Стандарт безпеки даних індустрії платіжних карток (PCI DSS) — це загальноприйнятий набір політик і процедур, призначених для оптимізацій безпек та операцій з кредитними, дебетовими та готівковими картками та захисту власників карток від неправомірного використання їх особистої інформації. PCI DSS розроблено для запобігання порушенням кібербезпеки конфіденційних даних і зниження ризику шахрайства для організацій, які обробляють інформацію про платіжні картки.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
PCI DSS не є законною або нормативною вимогою. Однак це часто є частиною договірних зобов’язань, яких дотримуються підприємства, які обробляють і зберігають кредитні, дебетові та інші транзакції платіжних карток. Організації, зобов’язані за контрактом, відповідати вимогам PCI DSS, щоб створити та підтримувати безпечне середовище для своїх клієнтів.
PCI DSS було створено в 2004 році п'ятьма великими компаніями, що займаються кредитними картками: Visa, Mastercard, Discover, JCB і American Express. Рада зі стандартів безпеки індустрії платіжних карток (PCI SSC) розробила рекомендації для PCI DSS.
Яке призначення PCI DSS
Основною метою PCI DSS є захист та оптимізація безпеки конфіденційних даних власників карток, як-от номери кредитних карток, терміни дії та коди безпеки. Засоби безпеки стандарту допомагають підприємствам мінімізувати ризики витоку даних, шахрайства та крадіжки особистих даних.
Відповідність стандартам PCI DSS також гарантує, що компанії дотримуються найкращих галузевих практик під час обробки, зберігання та передачі даних кредитних карток. Так само відповідність вимогам PCI DSS зміцнює довіру між клієнтами та зацікавленими сторонами.
Шість принципів PCI DSS
Рада зі стандартів безпеки PCI (PCI SSC) створила шість основних цілей для PCI DSS:
1. Створюйте та підтримуйте безпечну мережу та системи. Операції з кредитною карткою мають здійснюватися в захищеній мережі. Інфраструктура безпеки повинна включати брандмауери, які є досить потужними та складними, щоб бути ефективними, не створюючи незручностей для власників карток або постачальників. Спеціалізовані брандмауери доступні для бездротових локальних мереж, які дуже вразливі до прослуховування та зловмисних атак. Дані автентифікації, надані постачальником, наприклад, персональні ідентифікаційні номери та паролі, не слід використовувати на постійній основі.
2. Захистіть дані власника картки. Організації, які дотримуються PCI DSS, повинні захищати інформацію про власника картки, де б вона не зберігалася. Сховища життєво важливих даних, таких як дати народження, дівочі імена матерів, номери соціального страхування, номери телефонів і поштові адреси, мають бути безпечними. Передача даних власника картки через публічні мережі має бути зашифрованою.
3. Підтримуйте програму керування вразливістю. Організації, що обслуговують картки, повинні запровадити програми оцінки ризиків і управління вразливістю, які захищають їхні системи від дій зловмисних хакерів, таких як шпигунське та шкідливе ПЗ. Усі додатки не повинні мати помилок і вразливостей, які можуть уможливити експлойти, під час яких дані власника картки можуть бути викрадені або змінені. Програмне забезпечення та операційні системи необхідно регулярно оновлювати та виправляти.
4. Впровадити жорсткі заходи контролю доступу. Доступ до системної інформації та операцій повинен бути обмежений і контрольований. Кожній особі, яка використовує комп’ютер у системі, має бути присвоєно унікальне та конфіденційне ідентифікаційне ім’я або номер. Дані власника картки повинні бути захищені як фізично, так і електронно. Фізичний захист може включати використання шредерів документів, обмеження копіювання документів, замки на сміттєвих контейнерах і заходи безпеки в місцях продажу.
5. Регулярно перевіряйте та тестуйте мережі. Мережі необхідно регулярно контролювати та тестувати, щоб переконатися, що заходи безпеки діють, функціонують належним чином і оновлюються. Наприклад, антивірусні та антишпигунські програми повинні мати найновіші визначення та сигнатури. Ці програми часто сканують усі обмінювані дані, програми, оперативну пам’ять і носії інформації.
6. Підтримувати політику інформаційної безпеки. Офіційна політика інформаційної безпеки повинна бути визначена, підтримувана та дотримана всіма учасниками. Можуть знадобитися заходи примусу, такі як перевірки та штрафи за недотримання.
Які 12 вимог стандарту PCI DSS
PCI DSS включає конкретні вимоги до кожної з шести цілей PCI DSS. Організації, які хочуть бути сумісними з PCI DSS, повинні відповідати цим 12 вимогам:
1. Встановіть і підтримуйте брандмауер для захисту середовища даних власника картки.
2. Не використовуйте стандартні паролі та інші параметри безпеки, надані постачальником.
3. Захистіть збережені дані власника картки.
4. Шифруйте дані платіжної картки, що передаються через відкриті публічні мережі.
5. Використовуйте та регулярно оновлюйте антивірусне програмне забезпечення.
6. Розробляти та підтримувати безпечні системи та програми.
7. Обмежте доступ до даних про власників карток лише співробітникам, які потребують бізнесу, оскільки їхні роботи вимагають доступу.
8. Призначте унікальний ідентифікатор кожній особі, яка має доступ до даних або комп’ютера.
9. Обмежте фізичний доступ до даних власника картки.
10. Відстежуйте та контролюйте всі доступи до мережевих ресурсів і даних власників карток.
11. Регулярно тестуйте системи та процеси безпеки.
12. Підтримувати політику інформаційної безпеки.
