В 2018 году в крупнейшей авиакомпании Великобритании British Airways произошла масштабная утечка данных клиентов. Хакеры похитили информацию платежных карт около 380 тысяч человек.

Для уменьшения утечек данных, был разработан сертификат PCI DSS. Подробнее о нем ― в нашей статье.

Что такое сертификат PCI DSS

PCI DSS ― международный стандарт, регулирующий информационную безопасность данных кредитных карточек. В 2005 году его разработал Совет по стандартам безопасности индустрии платежных карт. Инициаторами создания Совета стали Visa, MasterCard, American Express, JCB и Discover. Согласно стандарту, компания, которая принимает их платежные карты должна иметь сертификат PCI DSS. Обязательная сертификация вступила в силу в 2012 году.

Например, каждый вечер вы покупаете продукты в супермаркете возле дома и расплачиваетесь картой. Кто отвечает за безопасность передачи данных? Супермаркет или банк, который установил в нем POS-терминал? Владелец супермаркета наверняка думает, что банк. Но это не так. Обеспечивать защиту данных от мошенничества и выполнять требования стандарта PCI DSS ― задача владельца супермаркета, поскольку магазин обрабатывает большое количество транзакций, а вы показываете данные своей карты, вводите пин-код. Поэтому даже супермаркет возле дома должен пройти сертификацию по PCI DSS, не говоря уже о крупных банках и компаниях из сферы финтех.

По данным CBR, почти все украинские пользователи интернета делали покупки в онлайне

Кому необходимо получить сертификат PCI DSS

Сертификат должны иметь любые торгово-сервисные компании и поставщики услуг, которые принимают, передают или хранят данные международных карт пользователей: основной номер карты (PAN), имя владельца, срок действия и сервисный код. Среди них: банки, госучреждения, e-commerce, ритейл, разработчики программного обеспечения, облачные операторы и т.д.

В Украине получение этого стандарта не регулируется законом. Но каждый год появляются IT-проекты: электронный и виртуальный банкинг, интернет-магазины, а с введением карантина начала активно развиваться онлайн-торговля. Вопрос обеспечения кибербезопасности для них является наиболее важным, ведь это, в первую очередь, вопрос репутации и статуса на рынке. Компании, которые не имеют этого сертификата, могут плохо защищать данные клиентов. Поэтому становятся легкой мишенью для мошенников, и компенсировать убытки клиентам в случае инцидента придется именно им.

Проведем аналогию: финтех компания без PCI DSS ― врач, который практикует без лицензии. Он может принимать пациентов и без нее, пока его не оштрафуют. Но, будучи на месте пациента, вы бы хотели, чтобы вас лечил такой врач?

Уровни сертификатов PCI DSS

В зависимости от количества обрабатываемых платежных операций в год, торгово-сервисные предприятия и поставщики услуг имеют свою классификацию.

Уровни сертификатов для торгово-сервисных компаний:

• Первый ― больше 6 миллионов платежных операций в год;
• Второй ― от 1 до 6 миллионов;
• Третий ― от 20 тысяч до 1 миллиона;
• Четвертый ― от 20 тысяч платежных операций электронной коммерцией до 1 миллиона другим способом.

Уровни сертификатов для поставщиков услуг:

• Первый ― больше 300 тысяч платежных операций;
• Второй ― меньше 300 тысяч.

Сегодня более 90% торговых терминалов в Украине ― бесконтактные

На что именно нужно получить сертификат PCI DSS

Чтобы успешно пройти сертификацию, компании должны обеспечить безопасность платежных данных их клиентов на трех уровнях:

• физическом (безопасность хранения физического оборудования);
• виртуальном (безопасность виртуальной инфраструктуры);
• программном (безопасность платежного приложения).

В результате компания получит один сертификат, который закроет все эти три уровня. Стандарт PCI DSS ставит жесткие и точные требования к защищенности компонентов инфраструктуры. Он состоит из шести зон контроля и содержит 12 основных требований, предъявляемых к обработке и передачи критических данных. Каждое требование делиться на 20-30 более детализированных. В среднем ― это 260 требований.

Выполнить их силами компании ― долгий, трудозатратный и дорогостоящий процесс. Один из способов решения этой задачи ― использование облачных технологий. Компания может перенести свое платежное приложение в облачную инфраструктуру, которая имеет сертификат PCI DSS. Среди украинских облачных операторов такой сертификат есть у GigaCloud. Дата-центр GigaCenter, в котором оператор размещает свое оборудование, имеет такой же сертификат. Это значит, что обратившись к облачному оператору, заказчик сможет закрыть сразу два уровня: физический и виртуальный.

Две зоны ответственности: облачного оператора и заказчика

Оператор отвечает за аудит и сертификацию облачной инфраструктуры. В его зоне ответственности:

• управление межсетевыми экранами, персональным доступом, доступом к сети и данным;
• контроль параметров по умолчанию;
• защита данных от вирусов, шифрование при передаче;
• тестирование системы защиты;
• обеспечение политики информационной безопасности.

Облачный оператор предоставляет заказчику виртуальную изолированную среду, к которой сам не имеет доступа. Заказчик самостоятельно устанавливает в ней программное обеспечение, сам администрирует свое приложение и настраивает доступы. Оператор обеспечивает только безопасность виртуальной среды. И оператор, и заказчик должны проходить регулярный аудит и обновлять сертификат. Но размещение в облаке с PCI DSS упрощает и ускоряет заказчику процесс получения сертификата.

Наличие сертификата PCI DSS компании дает:

• возможность соответствовать требованиям международных платежных систем;
• снижение рисков от возможной утечки платежных данных;
• статус надежности и стабильности.

Облачная инфраструктура имеет высокий уровень требований к защите информации, которого сложно добиться на собственной инфраструктуре

Преимущества размещения в облаке

PCI DSS регулирует не столько безопасное хранение оборудования, а системы, процедуры и бизнес-процессы, которые отвечают за информационную безопасность.

Все технические ресурсы: процессоры, память, место на диске ― виртуальные, на них можно развернуть любое программное обеспечение. Если клиенту будут нужны дополнительные технические ресурсы, он сможет получить их в короткие сроки. Облачные решения предусматривают быстрое и доступное резервирование и восстановление информации. Даже если что-то пойдет не так, у облачного оператора всегда есть план Б. Миграция в облачную инфраструктуру ― это возможность создать систему, которая будет работать без остановки в режиме 24/7.