Pci DSS что это такое
Обновлено: 21.11.2024
ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .
Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .
Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .
2020 год стал катализатором, в котором нуждался здравоохранение. Здесь мы обсуждаем, как отрасль переходит на виртуальную модель и удваивает ставки .
Директор по бизнес-технологиям Forrester объясняет, как инструменты для сбора данных в режиме реального времени могут помочь организациям здравоохранения.
Ознакомьтесь с этой выдержкой из руководства по комплексному экзамену HCISPP, чтобы узнать больше о конфиденциальности и безопасности в здравоохранении, одном из .
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .
Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.
Intel оптимистично настроена, что ее дорожная карта процессоров может вернуть компанию на первое место, но перед компанией стоят непростые перспективы .
Безопасность в центре обработки данных требует от организаций выявления и устранения различных факторов риска, от электрических систем до .
Недавние достижения в технологиях центров обработки данных и кадровых моделях отражают стремление организаций к повышению гибкости ИТ, .
Snowflake продолжает расширять предложения своей отраслевой вертикальной платформы, помогая пользователям из разных сегментов рынка собирать деньги.
Платформа RKVST поддерживает несколько типов приложений для работы с данными на блокчейне, включая безопасный обмен данными SBOM для обеспечения кибербезопасности.
Законы о конфиденциальности данных во всем мире постоянно меняются. Эти 10 элементов помогут организациям идти в ногу со временем .
Популярный пакет JavaScript был саботирован его разработчиком и содержал сообщения в поддержку Украины, что превратилось в .
Компания Trend Micro обнаружила, что ботнет Cyclops Blink, изначально нацеленный на устройства WatchGuard, теперь распространяется на Asus.
Таинственная группа вымогателей LokiLocker привлекла внимание исследователей BlackBerry, которые говорят, что эта группа может стать .
Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это набор стандартов безопасности, разработанный в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express. Схема соответствия, регулируемая Советом по стандартам безопасности индустрии платежных карт (PCI SSC), направлена на защиту транзакций по кредитным и дебетовым картам от кражи данных и мошенничества.
Несмотря на то, что PCI SSC не имеет юридических полномочий принуждать к соблюдению, это требование для любой компании, которая обрабатывает транзакции по кредитным или дебетовым картам. Сертификация PCI также считается лучшим способом защиты конфиденциальных данных и информации, помогая компаниям строить долгосрочные и доверительные отношения со своими клиентами.
Сертификат PCI DSS
Сертификация PCI обеспечивает безопасность карточных данных в вашем бизнесе благодаря набору требований, установленных PCI SSC. К ним относятся ряд общеизвестных рекомендаций, таких как:
- Установка брандмауэров
- Шифрование передачи данных
- Использование антивирусного ПО
Кроме того, предприятия должны ограничивать доступ к данным держателей карт и контролировать доступ к сетевым ресурсам.
Безопасность, соответствующая стандарту PCI, представляет собой ценный актив, который информирует клиентов о том, что с вашим бизнесом безопасно вести дела. И наоборот, цена несоблюдения требований, как в денежном, так и в репутационном выражении, должна быть достаточной, чтобы убедить любого владельца бизнеса серьезно относиться к безопасности данных.
Нарушение данных, раскрывающее конфиденциальную информацию о клиентах, может иметь серьезные последствия для предприятия. Нарушение может привести к штрафам со стороны эмитентов платежных карт, судебным искам, снижению продаж и серьезному ущербу для репутации.
После взлома компания может прекратить прием транзакций по кредитным картам или быть вынуждена платить более высокие последующие платежи, чем первоначальные затраты на соблюдение требований безопасности. Инвестиции в процедуры безопасности PCI имеют большое значение для обеспечения того, чтобы другие аспекты вашей торговли были защищены от злоумышленников в Интернете.
Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.
Уровни соответствия стандарту PCI DSS
Соответствие стандарту PCI подразделяется на четыре уровня в зависимости от годового количества транзакций по кредитным или дебетовым картам, которые бизнес обрабатывает. Уровень классификации определяет, что предприятие должно делать, чтобы соответствовать требованиям.
