Що таке PCI DSS і чому це потрібно кожній комерційній компанії

Електронні гроші все більше й більше заміщають паперові банкноти. Електронними коштами дуже зручно користуватися, але, на жаль, не завжди безпечно. І чим більше вони використовуються, тим гостріше стає питання безпеки грошей, що знаходяться на карткових рахунках. Щоб мати гарантію безпеки збереження грошей своїх клієнтів, міжнародні платіжні системи, як, наприклад, VISA і MasterCard, вимагають від торгових підприємств і різних постачальників послуг, які приймають платежі через дані платіжні системи, відповідати вимогам стандарту PCI DSS. Стосується це не тільки великих організацій, але й невеликих компаній.

Наприклад, керівництво торговельних мереж оснащує каси своїх магазинів POS-терміналами (пристроями для прийому до оплати платіжних карт). Однак, представники торговельних мереж помилково думають, що банк, який встановив POS-термінали, повністю несе відповідальність за безпеку платежів, захист від шахрайства та за виконання вимог міжнародних платіжних систем.

Насправді, забезпечення захисту даних клієнта та контроль використання платіжного POS-терміналу є прямим обов’язком власника торгової мережі.

Це означає, що якщо в магазині зловмисник буде красти персональні дані з платіжних карток клієнтів, то відповідальність за такий інцидент буде лежати на мережі, а не на банку. Погана репутація буде тягнутися шлейфом не тільки за магазином, а й за всією компанією.

Тому, щоб уникнути подібних ситуацій, торговельна мережа повинна надати доказ відповідності вимогам стандарту PCI DSS.

Так що ж це за стандарт PCI DSS?

Payment Card Industry Data Security Standard – це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карт, які зберігаються, передаються та обробляються в інформаційних системах організацій. Стандарт розроблений Радою за стандартами безпеки індустрії платіжних карт (Payment Card Industry Security Standards Council, PCI SSC), заснованою міжнародними платіжними системами, такими як: Visa, MasterCard, American Express, JCB і Discover.

Стандарт містить у собі всього 12 вимог:

1. Захист обчислювальної мережі;
2. Конфігурація компонентів інформаційної структури;
3. Захист збережених даних про власників карток;
4. Захист переданих даних про власників карт;
5. Антивірусний захист інформаційної інфраструктури;
6. Розробка та підтримка інформаційних систем;
7. Управління доступом до даних про власників карток;
8. Механізми аутентифікації;
9. Фізичний захист інформаційної інфраструктури;
10. Управління інформаційною безпекою;
11. Протоколювання подій і дій;
12. Контроль захищеності інформаційної інфраструктури.

Існує хибна думка, що сертифікація PCI DSS – це формальність, і сертифікат можна просто купити. Це не вірно. Щоб організація відповідала стандарту, повинен виконуватися комплексний підхід до забезпечення інформаційної безпеки даних платіжних карт.

Стандарт PCI DSS націлений на наступні аспекти:

– Захист даних про власників карток;

– Побудова й обслуговування захищеної мережі;

– Упровадження суворих заходів контролю доступу;

– Управління уразливими місцями;

– Регулярний моніторинг і тестування мережі;

– Розробка політики інформаційної безпеки.

На які організації поширюються вимоги стандарту PCI DSS?

Вимоги стандарту PCI DSS розповсюджуються на торгові підприємства, банки, постачальників усіляких послуг і сервісів, роздрібні магазини, саll-центри, платіжні шлюзи та на інші організації, діяльність яких пов’язана з обробкою, передачею і зберіганням даних про власників платіжних карт.

Тобто, якщо ваша організація зберігає, обробляє або передає протягом року хоча б тільки один номер платіжної картки, тоді ви, як компанія, повинні відповідати вимогам стандарту PCI DSS.

Варто окремо відзначити, що вимоги стандарту обов’язкові для всіх банків України.

Також важливо пам’ятати, що міжнародні платіжні системи передбачають накладення штрафних санкцій на всі організації, які зобов’язані проходити щорічну сертифікацію на відповідність вимогам стандарту PCI DSS, але з якихось причин не роблять цього.

Кілька історій, пов’язаних із PCI DSS.

Історія з практики нашої компанії.

До нас звернувся невеликий інтернет-магазин, власники якого вирішили приймати платежі за товари від покупців через свій сайт. Для цього потрібно було підключити сайт магазину до платіжної системи великого українського банку.

Перше, що зробив банк – висунув обов’язкову умову – інтернет-магазин повинен пройти обов’язкову сертифікацію на стандарт PCI DSS.

Для банку важлива безпека на всіх етапах руху грошей. І тільки наявність у компанії сертифікату PCI DSS може гарантувати цю безпеку.

Фахівці нашої компанії допомогли інтернет-магазину виконати всі вимоги. Протягом двох тижнів задоволений клієнт отримав сертифікат PCI DSS. Банк підключив інтернет-магазин до своєї системи і бізнес успішно запрацював.

Ще один приклад великої американської мережі супермаркетів Target, яка не дбала про свою безпеку та безпеку своїх клієнтів.

У результаті проникнення зловмисників у комп’ютерну мережу компанії стався витік даних 40 мільйонів платіжних карт. У підсумку це призвело до втрати власниками платіжних карток 250 мільйонів доларів.

Ця історія не для того, щоб залякати, а щоб продемонструвати, наскільки може бути уразливий навіть дуже великий бізнес.

 Наявність сертифіката PCI DSS мінімізує ймовірність того, що зловмисники зможуть проникнути у вашу мережу.

Що отримує компанія в результаті проходження аудиту на відповідність стандарту PCI DSS?

– Відповідність вимогам міжнародних платіжних систем;

– Зниження ризиків від можливого розголошення конфіденційної інформації;

– Формування громадської думки про чесне ім’я та стабільне положення компанії;

– Зростання рівня довіри і, відповідно, рівня продажів.

Можна провести таку аналогію: сертифікат PCI DSS – це як водійські права й обов’язкове страхування. Ви можете їздити й без документів, поки вас не оштрафують.

Але, поставте себе на місце клієнта. Чи захочете ви їхати в таксі, де водій не має ні водійського посвідчення, ні страховки?

Дізнатися більше про PCI DSS або замовити сертифікацію – натисніть тут