Требования стандарта PCI DSS

Сегодня каждый может самостоятельно создать интернет-магазин с помощью конструкторов вроде WordPress и пр. Однако просто сделать торговую площадку в интернете и заполнить ее товарными позициями недостаточно – нужно еще организовать систему приема платежей на сайте. Для этого вы можете обратиться в нашу компанию.

Понятно, что в большинстве случаев при покупке товаров в интернет-магазине клиенты будут использовать не только свои электронные кошельки вроде WebMoney, Qiwi, YooMoney и пр., но и банковские карты. Последние содержат конфиденциальные данные владельца. Обеспечение безопасности этих данных – обязанность владельца интернет-магазина. Поэтому, прежде чем внедрить в магазин систему приема платежей, необходимо выполнить все требования существующего стандарта – PCI DSS.

Особенности PCI DSS

Расшифровка данной аббревиатуры переводится на русский язык как “Стандарт безопасности данных индустрии платежных карт”. Цель создания документа – обеспечить должный уровень безопасности конфиденциальных данных владельцев банковских карт при совершении разного рода операций.

В стандарте имеются требования, которым должна соответствовать любая организация, занимающаяся обработкой платежных данных: предприятия, занимающиеся торговлей или оказанием услуг (как онлайн, так и оффлайн), банки-эквайеры и пр. Если предприятие соответствует требованиям PCI DSS, то оно получает специальный сертификат. Наличие данного сертификата улучшает имидж компании в глазах потенциальных клиентов, последние могут не беспокоиться, что их данные украдут или будут использовать в незаконных целях.

В стандарте всего 12 требований, они разделены на 6 групп.

Организация защищенной сети

В данной группе 2 требования:

  • Установить межсетевые экраны. Последние предназначены для контроля трафика между средой повышенной критичности (где хранятся конфиденциальные данные владельцев карт) и локальной сетью. Экран блокирует соединения, не соответствующие установленным критериям безопасности.
  • Исключить из использования пароли и другие коды доступа, установленные по умолчанию. Это могут быть пароли к операционным системам, разного рода приложениям, базам данных, кассовым терминалам и пр. Дело в том, что злоумышленники при попытке взломать систему и украсть хранящиеся там данные владельцев платежных карт в первую очередь пробуют ввести сгенерированные по умолчанию пароли, коды, секретные слова и пр. Их можно найти в открытых источниках в Интернете, если хорошо поискать. Поэтому перед подключением систем к сети нужно в первую очередь отключить/удалить созданные автоматически учетные записи или изменить пароли.

Защита данных владельцев банковских карт

В этой группе 2 требования:

  • Организовать безопасное хранение данных владельцев карт. Сегодня есть такие методы защиты, как шифрование, усечение и пр. – все они рассматриваются как критичные средства защиты. То есть, если злоумышленник все же сумеет обмануть систему, то в конце концов он с большой долей вероятности “застрянет” на вышеупомянутых критичных средствах обеспечения безопасности, так как зашифрованные данные для него будут практически бесполезны. Все остальные методы защиты позволяют минимизировать риск кражи. В рамках данных методов должны выполняться меры по обеспечению безопасности хранения информации: запрет на хранение конфиденциальных сведений (кроме случаев, когда хранение необходимо), хранение только обрезанного номера платежной карты и пр.
  • Шифровать данные при передаче. Конфиденциальную информацию злоумышленник может не только достать из места хранения, но и перехватить при осуществлении передачи. Поэтому данные нужно надежно зашифровывать, особенно если они передаются по сетям общего пользования.

Программа управления уязвимостями

Здесь также 2 требования:

  • Своевременно обновлять антивирусное программное обеспечение и обеспечить защиту системы от вирусного ПО. Последнее может проникнуть в локальную сеть по разным каналам, например, через корпоративную почту сотрудников. Помимо антивируса можно использовать дополнительные средства защиты, но они не заменяют антивирусное ПО.
  • Устанавливать и поддерживать безопасные приложения. Многие злоумышленники для получения доступа к данным могут воспользоваться уязвимостями системы или установленных в ней приложений. Поэтому требуется своевременно обновлять все программные средства, чтобы обеспечить соответствие последним нормам безопасности.

Контроль доступа

Здесь 3 требования:

  • Внедрить принцип служебной необходимости. Согласно данному принципу, доступ предоставляется только к тем данным, которые нужны для выполнения тех или иных должностных обязанностей.
  • Определять и подтверждать доступ. Каждому должностному лицу присваивается уникальный идентификатор. Благодаря этому “маркеру” можно отследить действия владельца идентификатора.
  • Ограничить физический доступ к данным. При любом физическом доступе злоумышленник может украсть устройства, важные документы и пр. Поэтому важно ограничить физический доступ. Обеспечивается путем использования камер видеонаблюдения, установки СКУД и пр.

Обслуживать локальную сеть и работать над повышением уровня безопасности

Требования следующие:

  • Контролировать и отслеживать доступ к сетевым ресурсам. Обеспечивается путем ведения записей о событиях, журналов действий и пр. Это позволяет анализировать внештатные ситуации, минимизировать последствия кражи данных.
  • Регулярно тестировать систему. Уязвимости в системе могут возникать по разным причинам, например, при установке нового ПО. Поэтому рекомендуется регулярно проводить тестирование и проверку, чтобы вовремя выявить все уязвимости и оперативно устранить их, прежде чем они станут известны злоумышленникам.

Политика информационной безопасности

Весь персонал (менеджеры, курьеры, специалисты по продажам и пр.) должен быть проинформирован о строгой политике безопасности данных. Последняя должна всегда оставаться актуальной – для этого ее следует пересматривать ежегодно и вносить дополнения (если это требуется).

Систему приема платежей с банковских карт вы можете подключить у нас – мы предоставляем интернет-эквайринг с низкими процентами.

Post a comment