Pci pts что такое
Обновлено: 21.11.2024
Стандарт безопасности данных индустрии платежных карт (PCI DSS) требуется в соответствии с контрактом для тех, кто обрабатывает данные о держателях карт, независимо от того, являетесь ли вы стартапом или глобальным предприятием. Ваш бизнес всегда должен соответствовать требованиям, и ваше соответствие должно подтверждаться ежегодно. Обычно это предписано компаниями-эмитентами кредитных карт и обсуждается в соглашениях о кредитных картах.
Совет по стандартам PCI (SSC) отвечает за разработку стандартов соответствия PCI. Его цель — помочь обезопасить и защитить всю экосистему платежных карт. Эти стандарты применяются к продавцам и поставщикам услуг, обрабатывающим платежные операции по кредитным/дебетовым картам.
Что такое соответствие PCI?
Соответствие индустрии платежных карт (PCI) требуется компаниями-эмитентами кредитных карт для обеспечения безопасности транзакций по кредитным картам в индустрии платежей. Соответствие индустрии платежных карт относится к техническим и операционным стандартам, которым следуют компании для обеспечения безопасности и защиты данных кредитных карт, предоставляемых держателями карт и передаваемых в ходе транзакций по обработке карт. Стандарты соответствия PCI разрабатываются и управляются Советом по стандартам безопасности PCI.
12 требований PCI DSS
Требования, установленные PCI SSC, носят как операционный, так и технический характер, и основной целью этих правил всегда является защита данных держателей карт.
- Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.
- Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.
- Защитите сохраненные данные держателей карт
- Шифровать передачу данных о держателях карт через открытые общедоступные сети.
- Используйте и регулярно обновляйте антивирусное программное обеспечение или программы.
- Разрабатывать и поддерживать безопасные системы и приложения
- Ограничение доступа к данным о держателях карт по необходимости.
- Назначение уникального идентификатора каждому пользователю, имеющему доступ к компьютеру.
- Ограничить физический доступ к данным держателей карт.
- Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт.
- Регулярно тестируйте системы и процессы безопасности
- Поддерживать политику, направленную на обеспечение информационной безопасности для всего персонала.
Прежде чем перейти к требованиям PCI DSS, вы также захотите узнать, как определить область применения PCI DSS. Крайне важно сократить объем аудита PCI DSS, поскольку это поможет снизить расходы на соблюдение требований, операционные расходы и риски, связанные с взаимодействием с данными платежных карт.
Требования PCI DSS 12 – это набор мер безопасности, которые предприятия должны внедрить для защиты данных кредитных карт и соблюдения Стандарта безопасности данных индустрии платежных карт (PCI DSS).
Требование PCI DSS 1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт
Это первое требование гарантирует, что поставщики услуг и продавцы поддерживают безопасную сеть за счет правильной настройки брандмауэра, а также маршрутизаторов, если это применимо. Правильно настроенные брандмауэры защищают среду данных вашей карты. Брандмауэры ограничивают входящий и исходящий сетевой трафик с помощью правил и критериев, настроенных вашей организацией.
Брандмауэры обеспечивают первую линию защиты вашей сети. Организации должны установить стандарты брандмауэров и маршрутизаторов, которые позволяют стандартизировать процесс разрешения или запрета правил доступа к сети. Правила конфигурации должны пересматриваться раз в два года и обеспечивать отсутствие небезопасных правил доступа, которые могут разрешить доступ к среде данных карты.
Требование PCI DSS 2: не используйте значения по умолчанию, предоставленные поставщиком для системных паролей и других параметров безопасности
Он предназначен для защиты систем вашей организации, таких как серверы, сетевые устройства, приложения, брандмауэры, точки беспроводного доступа и т. д. Большинство операционных систем и устройств поставляются с заводскими настройками по умолчанию, такими как имена пользователей, пароли и другие небезопасные параметры конфигурации. . Эти стандартные имена пользователей и пароли легко угадать, и большинство из них даже публикуются в Интернете.
Такие пароли по умолчанию и другие параметры безопасности недопустимы в соответствии с этим требованием. Это требование также требует инвентаризации всех систем, процедур настройки/укрепления. Эти процедуры необходимо выполнять каждый раз, когда в ИТ-инфраструктуру внедряется новая система.
