2-3 месяцами.

Трудности внедрения и как их избежать

Внедрение правил является необходимостью для организаций, которые работают с платежными картами. Но оно может оказаться сложным в исполнении по нескольким причинам:

  1. Недостаток навыков, знаний в сфере информационной безопасности. Отсутствие специалистов, умеющих разрабатывать, внедрять действенные меры защиты, серьезно усложняет процесс. Ситуацию можно улучшить проведением разнообразных тренингов, курсов для персонала, привлечением экспертов, применением готовых решений. В последнем случае следует удостовериться, что эти решения отвечают критериям в вашем проекте.
  2. Сложности при исполнении соответствующих норм. Некоторые пункты стандарта PCI DSS сложны в реализации для бизнеса с ограниченными возможностями. Например, необходимость систематического обновления ПО может представлять сложность для фирм с «древней» инфраструктурой. Поможет предварительное планирование внедрения с приоритезацией задач, установлением сроков. Это поможет действовать планомерно, избежать хаотичности. Следует подумать об оптимизации ресурсов, например, рассмотреть вариант использования автоматизированных инструментов.
  3. Необходимость систематического проведения контроля. Это представляет сложность для бизнеса, который не имеет опыта в данном направлении. Таким организациям можно посоветовать наладить автоматизацию мониторинга, периодически обращаться к помощи специалистов со стороны, тщательно вести документы о проведении мероприятий.
  4. Отсутствие достаточных финансовых, временных ресурсов. Этот пункт актуален для начинающих фирм. Совет – продуманно планировать бюджет, просчитав все предстоящие затраты, найти источник финансирования (гранты, инвестиции, госсубсидии).
  5. Внесение изменений во внутренние рабочие процессы. Это провоцирует недовольство со стороны коллектива. Погасить негатив рекомендуется с помощью активной коммуникации, вовлечения в процесс активистов, ведения разъяснительной работы.

Почему соблюдение PCI DSS выгодно бизнесу

Создание платежных систем обеспечило комфортность, оперативность в проведении банковских операций, но и создало определенные вызовы. Неукоснительное соблюдение необходимых критериев означает дополнительные траты бюджета, ресурсов для защиты конфиденциальной информации ЦА. Когда дело касается денег, любой бизнесмен задается вопросом: нужно ли мне это? Постараемся ответить на вопрос: зачем стандарт PCI DSS нужен большинству компаний.

Повышение доверия со стороны клиентов

Основное преимущество заключается в росте доверия со стороны целевой аудитории. На сегодняшний день, когда за атрибутами платежных карт идет охота злоумышленников, люди стараются делать покупки только у надежных продавцов, гарантирующих стабильную надежную охрану данных.

Снижение риска утечки платёжных данных

Внедрение стандарта говорит о том, что организация озадачивается вопросами безопасности и старается свести к минимуму утечки. Такие старания благоприятно влияют на имидж, повышают доверие клиентуры.

Помимо этого, утечки часто приводят к серьезным неприятностям для бизнеса: финансовые, имиджевые потери, штрафы.

Упрощение работы с платёжными системами

Заметно упрощается взаимодействие с платежными системами. Для работы со многими из них требуется соблюдение стандарта PCI DSS. Организации, соответствующие необходимым критериям, легче устанавливают партнерство с подобными системами.

Заключение

Соблюдение правил Совета PCI DSS – важное условие для работы с атрибутами платежных карт, которое положительно влияет на уровень безопасности чувствительной информации, повышает доверие клиентов.