Стандарт PCI DSS (Payment Card Industry Data Security Standard) представляет собой совокупность требований по обеспечению безопасности данных, сформированных и внедренных в качестве единого отраслевого стандарта по инициативе ведущих эмитентов платежных карт в сотрудничестве с финансовыми учреждениями. Основная его цель – защита платежной инфраструктуры от утечки конфиденциальной информации, злоупотреблений и краж данных собственников карт. Этот стандарт распространяется на все организации, имеющие отношение к обработке карточных операций – от розничных торговцев и платежных процессоров до банков-эквайров, эмитентов и поставщиков услуг. Его основателями выступили крупнейшие международные платежные системы – American Express, Discover, JCB, MasterCard и Visa, а дальнейшее развитие и актуализацию требований осуществляет Совет по стандартам безопасности PCI (PCI SSC).
PCI DSS не является юридически обязательным, но любая организация, желающая принимать платежи дебетовыми или кредитными картами лично, по телефону или онлайн, должна соблюдать его требования. Не соблюдающих эти требования могут ожидать штрафы в размере до 100 000 долларов в месяц и увеличение комиссий за транзакции. Еще хуже, что их отношения с банком могут быть окончательно прекращены, а сами они могут попасть в список Merchant Alert to Control High-Risk (MATCH). Вследствие этого они больше не смогут обрабатывать платежи картами.
Существует четыре уровня соответствия PCI DSS. Уровень соответствия торговца зависит от количества карточных транзакций, обрабатываемых компанией за год. Чтобы соответствовать наивысшему уровню соответствия PCI DSS, уровню 1, компании должны обрабатывать более 6 миллионов карточных транзакций в год. Организации должны быть в состоянии точно оценить это количество и определить, к какому уровню они относятся. Это зависит не только от требований PCI DSS, но и от карточной схемы, комплаенсу которой они должны соответствовать. Другим фактором, определяющим уровень соответствия организации, является наличие в истории случаев нарушения безопасности данных или других кибератак, поставивших под угрозу данные держателей карт.
Чеклист к соответствию стандарту PCI DSS
В рамках анкеты для самооценивания (SEQ) или при подготовке к аудиту от квалифицированного аудитора безопасности (Qualified Security Assessor, QSA) или внутреннего аудитора безопасности (Internal Security Assessor, ISA) компании могут использовать перечень требований к соответствию стандарту PCI DSS. Это поможет определить, отвечают ли они требованиям, сократив время и ресурсы, затраченные на аудиторов.
1. Ознакомиться с требованиями PCI DSS
Компании должны понимать требования PCI DSS и то, что они защищают, прежде чем составлять план соответствия. PCI DSS включает две категории данных: конфиденциальные данные аутентификации и информация о владельце карты. Конфиденциальные данные аутентификации включают полные трек-данные (данные из магнитной полосы или их эквивалент на чипе), PIN-коды и PIN-блоки, а также значение проверки карты (CAV2/CVC2/CVV2/CID). Информация о владельце карты касается основных номеров счета (primary account numbers, PAN), имен владельцев, сроков действия карт и сервисных кодов.
PCI DSS также определяет основные технические и операционные требования, разработанные для защиты данных счетов. Они состоят из 12 основных требований к соответствию и почти 250 связанных мер безопасности, охватывающих все: от базовых мер безопасности до более сложных требований широкого применения. PCI DSS предлагает подробное описание каждого требования, объясняет, почему оно необходимо и как его можно проверить, а также дает рекомендации относительно того, как обеспечить его соблюдение. Кроме брандмауэров и антивирусного ПО, организации, стремящиеся избежать несоблюдения требований, могут также применять строгие меры контроля доступа и политику информационной безопасности, чтобы ограничить доступ к информации о картах.
Версия PCI DSS v4.0 была обнародована 31 марта 2022 г. и ввела новые требования по сетевой безопасности и защите данных. На основе концепции нулевого доверия, PCI DSS v4.0 подразумевает обязательное использование автоматизированных механизмов защиты от фишинга и межсетевых экранов (WAF) для веб-приложений.
2. Правильная оценка собственного уровня
Как уже упоминалось ранее, компании присваивается уровень соответствия PCI DSS на основе количества выполняемых в течение года транзакций. Чем больше транзакций обрабатывает торговец, тем выше предполагаемые риски и тем строже требования к подтверждению соответствия.
Аудитор представляет RoC учреждениям-эквайрам организации для подтверждения ее соответствия требованиям. Кроме того, организация должна ежегодно проходить сетевое сканирование, выполняемое утвержденным поставщиком услуг сканирования (approved scanning vendor, ASV).
Для классифицируемых на уровне 2–4 организаций предусмотрено несколько форматов SAQ (Self-Assessment Questionnaire), адаптированных к особенностям их бизнес-процессов. Однако требования для этих уровней могут отличаться в зависимости от схемы карты. Например, MasterCard требует, чтобы организации 2 уровня заполняли SAQ с помощью квалифицированного QSA или ISA.
