Стандарт PCI DSS (Payment Card Industry Data Security Standard) являє собою сукупність вимог щодо забезпечення безпеки даних, сформованих і впроваджених як єдиний галузевий стандарт з ініціативи провідних емітентів платіжних карт у співпраці з фінансовими установами. Основна його мета – захист платіжної інфраструктури від витоку чутливої інформації, зловживань і крадіжок даних власників карт. Цей стандарт поширюється на всі організації, які мають відношення до обробки карткових операцій – від роздрібних торговців і платіжних процесорів до банків-еквайрів, емітентів та постачальників послуг. Його засновниками виступили найбільші міжнародні платіжні системи – American Express, Discover, JCB, MasterCard і Visa, а подальший розвиток та актуалізацію вимог здійснює Рада зі стандартів безпеки PCI (PCI SSC).
PCI DSS не є юридично обов’язковим, але будь-яка організація, яка бажає приймати платежі дебетовими або кредитними картками особисто, телефоном або онлайн, повинна дотримуватися його вимог. Тих, хто не дотримується цих вимог можуть чекати штрафи у розмірі до 100 000 доларів на місяць та збільшення комісій за транзакції. Ще гірше, що їхні відносини з банком можуть бути остаточно припинені, а вони можуть потрапити до списку Merchant Alert to Control High-Risk (MATCH), що означає, що вони більше не зможуть обробляти платежі картками.
Існує чотири рівні відповідності PCI DSS. Рівень відповідності торговця залежить від кількості карткових транзакцій, які компанія обробляє за рік. Щоб відповідати найвищому рівню відповідності PCI DSS, рівню 1, компанії повинні обробляти понад 6 мільйонів карткових транзакцій на рік. Організації повинні бути в змозі точно оцінити цю кількість і визначити, до якого рівня вони належать. Це залежить не тільки від вимог PCI DSS, але й від карткової схеми, комплаєнсу якої вони повинні відповідати. Іншим фактором, що визначає рівень відповідності організації, є наявність в історії випадків порушення безпеки даних або інших кібератак, які поставили під загрозу дані власників карток.
Чекліст до відповідності стандарту PCI DSS
В рамках анкети для самооцінювання (Self-Assessment Questionnaire, SAQ) або під час підготовки до аудиту від кваліфікованого аудитора безпеки (Qualified Security Assessor, QSA) або внутрішнього аудитора безпеки (Internal Security Assessor, ISA) компанії можуть використовувати перелік вимог до відповідності стандарту PCI DSS. Це допоможе визначити, чи відповідають вони вимогам, скоротивши час і ресурси, витрачені на аудиторів.
1. Ознайомитися з вимогами PCI DSS
Компанії повинні розуміти вимоги PCI DSS і те, що вони захищають, перш ніж складати план відповідності. PCI DSS охоплює дві категорії даних: конфіденційні дані автентифікації та інформація про власника картки. Конфіденційні дані автентифікації включають повні трек-дані (дані з магнітної смуги або їх еквівалент на чипі), PIN-коди та PIN-блоки, а також значення перевірки картки (CAV2/CVC2/CVV2/CID). Інформація про власника картки стосується основних номерів рахунку (primary account numbers, PAN), імен власників, строків дії карток та сервісних кодів.
PCI DSS також визначає базові технічні та операційні вимоги, розроблені для захисту даних рахунків. Вони складаються з 12 основних вимог до відповідності та майже 250 пов’язаних заходів безпеки, що охоплюють все: від базових заходів безпеки до складніших вимог широкого застосування. PCI DSS пропонує детальний опис кожної вимоги, пояснює, чому вона необхідна і як її можна перевірити, а також надає рекомендації щодо того, як забезпечити її дотримання. Окрім фаєрволів та антивірусного ПЗ, організації, які прагнуть уникнути недотримання вимог, можуть також застосовувати суворі заходи контролю доступу та політику інформаційної безпеки, щоб обмежити доступ до інформації про картки.
Версія PCI DSS v4.0 була оприлюднена 31 березня 2022 року та запровадила нові вимоги щодо мережевої безпеки та захисту даних. На основі концепції нульової довіри, PCI DSS v4.0 передбачає обов’язкове використання автоматизованих механізмів захисту від фішингу та міжмережевих екранів (WAF) для вебдодатків.
2. Правильна оцінка власного рівня
Як уже згадувалося раніше, компанії присвоюється рівень відповідності PCI DSS на основі кількості транзакцій, які вона виконує протягом року. Чим більше транзакцій обробляє торговець, тим вищими є передбачувані ризики й тим суворішими є вимоги до підтвердження відповідності.
Аудитор подає RoC установам-еквайрам організації для підтвердження її відповідності вимогам. Крім того, організація повинна щороку проходити мережеве сканування, яке виконує затверджений постачальник послуг сканування (approved scanning vendor, ASV).
Для організацій, що класифікуються на рівнях 2–4, передбачено декілька форматів SAQ (Self-Assessment Questionnaire), адаптованих до особливостей їхніх бізнес-процесів. Однак вимоги для цих рівнів можуть відрізнятися залежно від схеми картки. Наприклад, MasterCard вимагає, щоб організації рівня 2 заповнювали SAQ за допомогою кваліфікованого QSA або ISA.