- Уровень 1. Относится к продавцам, которые ежегодно обрабатывают более шести миллионов реальных транзакций по кредитным или дебетовым картам. Раз в год они должны проходить внутренний аудит, проводимый уполномоченным аудитором PCI. Кроме того, раз в квартал они должны проходить сканирование PCI у утвержденного поставщика услуг сканирования (ASV).
- Уровень 2. Применяется к продавцам, которые ежегодно обрабатывают от одного до шести миллионов реальных транзакций по кредитным или дебетовым картам. Они обязаны проходить оценку один раз в год, используя Анкету самооценки (SAQ). Кроме того, может потребоваться ежеквартальное сканирование PCI.
- Уровень 3. Применяется к продавцам, которые ежегодно обрабатывают от 20 000 до миллиона транзакций электронной торговли. Они должны пройти ежегодную оценку, используя соответствующий SAQ. Также может потребоваться ежеквартальное сканирование PCI.
- Уровень 4. Применяется к продавцам, обрабатывающим менее 20 000 транзакций электронной торговли в год или обрабатывающим до миллиона транзакций в реальном мире. Должна быть выполнена ежегодная оценка с использованием соответствующего SAQ, и может потребоваться ежеквартальное сканирование PCI.
Требования PCI DSS
PCI SSC изложил 12 требований по обработке данных держателей карт и обеспечению безопасности сети. Распределенные между шестью более широкими целями, все они необходимы для того, чтобы предприятие соответствовало требованиям.
Защищенная сеть
- Необходимо установить и поддерживать конфигурацию брандмауэра.
- Системные пароли должны быть оригинальными (не предоставленными поставщиком)
Защитите данные держателей карт
- Хранящиеся данные держателей карт должны быть защищены
- Передача данных о держателях карт через общедоступные сети должна быть зашифрована.
Управление уязвимостями
- Необходимо использовать и регулярно обновлять антивирусное программное обеспечение.
- Необходимо разрабатывать и поддерживать безопасные системы и приложения
Контроль доступа
- Доступ к данным о держателях карт должен быть ограничен служебной необходимостью.
- Каждому лицу, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор.
- Физический доступ к данным держателей карт должен быть ограничен.
Мониторинг и тестирование сети
- Доступ к данным держателей карт и сетевым ресурсам должен отслеживаться и контролироваться.
- Системы и процессы безопасности необходимо регулярно тестировать
Информационная безопасность
- Должна соблюдаться политика, касающаяся информационной безопасности.
Узнайте, как решения Imperva Data Security Solutions могут помочь вам пройти сертификацию PCI DSS.
Соответствие PCI и брандмауэры веб-приложений
С момента своего создания стандарт PCI DSS претерпел несколько итераций, чтобы не отставать от изменений в ландшафте онлайн-угроз. Хотя основные правила соответствия остаются неизменными, периодически добавляются новые требования.
Одним из наиболее важных дополнений стало Требование 6.6, введенное в 2008 году. Оно было создано для защиты данных от наиболее распространенных векторов атак на веб-приложения, включая SQL-инъекции, RFI и другие вредоносные входные данные. Используя такие методы, злоумышленники потенциально могут получить доступ к множеству данных, включая конфиденциальную информацию о клиентах.
Выполнить это требование можно либо путем проверки кода приложения, либо путем внедрения брандмауэра веб-приложений (WAF).
Первый вариант включает ручную проверку исходного кода веб-приложения в сочетании с оценкой уязвимости безопасности приложения. Для проведения проверки требуется квалифицированный внутренний ресурс или третья сторона, а окончательное утверждение должно исходить от внешней организации. Кроме того, назначенный рецензент должен быть в курсе последних тенденций в области безопасности веб-приложений, чтобы обеспечить надлежащее устранение всех будущих угроз.
Кроме того, компании могут защититься от атак на уровне приложений, используя WAF, развернутый между приложением и клиентами. WAF проверяет весь входящий трафик и отфильтровывает вредоносные атаки.