Рівні відповідності PCI DSS
Вимоги відповідності стандарту PCI DSS поділяються на чотири торговельні рівні залежно від річного обсягу транзакцій із кредитними або дебетовими картками, оброблених підприємством як для електронної комерції, так і для звичайних транзакцій. Нижче наведено чотири рівні перевірки:
1. Рівень 1 включає організації, які обслуговують понад 6 мільйонів карткових операцій на рік. Ці компанії повинні щороку проходити оцінку кваліфікованого експерта з безпеки (QSA) і щоквартально перевіряти видимість мережі у схваленого постачальника сканування (ASV).
2. Рівень 2 включає організації, які обробляють від 1 мільйона карткових транзакцій до 6 мільйонів щорічно. Вони повинні заповнювати щорічну анкету для самооцінки (SAQ) і, можливо, повинні будуть щоквартально подавати сканування вразливості мережі ASV.
3. Рівень 3 включає організації, які обробляють понад 20 000 карткових транзакцій на рік до 1 мільйона. Як і підприємства рівня 2, підприємства рівня 3 повинні пройти щорічний SAQ і, можливо, їм доведеться щоквартально подавати сканування вразливостей мережі.
4. Рівень 4 включає організації, які обробляють менше 20 000 карткових транзакцій на рік. Як і на рівнях 2 і 3, ці підприємства повинні пройти щорічний SAQ і, можливо, доведеться щоквартально подавати сканування вразливостей мережі.
Переваги та проблеми відповідності PCI DSS
Відповідність PCI DSS має ряд переваг і проблем.
Переваги PCI DSS
Відповідність вимогам PCI DSS надає підприємствам декілька переваг щодо захисту даних і підвищення їх репутації як організацій, які піклуються про безпеку. Ці переваги включають наступне:
- Підвищена довіра клієнтів. PCI DSS забезпечує безпеку даних власників карток, допомагаючи компаніям будувати та підтримувати довіру клієнтів. Це може призвести до повторних операцій, а також до підвищення лояльності клієнтів і бренду.
- Зменшення ризику витоку даних. Контроль безпеки PCI DSS і процедури захисту даних мінімізують ризик витоку даних і пов’язані з цим витрати, такі як штрафи, судові збори та репутаційні збитки.
- Захист від шахрайства. Вимоги PCI DSS запобігають і виявляють шахрайство, зменшуючи ризик фінансових втрат, пов’язаних із шахрайством.
- Відповідність галузевим стандартам. Відповідність PCI DSS демонструє прихильність найкращим галузевим практикам, які покращують репутацію компанії серед партнерів, зацікавлених сторін і регуляторів.
Проблеми PCI DSS
Відповідність вимогам PCI DSS також створює проблеми для компаній, наприклад:
- Складність. Вимоги PCI DSS охоплюють низку заходів безпеки, які часто важко зрозуміти та реалізувати підприємствам, особливо невеликим компаніям з обмеженими ресурсами.
- Вартість. Обслуговування та дотримання систем безпеки PCI DSS, процесів, компетенції та персоналу може бути дорогим, особливо для невеликих підприємств.
- Постійні зусилля. Відповідність PCI DSS вимагає постійного моніторингу, тестування та оновлення заходів безпеки для забезпечення постійного дотримання. Цей постійний процес потребує часу та ресурсів.
- Зміна середовища. Індустрія платіжних карток і кібербезпека постійно адаптуються до нових загроз і змін у вимогах відповідності. Дотримання цих мінливих стандартів може бути складним для бізнесу.
Рекомендації щодо сумісності з PCI DSS
Є кілька найкращих практик, які можуть допомогти підприємствам дотримуватися вимог PCI DSS і підтримувати безпечне середовище для передачі даних власників карток. PCI SSC пропонує кілька найкращих практик у розділі «Найкращі методи підтримки відповідності PCI DSS», наприклад:
- Зберігайте лише дані власників карток та іншу інформацію, яка є критичною для бізнес-функцій.
- Розробити програму відповідності, яка включає стратегічні цілі та ролі; такі політики, як вимоги до надійних паролів; і процедури для виконання завдань відповідності.
- Розробіть надійні показники ефективності для оцінки відповідності.
- Призначте обов’язки та ролі для відповідності обізнаним, кваліфікованим і здатним працівникам.
- Розробіть додаткові вимоги до безпеки, крім PCI DSS, специфічні для організації та її галузі.
- Регулярно відстежуйте та тестуйте системи безпеки, процеси та елементи керування, щоб виявляти та усунути потенційні вразливості та загрози.
- Виявляти та усувати збої безпеки; мати процеси для усунення порушень і збоїв.
- Навчіть і підтримуйте обізнаність про безпеку, щоб запобігти вторгненням на основі методів соціальної інженерії, таких як фішинг і лякальні програми.
- Контролюйте відповідність постачальників послуг постачальників.
- Виділіть ресурси для моніторингу та адаптації програм відповідності до змін у загрозах кібербезпеці.
PCI SSC пропонує компаніям розробити власні вимоги та найкращі практики, крім тих, які вони рекомендують. Ці рекомендації зазвичай включають найкращі практики самоконтролю. Компанії повинні впроваджувати підходи, що ґрунтуються на оцінці ризиків, які встановлюють пріоритет засобам безпеки, спрямованим на вирішення найбільш значних ризиків для даних власників карток у конкретному середовищі.
Організації повинні регулярно переглядати та оновлювати свої політики та процедури, а також навчати співробітників важливості відповідності PCI DSS та їх ролі в захисті даних власників карток. Компанії консультуються з QSA, ASV та іншими експертами, щоб допомогти оцінити, запровадити та підтримувати відповідність PCI DSS.