Pci dss 1
Сертифікація PCI DSS
У своїй діяльності ми часто стикаємося з питаннями від клієнтів що таке PCI DSS, в яких випадках і для чого потрібно проходити цю сертифікацію. Якщо ваш бізнес пов'язаний з електронною комерцією (оплата картами на сайті, робота з електронними грошима) вам необхідно знати що ж таке PCI DSS.
1. Що таке сертифікація PCI DSS?
Стандарт PCI DSS (Payment Card Industry Data Security Standard) призначений для забезпечення безпеки обробки, зберігання та передачі даних про власників платіжних карт в інформаційних системах компаній, що працюють з міжнародними платіжними системами Visa, MasterCard і іншими.
Стандарт PCI DSS містить детальні вимоги щодо забезпечення інформаційної безпеки, розбиті на 12 тематичних розділів:
- застосування міжмережевих екранів;
- правила настроювання обладнання;
- захист збережених даних про власників платіжних карт;
- застосування криптографічних засобів захисту при передачі даних;
- застосування антивірусних засобів;
- безпечна розробка та підтримка додатків і систем;
- управління доступом користувачів до даних;
- управління обліковими записами;
- забезпечення фізичної безпеки;
- моніторинг безпеки даних;
- регулярне тестування систем;
- Розробка та підтримка політики інформаційної безпеки.
2. Ким був розроблений стандарт PCI DSS?
3. Для кого вимоги стандарту PCI DSS є обов'язковими?
Вимоги стандарту PCI DSS розповсюджуються на організації, які опрацьовують інформацію про власників платіжних карт. Якщо організація зберігає, обробляє або передає протягом року інформацію хоча б про одну карткової транзакції або власника платіжної карти, то вона повинна відповідати вимогам стандарту PCI DSS. Прикладами таких організацій є торгово-сервісні підприємства (роздрібні магазини і служби електронної комерції), а також постачальники послуг, пов'язаних з обробкою, зберіганням і передачею карткової інформації (процесингові центри, платіжні шлюзи, call-центри, сховища носіїв резервних копій даних, організації, які беруть участь в персоналізації карт і т. п.). Міжнародні платіжні системи зобов'язують організації, на які поширюються вимоги стандарту, проходити регулярну перевірку відповідності цим вимогам.
PCI DSS в Україні
В цілому, даний стандарт поширюється на всі організації, що працюють з електронними платіжними системами, незалежно від кількості транзакцій. Однак для України поки носить скоріше рекомендаційний характер, а основна ініціатива виходить від виробників відповідних рішень. Тим часом PCI DSS має ще і досить потужну іміджеву складову, оскільки є свідченням турботи банків про своїх клієнтів і способом підвищення їх лояльності.
Чи входять банкомати в область застосування стандарту PCI DSS?
Так, окремі підсистеми банкомату, які беруть участь в обробці, зберіганні і передачі даних про власників платіжних карт, входять в сферу застосування стандарту PCI DSS.
4. Чи потрібна якась технічна база для проведення аудиту та сертифікації по PCIDSS? Чи є прив'язка вимог стандарту PCI DSS до конкретних рішень - обладнання, програмного забезпечення, технологій?
Стандарт PCI DSS не містить вимог щодо використання конкретних технічних рішень, моделей устаткування і версій програмного забезпечення. PCI DSS висуває вимоги до організації процесів забезпечення інформаційної безпеки, функціональності засобів захисту інформації, їх конфігурації і налаштування додатків.
5. Скільки за часом займає послуга сертифікації по PCI DSS?
Час проведення аудиту залежить від розміру області застосування стандарту PCI DSS, а також від особливостей інфраструктури компанії. В середньому аудит на об'єкті компанії триває 3-5 днів (з виїздом співробітника в офіс компанії).
Однак, при підготовці до сертифікації на відповідність PCI DSS необхідно брати до уваги ряд важливих моментів.
Так, аудит і розробка плану, враховуючи визначення меж проекту, займає від одного до чотирьох місяців. Терміни усунення невідповідностей стандарту безпосередньо залежать від виявлених недоліків, розвиненості ІТ-інфраструктури та поточного завантаження ІТ-систем фінансової установи іншими проектами. Тому на цю процедуру може знадобитися від двох місяців до двох років.
