PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности данных, который был разработан для защиты информации о платежных картах. Этот стандарт был создан организацией PCI, которую учредили крупнейшие платежные системы, такие как Visa, MasterCard, American Express, Discover и другие.
Для чего нужен PCI DSS?
PCI DSS нужен для обеспечения безопасности данных платёжных карт покупателей и предотвращения их кражи. Он содержит набор требований и рекомендаций, которые должны выполнять организации, обрабатывающие, хранящие или передающие данные платёжных карт.
Основные цели PCI DSS
1. Защита данных. Стандарт помогает предотвратить утечку информации о платежных картах, защищая данные от взлома.
2. Создание безопасной среды. Организации должны соблюдать установленные правила для создания и поддержания безопасного окружения для обработки транзакций.
3. Минимизация рисков. Соответствие PCI DSS снижает риск кибератак и финансовых потерь, связанных с мошенничеством с платёжными картами.
4. Увеличение доверия. Компании, которые следуют стандартам PCI DSS, строят доверие со стороны клиентов, показывая, что они заботятся о безопасности их данных.
Соблюдение стандарта. Кому нужно получать стандарт?
Стандарт PCI DSS обязателен для всех компаний, которые обрабатывают, хранят или передают данные платёжных карт. Это значит, что любое предприятие, имеющее дело с карточными транзакциями, должно соответствовать этим требованиям, чтобы обеспечить безопасность данных своих клиентов.
Кому точно нужно соблюдать стандарт PCI DSS?
1. Розничные магазины. В любом магазине, который принимает платежи по кредитным или дебетовым картам, необходимо соблюдать стандарт в обязательном порядке.
2. Онлайн-магазины. Компании, которые продают товары или услуги через интернет и принимают платежи с помощью карт, также должны следовать требованиям PCI DSS.
3. Финансовые учреждения. Банки или другие финансовые организации, обрабатывающие карточные транзакции, должны обеспечивать соблюдение PCI DSS.
4. Торговые точки и терминалы. Если у вас есть терминалы для приема карточных платежей, ваша организация также должна следовать стандартам безопасности.
5. Сервисы обработки платежей. Компании, которые предоставляют услуги по обработке платежных карт, такие как платежные шлюзы, также обязаны придерживаться стандарта.
6. Третьи стороны. Если вы делегируете услуги по обработке карт другому поставщику, убедитесь, что они также соответствуют стандарту PCI DSS.
Уровни стандарта
Стандарт PCI DSS разделен на четыре уровня (или категории), которые определяются в зависимости от объёма и типа обработанных платежных карт за год. Каждый уровень предъявляет разные требования к соблюдению стандартов безопасности.
Уровень 1
- Кто относится:
Компании, которые обрабатывают более 6 миллионов транзакций с платежными картами в год.
- Требования:
Требуется провести внешний аудит со стороны одобренного оценщика безопасности (QSA) и передать отчёт о соблюдении стандарта в организацию PCI.
Уровень 2
- Кто относится:
Компании, которые обрабатывают от 1 до 6 миллионов транзакций с платежными картами в год.
- Требования:
Проводить внешний аудит или заполнить опросный лист по соблюдению PCI DSS (SAQ) в зависимости от типа бизнеса.
Уровень 3
- Кто относится:
Компании, которые обрабатывают от 20,000 до 1 миллиона транзакций с платежными картами в год.
- Требования:
Также нужно заполнять опросный лист по соблюдению PCI DSS (SAQ) и проводить внутренние тесты безопасности. Внешний аудит не обязателен.
Уровень 4
- Кто относится:
Компании, которые обрабатывают менее 20,000 транзакций с платежными картами в год.
- Требования:
Компании должны заполнить опросный лист по соблюдению PCI DSS (SAQ) и соблюдать основные требования безопасности. Внешние аудиты не обязательны, но рекомендуется проводить внутренние проверки.
Требования PCI DSS
Стандарт PCI DSS включает в себя 12 основополагающих требований, которые поддерживают безопасность данных платежных карт. Эти требования включают в себя следующие пункты:
1. Создание и поддержка безопасной сети
- Установить и поддерживать брандмауэр для защиты данных владельцев карточек.
- Использовать уникальные пароли и настройки безопасности для всех систем.
2. Защита данных владельцев карточек
- Шифровать передачу данных о платежных картах по открытым и общественным сетям.
- Сохранять минимум данных о платежных картах и удалять ненужные данные.
3. Поддержание программного обеспечения и систем в безопасности
- Обеспечить обновление программного обеспечения против вирусов и других угроз.
- Разрабатывать и поддерживать безопасные системы и приложения.
4. Мониторинг и тестирование сетей
- Отслеживать доступ к данным владельцев карточек и вести журналы безопасности.
- Регулярно тестировать системы и процессы безопасности.
5. Поддержание политики безопасности
- Об Educate всех сотрудников о важности безопасности данных.
- Установить и поддерживать политику безопасности данных.
Можно ли не выполнять требования PCI DSS?
Нет, компании, которые обрабатывают, хранят или передают данные платёжных карт, обязаны соблюдать требования PCI DSS. Несоблюдение этих требований может привести к различным последствиям, включая нарушение законодательства о защите данных.
