PCI DSS: Тенденції та переваги



/ фото Håkan Dahlström CC

Нещодавно ми провели опитування серед п'ятдесяти значущих гравців на ринку електронних платежів в Росії і Казахстані. Найбільші платіжні системи розповіли нам про те, яку вигоду несе сертифікація за стандартом PCI DSS.

Стандарт PCI DSS був розроблений Радою за стандартами безпеки даних індустрії платіжних карт (Payment Card Industry Security Standards Council). Він визначає вимоги до організацій, що мають відношення до безпеки даних платіжних карт.

Всього стандарт містить 12 вимог, які поділяються на шість категорій:

Підтримка мережевої безпеки

  • Захист обчислювальної мережі і налаштування брандмауерів;
  • Зміна стандартних налаштувань мережевого обладнання;
Захист даних

  • Захист збережених даних про власників карток;
  • Захист і шифрування переданих даних про власників карток;
Управління уразливими

  • Установка і регулярне оновлення антивірусних програм;
  • Розробка та підтримка інформаційних систем безпеки;
Контроль доступу

  • Обмеження доступу до інформації про власників карток;
  • Реалізація механізмів аутентифікації;
  • Обмеження фізичного доступу до інформаційної інфраструктури;
Моніторинг мереж

  • Протоколювання подій і дій;
  • Регулярна перевірка систем інформаційної безпеки;
Управління інформаційною безпекою

  • Управління інформаційною безпекою.
У загальній складності стандарт вимагає проходження близько 440 перевірочних процедур.

Переваги PCI DSS

Переваги від сертифікації PCI DSS можна умовно розбити на дві категорії: іміджеві та технологічні. З технологічної точки зору PCI DSS виступає гарантом збереження даних клієнтів і стійкості сервісу по відношенню до зовнішніх загроз: вірусним і DDoS-атак.

Більш того, захист від спроб крадіжки карткових даних зловмисниками дозволяє уникнути пов'язаних з цим збитків і штрафів.



/ фото Anders.Bachmann CC

«Буквально за останні два роки кількість спроб зловмисників зламати дані наших клієнтів почастішали, і робота в повній відповідності з вимогами сертифіката допомагає знизити інтенсивність головного болю, – відзначає Дмитро Попов, комерційний директор IntellectMoney. – Плюс користувачі, які бачать знак PCI DSS на нашій сторінці, показують велику конверсію успішних платежів».

Є іміджева складова. Коли людина, далека від кібернетичної безпеки, бачить значок PCI DSS, він сприймає його як додатковий рівень захисту (за аналогією з валідним SSL-сертифікат). Таким чином, сертифікат стає ще одним аргументом, що дозволяє переконати потенційних клієнтів компанії «стрибнути» в воронку конверсії.

Факт проходження аудиту на відповідність стандарту PCI DSS говорить клієнтам компанії про дійсно високому рівні захищеності карткових даних. Крім того, PCI DSS структурує знання та критерії, до яких потрібно прагнути співробітникам служб інформаційної безпеки.

Таким чином, відповідність даного стандарту – це не просто формальна процедура, а питання безпеки обробки і передачі даних про клієнтів, що використовують платіжні засоби. Впровадження PCI DSS дозволяє долучитися до кращим світовим практикам, впорядкувати бізнес-процеси і поліпшити репутацію компанії, а це нерідко відкриває дорогу на нові ринки.

Хостинг PCI DSS

Аудит на відповідність стандарту PCI DSS буває первинний і регулярний щорічний. Деякі компанії стикаються з певними труднощами при первинній підготовці, тому залучають сертифікованих консультантів, які допомагають розробити документацію і створити архітектуру (докладніше про процес сертифікації можна читати у нашому блозі).

Учасники ринку електронних платіжних систем сходяться на думці, що впровадження стандарту PCI DSS – трудомістка задача, що вимагає тимчасових і фінансових витрат, тому, для полегшення процесу сертифікації, більшість компаній користуються послугами постачальників, які беруть на себе завдання по виконанню частини вимог стандарту. Згідно з проведеним нами опитуванням 77% учасників ринку електронних платежів користуються послугами сертифікованих постачальників.