Требование 3 стандарта PCI DSS: защита хранимых данных о держателях карт
Это самое важное требование стандарта PCI. Согласно требованию 3, вы должны сначала знать все данные, которые вы собираетесь хранить, а также их местонахождение и срок хранения. Все такие данные о держателях карт должны быть зашифрованы с использованием общепринятых алгоритмов (например, AES-256, RSA 2048), усечены, токенизированы или хэшированы (например, SHA 256, PBKDF2).Наряду с шифрованием данных карты это требование также говорит о надежном процессе управления ключами шифрования PCI DSS.
Часто поставщики услуг или продавцы не знают, что они хранят незашифрованные номера основного счета (PAN), и поэтому использование такого инструмента, как обнаружение данных карты, становится важным. Обратите внимание, что распространенными местами, где находятся данные карты, являются файлы журналов, базы данных, электронные таблицы и т. д. Это требование также включает правила отображения основных номеров счетов, например отображение только первых шести и последних четырех цифр.
Требование 4 стандарта PCI DSS: шифровать передачу данных о держателях карт через открытые общедоступные сети
Подобно требованию 3, в этом требовании вы должны защитить данные карты, когда они передаются через открытую или общедоступную сеть (например, Интернет, 802.11, Bluetooth, GSM, CDMA, GPRS). Вы должны знать, куда вы собираетесь отправлять/получать данные карты. В основном данные карты передаются платежному шлюзу, процессору и т. д. для обработки транзакций.
Киберпреступники потенциально могут получить доступ к данным держателей карт, когда они передаются по общедоступным сетям. Шифрование данных о держателях карт перед передачей с использованием безопасных версий протоколов передачи, таких как TLS, SSH и т. д., может снизить вероятность компрометации таких данных.
Требование PCI DSS 5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы
Это требование направлено на защиту от всех типов вредоносных программ, которые могут поражать системы. Все системы, включая рабочие станции, ноутбуки и мобильные устройства, которые сотрудники могут использовать для доступа к системе как локально, так и удаленно, должны иметь развернутое антивирусное решение. Вы должны убедиться, что антивирусные программы или программы защиты от вредоносных программ регулярно обновляются для обнаружения известных вредоносных программ. Наличие обновленной программы защиты от вредоносных программ предотвратит заражение систем известными вредоносными программами.
Убедитесь, что антивирусные механизмы всегда активны, используют самые последние сигнатуры и создают проверяемые журналы.
Требование PCI DSS 6. Разработка и поддержка безопасных систем и приложений
Важно определить и внедрить процесс, позволяющий выявлять и классифицировать риск уязвимостей безопасности в среде PCI DSS с помощью надежных внешних источников. Организации должны ограничивать возможность эксплойтов, своевременно развертывая критические исправления. Исправление всех систем в среде данных карты, в том числе:
- Операционные системы
- Брандмауэры, маршрутизаторы, коммутаторы
- Прикладное программное обеспечение
- Базы данных
- POS-терминалы
Помимо этого, требуется определить и внедрить процесс разработки, включающий требования безопасности на всех этапах разработки.
Нужна помощь с внедрением стандарта PCI DSS? Наши QSA могут помочь.
Требование 7 стандарта PCI DSS. Ограничение доступа к данным о держателях карт по необходимости
Чтобы внедрить строгие меры контроля доступа, поставщики услуг и продавцы должны иметь возможность разрешать или запрещать доступ к системам данных держателей карт. Это требование касается управления доступом на основе ролей (RBAC), которое предоставляет доступ к данным карты и системам по мере необходимости.
Необходимость знать – это основополагающая концепция стандарта PCI DSS. Система контроля доступа (например, Active Directory, LDAP) должна оценивать каждый запрос, чтобы предотвратить раскрытие конфиденциальных данных тем, кому эта информация не нужна. У вас должен быть документированный список всех пользователей с их ролями, которым необходим доступ к среде карточных данных. Этот список должен содержать каждую роль, определение роли, текущий уровень привилегий, ожидаемый уровень привилегий и ресурсы данных для каждого пользователя для выполнения операций с данными карты.