Ответственность за нарушение
Если компания не выполняет требования PCI DSS:
1. Штрафы и финансовые санкции. Компании могут быть подвергнуты штрафам от платёжных систем или банков. Размер штрафа может варьироваться в зависимости от уровня нарушений и объёма несоответствий.
2. Утрата возможности обработки трансакций. Если организация постоянно нарушает стандарты, она может потерять возможность принимать платежные карточки.
3. Правовые проблемы. Нарушение стандартов безопасности может привести к юридическим последствиям, включая иски со стороны клиентов, чьи данные были скомпрометированы.
4. Ущерб репутации. Утечка данных о платежных картах может серьезно повредить репутации компании, что в свою очередь может снизить доверие клиентов и привести к финансовым потерям.
Соблюдение требований PCI DSS является критически важным для защиты информации собственников карт, обеспечения безопасности бизнеса и предотвращения финансовых и юридических последствий.
Новые требования стандарта
Новые требования PCI DSS версии 4.0, которые вступят в силу с 31 марта 2025 года:
1. Актуализация программы повышения осведомленности работников (12.6.2):
- Проведение ежегодного обновления материалов.
- Включение актуальных инструкций по противодействию фишинговым атакам и социальной инженерии.
- Обучение сотрудников по разрешенным пользовательским технологиям с акцентом на применение PCI DSS (12.6.3).
2. Разработка планов реагирования на инциденты информационной безопасности (ИБ):
- Создание специального протокола реагирования на инциденты, связанные с нарушением целостности платёжных страниц или HTTP-заголовков (12.10.5).
- Подготовка мероприятий для обработки случаев обнаружения PAN в нерегламентированных местах хранения (12.10.7).
3. Настройка прав доступа для поставщиков услуг и клиентов:
- Обеспечение авторизации для поставщиков услуг, чтобы они не могли получить доступ к средам клиентов без разрешения.
- Запрет доступа клиентов к среде поставщика без соответствующей авторизации.
- Регулярная проверка эффективности прав доступа не реже одного раза в полгода с использованием результатов тестирования на проникновение (А1.1.1, А1.1.4).
4. Внедрение процессов оповещения и реагирования:
- Создание системы уведомлений для клиентов о инцидентах ИБ и уязвимостях.
- Разработка протокола реакции поставщика услуг на инциденты и уязвимости в соответствии с требованием 6.3.1 (А1.2.3).
5. Пароли и аутентификация:
- Обновление паролей каждые 90 дней или динамический анализ безопасности учетных записей.
- Внедрение многофакторной аутентификации для всех операций, связанных с PCI DSS, с защитой от атак воспроизведения и без возможности обхода второго фактора.
6. Системные учетные записи:
- Ограничение использования системных учетных записей, документирование причин использования и согласование с руководством.
- Подтверждение личности работника перед использованием учетной записи.
7. Хранение паролей:
- Запрещается хранение паролей в открытом виде в коде и конфигурациях.
8. Анализ событий безопасности:
- Внедрение SIEM для анализа событий.
9. Управление уязвимостями:
- Ведение анализа рисков и повторное сканирование после устранения уязвимостей.
- Сканер уязвимостей должен иметь возможность авторизации в системах.
10. Внешнее тестирование на проникновение:
- Проведение внешнего тестирования или предоставление клиентам доступа к инфраструктуре для самостоятельного тестирования.
11. Системы IDS/IPS:
- Способность предотвращать или обнаруживать скрытые каналы передачи вредоносного ПО.
12. Обнаружение изменений:
- Внедрение системы обнаружения изменений на платежной странице.
13. Анализ рисков и периодичность процедур:
- Определение периодичности различных процессов, включая анализ инцидентов, проверки POI-устройств и пересмотр прав доступа.
14. Инвентаризация оборудования и технологий:
- Проводить инвентаризацию раз в год, анализируя технологии и планируя переход с устаревших систем.
15. Документация:
- Поставщики услуг должны обновлять документацию о области применения PCI DSS каждые полгода.
16. Хранение данных:
- В списке мест хранения данных владельцев карт необходимо учитывать все критичные аутентификационные данные, такие как PIN, TRACK, CVC2/CVV2, которые хранятся до авторизации транзакции.
17. Шифрование данных:
- Все критически важные аутентификационные данные, хранящиеся до авторизации транзакций или эмитентами, должны быть зашифрованы с использованием надежной криптографии.
18. Ограничения на копирование данных:
- Запрещено копирование, вставка и сохранение данных платежных карт при удаленном доступе для всех сотрудников, кроме тех, кому такой доступ согласован и необходим для выполнения их обязанностей.
19. Хеширование данных:
- Хешировать номер карты (PAN) можно только с использованием хеш-функций с секретом, а управление секретами должно соответствовать требованиям PCI DSS.
20. Шифрование на носителях:
- Если используется шифрование уровня диска или раздела, оно допускается только на съёмных носителях. В других случаях необходимо использовать дополнительные способы защиты номера карты.