Це пояснюється тим, що передача частини відповідальності за реалізацію вимог PCI DSS зовнішньої компанії значно спрощує роботу. Найпоширенішою послугою у Росії на даний момент є фізичне розміщення або colocation, коли компанія орендує стійки або окремі юніти в сертифікованому дата-центрі.

Але при всьому при цьому намічається тенденція до поступового переходу від фізичного розміщення до більш високих рівнів передачі відповідальності – до оренди серверної інфраструктури (IaaS).

«Використання сертифікованих постачальників, що володіють необхідною експертизою і гарантованим ресурсом, істотно спрощує життя. Чим більше ресурсномістких завдань можна віддати надійного партнера, експерта в своїй галузі, тим краще», – говорить Дмитро Теленов, технічний директор InPlat.

Більш високим рівнем аутсорсингу виступають так звані керовані сервіси, або послуги MSP (Managed Service Provider), коли постачальник надає своїм клієнтам не тільки оренду обладнання або віртуальної інфраструктури в моделі IaaS, але і можливість адміністрування у відповідності з вимогами стандарту PCI DSS.

«Використання послуг сертифікованого постачальника вельми істотно полегшує проходження аудиту. Моя позиція така: все, що можна віддати на аутсорсинг, потрібно віддавати, – сказав Костянтин Ян, CTO CloudPayments. У стандарті PCI DSS дванадцять розділів. В ідеалі, постачальник закриває одинадцять з них – всі, крім розробки програмного забезпечення, на підставі якого ми надаємо послуги нашим клієнтам».

Іншими словами, такі технології дозволяють акцентувати увагу на власному бізнесі, не відволікаючись на адміністративні роботи, і знижують частина технічних ризиків.

Ринкові тренди

Сьогодні 8 з 10 учасників розглянутого нами ринку, що користуються послугами зовнішнього сертифікованого постачальника, обмежуються передачею на аутсорсинг вимог до фізичної безпеки, тобто користуються послугою розміщення серверів в дата-центрах з PCI DSS. Однак colocation починають «підпирати» такі перспективні послуги, як PCI DSS IaaS (32 %) і керовані сервіси MSP (21 %).



«Дата-центр, в якому розміщується наше обладнання, пройшов сертифікацію. Це закриває питання фізичного захисту інформаційної інфраструктури на рівні ЦОД, – каже Іван Сергєєв, технічний директор ЗАТ «МОБІ.Гроші». – Сьогодні фізичне розміщення і віртуальна серверна інфраструктура – це найбільш перспективні рівні аутсорсингу виконання вимог стандарту PCI DSS».

Якщо раніше на території Російської Федерації не спостерігалося жодного PCI DSS сертифікованого хостинг-провайдера, то сьогодні картина змінилася. Ще в минулому році декілька найбільш великих провайдерів хмарних сертифікували свої платформи за стандартом PCI DSS, що дало їм можливість брати на себе відповідальність за виконання вимог PCI DSS на рівні віртуальної інфраструктури (IaaS). Сертифікацію пройшла і компанія «ІТ-ГРАД».

«На підготовку до сертифікаційного аудиту нашого хмари ми витратили більше року, і в 2015 році успішно сертифікували за PCI DSS свої послуги PCI DSS Compliant Hosting на всіх затребуваних ринком рівнях передачі відповідальності: фізичне розміщення, IaaS і керовані сервіси.

Наші клієнти – банки, платіжні системи, шлюзи – отримують всі переваги від сертифікації PCI DSS з мінімальними зусиллями: при аудиті більша частина вимог закривається за допомогою надання нашого PCI DSS сертифіката сервіс-провайдера», – розповідає Олександр Стародубцев, заступник генерального директора групи компаній «ІТ-ГРАД».

Використовуючи сертифіковане за стандартом PCI DSS хмара в моделі IaaS, організації значно підвищують рівень захищеності середовища обробки карткових даних і знижують ризики фінансових втрат від різних інцидентів у сфері інформаційної безпеки, одночасно отримуючи можливість сконцентруватись на розвитку свого бізнесу.

Інші матеріали з нашого блогу:

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.