Требование PCI DSS 8: присваивайте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру
Согласно требованию 8, вы не должны использовать общих/групповых пользователей и пароли. Каждый авторизованный пользователь должен иметь уникальный идентификатор, а пароли должны быть достаточно сложными. Это гарантирует, что всякий раз, когда кто-то получает доступ к данным держателя карты, эта активность может быть отслежена до известного пользователя, и может поддерживаться подотчетность. Для любого неконсольного административного доступа (удаленный доступ) требуется двухфакторная авторизация.
Требование PCI DSS 9: ограничение физического доступа к данным держателей карт
Это требование направлено на защиту физического доступа к системам с данными держателей карт. Без контроля физического доступа неавторизованные лица могут получить доступ к установке, чтобы украсть, отключить, прервать или уничтожить важные системы и данные держателей карт.
Требуется использование видеокамер/электронного контроля доступа для контроля входных и выходных дверей в физических местах, таких как центр обработки данных. Записи или журналы доступа персонала должны храниться не менее 90 дней. Вам необходимо реализовать процесс доступа, позволяющий различать авторизованных посетителей и сотрудников.Все съемные или портативные носители, содержащие данные о держателях карт, должны быть физически защищены. Необходимо уничтожить все носители, когда бизнес больше не нужен.
Требование 10 стандарта PCI DSS: отслеживание и мониторинг любого доступа к сетевым ресурсам и данным держателей карт
Уязвимости в физических и беспроводных сетях облегчают киберпреступникам кражу данных карт. Это требование требует, чтобы все системы имели правильную политику аудита и отправляли журналы на централизованный сервер системных журналов. Эти журналы необходимо просматривать не реже одного раза в день для выявления аномалий и подозрительных действий.
Инструменты мониторинга информации и событий безопасности (SIEM) могут помочь вам регистрировать системные и сетевые действия, отслеживать журналы и предупреждать о подозрительной активности. PCI DSS также требует, чтобы записи контрольного журнала соответствовали определенному стандарту в отношении содержащейся в них информации. Требуется синхронизация времени. Данные аудита должны быть защищены, и такие данные должны храниться не менее года.
Требование PCI DSS 11: регулярно тестировать системы и процессы безопасности
Уязвимости постоянно обнаруживаются злоумышленниками и исследователями. Поэтому все системы и процессы необходимо регулярно тестировать, чтобы гарантировать поддержание безопасности.
Требуются следующие периодические действия:
- Ежеквартальное сканирование анализатора беспроводных сетей для обнаружения и идентификации всех авторизованных и неавторизованных точек беспроводного доступа.
- Все внешние IP-адреса и домены, представленные в CDE, должны сканироваться одобренным PCI поставщиком услуг сканирования (ASV) не реже одного раза в квартал. должно проводиться не реже одного раза в квартал.
- Все внешние IP-адреса и домены должны проходить комплексное тестирование на проникновение приложений и тестирование на проникновение в сеть не реже одного раза в год или после любого существенного изменения.
Мониторинг файлов также необходим. Каждую неделю система должна выполнять сравнение файлов, чтобы обнаруживать изменения, которые в противном случае могли бы остаться незамеченными.
Требование PCI DSS 12. Придерживайтесь политики, направленной на обеспечение информационной безопасности для всего персонала
Это последнее требование соответствия PCI, и оно посвящено основной цели PCI DSS по внедрению и поддержанию политики информационной безопасности для всех сотрудников и других соответствующих сторон. Политика информационной безопасности должна пересматриваться не реже одного раза в год и распространяться среди всех сотрудников, поставщиков/подрядчиков. Пользователи должны прочитать политику и принять ее.
Это требование также требует от вас выполнения:
- Ежегодная официальная оценка рисков, выявляющая критически важные активы, угрозы и уязвимости.
- Обучение пользователей
- Проверка биографических данных сотрудников
- Управление инцидентами
Все эти требования проверяются QSA и проверяется их адекватное выполнение.