Предлагаемый Imperva, наш облачный WAF блокирует атаки веб-приложений, используя ряд различных методологий безопасности, включая распознавание подписи и репутацию IP. Поскольку он полностью соответствует требованиям PCI Requirement 6.6, его можно настроить и подготовить к использованию за считанные минуты.
Чтобы еще больше упростить соблюдение требований, облачный WAF Imperva не требует дополнительных затрат на установку оборудования или управление. Это позволяет всем организациям — от крупных компаний до стартапов и малых и средних предприятий, которые могут не иметь необходимой инфраструктуры безопасности и персонала — оставаться защищенными и соответствовать стандарту PCI DSS.
Стандарт безопасности данных индустрии платежных карт (PCI DSS) требуется в соответствии с контрактом для тех, кто обрабатывает данные о держателях карт, независимо от того, являетесь ли вы стартапом или глобальным предприятием. Ваш бизнес всегда должен соответствовать требованиям, и ваше соответствие должно подтверждаться ежегодно. Обычно это предписано компаниями-эмитентами кредитных карт и обсуждается в соглашениях о кредитных картах.
Совет по стандартам PCI (SSC) отвечает за разработку стандартов соответствия PCI. Его цель — помочь обезопасить и защитить всю экосистему платежных карт. Эти стандарты применяются к продавцам и поставщикам услуг, обрабатывающим платежные операции по кредитным/дебетовым картам.
Что такое соответствие PCI?
Соответствие индустрии платежных карт (PCI) требуется компаниями-эмитентами кредитных карт для обеспечения безопасности транзакций по кредитным картам в индустрии платежей. Соответствие индустрии платежных карт относится к техническим и операционным стандартам, которым следуют компании для обеспечения безопасности и защиты данных кредитных карт, предоставляемых держателями карт и передаваемых в ходе транзакций по обработке карт. Стандарты соответствия PCI разрабатываются и управляются Советом по стандартам безопасности PCI.
12 требований PCI DSS
Требования, установленные PCI SSC, носят как операционный, так и технический характер, и основной целью этих правил всегда является защита данных держателей карт.
- Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
- Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.
- Защитите сохраненные данные держателей карт
- Шифровать передачу данных о держателях карт через открытые общедоступные сети.
- Используйте и регулярно обновляйте антивирусное программное обеспечение или программы.
- Разрабатывать и поддерживать безопасные системы и приложения
- Ограничение доступа к данным о держателях карт по необходимости.
- Назначение уникального идентификатора каждому пользователю, имеющему доступ к компьютеру.
- Ограничить физический доступ к данным держателей карт.
- Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт.
- Регулярно тестируйте системы и процессы безопасности
- Поддерживать политику, направленную на обеспечение информационной безопасности для всего персонала.
Прежде чем перейти к требованиям PCI DSS, вы также захотите узнать, как определить область применения PCI DSS. Крайне важно сократить объем аудита PCI DSS, поскольку это поможет снизить расходы на соблюдение требований, операционные расходы и риски, связанные с взаимодействием с данными платежных карт.
Требования PCI DSS 12 – это набор мер безопасности, которые предприятия должны внедрить для защиты данных кредитных карт и соблюдения Стандарта безопасности данных индустрии платежных карт (PCI DSS).
Требование PCI DSS 1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт
Это первое требование гарантирует, что поставщики услуг и продавцы поддерживают безопасную сеть за счет правильной настройки брандмауэра, а также маршрутизаторов, если это применимо. Правильно настроенные брандмауэры защищают среду данных вашей карты. Брандмауэры ограничивают входящий и исходящий сетевой трафик с помощью правил и критериев, настроенных вашей организацией.
Брандмауэры обеспечивают первую линию защиты вашей сети. Организации должны установить стандарты брандмауэров и маршрутизаторов, которые позволяют стандартизировать процесс разрешения или запрета правил доступа к сети. Правила конфигурации должны пересматриваться раз в два года и обеспечивать отсутствие небезопасных правил доступа, которые могут разрешить доступ к среде данных карты.
