PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS (Стандарт безопасности данных индустрии платежных карт)

Определение

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это набор стандартов безопасности, предназначенных для обеспечения того, чтобы все компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, поддерживали безопасную среду. Установленный Советом стандартов безопасности индустрии платежных карт (PCI SSC) в 2006 году, PCI DSS направлен на защиту данных держателей карт от кражи и мошенничества.

Цель

Основная цель PCI DSS — повысить безопасность платежных карт и защитить чувствительную информацию держателей карт от утечек и несанкционированного доступа. Соблюдая эти стандарты, организации могут снизить риски, связанные с утечками данных, сохранить доверие клиентов и способствовать созданию безопасной транзакционной среды. PCI DSS нацелена на создание базового уровня для защиты платежных данных во всей экосистеме платежей.

Область применения

PCI DSS применяется ко всем организациям, участвующим в обработке платежных карт, включая торговцев, платежные процессоры, эквайеров, эмитентов и поставщиков услуг. Независимо от размера организации или объема обрабатываемых транзакций, любая организация, которая хранит, обрабатывает или передает данные держателей карт, подпадает под действие требований соблюдения PCI DSS. Это широкое применение гарантирует, что все стороны, участвующие в процессе платежей, соблюдают одни и те же стандарты безопасности.

Ключевые требования

PCI DSS состоит из 12 ключевых требований, сгруппированных в шесть категорий, которые организации должны соблюдать для обеспечения соответствия. Эти категории включают:

• Создание и поддержание безопасной сети и систем: Это включает установку и поддержку конфигурации межсетевого экрана и недопустимость использования стандартных настроек паролей и других параметров безопасности, предоставленных поставщиком.
• Защита данных держателей карт: Организации должны защищать хранящиеся данные держателей карт и шифровать передачу данных держателей карт через открытые и публичные сети.
• Поддержание программы управления уязвимостями: Это включает использование и регулярное обновление антивирусного программного обеспечения или программ, а также разработку и поддержку безопасных систем и приложений.
• Реализация строгих мер контроля доступа: Это требует ограничения доступа к данным держателей карт на основе необходимости знать и идентификации и аутентификации доступа к компонентам системы.
• Регулярный мониторинг и тестирование сетей: Организации должны отслеживать и контролировать весь доступ к сетевым ресурсам и данным держателей карт, а также регулярно тестировать системы и процессы безопасности.
• Поддержание политики информационной безопасности: Должна быть разработана, поддерживаться и распространяться политика, касающаяся информационной безопасности для сотрудников и подрядчиков.

Уровни соответствия

Соответствие PCI DSS классифицируется на четыре уровня в зависимости от объема обрабатываемых ежегодно транзакций и потенциального риска для данных держателей карт.

• Уровень 1: Более 6 миллионов транзакций в год, требующий ежегодной оценки на месте квалифицированным оценщиком безопасности (QSA).
• Уровень 2: От 1 миллиона до 6 миллионов транзакций в год, что требует ежегодной самооценки (SAQ).
• Уровень 3: От 20,000 до 1 миллиона транзакций в год, также требующий SAQ.
• Уровень 4: Менее 20,000 транзакций в год, что в основном требует SAQ.

Каждый уровень имеет специфические требования, которые организации должны выполнить, при этом более высокие уровни требуют более строгих оценок.

Преимущества PCI DSS

Соблюдение PCI DSS предоставляет множество преимуществ для организаций. Оно повышает доверие клиентов, демонстрируя приверженность безопасности данных, что способствует лояльности и удержанию клиентов. Соответствие также может снизить риск утечек данных, которые могут привести к значительным финансовым потерям и ущербу репутации. Более того, организации могут получить выгоду от более низких транзакционных сборов и улучшения операционной эффективности за счет внедрения более строгих мер безопасности.

Последствия несоответствия

Несоблюдение PCI DSS может привести к серьезным последствиям, включая крупные штрафы со стороны сетей платежных карт, увеличение транзакционных сборов и потенциальные юридические обязательства. В случае утечки данных несоответствующие организации могут столкнуться с дорогостоящими мерами по устранению последствий, потерей доверия клиентов и ущербом для репутации бренда. Кроме того, организации могут столкнуться с ограничениями или прекращением своей способности обрабатывать транзакции по кредитным картам.

Связанные стандарты

В дополнение к PCI DSS существует несколько других стандартов и рамок, которые дополняют усилия по обеспечению безопасности данных. К ним относятся Общий регламент по защите данных (GDPR), который регулирует защиту данных и конфиденциальность в Европейском Союзе; Закон о переносимости и подотчетности медицинской страховки (HIPAA), который устанавливает стандарты для защиты чувствительной информации о пациентах; и Рамочная программа кибербезопасности Национального института стандартов и технологий (NIST), которая предоставляет рекомендации по управлению рисками кибербезопасности.

Шаги по внедрению

Внедрение PCI DSS включает несколько критически важных шагов:

• Оценка: Определите все места, где хранятся, обрабатываются или передаются данные держателей карт.
• Устранение: Устраните любые уязвимости в безопасности и убедитесь, что системы соответствуют требованиям PCI DSS.
• Отчетность: Заполните соответствующую анкету самооценки или привлечите квалифицированного оценщика безопасности для оценки на месте.
• Мониторинг: Постоянно контролируйте и поддерживайте соответствие через регулярные аудиты и оценки, чтобы обеспечить постоянное соблюдение PCI DSS.

Часто задаваемые вопросы

1. Кто должен соблюдать PCI DSS? Любая организация, которая принимает, обрабатывает, хранит или передает информацию о кредитных картах, обязана соблюдать PCI DSS.
2. Как часто необходимо подтверждать соответствие? Соответствие должно подтверждаться ежегодно, но организации должны регулярно оценивать свои меры безопасности для поддержания постоянного соблюдения.
3. Что произойдет, если я не буду соответствовать PCI DSS? Несоответствие может привести к штрафам, увеличению транзакционных сборов и потенциальной потере способности обрабатывать транзакции по кредитным картам.
4. Может ли соответствие PCI DSS гарантировать безопасность? Хотя соответствие PCI DSS значительно повышает безопасность, оно не может гарантировать абсолютную защиту от утечек данных. Необходимы постоянная бдительность и меры безопасности.
5. Является ли соответствие PCI DSS одноразовым усилием? Нет, соответствие PCI DSS — это непрерывный процесс, который требует регулярных обновлений и оценок для адаптации к развивающимся угрозам безопасности и изменениям в бизнес-среде.

В заключение, PCI DSS является важной рамкой для защиты чувствительной информации о платежных картах. Понимая его требования и внедряя необходимые меры безопасности, организации могут защитить данные держателей карт, повысить доверие клиентов и минимизировать риск утечек данных.