Соответствие стандарту PCI DSS — непростая задача даже для компаний с самыми лучшими намерениями. Несмотря на сложность поддержания этого стандарта, преимущества того стоят. Несмотря на трудности, компаниям следует стремиться к соблюдению требований PCI DSS, поскольку их несоблюдение может иметь серьезные последствия.
Чтобы обсудить ваши конкретные требования к аудиту PCI DSS или другие услуги по обеспечению безопасности, свяжитесь с нами здесь.
В динамичном мире платежей безопасность транзакций имеет первостепенное значение. Когда мы разговариваем с нашими клиентами и партнерами, всегда поднимается тема безопасности платежей и соответствия PCI. Несмотря на то, что доступно много полезной информации о безопасности платежей, в отрасли также возникает множество вопросов, касающихся PCI. Итак, с последним обновлением стандарта PCI Data Security Standard и выпуском последних стандартов безопасности для платежных терминалов я подумал, что это будет отличная возможность быстро напомнить о соответствии PCI и о различных стандартах безопасности, которые должны знать продавцы. р>
Совет PCI и его различные стандарты безопасности
Совет по стандартам безопасности индустрии платежных карт (PCI SSC) – это глобальный открытый орган, созданный для разработки, улучшения, распространения и помощи в понимании стандартов безопасности платежных систем. Совет также предоставляет важные инструменты, необходимые для реализации различных стандартов безопасности.
Ниже приведен список всех различных стандартов безопасности от PCI SSC, которые имеют отношение к организациям, принимающим электронные платежи:
1. PCI DSS:
Стандарт безопасности данных индустрии платежных карт (PCI DSS) охватывает безопасность среды данных о держателях карт — ИТ-систем, которые обрабатывают, хранят и передают информацию о кредитных и дебетовых картах. Большинство продавцов знакомы с PCI DSS благодаря своим ежегодным оценкам.Поскольку ландшафт угроз, с которыми сталкиваются продавцы и поставщики платежных услуг, не является статичным, стандарты защиты среды данных держателей карт также не являются статичными. PCI SSC выпустила обновления для версии 3 (последняя версия 3.2) в ответ на эти новые угрозы.
2. PA-DSS:
Стандарт безопасности данных платежных приложений (PA-DSS) обеспечивает безопасность платежных приложений, которые получают доступ к данным держателей карт. Платежное приложение — это программное обеспечение, разработанное для помощи продавцам в обработке электронных платежей, включая магнитные полосы, EMV и бесконтактные транзакции. Этот стандарт гарантирует, что сторонние платежные приложения должным образом обрабатывают данные о держателях карт и соответствуют передовым отраслевым практикам для безопасной разработки приложений.
3. PCI-PTS:
Стандарт безопасности транзакций с PIN-кодом в индустрии платежных карт (PCI-PTS) представляет собой набор технических и операционных требований к платежным терминалам, ориентированных на защиту данных держателей карт. Стандарт PCI PTS является модульным и охватывает требования безопасности аппаратного и микропрограммного обеспечения для защиты от физических, логических и сетевых атак. Требования PCI PTS теперь включают требования безопасности для открытых протоколов, таких как TCP/IP, TLS, Bluetooth и USB, а также способы чтения и шифрования данных держателей карт с помощью модуля безопасного чтения и обмена данными (SRED).
Стандарты PCI PTS обновляются раз в три года. В отличие от большинства других стандартов PCI, PCI PTS не требует оценки на определенный момент времени. Вместо этого терминалы отправляются в утвержденные сторонние лаборатории для оценки текущей версии PTS. После утверждения выдается Письмо об одобрении (LOA) с указанием срока действия оцененной версии спецификации.
Производители терминалов не могут отправить терминал после истечения срока действия LOA для терминала, однако ремонт и замена по гарантии по-прежнему разрешены. Истечение срока действия PCI PTS LOA терминала само по себе не влияет на возможность продавца продолжать использовать терминал. Даты закрытия терминалов устанавливаются отдельными брендами карт и PCI, которые рекомендуют продавцам выбирать терминалы, отвечающие самым высоким стандартам безопасности, а также отвечающие их конкретным потребностям.
