Каждый год предприятия сталкиваются с опасностью утечки данных, которая может привести к компрометации информации о клиентах. Согласно ежегодному отчету Risk Based Security, в прошлом году был отмечен новый пик инцидентов взлома:3930 инцидентов, в результате которых было раскрыто более 736 миллионов записей.

Безопасность данных является серьезной проблемой для бизнеса, особенно если учесть, что почти 60 % малых предприятий становятся банкротами после взлома.

Если ваша компания принимает дебетовые/кредитные платежи, вы можете быть знакомы с требованиями индустрии платежных карт (PCI), требованиями безопасности и мерами, принятыми в отрасли. Однако многие новые предприятия (и некоторые хорошо зарекомендовавшие себя) вообще не знакомы с соблюдением требований PCI.

Ознакомление со стандартами PCI – важнейший компонент современного бизнеса.

Соответствие требованиям PCI относится к набору обязательных стандартов и правил, написанных и применяемых индустрией платежных карт, а именно Visa, MasterCard, American Express и Discover.

Любой компания который хранит, обрабатывает или передает платежи по кредитным и дебетовым картам должен соответствовать рекомендациям Совета по стандартам безопасности PCI (SSC) и ежегодно демонстрировать соответствие, в противном случае вам грозят крупные штрафы и возможная потеря полномочий для обработки транзакций.

Стандартные требования безопасности данных SSC

SSC изложил двенадцать общих требований для соответствия PCI. Хотя эти требования должны быть соблюдены, в них конкретно не указано, как ваш бизнес должен соответствовать им. Например, компании должны использовать и обновлять антивирусное программное обеспечение, но SSC не указывает, какое программное обеспечение должно использоваться.

Чтобы внедрить эти стандарты, SSC предоставляет руководство по приоритетному подходу к соответствию PCI.

Стандартные требования к безопасности данных:

1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.
3. Защитить сохраненные данные
4. Шифровать передачу данных о держателях карт через открытые общедоступные сети.
5. Используйте и регулярно обновляйте антивирусное программное обеспечение.
6. Разрабатывать и поддерживать безопасные системы и приложения
7. Ограничение доступа к данным о держателях карт по служебной необходимости.
8. Назначение уникального идентификатора каждому пользователю, имеющему доступ к компьютеру.
9. Ограничить физический доступ к данным держателей карт.
10. Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт.
11. Регулярно тестируйте системы и процессы безопасности
12. Поддерживать политику, касающуюся информационной безопасности.

Трехэтапный процесс обеспечения соответствия

1:Оценить

Целью оценки является выявление уязвимостей, представляющих угрозу безопасности платежных данных клиентов. Оценка должна носить всесторонний характер, анализируя весь процесс сделки вашей компании от начала до конца. Сюда входят не только цифровые сети, но и все места, где хранятся платежные данные клиентов, например физические ноутбуки, настольные компьютеры и бумажные квитанции.

Если третье лицо участвует в вашем платежном процессе, вы также должны оценить его процедуры и системы.

SSC оказывает помощь, обучая и проверяя профессиональных оценщиков, которые бывают двух типов:квалифицированные оценщики безопасности и утвержденные поставщики сканирования (ASV).

QSA оценивают безопасность ваших данных и подготавливают доказательства для подтверждения соответствия требованиям.

ASV предоставляют коммерческие программные инструменты, которые могут анализировать ваши системы данных на наличие уязвимостей.

2:исправить

Исправление — это процесс устранения и исправления любых уязвимостей, обнаруженных во время вашей оценки.

Многие стратегии восстановления просты:обновить антивирусное программное обеспечение, установить замки на двери, где расположены серверы компании, принять новые пароли, которые обновляются каждые 90 дней.

Однако многие компании сталкиваются с трудностями при создании и внедрении корпоративных политик и процедур безопасности. Без хорошо разработанных политик и процедур, которые четко доведены до сведения всей компании, большинство компаний в конечном итоге не смогут обеспечить соответствие требованиям.

Каждая компания уникальна, и по этой причине восстановление строго индивидуально для каждого бизнеса. Не существует двух абсолютно одинаковых стратегий исправления.

3:Сообщить

Отчет о соответствии (ROC) должен быть представлен, чтобы продемонстрировать, что ваш бизнес соответствует требованиям SSC. ROC – это не единый документ, а скорее сводка доказательств, собранных на этапах оценки и исправления.

Документы ROC могут включать подробные рабочие документы от квалифицированного оценщика, результаты тестирования системы, данные конфигурации, записи интервью, снимки экрана и многие другие доказательства.

SSC предоставил подробный 113-страничный документ с инструкциями по отчетности, с которым можно ознакомиться, чтобы управлять процессом отчетности.

Выполняется

Соответствие стандарту PCI — это непрерывный процесс . Единичная оценка или ежегодная валидация — это не конец процесса. Напротив, соответствие — это постоянное внедрение и мониторинг многочисленных стратегий для обеспечения безопасности данных.

Распространенные заблуждения

Если я не храню информацию о кредитной карте, PCI ко мне не применяется.

Соответствие стандарту PCI применяется к компаниям, которые хранят платежную информацию по дебетовым/кредитным картам и компании, которые обрабатывают или передают эти платежи. Независимо от того, храните вы данные или нет, если вы принимаете дебетовые/кредитные платежи, на вас распространяется соответствие требованиям PCI.

Я обрабатываю лишь небольшое количество транзакций, а PCI применяется только к крупным корпорациям.

Соответствие стандарту PCI предназначено для всех компаний, которые хранят, обрабатывают или передают хотя бы один дебетовый/кредитный платеж. Единственным исключением являются компании, которые передали весь процесс транзакции третьей стороне.

После того, как я сообщу и подтвержу соответствие требованиям, PCI завершится.

Соответствие PCI — это непрерывный процесс, а не раз в год. Валидацию следует рассматривать как моментальный снимок во времени, а не как сплошную печать одобрения. Часто встречаются компании, которые прошли валидацию во время ежегодной оценки, но позже столкнулись с нарушением безопасности из-за несоблюдения нормативных требований.

Другие продавцы не были оштрафованы, и даже если я не соблюдаю требования, штрафы не имеют большого значения.

Штрафы за несоблюдение требований огромны и составляют от 5000 до 100 000 долларов в месяц. Компании также могут вообще потерять право на обработку дебетовых/кредитных платежей до тех пор, пока не будет продемонстрировано и подтверждено соблюдение требований.

Я успешно прошел сканирование ASV, так что я в безопасности.

Сканирование ASV — это всего лишь один шаг в непрерывном процессе. Считайте их одним из многих инструментов в текущих усилиях по обеспечению соответствия требованиям.