Як хмара допомагає отримати сертифікат PCI DSS
01.06.2021
У 2018 році в найбільшій авіакомпанії Великобританії British Airways стався масштабний витік даних клієнтів. Хакери викрали інформацію платіжних карт близько 380 тисяч осіб.
Для зменшення випадків витоку даних, було розроблено сертифікат PCI DSS. Детальніше про нього ― в нашій статті.
Що таке сертифікат PCI DSS
PCI DSS ― міжнародний стандарт, що регулює інформаційну безпеку даних кредитних карток. У 2005 році його розробила Рада зі стандартів безпеки індустрії платіжних карт. Ініціаторами створення Ради стали Visa, MasterCard, American Express, JCB і Discover. Відповідно до стандарту, компанія, яка приймає їхні платіжні карти повинна мати сертифікат PCI DSS. Обов'язкова сертифікація набула чинності у 2012 році.
Наприклад, щовечора ви купуєте продукти в супермаркеті біля будинку та розраховуєтесь карткою. Хто відповідає за безпеку передачі даних? Супермаркет чи банк, який встановив у ньому POS-термінал? Власник супермаркету напевно думає, що банк. Але це не так. Забезпечувати захист даних від шахрайства і виконувати вимоги стандарту PCI DSS ― завдання власника супермаркету, оскільки магазин обробляє велику кількість транзакцій, а ви показуєте дані своєї карти, набираєте пін-код. Тому навіть супермаркет біля будинку повинен пройти сертифікацію за PCI DSS, не кажучи вже про великі банки та компанії зі сфери фінтех.
За даними CBR, майже всі українські користувачі інтернету робили покупки в онлайні
Кому необхідно отримати сертифікат PCI DSS
Сертифікат повинні мати будь-які торгово-сервісні компанії та постачальники послуг, що приймають, передають або зберігають дані міжнародних карт користувачів: основний номер карти (PAN), ім'я власника, термін дії та сервісний код. Серед них: банки, держустанови, e-commerce, ритейл, розробники програмного забезпечення, хмарні оператори тощо.
В Україні отримання цього стандарту не регулюється законом. Але щороку з'являються IT-проекти: електронний та віртуальний банкінг, інтернет-магазини, а з введенням карантину почала активно розвиватися онлайн-торгівля. Питання забезпечення кібербезпеки для них є найбільш важливим, адже це, в першу чергу, питання репутації та статусу на ринку. Компанії, які не мають цього сертифікату, можуть погано захищати дані клієнтів. Тому стають легкою мішенню для шахраїв, і компенсувати збитки клієнтам в разі інциденту доведеться саме їм.
Проведемо аналогію: фінтех компанія без PCI DSS ― лікар, який практикує без ліцензії. Він може приймати пацієнтів і без неї, поки його не оштрафують. Але, перебуваючи на місці пацієнта, ви б хотіли, щоб вас лікував такий лікар?
Рівні сертифікатів PCI DSS
Залежно від кількості оброблюваних платіжних операцій на рік, торгово-сервісні підприємства та постачальники послуг мають свою класифікацію.
Рівні сертифікатів для торгово-сервісних підприємств:
- Перший ― понад 6 мільйонів платіжних операцій на рік;
- Другий ― від 1 до 6 мільйонів;
- Третій ― від 20 тисяч до 1 мільйона;
- Четвертий ― від 20 тисяч платіжних операцій електронною комерцією до 1 мільйона іншим способом.
Рівні сертифікатів для постачальників послуг:
- Перший ― понад 300 тисяч платіжних операцій;
- Другий ― менше ніж 300 тисяч.
Сьогодні понад 90% торговельних терміналів в Україні ― безконтактні
На що саме потрібно отримати сертифікат PCI DSS
Щоб успішно пройти сертифікацію, компанії повинні забезпечити безпеку платежів їхніх клієнтів на трьох рівнях:
- фізичному (безпека зберігання фізичного обладнання);
- віртуальному (безпека віртуальної інфраструктури);
- програмному (безпека платіжного додатку).
В результаті компанія отримує один сертифікат, який закриває всі ці три рівні. Стандарт PCI DSS ставить жорсткі й точні вимоги до захищеності компонентів інфраструктури. Він складається з шести зон контролю та містить 12 основних вимог, що пред'являються до обробки та передачі критичних даних. Кожна вимога ділитися на 20-30 більше деталізованих. В середньому це ― 260 вимог.
Виконати їх силами компанії ― довгий, трудомісткий і дорогий процес. Один зі способів вирішення цього завдання ― використання хмарних технологій. Компанія може перенести свій платіжний додаток у хмарну інфраструктуру, яка має сертифікат PCI DSS. Серед українських хмарних операторів такий сертифікат є у GigaCloud. Дата-центр GigaCenter, в якому оператор розміщує своє обладнання, має такий самий сертифікат. Це означає, що звернувшись до хмарного оператора, замовник може закрити відразу два рівні: фізичний та віртуальний.
Дві зони відповідальності: хмарного оператора та замовника
Оператор відповідає за аудит і сертифікацію хмарної інфраструктури. В його зоні відповідальності:
- керування міжмережевими екранами, персональним доступом, доступом до мережі та даних;
- контроль параметрів за замовчуванням;
- захист даних від вірусів, шифрування при передачі;
- тестування системи захисту;
- забезпечення політики інформаційної безпеки.
Хмарний оператор надає замовнику віртуальне ізольоване середовище, до якого сам не має доступу. Замовник самостійно встановлює у ньому програмне забезпечення, сам адмініструє свій додаток і налаштовує доступи. Оператор забезпечує лише безпеку віртуального середовища. І оператор, і замовник зобов’язані проходити регулярний аудит і оновлювати сертифікат. Але розміщення в хмарі з PCI DSS спрощує і прискорює замовнику процес отримання сертифікату.
Наявність сертифіката PCI DSS компанії дає:
- можливість відповідати вимогам міжнародних платіжних систем;
- зниження ризиків від можливого витоку платежів;
- статус надійності та стабільності.
Хмарна інфраструктура має високий рівень вимог до захисту інформації, якого складно досягти на власній інфраструктурі
Переваги розміщення у хмарі
PCI DSS регулює не стільки безпечне зберігання обладнання, а системи, процедури та бізнес-процеси, які відповідають за інформаційну безпеку.
Всі технічні ресурси: процесори, пам'ять, місце на диску ― віртуальні, на них можна розгорнути будь-яке програмне забезпечення. Якщо клієнту будуть потрібні додаткові технічні ресурси, він зможе отримати їх в короткі терміни. Хмарні рішення передбачають швидке та доступне резервування і відновлення інформації. Навіть якщо щось піде не так, у хмарного оператора завжди є план Б. Міграція у хмарну інфраструктуру ― це можливість створити систему, яка працюватиме без зупинки в режимі 24/7.