Как проверить подлинность сертификата pci dss
Примерно каждые 39 секунд в мире совершается одна хакерская атака. Жертвами злоумышленников становятся не только крупные корпорации — более 40% кибератак направлены на малый бизнес. Чтобы усложнить работу мошенникам и хакерам, ИТ-индустрия разрабатывает специальные стандарты. Следование этим стандартам помогает компаниям защитить их инфраструктуру, сети и персональные данные пользователей. Например, данные клиентов Robokassa находятся в безопасности, потому что наш сервис соответствует требованиям стандарта PCI DSS.
Стандарту PCI DSS должны следовать все организации, которые хранят или передают данные хотя бы одной банковской карты. Он описывает меры для защиты таких данных и необходимые требования к ИТ-инфраструктуре компании.
Первую редакцию стандарта приняли Visa, MasterCard и несколько других американских платежных систем в 2004 году. На российский рынок PCI DSS пришел в 2006-м, после того, как его действие расширили на страны Центральной и Восточной Европы. Перевод документации на русский появился позднее — с выходом PCI DSS v2.0.
Стандарт не закреплен на законодательном уровне ни в одном государстве. Контроль осуществляют Visa и MasterCard — они отвечают за санкции и штрафы. Однако отдельные требования PCI DSS можно встретить в различных правовых документах. Так, американском штате Миннесота с 2007 года действует Plastic Card Security Act, запрещающий бизнесу хранение PIN-кодов карт клиентов. Если говорить о России, то стандарт во многом соответствует положению ЦБ РФ 382-П от 2012 года. Оно касается защиты информации при переводе денежных средств.
Требования стандарта
PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:
Защищать корпоративные сети. Настроить файрволы и заменить все пароли, установленные производителем сетевого оборудования.
Защищать данные карт. Внедрить шифрование и осуществлять передачу данных карт по сети с помощью протокола TLS 1.1 (или выше).
Своевременно закрывать уязвимости. Устанавливать обновления для используемых программ и корпоративных антивирусов.
Контролировать доступ к хранилищу. Ограничить круг сотрудников, имеющих доступ к месту физического хранения данных.
Установить политики информационной безопасности. Проверить соответствие им и продумать алгоритм действий при взломе.
Мониторить инфраструктуру. Плюс проводить регулярное тестирование всех систем, отвечающих за информационную безопасность.
Ответственность за нарушение
Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.
Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе»).
Процесс сертификации
Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:
Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.
Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.
Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.
Альтернативный подход
Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.
Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.
Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.
В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.
Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой.
Рисунок 1. Определение необходимости соответствия стандарту PCI DSS
- Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
- Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?
Требования стандарта PCI DSS | |
| 1. Защита вычислительной сети | 7. Управление доступом к данным о держателях карт |
| 2. Конфигурация компонентов информационной инфраструктуры | 8. Механизмы аутентификации |
| 3. Защита хранимых данных о держателях карт | 9. Физическая защита информационной инфраструктуры |
| 4. Защита передаваемых данных о держателях карт | 10. Протоколирование событий и действий |
| 5. Антивирусная защита информационной инфраструктуры | 11. Контроль защищённости информационной инфраструктуры |
| 6. Разработка и поддержка информационных систем | 12. Управление информационной безопасностью |
Таблица 2. Способы подтверждения соответствия стандарту PCI DSS
Внешний аудит QSA (Qualified Security Assessor) | Внутренний аудит ISA (Internal Security Assessor) | Самооценка SAQ (Self Assessment Questionnaire) |
| Выполняется внешней аудиторской организацией QSA , сертифицированной Советом PCI SSС. | Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSC аудитором .Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом. | Выполняется самостоятельно путём заполнения листа самооценки. |
| В результате проверки QSA -аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт. | В результате проверки ISA -аудиторы , как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт. | Сбор свидетельств выполнения требований стандарта не требуется. |
| По результатам проведённого аудита подготавливается отчёт о соответствии — ROC (Report on Compliance). | Самостоятельно заполняется лист самооценки SAQ . |
Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.
В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.
Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.
| ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально. |
Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS
Друзья, мы расширяем ассортимент предоставляемых услуг и в ближайшее время добавим на наш сайт возможность заказывать сервисы по сканированию сайтов на наличие вредоносного кода (ASV-сканирование), которые требует сертификация PCI DSS.
В связи с этим мы начинаем новую рубрику публикаций, связанных со стандартами и требованиями безопасности данных. И в первую очередь мы хотим поговорить о сертификации PCI DSS.
Использование оплаты кредитными и дебетовыми картами предусматривает возможную передачу, хранение и обработку данных платежных карт, что повышает риски киберпреступности. В связи с этим MasterCard, Visa, American Express и другие платежные системы выдвигают определенные требования по безопасности к торговым предприятиям и поставщикам услуг, которые работают с данными платежных карт. Эти требования описаны в стандарте PCI DSS. Давайте разберемся, что такое сертификация PCI DSS и какие основные положения нужно знать.
Что такое PCI DSS?
PCI DSS – это сокращение от Payment Card Industry Data Security Standard, что означает – стандарт безопасности данных индустрии платёжных карт.
Стандарт PCI DSS был разработан советом PCI SSC (Payment Card Industry Security Standards Council, что в переводе означает Совет по стандартам безопасности индустрии платежных карт). Члены-основатели совета PCI SSC - международные платёжные системы Visa, MasterCard, American Express, JCB International и Discover Financial Services – согласились принять общий стандарт безопасности в качестве части технических требований для каждой из их программ соответствия безопасности данных.