Основними ж складнощами на етапі аудиту може стати відсутність документації, що регламентує діяльність ІТ (це ускладнює визначення меж проекту і уповільнює збір інформації), а також велика кількість «самописного» ПО, що ускладнює його легалізацію, недостатня кількість документації російською та українською мовами, відсутність шаблонів документів політик безпеки (розробити їх самостійно дуже непросто), а також велика організаційна навантаження.
6. Як часто потрібно проходити аудит?
Згідно зі встановленими міжнародними платіжними системами програмами перевірки відповідності вимогам PCI DSS ряду організацій необхідно проходити щорічний аудит. Програми перевірки відповідності розрізняються для торгово-сервісних підприємств (merchants) і постачальників послуг (service providers).
Щорічний аудит необхідно проходити торгово-сервісним підприємствам, які проводять більше шести мільйонів карткових транзакцій на рік. Що стосується постачальників послуг, міжнародна платіжна система VISA вимагає проходження щорічного аудиту від всіх процесингових центрів, а також постачальників послуг, що обробляють більше 300 000 транзакцій на рік, а MasterCard - від всіх процесингових центрів, а також постачальників послуг, що обробляють більше одного мільйона транзакцій на рік .
7. Що отримує клієнт за підсумками сертифікації по PCI DSS?
За результатами аудиту відповідності усіма напрямками діяльності компанії вимогам стандарту QSA-аудитор (сертифікований аудитор) підготує Звіт про Відповідно (ReportonCompliance), що містить детальну інформацію про виконання кожного з вимог PCI DSS. У звіті за результатами робіт наводиться оцінка відповідності поточного рівня захищеності інформаційної системи Замовника міжнародному стандарту PCI DSS.
Якщо інформаційна система компанії відповідає стандарту PCI DSS за результатами сертифікаційного аудиту, Замовник отримує сертифікат відповідності після схвалення PCI SSC (PCI Security Standard Council).
8. Хто проводить аудит? Як стати аудитором по PCI DSS?
Аудит на відповідність вимогам стандарту PCI DSS мають право проводити компанії, що мають статус QSA (Qualified Security Assessor).
Аудитори бувають двох статусів:
Статуси QSA (Qualified Security Assessor) і ASV (Authorized Scanning Vendor)
QSA-аудитор виконує аудит по PCI DSS (щорічний аудит на об'єкті компанії)
ASV-аудитор виконує сканування. Сканування проводиться для компаній з меншими транзакціями (щоквартальне сканування, яке виконує сертифікованим постачальником послуг (ASV))
Офіційний перелік компаній, що володіють таким статусом, наведено на сайті PCI SSC. У штаті компанії, що має статус QSA, повинні працювати атестовані QSA-аудитори.
Як стати аудитором PCI DSS?
Необхідно пройти курси в Америці в PCI SSC і здати іспити. Також можна навчання проходити дистанційно і здати іспити після навчання.
9. Чим відрізняються сертифікації PCI DSS від PA-DSS?
Для безпеки платіжних додатків Радою був розроблений стандарт PA-DSS (Payment Application Data Security Standard), що є з одного боку розвитком приписи Visa PABP (Payment Application Best Practices), а з іншого боку - адаптацією вимог стандарту PCI DSS до додатків.
Після запуску програми сертифікації організацій, що обробляють дані про власників карт, по стандарту PCI DSS, діяльність Ради PCI SSC щодо забезпечення безпеки платіжної індустрії отримала свій розвиток у вигляді запуску програми підвищення безпеки платіжних додатків.
10. Чи є в Україні аудитори PCI DSS?
Є. Але небагато. ВУкаіни є більше таких аудиторів.
SBSB не має право проводити сертифікацію PCI DSS. Ми можемо рекомендувати партнерські компанії, які займаються цим.
11. Скільки коштує послуга сертифікації по PCI DSS?
Чітких тарифів не існує. Існують ціни на людино-години, курс євро, обсяг робіт. Але сьогоднішній день сертифікаційний аудит коштує не менше 13.000 EUR.
Додатково будуть оплачуватися проведення ідентифікації і сканування на вразливість бездротових точок доступу і проведення попереднього аудиту на відповідність (від 2,500 EUR).