3. Применение базовых мер безопасности
Некоторые требования PCI DSS относятся к базовым мерам безопасности сети и системы, включая использование брандмауэра и антивирусного ПО, а также изменение стандартных паролей. Многие организации уже принимают такие меры. Те, кто их не имеет, должны установить и поддерживать конфигурацию брандмауэра для защиты данных владельцев карт, установить и обновлять антивирусное ПО, а также не использовать стандартные пароли и другие параметры безопасности, предоставленные поставщиками.
Установка и поддержка средств контроля безопасности сети также очень важны. Сюда входят средства контроля доступа к облачным ресурсам, программные средства сетевого управления и другие системы, анализирующие сетевой трафик. Организации также должны применять безопасные конфигурации ко всем компонентам системы. Помимо отказа от использования паролей, предоставленных поставщиками, необходимо удалять ненужные учетные записи и отключать ненужные службы.
4. Защита данных владельцев карт
Эта категория требований является наиболее важной для соблюдения стандарта PCI DSS. Компании должны знать, где хранятся данные владельцев карт и как они перемещаются внутри и за пределами их сети. Данные владельцев карт должны быть защищены независимо от того, в каком состоянии они находятся: в состоянии покоя, в процессе использования или в процессе перемещения.
Для защиты данных владельцев карт также необходима надежная криптография при передаче через открытые, публичные сети. Когда данные основного номера счета (PAN) передаются через публичную сеть, такую как Интернет или беспроводные технологии (Wi-Fi), их следует зашифровать перед передачей, зашифровать сессию или для максимальной защиты сделать и то и другое.
Организации могут использовать инструменты предотвращения потери данных (DLP), такие, как Netwrix Endpoint Protector, для обнаружения, мониторинга и контроля передачи и хранения информации о владельцах карт. Когда нужно передать данные их необходимо зашифровать, чтобы избежать выхода из сети компании.
5. Разработка и поддержка безопасных систем и приложений
Компании должны оценивать риски всех своих систем и приложений перед их внедрением для обработки информации о владельцах карт. Они также должны постоянно обновляться и внедрять поправки для устранения последних уязвимостей. Соответствие стандарту PCI DSS должно являться ключевым фактором при разработке систем и приложений внутри компании. Если они используются для обработки данных владельцев карт, они должны соответствовать стандартам безопасности PCI DSS.
Очень важно защищать все системы и сети от вредоносного программного обеспечения. Для этого необходимо внедрить ряд мер контроля, защищающих от всех типов вредоносного ПО. Комплексный инструмент защиты от вредоносного программного обеспечения, защищающий от троянов, руткитов и программ-вымогателей, обеспечивает наилучшую защиту для организаций.
6. Ограничение доступа к данным владельцев карт
Еще один важный способ, с помощью которого компании могут защитить данные владельцев карт – ограничение доступа к ним. Это означает, что сотрудники должны получать доступ только в случае необходимости, а меры контроля доступа должны быть реализованы с помощью технологии аутентификации и разных уровней доступа в зависимости от обязанностей сотрудника. PCI DSS также требует предотвращения несанкционированного физического доступа к информации о владельцах карт, хранящейся в центрах обработки данных или серверных помещениях, с помощью таких мер, как замки и камеры.
Организации также должны внедрить процессы и системы, позволяющие идентифицировать пользователей и их действия. Эффективная аутентификация гарантирует возможность проверки, являются ли пользователи теми, за кого себя выдают. Внедрение многофакторной аутентификации является ключевым фактором для предотвращения несанкционированного доступа к конфиденциальным данным.
7. Регулярный контроль и тестирование сети
Для постоянного соответствия требованиям сети PCI DSS и механизмам безопасности необходимо регулярно тестировать и контролировать. Это необходимо для проверки того, что они продолжают отвечать требованиям. Контроль также способствует выявлению потенциальных нарушений или внутренних нарушений политики безопасности.
Мониторинг подозрительной деятельности помогает вовремя выявлять потенциальные нарушения. Организациям необходимо регулярно тестировать системы безопасности, проводя сканирование уязвимостей и тестирование на проникновение компонентов системы, чтобы выявить потенциальные пробелы в безопасности. Выявление и устранение уязвимостей безопасности имеет решающее значение для выполнения требований PCI DSS.
8. Внедрение и поддержка политики информационной безопасности
Соответствие требованиям PCI DSS должно быть организационным, поэтому торговцы должны создать, внедрять и поддерживать политику информационной безопасности в масштабах всей компании. Необходима программа непрерывного обучения для всех сотрудников и руководства, информирующая их о рисках кибербезопасности и важности защиты данных платежных карт. Это помогает выявлять и сообщать о подозрительной деятельности и понимать последствия несоблюдения требований PCI DSS.
Организации должны обеспечить постоянную защиту информации владельцев карт, когда они передают обработку платежей третьим сторонам. Это особенно относится к тем, кто обрабатывает транзакции в электронной коммерции или в точках продаж (point-of-sale, POS). Эти стороны должны соблюдать требования PCI DSS, особенно когда они имеют доступ к сети организации или обрабатывают данные платежных карт.
