Основной контрольный список соответствия стандарту PCI

«Я ни за что не буду покупать в Интернете. Вы слышали об утечке данных кредитных карт?».

Ирония заключается в том, что почти два десятилетия назад, на заре интернет-покупок, люди боялись делать это, потому что подозревали некачественные сайты. Теперь же, когда крупные розничные компании работают по всему Интернету, существует опасение, что данные кредитной карты могут быть украдены — точно так же, как в те времена, когда покупки совершались в кирпичных и торговых центрах, могли подменить бумажник.

Как показывает статистика, количество операций в Интернете неуклонно росло (получив дополнительный импульс благодаря пандемии Ковид-19), равно как и число злонамеренных атак. Это способствовало распространению требований индустрии платежных карт (PCI), созданной для поддержки, развития и обеспечения безопасности продолжающегося невероятного роста цифровых транзакций. Но этого недостаточно.

Удивительно, но только около 28% организаций достигли полного соответствия стандарту PCI. Поскольку хакерские и фишинговые атаки становятся все более изощренными, соответствие стандарту PCI имеет решающее значение не только для безопасности данных клиентов, но и для будущего вашего бизнеса.

Виды атак на онлайн-бизнес. Источник: https://www.gomage.com

Что такое соответствие стандарту PCI?

PCI Compliance, или, если дать ему полное название — PCI DSS (Data Security Standard), — это протокол безопасности, созданный с целью, чтобы все компании, которые обрабатывают, хранят и передают платежную информацию, поддерживали максимально возможные меры безопасности.

Стандарты соответствия PCI были установлены для защиты информации, которую получают и хранят онлайн-продавцы при приеме онлайн-платежей. В 2006 году Совет по стандартам безопасности PCI (PCI SSC) был создан компаниями Visa, American Express, Mastercard и другими международными платежными сервисами для внедрения стандартов PCI. Членами Совета являются десятки финансовых учреждений и онлайн-продавцов, включая Amazon, JP Morgan, Wells Fargo, Burger King, Walmart и другие. Она предоставляет комплексные ресурсы и руководства для организаций и поддерживает стандарты. PCI SSC разделила соответствие PCI на четыре уровня:

Уровень 1: Любой торговец, обрабатывающий более 6 миллионов транзакций в год.

Уровень 2: Любой торговец, который обрабатывает от 1 миллиона до 6 миллионов транзакций в год

Уровень 3: Любой торговец, который обрабатывает 20 000 — 1 миллион транзакций в год

Уровень 4: Любой торговец, обрабатывающий до 20 000 транзакций в год.

Чтобы достичь соответствия стандарту PCI DSS (Стандарт безопасности данных), компания, занимающаяся онлайн-платежами или электронной коммерцией, должна соблюдать 12 стандартизированных требований: Это можно назвать «контрольным списком соответствия PCI». 

12 требований PCI DSS:

  1. Установить и поддерживать брандмауэр для защиты данных о держателях карт.
  2. воздерживаться от использования паролей и других параметров безопасности по умолчанию, предоставленных поставщиком
  3. Защищать все хранящиеся данные о держателях карт
  4. Шифруйте все данные о держателях карт, передаваемые по сетям общего пользования.
  5. Используйте антивирусное программное обеспечение и постоянно обновляйте его
  6. Разрабатывайте & поддерживайте безопасные системы и приложения
  7. Ограничьте доступ к данным о держателях карт только по необходимости.
  8. Присваивать уникальный идентификатор лицам, имеющим доступ к компьютеру
  9. Ограничьте физический доступ к данным держателей карт
  10. Отслеживать & контролировать весь доступ к сетевым ресурсам и данным держателей карт.
  11. Часто тестируйте системы и процедуры безопасности
  12. Вести документацию по информационной безопасности для всего персонала.

Безопасные и небезопасные соединения с доменами, связанными с COVID-19. Источник изображения Отчет о безопасности платежей Verizon 2020

Соблюдение требований PCI означает не только усиление безопасности вашей организации и данных держателей карт. Это также может привести к повышению доверия со стороны ваших клиентов (что, в свою очередь, может привести к появлению новых клиентов) и укреплению вашей репутации в деловом и платежном сообществе, что является ценным товаром для любой организации.

Поскольку соответствие стандарту PCI — это непрерывный процесс, который длится круглый год, это может снизить вероятность нарушения безопасности или кражи карточных данных.

Кому и почему это должно быть важно?

Полученные уроки слишком тяжелы и слишком дорогостоящи, чтобы их игнорировать. Назовем некоторые из них:

  • Атака Warner Music Magecart, в ходе которой была обнародована подробная информация о картах.
  • Target — этот случай особенно вопиющий, поскольку в распоряжении компании имелось средство обнаружения вредоносных программ, но она каким-то образом пропустила предупреждения, 
  • Примерно у 3 миллионов клиентов Adobe были украдены данные их кредитных карт.

Размер вашей организации не имеет значения: Предприятия, использующие методы обработки платежей, постоянно являются потенциальными целями, а малый и средний бизнес может оказаться под прицелом хакеров в качестве «целевой практики». И если вам интересно — даже если ваша организация использует стороннего поставщика платежей, это не освобождает вас от соответствия стандарту PCI.

Во что может обойтись вашей организации несоответствие стандарту PCI

Давайте рассмотрим стоимость несоответствия стандартам PCI: Помимо того, что вы играете с данными ваших клиентов, несоответствие стандартам PCI означает, что помимо финансовых рисков, которым вы подвергаете себя и своих клиентов, вы также подвергаетесь возможным штрафам со стороны Совета по стандартам безопасности PCI.