Кроме того каждый член-основатель признает квалифицированных советом PCI SSC аудиторов систем безопасности (Qualified Security Assessors, QSA) и утверждённых поставщиков услуг сканирования (Approved Scanning Vendors, ASV). К последним относится наш партнер Comodo (Sectigo), чей лицензированный сервис сканирования HackerGuardian PCI Scanning Service в ближайшее время будет доступен для заказа на нашем сайте.
Кому нужна сертификация PCI DSS?
- Торгово-сервисные компании любого размера;
- Финансовые учреждения;
- Поставщики кассовых терминалов;
- Производители технических средств ЭВМ и программного обеспечения, словом, все кто создает и использует международную инфраструктуру для обработки платежей.
Таким образом, требования стандартов PCI DSS применяются ко всем организациям, независимо от их размера или количества проводимых транзакций, которые принимают, передают, обрабатывают или хранят любую информацию держателей кредитных карт, или же если бизнес-процессы в этих организациях могут влиять на безопасность платежных карт.
Требования стандарта PCI DSS
Сертификация PCI DSS подразумевает соответствие стандарту, который состоит из 12 разделов исчерпывающих требований к обеспечению безопасности информации о владельцах платёжных карт, с которыми работают торгово-сервисные предприятия и поставщики услуг. Соответствие требованиям PCI стандарта подразумевает комплексное принятие мер по обеспечению безопасности на каждом из шагов работы с платежными картами, от передачи данных до ее хранения в базах данных компании.
Если вы хотите, чтобы ваши клиенты могли расплачиваться банковской картой, вам не обойтись без сертификации PCI DSS. Она нужна для подтверждения того, что вы проводите операции с платежами с учетом самых строгих требований безопасности.
Вы можете не получать сертификацию, но тогда вам придется пользоваться «костылями» наподобие встраивания iframe платежной страницы банка-эквайера на сайте или редиректа на его сайт. А это — ухудшение пользовательского опыта, то есть потенциально упущенные клиенты и прибыль. Вывод: сертификация все-таки пригодится.
После консультаций со своим эквайером и QSA-компаниями легко подумать, что такая сертификация — процесс сложный, долгий и дорогой. Но на самом деле это не всегда так.
Сертифицируй себя сам
По правилам платежных систем Visa и MasterCard, если вы сервис-провайдер и обрабатываете, храните или передаете данные менее чем о 300 000 транзакциях в год, для успешной сертификации можно обойтись заполнением специального листа самооценки (SAQ), то есть без QSA-аудита. Если же вы — мерчант, то планка — от 1 млн транзакций в год.
Аудит проводит Qualified Security Assessor — компания, которой Совет PCI SSC предоставил право проведения оценки на соответствие стандарту. В ходе проверки тестируется соответствие бизнес-процессов, процессов по безопасности, средств защиты информации и ИТ-инфраструктуры вашей компании требованиям безопасности.
Вот основные отличия аудита от самооценки (обратите внимание на стоимость):
Пример из жизни
Недавно к нам обратился клиент, который считал, что ему нужно пройти полноценный QSA-аудит. Компания обрабатывает данные банковских карт в мобильном приложении, для этого люди перенаправлялись на платежную страницу банка-эквайера. Чтобы повысить качество пользовательского опыта клиент хотел сделать в мобильном приложении собственную платежную форму. Но для этого надо было предоставить банку-эквайеру сертификат. На вопрос клиента «В каком формате нужна сертификация?» специалисты банка просто отправили ссылку на сайт стандартов PCI DSS.
Когда клиент обратился к нам, сразу выяснилось, что он может подтвердить соответствие требованиям PCI DSS, заполнив лист самооценки (SAQ). Наши специалисты провели аудит бизнес-процессов и инфраструктуры компании, разработали план того, как привести всё это в соответствие требованиям PCI DSS, а также разработали необходимые нормативные документы. Кроме того, они проконтролировали выполнение всех требований.
Затем клиент с нашей помощью заполнил лист самооценки и отправил его банку-эквайеру. После некоторых раздумий (похоже, банк-эквайер редко сталкивался с SAQ) лист самооценки был принят в качестве подтверждения соответствия требованиям PCI DSS. Клиент смог встроить в мобильное приложение собственную платежную форму.
А можно без сертификации?
Сертификат PCI DSS — свидетельство того, что вы серьезно относитесь к работе и данным банковских карт клиентов, строго соблюдая международные стандарты безопасности. Конечно, теоретически вы можете работать без нее, но за это предусмотрен крупный штраф. Кроме того, вам придется работать с не очень ответственными банками или платежными шлюзами, игнорирующими требования безопасности, что делает вас более уязвимым перед мошенниками. В случае обнаружения в транзакциях фрода, случившегося по вашей вине, компенсировать последствия вам придется самостоятельно.
И напоследок напомним о стоимости аудита и самооценки. Средние цены на оба варианта сертификации на российском рынке такие:
- заполнение листа самооценки с пентестом и ASV-сканированием уязвимостей сети — от 450 тысяч рублей;
- QSA-аудит — от 1 миллиона рублей.
Таким образом, на самооценке вы сэкономите, как минимум, вдвое.
Первый шаг в деле сертификации PCI DSS вы можете сделать прямо сейчас, посчитав количество ваших транзакций в год. Скорее всего, логотип «PCI DSS Certified» на вашем сайте намного ближе, чем кажется.
Читайте также: