В данном материале мы рассмотрим сертификацию PCI DSS и ее требования.
Что такое сертификация PCI DSS?
Данный стандарт является доказательством того, что организация соответствует всем отраслевым запросам работы с платежами. Список требований был учрежден мировыми лидерами в обработке платежей, а именно American Express, Visa и MasterCard. Для всех организаций, которые работают с банковскими картами, прохождение сертификации является обязательным. Благодаря сертификации PCI DSS клиенты различных финансовых организаций могут быть уверены в том, что их средства находятся в безопасности.
Требования PCI DSS
Предприятия, выполняющие стандарт PCI DSS, обязаны ответственно подходить к операциям с личными данными. Если рассматривать требования данного стандарта по пунктам, то мы получим такой список:
- Все данные в сети компании обязаны быть надежно зашифрованы. Для этого необходимо использовать ключи 128 бит и больше;
- Применять антивирусное ПО в организации и регулярно обновлять все программное обеспечение, после чего документально это регламентировать;
- Постоянное логирование любых действий внутри инфраструктуры. Таким образом уязвимые места системы можно обнаружить быстрее;
- Реализовать доступ к критически важным частям инфраструктуры с помощью многофакторной аутентификации. А доступ к физическим серверам строго ограничить; Причем политики ограничений должны регулярно обновляться и изменяться, особенно при изменении состава сотрудников.
- Надежная защита внутренней сети компании и фильтрация запросов межсетевыми экранами. Зоны обработки клиентских данных следует разделить на сегменты. Во избежание совмещения задач с разными уровнями безопасности на одном сервере существует правило: одна ВМ – одна серверная функция.
Если компания намерена проходить сертификацию по PCI DSS и сама обрабатывать банковские данные на своем сайте, то на нее распространяются все положения данного стандарта. Эти требования касаются безопасности сетей, оборудования, программного обеспечения, баз данных, физического хранения, процедур документирования и управления, а также необходимость создания анти-фрод и биллинговой системы.
Как получить сертификат PCI DSS
Всего есть два метода для получения данного сертификата - внешний QSA-аудит и заполнение листа самооценки собственными силами. Вы сможете не прибегать к стороннему аудиту в том случае, если ваша организация представляет собой сервис-провайдер с менее чем 300 тысячами транзакций в год или процессинговый центр с объемом транзакций менее 1 миллиона в год.
Можно ли не выполнять требования PCI DSS
Возможно, однако это достаточно опасно. Во-первых, такая работа находится в “серой зоне”, что исключит возможность сотрудничества с надежными платежными компаниями и банками, которые ценят безопасность. При этом игнорирование требований сделает вас уязвимой целью для злоумышленников. Все дело в том, что в перечень данный требований входит множество аспектов безопасности. Также существенным риском, который появляется при отказе от выполнения требований, является компенсация убытков клиентов исключительно за счет компании, например, пользователь потерял свои средства из-за фрода. В конце концов рано или поздно уклонение от требований PCI DSS будет замечено и обернется для вас серьезным штрафом.
Заключение
Сертификация PCI DSS является отличным показателем серьезности намерений вашей организации. Если вы желаете развиваться и цените репутацию компании, то прохождение данного стандарта эффективный способ для реализации ваших целей.
