Много норм и стандартов существует, а также создаются в области информационной безопасности. Некоторые из них являются хорошей практикой и не являются обязательными для внедрения и сертификации, но некоторые стандарты являются обязательными для отдельных отраслей, групп компаний или организаций.
В данной статье мы рассмотрим один из стандартов, который обязательно необходимо внедрить (в той или иной степени) в некоторых организациях. Речь пойдет о стандарте PCI DSS, последнее издание которого было опубликовано в мае 2018 года. Содержит требования и процедуры оценки безопасности, версия 3.2.1.
Что такое PCI DSS?
PCI DSS или Payment Card Industry Data Security Standard – стандарт безопасности, выданный Советом стандартов безопасности платежных карт (Payment Card Industry Security Standards Council). Основной целью стандарта является обеспечение высокого и соответствующего уровня информационной безопасности во всех средах, в которых обрабатываются данные платежных карт.
Кто должен соответствовать требованиям PCI DSS?
Все организации, независимо от размера, которые хранят, обрабатывают или отправляют данные держателей платежных карт должны соответствовать требованиям PCI DSS. Эти требования применяются ко всем каналам приема платежей, включая розничную торговлю, почтовые заказы и электронную коммерцию.
Стоит отметить, что выполнение требований является обязательным, но методы контроля, подтверждение факта выполнения требований зависят от количества операций, осуществляемых ежегодно. Также все организации были разделены на две группы:
1— коммерческие (торговые или те, которые предоставляют услуги), то есть те, которые непосредственно получают данные держателей платежных карт и поставщиков,
и 2 — организации, которые обрабатывают или хранят данные – поставщики вышеупомянутых организаций (например, центры обработки данных или дата центры, hosting, международные платежные системы).
Как продемонстрировать и подтвердить соответствие требованиям PCI DSS?
Теперь рассмотрим более подробно, как различные группы организаций в зависимости от количества транзакций, должны подтвердить соответствие их систем безопасности (методов и мер защиты) требованиям PCI DSS.
Коммерческие организации были разделены на четыре группы:
1) ежегодное количество транзакций более 6 млн в системе Visa или MasterCard и других Торговцев с повышенным риском, определяемых решением платежных систем,
методы проверки соответствия PCI DSS – ежегодный аудит PCI * и ежеквартальное внешнее сканирование сети (тесты на проникновение);
2) ежегодное количество операций от 1 млн до 6 млн в системе Visa или MasterCard,
подтверждение соответствия с использованием ежегодной самооценки PCI Compliance или ежегодного аудита PCI* и проведение ежеквартального внешнего сканирования сети;
3) ежегодное количество транзакций eCommerce (электронной коммерции) от 20 тыс. до 1 млн в системе Visa или MasterCard,
проверка соответствия путем проведения ежегодной самооценки соответствия PCI и ежеквартального внешнего сканирования сети;
4) другие, невошедшие в первые три группы, могут доказать соответствие за счет – ежегодной самооценки соответствия PCI (по запросу агента или посредника) и представление результатов квартального сканирования внешней сети (по запросу).
Поставщики (центры обработки данных, хостинг, международные платежные системы):
A. выше 300 тыс. транзакций в год,
необходимо проводить ежегодный внешний аудит (QSA – Qualified Security Assessor) и ежеквартальное внешнее сканирование сети (ASV – Approved Scanning Vendor)
B. до 300 тыс. транзакций в год,
подтверждение соответствия с помощью самооценки (SAQ – Self Assessment Questionnaire) и ежеквартального внешнего сканирования сети (ASV- Аpproved Scanning Vendor)
ВНИМАНИЕ!
* Аудит соответствия PCI должен выполнять внешний сертифицированный аудитор по безопасности.
У Вас есть вопросы? Обращайтесь нам!
Мы помогаем во внедрении требований стандарта PCI DSS и в адаптировании организации к требованиям стандарта, проведении самооценок и аудитов.