Требование PCI DSS 2: не используйте значения по умолчанию, предоставленные поставщиком для системных паролей и других параметров безопасности
Он предназначен для защиты систем вашей организации, таких как серверы, сетевые устройства, приложения, брандмауэры, точки беспроводного доступа и т. д. Большинство операционных систем и устройств поставляются с заводскими настройками по умолчанию, такими как имена пользователей, пароли и другие небезопасные параметры конфигурации. . Эти стандартные имена пользователей и пароли легко угадать, и большинство из них даже публикуются в Интернете.
Такие пароли по умолчанию и другие параметры безопасности недопустимы в соответствии с этим требованием. Это требование также требует инвентаризации всех систем, процедур настройки/укрепления. Эти процедуры необходимо выполнять каждый раз, когда в ИТ-инфраструктуру внедряется новая система.
Требование 3 стандарта PCI DSS: защита хранимых данных о держателях карт
Это самое важное требование стандарта PCI.Согласно требованию 3, вы должны сначала знать все данные, которые вы собираетесь хранить, а также их местонахождение и срок хранения. Все такие данные о держателях карт должны быть зашифрованы с использованием общепринятых алгоритмов (например, AES-256, RSA 2048), усечены, токенизированы или хэшированы (например, SHA 256, PBKDF2). Наряду с шифрованием данных карты это требование также говорит о надежном процессе управления ключами шифрования PCI DSS.
Часто поставщики услуг или продавцы не знают, что они хранят незашифрованные номера основного счета (PAN), и поэтому использование такого инструмента, как обнаружение данных карты, становится важным. Обратите внимание, что распространенными местами, где находятся данные карты, являются файлы журналов, базы данных, электронные таблицы и т. д. Это требование также включает правила отображения основных номеров счетов, например отображение только первых шести и последних четырех цифр.
Требование 4 стандарта PCI DSS: шифровать передачу данных о держателях карт через открытые общедоступные сети
Подобно требованию 3, в этом требовании вы должны защитить данные карты, когда они передаются через открытую или общедоступную сеть (например, Интернет, 802.11, Bluetooth, GSM, CDMA, GPRS). Вы должны знать, куда вы собираетесь отправлять/получать данные карты. В основном данные карты передаются платежному шлюзу, процессору и т. д. для обработки транзакций.
Киберпреступники потенциально могут получить доступ к данным держателей карт, когда они передаются по общедоступным сетям. Шифрование данных о держателях карт перед передачей с использованием безопасных версий протоколов передачи, таких как TLS, SSH и т. д., может снизить вероятность компрометации таких данных.
Требование PCI DSS 5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы
Это требование направлено на защиту от всех типов вредоносных программ, которые могут поражать системы. Все системы, включая рабочие станции, ноутбуки и мобильные устройства, которые сотрудники могут использовать для доступа к системе как локально, так и удаленно, должны иметь развернутое антивирусное решение. Вы должны убедиться, что антивирусные программы или программы защиты от вредоносных программ регулярно обновляются для обнаружения известных вредоносных программ. Наличие обновленной программы защиты от вредоносных программ предотвратит заражение систем известными вредоносными программами.
Убедитесь, что антивирусные механизмы всегда активны, используют самые последние сигнатуры и создают проверяемые журналы.
Требование PCI DSS 6. Разработка и поддержка безопасных систем и приложений
Важно определить и внедрить процесс, позволяющий выявлять и классифицировать риск уязвимостей безопасности в среде PCI DSS с помощью надежных внешних источников. Организации должны ограничивать возможность эксплойтов, своевременно развертывая критические исправления. Исправление всех систем в среде данных карты, в том числе:
- Операционные системы
- Брандмауэры, маршрутизаторы, коммутаторы
- Прикладное программное обеспечение
- Базы данных
- POS-терминалы
Помимо этого, требуется определить и внедрить процесс разработки, включающий требования безопасности на всех этапах разработки.
Нужна помощь с внедрением стандарта PCI DSS? Наши QSA могут помочь.