3. Застосування базових заходів безпеки
Деякі вимоги PCI DSS належать до базових заходів безпеки мережі та системи, включаючи використання фаєрвола та антивірусного ПЗ, а також зміну стандартних паролів. Багато організацій вже мають такі заходи. Ті, хто їх не має, повинні встановити та підтримувати конфігурацію фаєрвола для захисту даних власників карток, встановити та оновлювати антивірусне ПЗ, а також не використовувати стандартні паролі та інші параметри безпеки, надані постачальниками.
Встановлення та підтримка засобів контролю безпеки мережі також є дуже важливими. Сюди входять засоби контролю доступу до хмарних ресурсів, програмні засоби мережевого управління та будь-які інші системи, що аналізують мережевий трафік. Організації також повинні застосовувати безпечні конфігурації до всіх компонентів системи. Окрім відмови від використання стандартних паролів, наданих постачальниками, необхідно видаляти непотрібні облікові записи та відключати непотрібні служби.
4. Захист даних власників карток
Ця категорія вимог є найважливішою для дотримання стандарту PCI DSS. Компанії повинні знати, де зберігаються дані власників карток і як вони переміщуються всередині та за межами їхньої мережі. Дані власників карток повинні бути захищені незалежно від того, в якому стані вони перебувають: у стані спокою, у процесі використання або в процесі переміщення.
Для захисту даних власників карток також необхідна надійна криптографія під час передачі через відкриті, публічні мережі. Коли дані основного номера рахунку (PAN) передаються через публічну мережу, таку як Інтернет або бездротові технології (Wi-Fi), їх слід зашифрувати перед передачею, зашифрувати сесію або, для максимального захисту, зробити й те, і інше.
Організації можуть використовувати інструменти запобігання втраті даних (DLP), такі як Netwrix Endpoint Protector, для виявлення, моніторингу та контролю передачі та зберігання інформації про власників карток. Коли дані потрібно передати, їх слід зашифрувати, щоб уникнути їх викрадення після виходу з мережі компанії.
5. Розробка та підтримка безпечних систем і додатків
Компанії повинні оцінювати ризики всіх своїх систем і додатків перед їх впровадженням для обробки інформації про власників карток. Вони також повинні постійно оновлюватися та впроваджувати виправлення для усунення останніх вразливостей. Відповідність стандарту PCI DSS повинна бути ключовим фактором при розробці систем і додатків всередині компанії. Якщо вони будуть використовуватися для обробки даних власників карток, вони повинні відповідати стандартам безпеки PCI DSS.
Дуже важливо захищати всі системи та мережі від шкідливого програмного забезпечення. Для цього необхідно впровадити ряд заходів контролю, що захищають від усіх типів шкідливого ПЗ. Комплексний інструмент захисту від шкідливого програмного забезпечення, що захищає від троянів, руткітів та програм-вимагачів, забезпечує найкращий захист для організацій.
6. Обмеження доступу до даних власників карток
Ще один важливий спосіб, за допомогою якого компанії можуть захистити дані власників карток – обмеження доступу до них. Це означає, що співробітники повинні отримувати доступ лише в разі необхідності, а заходи контролю доступу повинні бути реалізовані за допомогою технології автентифікації та різних рівнів доступу, залежно від обов’язків співробітника. PCI DSS також вимагає запобігання несанкціонованому фізичному доступу до інформації про власників карток, що зберігається в центрах обробки даних або серверних приміщеннях, за допомогою таких заходів, як замки та камери.
Організації також повинні впровадити процеси та системи, які дозволяють ідентифікувати користувачів та їхні дії. Ефективна автентифікація гарантує можливість перевірки чи користувачі є тими, за кого себе видають. Впровадження багатофакторної автентифікації є ключовим фактором для запобігання несанкціонованому доступу до конфіденційних даних.
7. Регулярний контроль та тестування мережі
Для постійної відповідності вимогам PCI DSS мережі та механізми безпеки необхідно регулярно тестувати та контролювати. Це потрібно для перевірки того, що вони продовжують відповідати вимогам. Контроль також сприяє виявленню потенційних порушень або внутрішніх порушень політики безпеки.
Моніторинг підозрілої діяльності допомагає вчасно виявляти потенційні порушення. Організаціям необхідно регулярно тестувати системи безпеки, проводячи сканування вразливостей та тестування на проникнення компонентів системи, щоб виявити потенційні прогалини в безпеці. Виявлення та усунення вразливостей безпеки має вирішальне значення для дотримання вимог PCI DSS.
8. Впровадження та підтримка політики інформаційної безпеки
Відповідність вимогам PCI DSS має бути організаційною, тому торговці повинні створити, впровадити та підтримувати політику інформаційної безпеки в масштабах всієї компанії. Необхідна програма безперервного навчання для всіх співробітників та керівництва, яка інформує їх про ризики кібербезпеки та важливість захисту даних платіжних карток. Це допомагає виявляти та повідомляти про підозрілу діяльність і розуміти наслідки недотримання вимог PCI DSS.
Організації повинні забезпечити постійний захист інформації власників карток, коли вони передають обробку платежів третім сторонам. Це особливо стосується тих, хто обробляють транзакції в електронній комерції або в точках продажу (point-of-sale, POS). Ці сторони повинні дотримуватися вимог PCI DSS, особливо коли вони мають доступ до мережі організації або обробляють дані платіжних карток.