21. Разные ключи для тестовых и производственных сред:
- Запрещается использовать одни и те же криптографические ключи для шифрования данных в тестовых и настоящих средах.
22. Мониторинг сертификатов:
- Компании должны регулярно проверять, не истек ли срок действия сертификатов, использующихся для защиты номеров карточек при передаче данных. Можно использовать самоподписанные сертификаты при определенных условиях.
23. Перечень ключей и сертификатов:
- Необходимо вести список доверенных ключей и сертификатов, используемых для защиты номера карты при передаче по открытым сетям.
24. Перечень программного обеспечения:
- Компании должны составить перечень используемого программного обеспечения и его компонентов.
25. Анализ криптографических протоколов:
- Необходимо также вести перечень используемых криптографических протоколов и пересматривать их не реже одного раза в год.
26. Антивирусная защита:
- Антивирусные программы должны автоматически проверять все съёмные носители на наличие вредоносного ПО при подключении, а также проводить поведенческий анализ систем в моменты подключения носителей.
27. Защита от фишинга:
- Компании должны внедрить механизмы для защиты пользователей от фишинговых атак.
28. Web Application Firewall (WAF):
- Необходимо внедрить WAF как обязательное средство защиты публично доступных веб-приложений.
29. Управление скриптами на платежных страницах:
- Все скрипты, загружаемые и выполняемые на платежных страницах, должны проходить авторизацию, сохранять целостность и подлежать инвентаризации.
30. Пересмотр учетных записей:
- Все системные и пользовательские учётные записи должны пересматриваться регулярно, а права доступа должны соответствовать должностным обязанностям.
31. Минимально необходимые привилегии:
- Права доступа должны выдаваться согласно принципу минимально необходимых привилегий, обеспечивая строгие ограничения.
32. Требования к паролям:
- Пароли должны быть длиной не менее 12 символов или максимальная длина, поддерживаемая системой, но не менее 8 символов.
Как получить PCI DSS?
Чтобы получить сертификат PCI DSS, вашей организации нужно пройти несколько этапов в процессе сертификации.
1. Подготовка к сертификации
- Оцените свои операции. Выясните, какие карты вы обрабатываете и каким образом это происходит. Определите уровень вашего соответствия PCI DSS (уровни 1, 2, 3, 4, в зависимости от объема транзакций).
- Создайте команду проекта. Назначьте ответственных за безопасность и поддержку в процессе сертификации. Команда должна состоять из представителей различных отделов: IT, безопасности, обслуживания клиентов и т.д.
2. Оценка текущего состояния
- Проведите анализ текущих мер безопасности. Оцените существующие системы безопасности и процессы на соответствие требованиям PCI DSS. Это поможет выявить потенциальные уязвимости и области для улучшения.
- Проведите внутренний аудит. Регулярная проверка позволяет понять, насколько ваша организация готова к сертификации.
3. Разработка и внедрение необходимых мер
- Разработайте и внедрите политику безопасности. Создайте документацию, описывающую процессы безопасной обработки данных карт.
- Обучите сотрудников. Все сотрудники, работающие с платёжными данными, должны проходить обучение, чтобы понимать важность соблюдения безопасности.
4. Внешний аудит
- Выберите квалифицированного аудитора. Для получения сертификата PCI DSS необходимо пройти внешний аудит, который проводит сертифицированный аудит логинной организации.
- Подготовьте все необходимые документы и свидетельства о выполнении требований PCI DSS для аудитора.
5. Сертификация
- После завершения внешнего аудита вы получите отчет с рекомендациями. Если все требования выполнены, вам будет выдан сертификат соответствия PCI DSS.
- Если будут замечены недостатки, устраните их и пройдите повторный аудит.
Альтернативный способ получения PCI DSS
Вместо того чтобы проходить долгий и сложный процесс сертификации самостоятельно, вы можете рассмотреть возможность подключения к сервису приема онлайн-платежей Morune.
Преимущества подключения
1. При подключении к Morune вы делегируете ответственность за соответствие PCI DSS профессионалам, что значительно упрощает вашу работу.
2. Быстрое внедрение. Сервис предлагает простую интеграцию с веб-сайтами и приложениями, позволяя быстро начать принимать платежи без необходимости в долгих подготовительных этапах.
3. Безопасность. Morune обеспечивает высокий уровень безопасности, включая шифрование данных и защиту от мошенничества. Вам не придется беспокоиться о хранении данных карт, так как вся информация обрабатывается на стороне провайдера.
4. Обновления и поддержка. Провайдер услуги заботится о том, чтобы все системы соответствовали последним требованиям PCI DSS, что избавляет вашу организацию от необходимости постоянных обновлений и обучений.
5. Техническая поддержка. Вы получаете доступ к профессиональной техподдержке, которая поможет вам справляться с любыми возникающими вопросами или проблемами.
Получение сертификата PCI DSS — это сложный и трудоемкий процесс, который требует тщательной подготовки и соблюдения различных требований. Однако выбор подключения к сервису приема онлайн-платежей, такому как Morune, может значительно упростить эту задачу, предоставляя вам возможность сосредоточиться на основном бизнесе, в то время как профессионалы заботятся о безопасности платежных данных.