Как облако помогает получить сертификат PCI DSS
01.06.2021
В 2018 году в крупнейшей авиакомпании Великобритании British Airways произошла масштабная утечка данных клиентов. Хакеры похитили информацию платежных карт около 380 тысяч человек.
Для уменьшения утечек данных, был разработан сертификат PCI DSS. Подробнее о нем ― в нашей статье.
Что такое сертификат PCI DSS
PCI DSS ― международный стандарт, регулирующий информационную безопасность данных кредитных карточек. В 2005 году его разработал Совет по стандартам безопасности индустрии платежных карт. Инициаторами создания Совета стали Visa, MasterCard, American Express, JCB и Discover. Согласно стандарту, компания, которая принимает их платежные карты должна иметь сертификат PCI DSS. Обязательная сертификация вступила в силу в 2012 году.
Например, каждый вечер вы покупаете продукты в супермаркете возле дома и расплачиваетесь картой. Кто отвечает за безопасность передачи данных? Супермаркет или банк, который установил в нем POS-терминал? Владелец супермаркета наверняка думает, что банк. Но это не так. Обеспечивать защиту данных от мошенничества и выполнять требования стандарта PCI DSS ― задача владельца супермаркета, поскольку магазин обрабатывает большое количество транзакций, а вы показываете данные своей карты, вводите пин-код. Поэтому даже супермаркет возле дома должен пройти сертификацию по PCI DSS, не говоря уже о крупных банках и компаниях из сферы финтех.
По данным CBR, почти все украинские пользователи интернета делали покупки в онлайне
Кому необходимо получить сертификат PCI DSS
Сертификат должны иметь любые торгово-сервисные компании и поставщики услуг, которые принимают, передают или хранят данные международных карт пользователей: основной номер карты (PAN), имя владельца, срок действия и сервисный код. Среди них: банки, госучреждения, e-commerce, ритейл, разработчики программного обеспечения, облачные операторы и т.д.
В Украине получение этого стандарта не регулируется законом. Но каждый год появляются IT-проекты: электронный и виртуальный банкинг, интернет-магазины, а с введением карантина начала активно развиваться онлайн-торговля. Вопрос обеспечения кибербезопасности для них является наиболее важным, ведь это, в первую очередь, вопрос репутации и статуса на рынке. Компании, которые не имеют этого сертификата, могут плохо защищать данные клиентов. Поэтому становятся легкой мишенью для мошенников, и компенсировать убытки клиентам в случае инцидента придется именно им.
Проведем аналогию: финтех компания без PCI DSS ― врач, который практикует без лицензии. Он может принимать пациентов и без нее, пока его не оштрафуют. Но, будучи на месте пациента, вы бы хотели, чтобы вас лечил такой врач?
Уровни сертификатов PCI DSS
В зависимости от количества обрабатываемых платежных операций в год, торгово-сервисные предприятия и поставщики услуг имеют свою классификацию.
Уровни сертификатов для торгово-сервисных компаний:
- Первый ― больше 6 миллионов платежных операций в год;
- Второй ― от 1 до 6 миллионов;
- Третий ― от 20 тысяч до 1 миллиона;
- Четвертый ― от 20 тысяч платежных операций электронной коммерцией до 1 миллиона другим способом.
Уровни сертификатов для поставщиков услуг:
- Первый ― больше 300 тысяч платежных операций;
- Второй ― меньше 300 тысяч.
Сегодня более 90% торговых терминалов в Украине ― бесконтактные
На что именно нужно получить сертификат PCI DSS
Чтобы успешно пройти сертификацию, компании должны обеспечить безопасность платежных данных их клиентов на трех уровнях:
- физическом (безопасность хранения физического оборудования);
- виртуальном (безопасность виртуальной инфраструктуры);
- программном (безопасность платежного приложения).
В результате компания получит один сертификат, который закроет все эти три уровня. Стандарт PCI DSS ставит жесткие и точные требования к защищенности компонентов инфраструктуры. Он состоит из шести зон контроля и содержит 12 основных требований, предъявляемых к обработке и передачи критических данных. Каждое требование делиться на 20-30 более детализированных. В среднем ― это 260 требований.
Выполнить их силами компании ― долгий, трудозатратный и дорогостоящий процесс. Один из способов решения этой задачи ― использование облачных технологий. Компания может перенести свое платежное приложение в облачную инфраструктуру, которая имеет сертификат PCI DSS. Среди украинских облачных операторов такой сертификат есть у GigaCloud. Дата-центр GigaCenter, в котором оператор размещает свое оборудование, имеет такой же сертификат. Это значит, что обратившись к облачному оператору, заказчик сможет закрыть сразу два уровня: физический и виртуальный.
Две зоны ответственности: облачного оператора и заказчика
Оператор отвечает за аудит и сертификацию облачной инфраструктуры. В его зоне ответственности:
- управление межсетевыми экранами, персональным доступом, доступом к сети и данным;
- контроль параметров по умолчанию;
- защита данных от вирусов, шифрование при передаче;
- тестирование системы защиты;
- обеспечение политики информационной безопасности.
Облачный оператор предоставляет заказчику виртуальную изолированную среду, к которой сам не имеет доступа. Заказчик самостоятельно устанавливает в ней программное обеспечение, сам администрирует свое приложение и настраивает доступы. Оператор обеспечивает только безопасность виртуальной среды. И оператор, и заказчик должны проходить регулярный аудит и обновлять сертификат. Но размещение в облаке с PCI DSS упрощает и ускоряет заказчику процесс получения сертификата.
Наличие сертификата PCI DSS компании дает:
- возможность соответствовать требованиям международных платежных систем;
- снижение рисков от возможной утечки платежных данных;
- статус надежности и стабильности.
Облачная инфраструктура имеет высокий уровень требований к защите информации, которого сложно добиться на собственной инфраструктуре
Преимущества размещения в облаке
PCI DSS регулирует не столько безопасное хранение оборудования, а системы, процедуры и бизнес-процессы, которые отвечают за информационную безопасность.
Все технические ресурсы: процессоры, память, место на диске ― виртуальные, на них можно развернуть любое программное обеспечение. Если клиенту будут нужны дополнительные технические ресурсы, он сможет получить их в короткие сроки. Облачные решения предусматривают быстрое и доступное резервирование и восстановление информации. Даже если что-то пойдет не так, у облачного оператора всегда есть план Б. Миграция в облачную инфраструктуру ― это возможность создать систему, которая будет работать без остановки в режиме 24/7.