Требование 7 стандарта PCI DSS. Ограничение доступа к данным о держателях карт по необходимости
Чтобы внедрить строгие меры контроля доступа, поставщики услуг и продавцы должны иметь возможность разрешать или запрещать доступ к системам данных держателей карт. Это требование касается управления доступом на основе ролей (RBAC), которое предоставляет доступ к данным карты и системам по мере необходимости.
Необходимость знать – это основополагающая концепция стандарта PCI DSS. Система контроля доступа (например, Active Directory, LDAP) должна оценивать каждый запрос, чтобы предотвратить раскрытие конфиденциальных данных тем, кому эта информация не нужна. У вас должен быть документированный список всех пользователей с их ролями, которым необходим доступ к среде карточных данных. Этот список должен содержать каждую роль, определение роли, текущий уровень привилегий, ожидаемый уровень привилегий и ресурсы данных для каждого пользователя для выполнения операций с данными карты.
Требование PCI DSS 8: присваивайте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру
Согласно требованию 8, вы не должны использовать общих/групповых пользователей и пароли. Каждый авторизованный пользователь должен иметь уникальный идентификатор, а пароли должны быть достаточно сложными. Это гарантирует, что всякий раз, когда кто-то получает доступ к данным держателя карты, эта активность может быть отслежена до известного пользователя, и может поддерживаться подотчетность. Для любого неконсольного административного доступа (удаленный доступ) требуется двухфакторная авторизация.
Требование PCI DSS 9: ограничение физического доступа к данным держателей карт
Это требование направлено на защиту физического доступа к системам с данными держателей карт. Без контроля физического доступа неавторизованные лица могут получить доступ к установке, чтобы украсть, отключить, прервать или уничтожить важные системы и данные держателей карт.
Требуется использование видеокамер/электронного контроля доступа для контроля входных и выходных дверей в физических местах, таких как центр обработки данных. Записи или журналы доступа персонала должны храниться не менее 90 дней. Вам необходимо реализовать процесс доступа, позволяющий различать авторизованных посетителей и сотрудников. Все съемные или портативные носители, содержащие данные о держателях карт, должны быть физически защищены. Необходимо уничтожить все носители, когда бизнес больше не нужен.
Требование 10 стандарта PCI DSS: отслеживание и мониторинг любого доступа к сетевым ресурсам и данным держателей карт
Уязвимости в физических и беспроводных сетях облегчают киберпреступникам кражу данных карт. Это требование требует, чтобы все системы имели правильную политику аудита и отправляли журналы на централизованный сервер системных журналов. Эти журналы необходимо просматривать не реже одного раза в день для выявления аномалий и подозрительных действий.
Инструменты мониторинга информации и событий безопасности (SIEM) могут помочь вам регистрировать системные и сетевые действия, отслеживать журналы и предупреждать о подозрительной активности. PCI DSS также требует, чтобы записи контрольного журнала соответствовали определенному стандарту в отношении содержащейся в них информации. Требуется синхронизация времени. Данные аудита должны быть защищены, и такие данные должны храниться не менее года.
Требование PCI DSS 11: регулярно тестировать системы и процессы безопасности
Уязвимости постоянно обнаруживаются злоумышленниками и исследователями. Поэтому все системы и процессы необходимо регулярно тестировать, чтобы гарантировать поддержание безопасности.
Требуются следующие периодические действия:
- Ежеквартальное сканирование анализатора беспроводных сетей для обнаружения и идентификации всех авторизованных и неавторизованных точек беспроводного доступа.
- Все внешние IP-адреса и домены, представленные в CDE, должны сканироваться одобренным PCI поставщиком услуг сканирования (ASV) не реже одного раза в квартал. должно проводиться не реже одного раза в квартал.
- Все внешние IP-адреса и домены должны проходить комплексное тестирование на проникновение приложений и тестирование на проникновение в сеть не реже одного раза в год или после любого существенного изменения.