4. PCI P2PE:
Стандарт индустрии платежных карт для двухточечного шифрования (PCI P2PE) представляет собой набор требований безопасности, которые охватывают все аспекты решения P2PE, включая платежный терминал, терминальное приложение, развертывание, управление ключами и среду дешифрования. Проверенные решения PCI P2PE являются «золотым стандартом» защиты данных держателей карт. Продавцы, которые используют проверенные решения PCI P2PE, получают значительное снижение своих оценок PCI DSS за счет использования анкеты самооценки (SAQ) P2PE. Проверенные решения PCI P2PE перечислены на веб-сайте PCI SSC.
Кому необходимо соответствие требованиям PCI?
Прием электронных платежей подразумевает обработку конфиденциальной информации о держателях карт, и обеспечение ее безопасности должно быть главным приоритетом для компаний, которые принимают, обрабатывают или передают информацию о кредитных картах. Проще говоря, если вы принимаете электронные платежи за продажу товаров или услуг, ваш бизнес должен соответствовать требованиям PCI. Компании, которые не соблюдают соответствующие стандарты PCI, не только подвергают риску конфиденциальные данные держателей карт, но и подвергаются крупным штрафам.
Эволюция стандартов PCI
Технологии приема платежей постоянно развиваются, как и способы защиты конфиденциальной информации о клиентах, например данных кредитной карты, от киберугроз. PCI SSC постоянно работает над улучшением своих стандартов безопасности, чтобы соответствовать меняющимся потребностям платежной индустрии. Срок действия последней версии стандарта PCI DSS истек в октябре 2015 года, а новая версия — PCI DSS 3.2 — будет применяться с ноября. Эти обновления включают ряд пояснений, обновленные руководства и некоторые новые требования. Подробнее о новой версии можно прочитать на сайте Совета безопасности PCI.
Веб-семинар PCI по запросу
Надеюсь, эта запись в блоге оказалась полезной. Чтобы узнать больше о стандартах безопасности PCI и получить четкое представление о PCI и его последних обновлениях, посмотрите бесплатный веб-семинар под названием «PCI в POS / что нового, что дальше и что могут сделать продавцы, чтобы упростить соответствие требованиям».
Роб Мартин – вице-президент по решениям в области безопасности в Ingenico Group/Северная Америка
Вас приветствует Руководство по соответствию требованиям PCI.
Нажмите на ссылки ниже, чтобы найти ответы на часто задаваемые вопросы.
Q1: | Что такое PCI? |
Вопрос 2: | На кого распространяется стандарт PCI DSS? |
В3: | Где я могу найти Стандарт безопасности данных PCI (PCI DSS)? |
Q4: | Что являются «уровнями» соответствия PCI и как они определяются? |
Q5: | Что делает малый и средний бизнес (продавец 4-го уровня), чтобы соответствовать требованиям PCI DSS? |
Q6: | Как происходит получение кредита? карты по телефону работают с PCI? |
В7: | Если я принимаю кредитные карты только по телефону, применяется ли стандарт PCI DSS мне? |
В8: | Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS? | < /tr>
Вопрос 9: | Мой бизнес имеет несколько местоположений, требуется ли каждое местоположение? красный для подтверждения соответствия стандарту PCI? |
В10: | Мы занимаемся только электронной коммерцией. Какой SAQ следует использовать? |
В11. | Моя компания не хранит данные кредитных карт, поэтому соответствие требованиям PCI не применяется. к нам, верно? |
Q12: | Подпадают ли транзакции по дебетовым картам под действие PCI? |
В13: | Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат? |
Q14: | Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать? |
Q15: | Каковы санкции за несоблюдение? |
В16: | Что определяется как «данные о держателе карты»? |
В17 : | Какое определение термина «торговец»? |
Q18: | Что представляет собой поставщик услуг ? |
Q19: | Что такое платежное приложение? |
Q20: | Что такое платежный шлюз? |
Q21: | Что такое PA -DSS? |
Q22: | Можно ли указать полный номер кредитной карты на копии квитанции для потребителя? |
Вопрос 23: | Нужно ли мне сканирование уязвимостей для подтверждения соответствия? |
Q24: | Что такое сканирование уязвимостей? |
Q25: | Как часто я нужно провести сканирование уязвимостей? |
Вопрос 26: | Что, если мой бизнес откажется сотрудничать? |
Вопрос 27:< /td> | Если я веду бизнес из дома, являюсь ли я серьезной мишенью для хакеров? |
Вопрос 28: | Что мне делать, если меня взломали? |
Вопрос 29: | Есть ли в штатах законы, требующие уведомления об утечке данных для затронутые стороны? |
Q1: Что такое PCI?
О. Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это набор стандартов безопасности, разработанных для того, чтобы ВСЕ компании, принимающие, обрабатывающие, хранящие или передающие информацию о кредитных картах, поддерживали безопасную среду.
Вопрос 2. На кого распространяется стандарт PCI DSS?
О: PCI DSS применяется к ЛЮБОЙ организации, независимо от размера или количества транзакций, которая принимает, передает или хранит любые данные о держателях карт.
В3: Где я могу найти Стандарт безопасности данных PCI (PCI DSS)?
О: Текущие документы PCI DSS можно найти на веб-сайте Совета по стандартам безопасности PCI.
Q4: Что такое «уровни» соответствия PCI и как они определяются?
О: Все продавцы попадут в один из четырех уровней продавцов в зависимости от объема транзакций Visa за 12-месячный период. Объем транзакций основан на совокупном количестве транзакций Visa (включая кредитные, дебетовые и предоплаченные) от продавца, ведущего бизнес как («DBA»). В случаях, когда торговая корпорация имеет более одного DBA, эквайеры Visa должны учитывать совокупный объем транзакций, хранимых, обрабатываемых или передаваемых юридическим лицом, чтобы определить уровень проверки. Если данные не агрегируются, то есть юридическое лицо не хранит, не обрабатывает и не передает данные о держателях карт от имени нескольких администраторов баз данных, эквайеры будут продолжать учитывать объем транзакций отдельного администратора баз данных для определения уровня проверки.
Уровни продавца, определенные Visa:
Уровень продавца | Описание |
1 | Любой продавец — независимо от канала приема — обрабатывает более 6 миллионов транзакций Visa в год. Любой продавец, которого Visa по своему усмотрению определяет, должен соответствовать требованиям продавца Уровня 1, чтобы свести к минимуму риск для системы Visa. |
2 | Любой продавец — независимо от канала приема — обрабатывает Visa от 1 до 6 миллионов транзакций в год. |
3 | Любой продавец, обрабатывающий от 20 000 до 1 млн Visa e- коммерческих транзакций в год. |
4 | Любой продавец, обрабатывающий менее 20 000 Visa e -коммерческих транзакций в год, а все другие продавцы — независимо от канала приема — обрабатывают до 1 млн транзакций Visa в год. |
* Любой продавец, пострадавший от взлома, который привел к компрометации данных аккаунта, может быть передан на более высокий уровень проверки.
В5. Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI DSS?
О: Чтобы соответствовать требованиям PCI, продавец должен выполнить следующие шаги:
- Определите, какой опросный лист для самооценки (SAQ) должен использовать ваш бизнес для подтверждения соответствия требованиям. См. таблицу ниже, чтобы помочь вам выбрать. (Щелкните диаграмму, чтобы увеличить.)
- Заполните Анкету для самооценки в соответствии с содержащимися в ней инструкциями.
- Выполните и получите подтверждение прохождения сканирования уязвимостей с помощью утвержденного PCI SSC поставщика сканирования (ASV). Сканирование заметок распространяется не на всех продавцов. Он требуется для SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant и SAQ D-Service Provider.
- Заполните соответствующее подтверждение соответствия полностью (находится в инструменте SAQ).
- Отправьте SAQ, свидетельство о прохождении сканирования (если применимо) и свидетельство о соответствии вместе с любой другой запрошенной документацией вашему приобретателю.
Вопрос 6. Как прием кредитных карт по телефону работает с PCI?
A: Следующий пост «Как прием кредитных карт по телефону работает с PCI?» объясняет ваши обязанности по соблюдению требований PCI при получении информации о кредитной карте по телефону (например, в колл-центре). Обратите внимание: несмотря на то, что это сообщение было опубликовано в 2014 году, оно по-прежнему актуально для текущей версии PCI DSS.