Хуже того, предположим, что ваш бизнес пострадал от сбоя в системе безопасности (так называемого «взлома»), когда вы не соответствовали требованиям PCI. В этом случае на ваш бизнес могут быть наложены штрафные санкции, а также любые возмещения клиентам. Короче говоря, вы будете:

Компрометация данных клиентов, поставщиков и финансовых служб; серьезный ущерб вашей репутации и препятствия для будущих деловых начинаний; прекращение деловых отношений, быстрое падение акций (если речь идет о публичной компании), негативный PR… и мы еще даже не коснулись возможных судебных исков, страховых претензий, штрафов финансовых служб и государственных штрафов в качестве глазури на торте.

СКАЧАТЬ КОНТРОЛЬНЫЙ СПИСОК PCI ЗДЕСЬ

Необходимые шаги для соответствия стандартам PCI

Помните, что кибербезопасность — это всегда игра в кошки-мышки с киберпреступниками, поэтому ни одно решение не является на 100% надежным. Однако соблюдение строгих стандартов PCI означает, что в случае худшего развития событий, если вы сделали все возможное со своей стороны, ваша организация по-прежнему будет пользоваться поддержкой служб кредитных карт, банков или любых других финансовых учреждений, с которыми вы сотрудничаете.

Говоря о третьих сторонах, конечно, важно знать, когда они получают данные клиентов, как они их защищают и используют, чтобы гарантировать, что данные ваших клиентов не были украдены или вовлечены в кибератаку. Слежение за периметром собственной безопасности поможет вам быть на шаг впереди таких групп, как MAGECART, которые используют сторонние коды, встроенные в ваш сайт, чтобы обойти вашу архитектуру безопасности. 

Вот почему для борьбы с этой угрозой и обеспечения безопасности ваших клиентов на протяжении всего пути пользователя мы разработали платформу, которая имитирует полный путь пользователя, охватывая все действия посетителей до этапа оформления заказа. Она включает автоматическое удаленное сканирование веб-сайта и анализ на основе искусственного интеллекта для обнаружения аномалий и предупреждения о подозрительных действиях. 

Однако речь идет не только о «достижении соответствия». Поскольку это все равно, что выполнить минимум, настоящая работа заключается в снижении рисков для вашей организации, а соответствие стандарту PCI — это ваш ориентир. Некоторые организации совершают ошибку, поскольку считают меры безопасности, такие как соответствие стандарту PCI, расходами, тогда как их следует рассматривать как инвестиции.

малый и средний бизнес чаще всего страдает от утечек данных. источник: Fit Small Business

Существует несколько шагов, которые ваша организация должна регулярно выполнять, чтобы снизить риск нарушения PCI:

Оценка рисков:  
  • Обзор ваших ИТ-активов и анализ процедур обработки платежей.
  • Выявление существующих и потенциальных уязвимостей извне
  • Поиск необычных моделей активности в ИТ-отделе.
  • Необходимо как можно скорее устанавливать обновления программного обеспечения, а антивирусные утилиты должны постоянно обновляться
Составление отчетов 

Составление и подача отчетов в компании и банки, с которыми связана ваша организация. Это необходимо для того, чтобы убедиться, что вы соблюдаете стандарты PCI. Чем выше частота отчетов, тем лучше. Эти отчеты должны охватывать практически все политики, кроме кухонной раковины: Брандмауэр, антивирус, информационная безопасность, конфигурация системы, политика паролей, физическая безопасность, политика данных о держателях карт и т.д. Когда вашу организацию будет проверять Совет по стандартам безопасности PCI QSA (Quality Security Assessor), чтобы убедиться, что предприятие соответствует стандартам PCI DSS, они захотят увидеть эти отчеты. Поэтому неплохо иметь под рукой все возможные отчеты.

Минимизируйте доступ к данным 

только уполномоченному персоналу на основании данных, относящихся к его должности. Это минимизирует риск утечки конфиденциальных данных через сотрудников, не имеющих оснований для доступа к информации. Многофакторная аутентификация (MFA), надежные пароли и брандмауэры веб-приложений — это дополнительные уровни, а также частые отчеты о безопасности. 

Отделите данные держателей карт от данных компании. Это обеспечивает более строгую безопасность и предотвращает ненужное смешение данных.

Кто следит за соблюдением требований PCI?

Ответственным лицом должен быть менеджер по соответствию стандарту PCI. Этот человек, обладающий опытом в области защиты данных и кибербезопасности, подчиняется менеджеру компании по соответствию требованиям и/или CISO (Chief Information Security Officer).

Почему же все компании просто не становятся PCI-совместимыми? Взгляните на статистику ниже:

Источник: Отчет Verizon 2020 по безопасности платежей

В то время как предприятия и организации стремятся и быстро переходят в мир цифровых транзакций и бесконтактных платежей, кибербезопасность — это совсем другая история.

Последние тенденции и статистика показывают, что все больше компаний не соответствуют требованиям PCI. Почему? Скорее всего, многие из них до сих пор считают это расходами, а не частью долгосрочных инвестиций.

Это метод «меньше — значит больше»: Чем меньше людей имеют доступ к конфиденциальным данным, тем лучше; чем меньше данных ваших клиентов, тем лучше (как мы все знаем, компании, собирающие информацию, в любом случае оказываются в горячей воде).

Будьте в контакте с вашим платежным процессором, чтобы синхронизировать возможные изменения — лучше перестраховаться, чем потом сожалеть. Самое главное, помните, что соответствие стандарту PCI никогда не бывает «раз и готово»: это постоянная работа. Вот почему у вас есть менеджер по соответствию PCI; вот почему вы оцениваете, составляете отчеты, находите «слепые пятна» до того, как они станут серьезной угрозой. И самое главное, вы делаете это ради своих клиентов и доброго имени вашего бизнеса.

СКАЧАТЬ КОНТРОЛЬНЫЙ СПИСОК PCI ЗДЕСЬ

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *