PCI DSS. Что это и зачем это нужно.
Очень хочется донести до бизнес пользователей важность применения международного стандарта по информационной безопасности, т.к. с моей точки зрения PCI DSS имеет четкие требования, которые могут помочь бизнесу защитить свои ИТ активы.
Payment Card Industry Data Security Standard (PCI DSS) - "это стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт."
Ответ на вопрос ЗАЧЕМ, если просто, заключается в следующем:
компании, которые имели инциденты информационной безопасности (утечки данных о своих клиентах, отказы в обслуживании своих ИТ сервисов, сайтов, платежных сервисов, ...), в большей степени не соответствовали требованиям PCI DSS, чем компании, которые выполняли эти требования.
Отчет компании Verizon за 2014 год очень наглядно подтверждает этот вывод. В 2012 году потери от кражи карточных данных составили более 10 млрд. дол. США, тогда как в 2002 году эта цифра была на уровне 3 млрд. дол. США.
Если вы проводите хоть одну транзакцию с использованием кредитных карт, то вы обязаны соответствовать требованиям PCI DSS, иначе вас ждут большие штрафы. При этом способ соответствия требованиям PCI DSS зависит от объемов транзакций в год:
- Более 6 млн. транзакций в год = ежегодный аудит независимым аудитором + ежеквартальное сканирование на уязвимости периметра сети (также выполняется независимой компанией)
- От 1 до 6 млн. транзакций в год = ежегодная самооценка + ежеквартальное сканирование на уязвимости периметра сети
- От 20 тыс. до 1 млн. транзакций в год = ежегодная самооценка + ежеквартальное сканирование на уязвимости периметра сети
- До 20 тыс. транзакций в год = рекомендация проводить самооценку и сканирование + выполнять требования банка-эквайера.
С сертификацией PCI DSS связаны некоторые мифы:
1. Один производитель и один продукт позволят нашим ИТ системам соответствовать требованиям стандарта
1. Один производитель и один продукт позволят нашим ИТ системам соответствовать требованиям стандарта
По факту, ни у одного из производителей решений по информационной безопасности нет решения, полностью соответствующего всем требованиям PCI DSS.
2. Аутсорсинг процессинга карт делает наши системы соответствующими требованям стандарта.
Аутсорсинг автоматически не позволяет этого сделать, если только ИТ системы партнера не соответствуют требованиям PCI DSS.
3. Сертификация PCI DSS - это проект ИТ
Это однозначно бизнес проект, в котором должны участвовать различные подразделения. Иначе выполнить на практике все требования PCI DSS не возможно.
4. Сертификат PCI делает нас полностью защищенными.
Сертификат - это только момент во времени, а чтобы быть защищенными необходимо постоянно выполнять все требования, подходить к безопасности как процессу.
5. PCI необоснован, он требует слишком многого.
PCI в своей основе содержит лучшие практике по организации защиты ИТ систем и, по сути, является одним из самых эффективных стандартов по защите любых критичных данных.
6. Нам не нужен PCI, т.к. у нас очень мало транзакций.
Даже если у вас 1 транзакция в год, вы должны соответствовать требованиям PCI DSS.
Кроме защиты ваших ИТ систем в части обработки и хранения карточных данных выполнение требований стандарта PCI DSS позволяет перевести ИТ процессы в компании на качественно иной уровень зрелости, что несет дополнительные выгоды для компании в части прозрачности, эффективности, доступности и качества управления рисками.
Comments
Post a Comment