fbpx

Что такое PCI DSS и почему это нужно каждой коммерческой компании

Что такое PCI DSS и почему это нужно каждой коммерческой компании

Электронные деньги всё больше и больше замещают бумажные банкноты. Электронными деньгами очень удобно пользоваться, но, к сожалению, не всегда безопасно. И чем больше они применяются, тем острее становится вопрос безопасности средств, находящихся на карточных счетах.

Чтобы иметь гарантию безопасности сохранности денег своих клиентов, международные платежные системы, как, например, VISA и MasterCard, требуют от торговых предприятий и различных поставщиков услуг, принимающих платежи через данные платежные системы, соответствовать требованиям стандарта PCI DSS. Относится это не только к крупным организациям, но и к небольшим компаниям.

Например, руководство торговых сетей оснащает кассы своих магазинов POS-терминалами (устройствами для приёма к оплате платёжных карт). Однако, представители торговых сетей ошибочно думают, что банк, который установил POS-терминалы, полностью несёт ответственность за безопасность платежей, защиту от мошенничества и за выполнение требований международных платёжных систем.

На самом деле, обеспечение защиты данных клиента и контроль использования платёжного POS-терминала является прямой обязанностью владельца торговой сети.

Это значит, что если в торговой сети злоумышленник будет воровать персональные данные с платёжных карточек клиентов, то ответственность за такой инцидент будет лежать на торговой сети, а не на банке. Плохая репутация будет тянуться шлейфом не только за магазином, а и за всей торговой сетью.

Поэтому, во избежание подобных ситуаций, торговая сеть должна предоставить доказательство соответствия требованиям стандарта PCI DSS.

Так что же это за стандарт PCI DSS?

Payment Card Industry Data Security Standard (PCI DSS) — это совокупность требований по обеспечению безопасности данных о держателях платёжных карт, которые хранятся, передаются и обрабатываются в информационных системах организаций. Стандарт разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами, такими как: Visa, MasterCard, American Express, JCB и Discover.

Стандарт содержит в себе всего 12 требований:

  1. Защита вычислительной сети;
  2. Конфигурация компонентов информационной структуры;
  3. Защита хранимых данных о держателях карт;
  4. Защита передаваемых данных о держателях карт;
  5. Антивирусная защита информационной инфраструктуры;
  6. Разработка и поддержка информационных систем;
  7. Управление доступом к данным о держателях карт;
  8. Механизмы аутентификации;
  9. Физическая защита информационной инфраструктуры;
  10. Управление информационной безопасностью;
  11. Протоколирование событий и действий;
  12. Контроль защищённости информационной инфраструктуры.

  Существует заблуждение, что сертификация PCI DSS – это формальность, и сертификат можно просто купить. Это неверно. Чтобы организация соответствовала стандарту PCI DSS, должен выполняться комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Стандарт PCI DSS нацелен на следующие аспекты:

— Защита данных о держателях карт;

— Построение и обслуживание защищённой сети;

— Внедрение строгих мер контроля доступа;

— Управление уязвимостями;

— Регулярный мониторинг и тестирование сети;

— Разработка политики информационной безопасности.

На какие организации распространяются требования стандарта PCI DSS?

Требования стандарта PCI DSS распространяются на торговые предприятия, банки, поставщиков всевозможных услуг и сервисов, розничные магазины, саll-центры, платёжные шлюзы и на другие организации, деятельность которых связана с обработкой, передачей и хранением данных о держателях платёжных карт.

То есть, если ваша организация хранит, обрабатывает или передаёт в течение года хотя бы только один номер платёжной карты, тогда вы, как компания, должны соответствовать требованиям стандарта PCI DSS.

Стоит отдельно отметить, что требования стандарта PCI DSS обязательны для всех банков Украины.

Также важно помнить, что международные платёжные системы предусматривают наложение штрафных санкций на все организации, которые обязаны проходить ежегодную сертификацию на соответствие требованиям стандарта PCI DSS, но по каким-то причинам не делают этого.

Несколько историй, связанных с PCI DSS.

История из практики нашей компании.

К нам обратился небольшой интернет-магазин, владельцы которого решили принимать платежи за товары от покупателей через свой сайт. Для этого нужно было подключить сайт магазина к платёжной системе крупного украинского банка.

Первое, что сделал банк — выдвинул обязательное условие — интернет-магазин должен пройти обязательную сертификацию на стандарт PCI DSS.

Для банка важна безопасность на всех этапах движения денег. И только наличие у компании сертификата PCI DSS может гарантировать эту безопасность.

Специалисты нашей компании помогли интернет-магазину выполнить все требования. В течение двух недель довольный клиент получил сертификат PCI DSS. Банк подключил интернет-магазин к своей системе и бизнес успешно заработал.

 

Ещё один пример крупной американской сети супермаркетов Target, которая не заботилась о своей безопасности и безопасности своих клиентов.

В результате проникновения злоумышленников в компьютерную сеть компании произошла утечка данных 40 миллионов платёжных карт. В итоге это привело к потере владельцами платежных карт 250 миллионов долларов.

Эта история не для того, чтобы запугать, а чтобы продемонстрировать, насколько может быть уязвим даже очень крупный бизнес.

 Наличие сертификата PCI DSS минимизирует вероятность того, что злоумышленники сумеют проникнуть в вашу сеть.

Что получает компания в результате прохождения аудита на соответствие стандарту PCI DSS?

— Соответствие требованиям международных платёжных систем;

— Снижение рисков от возможного разглашения конфиденциальной информации;

— Формирование общественного мнения о честном имени и стабильном положении компании;

— Рост уровня доверия и, соответственно, уровня продаж.

Можно провести такую аналогию: сертификат PCI DSS — это как водительские права и обязательное страхование. Вы можете ездить и без документов, пока вас не оштрафуют.

Но, поставьте себя на место клиента. Захотите ли вы ехать в такси, где водитель не имеет ни водительского удостоверения, ни страховки?

Больше узнать о PCI DSS или заказать сертификацию – нажмите здесь

Что такое PCI DSS и почему это нужно каждой коммерческой компании обновлено: Июль 9, 2019 автором: mdavtian