В7. Если я принимаю кредитные карты только по телефону, применим ли ко мне стандарт PCI DSS?
О: Да. Все предприятия, которые хранят, обрабатывают или передают данные о держателях платежных карт, должны соответствовать стандарту PCI.
В8. Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS?
О: Да. Простое использование сторонней компании не исключает компанию из-под действия стандарта PCI DSS. Это может снизить их подверженность риску и, следовательно, уменьшить усилия по проверке соблюдения требований. Однако это не означает, что они могут игнорировать PCI DSS.
В9. У моей компании несколько офисов. Нужно ли подтверждать соответствие требованиям PCI в каждом из них?
О: Если ваши офисы работают с одним и тем же ИНН, то обычно вам требуется подтверждать только один раз в год для всех местоположений. Кроме того, ежеквартально отправляйте сканирование сети утвержденному поставщику услуг сканирования PCI SSC (ASV) для каждого местоположения, если это применимо.
В10. Мы занимаемся только электронной торговлей. Какой SAQ следует использовать?
О: Это зависит от того, как настроена ваша корзина. См. PCI SAQ 3.1: Объяснение вариантов электронной коммерции.
В11. Моя компания не хранит данные кредитных карт, поэтому соответствие PCI на нас не распространяется, верно?
О: Если вы принимаете кредитные или дебетовые карты в качестве формы оплаты, к вам применяется соответствие PCI. Хранение данных карты сопряжено с риском, поэтому, если вы не храните данные карты, вам будет проще обеспечить безопасность и соответствие требованиям.
Вопрос 12. Подпадают ли транзакции по дебетовым картам под действие PCI?
О. К рассматриваемым картам относятся любые дебетовые, кредитные и предоплаченные карты с одним из пяти логотипов ассоциаций/брендов карт, которые участвуют в PCI SSC: American Express, Discover, JCB, MasterCard и Visa International. .
В13. Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат?
О: Нет. SSL-сертификаты не защищают веб-сервер от вредоносных атак или вторжений. SSL-сертификаты высокой надежности обеспечивают первый уровень безопасности и уверенности клиентов, как показано ниже, но есть и другие шаги для достижения соответствия PCI. См. вопрос «Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI?»
- Защищенное соединение между браузером клиента и веб-сервером
- Подтверждение того, что операторы веб-сайта являются законной и юридически подотчетной организацией.
В14. Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать?
О: Большинство продавцов, которым необходимо хранить данные кредитных карт, делают это для регулярного выставления счетов.Лучший способ сохранить данные кредитной карты для регулярного выставления счетов — использовать стороннее хранилище кредитных карт и поставщика токенизации. При использовании хранилища данные карты удаляются из вашего владения, и вам возвращается «токен», который можно использовать для периодического выставления счетов. Обращаясь к третьей стороне, вы перекладываете риск хранения данных карты на того, кто специализируется на этом и располагает всеми средствами безопасности для обеспечения безопасности данных карты.
Если вам нужно хранить данные карты самостоятельно, ваша планка для самооценки очень высока, и вам может потребоваться пригласить QSA (квалифицированный оценщик безопасности) на место и провести аудит, чтобы убедиться, что у вас есть все средства контроля. на месте, необходимом для соответствия спецификациям PCI DSS.
Вопрос 15. Какие санкции предусмотрены за несоблюдение требований?
О. Платежные бренды могут по своему усмотрению оштрафовать банк-эквайер на сумму от 5000 до 100 000 долларов США в месяц за нарушение требований PCI. Банки, скорее всего, будут передавать этот штраф до тех пор, пока он в конечном итоге не попадет на продавца. Кроме того, банк также, скорее всего, либо разорвет ваши отношения, либо повысит комиссию за транзакцию. Штрафы не обсуждаются открыто и не афишируются, но они могут иметь катастрофические последствия для малого бизнеса. Важно ознакомиться с соглашением об учетной записи продавца, в котором должны быть изложены ваши риски.
Подробнее о штрафах за несоблюдение требований читайте в нашем блоге «Как ваши усилия по обеспечению соответствия требованиям PCI могут в конечном итоге сэкономить деньги вашего бизнеса?»