Мониторинг файлов также необходим. Каждую неделю система должна выполнять сравнение файлов, чтобы обнаруживать изменения, которые в противном случае могли бы остаться незамеченными.
Требование PCI DSS 12. Придерживайтесь политики, направленной на обеспечение информационной безопасности для всего персонала
Это последнее требование соответствия PCI, и оно посвящено основной цели PCI DSS по внедрению и поддержанию политики информационной безопасности для всех сотрудников и других соответствующих сторон. Политика информационной безопасности должна пересматриваться не реже одного раза в год и распространяться среди всех сотрудников, поставщиков/подрядчиков. Пользователи должны прочитать политику и принять ее.
Это требование также требует от вас выполнения:
- Ежегодная официальная оценка рисков, выявляющая критически важные активы, угрозы и уязвимости.
- Обучение пользователей
- Проверка биографических данных сотрудников
- Управление инцидентами
Все эти требования проверяются QSA и проверяется их адекватное выполнение.
Соответствие стандарту PCI DSS — непростая задача даже для компаний с самыми лучшими намерениями. Несмотря на сложность поддержания этого стандарта, преимущества того стоят. Несмотря на трудности, компаниям следует стремиться к соблюдению требований PCI DSS, поскольку их несоблюдение может иметь серьезные последствия.
Чтобы обсудить ваши конкретные требования к аудиту PCI DSS или другие услуги по обеспечению безопасности, свяжитесь с нами здесь.
Совет по стандартам безопасности PCI затрагивает жизни сотен миллионов людей по всему миру. Глобальная организация поддерживает, развивает и продвигает стандарты индустрии платежных карт для безопасности данных держателей карт по всему миру.
Кому мы служим
Мы обслуживаем тех, кто работает с платежными картами и связан с ними. К ним относятся: продавцы всех размеров, финансовые учреждения, поставщики торговых точек, а также разработчики аппаратного и программного обеспечения, которые создают и управляют глобальной инфраструктурой для обработки платежей.
Что мы делаем
В нашей работе есть два приоритета:
- Помощь продавцам и финансовым учреждениям в понимании и внедрении стандартов политик безопасности, технологий и текущих процессов, которые защищают их платежные системы от взломов и кражи данных держателей карт.
- Помощь поставщикам в понимании и внедрении стандартов для создания безопасных платежных решений.
«В течение нескольких лет Совет по стандартам безопасности PCI проделал достойную похвалы работу по определению и развитию единого набора стандартов, а также по выслушиванию и адаптации отзывов продавцов с течением времени. банки, платежные системы, поставщики услуг и поставщики технологий».
– Дерек Бринк, вице-президент и научный сотрудник Aberdeen Group
Совет был основан в 2006 году компаниями American Express, Discover, JCB International, Mastercard и Visa Inc. Они в равной степени владеют, управляют и выполняют работу Совета.
Полезные ссылки
Вопросы безопасности
От клиентов до продавцов и финансовых учреждений безопасность данных держателей карт касается всех. Узнайте, как защита данных держателей карт может помочь сохранить доверие клиентов, обеспечить соответствие требованиям и принести пользу вашей организации в долгосрочной перспективе.
Стандарты безопасности PCI
Поддержание безопасности платежей требуется для всех организаций, которые хранят, обрабатывают или передают данные о держателях карт. Руководство по обеспечению безопасности платежей содержится в стандартах безопасности PCI. Они устанавливают технические и операционные требования для организаций, принимающих или обрабатывающих платежные транзакции, а также для разработчиков программного обеспечения и производителей приложений и устройств, используемых в этих транзакциях.
Как защитить
Следование рекомендациям Стандарта безопасности данных PCI поможет защитить вашу киберзащиту от атак, направленных на кражу данных держателей карт.
Оценка безопасности ваших данных о держателях карт
Большинство мелких продавцов могут использовать инструмент самопроверки для оценки уровня безопасности данных держателей карт. Анкета для самооценки включает в себя ряд вопросов для каждого применимого требования Стандарта безопасности данных PCI. Для различных торговых сред доступны разные SAQ.
Читайте также: