Що потрібно знати про PCI DSS

Автор Aleksandr Tarasinsky, дата публікації 2021-05-16 21:41:11 +0300

Набір із шести вимог

Основу стандарту складає набір із шести вимог. В тій чи іншій мірі, вони є загальновизнаними best practices в світі інформаційної безпеки. Згідно PCI DSS, компанія повинна:

  1. Захистити мережеву інфраструктуру.Весь вхідний і вихідний трафік фільтрується файрволами. При цьому частина мережі, відповідальна за обробку клієнтських даних, повинна бути сегментована —тобто розділена на кілька незалежних один від одного кластерів. Це дозволяє обмежити потенційний збиток, якщо хакерам все ж вдасться «проникнути» в мережу.

При цьому всі віртуальні машини зобов'язані виконувати тільки одну функцію. Такий підхід гарантує, що злам сервера не дозволить зловмисникам отримати контроль над кількома ступенями процесу обробки даних.

Паролі, які використовуються для доступу до компонентів інфраструктури, повинні відрізнятися від фабричних і не входити в список найбільш поширених паролів. Інакше виникає ризик зламу за допомогою простого перебору по словнику. Наприклад, однією з причин витоку в кредитному бюро Equifax у 2017 році як раз став слабкий пароль. Організація використовувала логін та пароль admin для доступу до бази даних.

  1. Використовувати шифрування. Для шифрування даних потрібно використовувати сильну криптографію (з ключами довжиною не менше 128 біт). Остання версія документа PCI DSS від 1 січня 2019 року, зобов'язує компанії використовувати TLS 1.2. Ця міра була введена через уразливості в попередньому протоколі - SSL 3.0, яка дає зловмиснику можливість витягти з зашифрованого каналу зв'язку закриту інформацію.

При цьому в документі PCI DSS вказаний список провайдерів криптографічних рішень, чиї продукти рекомендується використовувати для успішного проходження сертифікації. У нього входять 886 постачальників платіжного програмного забезпечення і понад 200 розробників різних шифрувальних систем.

  1. Встановіть антивірусне ПО. Сам процес оновлення уразливого програмного забезпечення повинен бути регламентований, щоб превентивно закривати всі потенційні уразливості.
  2. Налаштувати політики доступу до даних. Одна з вимог - використовувати багатофакторну аутентифікацію для підключення до критичних інфраструктурних компонентів і персональних даних. При цьому потрібно обмежити доступ до місць фізичного зберігання клієнтських даних. Ці політики коригуються щоразу, коли в компанії відбуваються кадрові перестановки.
  3. Організувати моніторинг інфраструктури. Важливо залогувати всі операції, що проводяться над даними, щоб швидко виявляти злами. Самі системи безпеки варто регулярно тестувати, щоб оперативно виявляти слабкі місця в ІТ-інфраструктурі.
  4. Сформулювати корпоративну політику по ІБ. Важливо прописати загальні принципи забезпечення безпеки ІТ-інфраструктури, алгоритм надання доступу до ПД користувачів і кроки, які будуть зроблені в разі виникнення загрози цим даним. Документи повинні коректуватися щороку відповідно до інших змін в ІТ-структурі.

Процес аудиту

Компанії, які обробляють менше 20 тисяч платежів на рік, можуть провести аудит самостійно. Іншим організаціям обов'язково вдаватися до допомоги сертифікованих аудиторів.

Починається аудит з теоретичної частини. Тут перевіряється актуальність внутрішніх політик безпеки і компетентність персоналу. Компанія надає розроблені інструкції, регламенти та інші нормативно-розпорядчі документи по ІБ.

Потім оцінюється надійність ІТ-інфраструктури. Для цього аудитори проводять випробування на проникнення — симулюючу атаку на мережі компанії. Таким чином перевіряється робота рішень, спрямованих на захист даних власників карт, і виявляються потенційні «дірки» в безпеці.

Якщо все успішно, то залишиться узгодити технічні характеристики інфраструктури з аудиторами. Фахівці оцінюють програмне забезпечення, параметри заліза, топологію мережі, конфігурацію операційних систем та ін. Відзначимо, що якщо під час аудиту виявляються невеликі порушення вимог PCI DSS, їх можна усунути «на місці».

Як спростити сертифікацію

Сертифікація PCI DSS забирає багато сил і часу. У нас цей процес зайняв більше року. Команді фахівців «ІТ-ГРАД» довелося перезібрати великий сегмент нашої хостинг-інфраструктури. Ми створили ізольовану мережу на основі ESX, vSphere і vCenter, доступ до якої надається через VPN з двухфакторною аутентификацією. У цій мережі ми розвернули системи моніторингу, ведення логів і контролю цілісності даних, а також антивірусне ПЗ.

Для проходження аудиту часом доводиться повністю переосмислити ІТ-інфраструктуру. І чим більше компанія, тим довший цей процес. Виходить, що бізнесам, які потребують PCI DSS інфраструктурі більше інших - банкам і великим ритейлерам — тяжче за всіх самостійно організувати відповідність цим стандартам.

Спростити процес сертифікації здатні IaaS-провайдери. Наприклад, ми в «ІТ-ГРАД» надаємо послугу PCI DSS хостингу.Вона дає компаніям можливість перекласти частину відповідальності за виконання вимог стандарту на плечі хмарного провайдера. Наприклад, фахівці «ІТ-ГРАД» відповідають за захист мережі і контроль фізичного доступу до обладнання. Наші дата-центри в Москві і Санкт-Петербурзі відповідають найвищим вимогам безпеки. Додатково ми допомагаємо налаштувати серверне середовище і організувати необхідний для сертифікації моніторинг.

Таким чином, користуючись послугою PCI DSS хостингу, клієнт економить свої кошти і скорочує час на сертифікацію. Такий підхід дає можливість зосередитися на профільному розвитку бізнесу.

Посилання на статтю

Потрібен інтернет-магазин, щоб почати продавати вже сьогодні?

Створити інтернет-магазин (14 днів безкоштовно, англійською мовою)!

Старт продажу