Вопрос 16. Что понимается под «данными держателя карты»?
О. Совет по стандартам безопасности PCI (SSC) определяет «данные держателя карты» как полный основной номер счета (PAN) или полный PAN вместе с любым из следующих элементов:
- Имя владельца карты
- Срок действия
- Служебный код
Конфиденциальные данные аутентификации, которые также должны быть защищены, включают полные данные магнитной полосы, CAV2, CVC2, CVV2, CID, PIN-коды, блоки PIN-кодов и многое другое.
Вопрос 17. Что означает термин «продавец»?
A: В соответствии с PCI DSS продавцом считается любое лицо, которое принимает в качестве оплаты платежные карты с логотипами любого из пяти членов PCI SSC (American Express, Discover, JCB, MasterCard или Visa). на товары и/или услуги. Обратите внимание, что торговец, который принимает платежные карты в качестве оплаты товаров и/или услуг, также может быть поставщиком услуг, если проданные услуги приводят к хранению, обработке или передаче данных держателя карты от имени других торговцев или поставщиков услуг. Например, интернет-провайдер является продавцом, который принимает платежные карты для ежемесячного выставления счетов, но также является поставщиком услуг, если он принимает продавцов в качестве клиентов. Источник: PCI SSC
Q18: Что представляет собой поставщик услуг?
Роль «продавца как поставщика услуг» далее определяется PCI SSC как «продавец, который принимает платежные карты в качестве оплаты за товары и/или услуги… если проданные услуги приводят к хранению, обработке или передаче данных держателей карт». от имени других продавцов или поставщиков услуг». Узнайте больше о том, как обеспечить соответствие требованиям в качестве поставщика услуг. См. запись в нашем блоге «Соответствие требованиям PCI и поставщик услуг».
Вопрос 19. Что представляет собой платежное приложение?
A: Что представляет собой платежное приложение с точки зрения соответствия PCI? Термин «платежное приложение» имеет очень широкое значение в PCI. Платежное приложение — это все, что хранит, обрабатывает или передает данные карты в электронном виде. Это означает, что все, от системы точек продаж (например, считывающих терминалов Verifone, терминалов ALOHA и т. д.) в ресторане до корзины для покупок на веб-сайте (например, CreLoaded, osCommerce и т. д.), классифицируется как платежные приложения. Поэтому любое программное обеспечение, предназначенное для доступа к данным кредитной карты, считается платежным приложением.
Вопрос 20. Что такое платежный шлюз?
A: Платежные шлюзы соединяют продавца с банком или процессором, который выступает в качестве интерфейсного соединения с брендами карт. Их называют шлюзами, потому что они принимают множество входных данных от различных приложений и направляют эти входные данные в соответствующий банк или процессор. Шлюзы взаимодействуют с банком или обработчиком данных, используя коммутируемые соединения, веб-соединения или частные выделенные линии.
Вопрос 21. Что такое PA-DSS?
A: PA-DSS — это стандарт безопасности данных платежных приложений, поддерживаемый Советом по стандартам безопасности PCI (SSC) для решения критической проблемы безопасности платежных приложений. Требования стандарта PA-DSS призваны гарантировать, что поставщики предоставляют продукты, поддерживающие усилия продавцов по соблюдению требований стандарта PCI DSS и отказу от хранения конфиденциальных данных держателей карт.
PCS SSC администрирует программу проверки платежных приложений на соответствие стандарту PA-DSS, а также публикует и ведет список приложений, прошедших проверку на соответствие стандарту PA-DSS. Дополнительную информацию см. в Стандартах безопасности PCI.Также ознакомьтесь с нашим сообщением в блоге о критической разнице между PCI DSS и PA-DSS здесь.
Вопрос 22. Можно ли указать полный номер кредитной карты на копии квитанции, которую выдает потребитель?
A: Требование 3.3 PCI DSS гласит: «Маска PAN при отображении (первые шесть и последние четыре цифры — максимальное количество отображаемых цифр)». Хотя это требование не запрещает печатать полный номер карты или дату истечения срока действия на квитанциях (как на копии для продавца, так и на копии для потребителя), обратите внимание, что PCI DSS не имеет приоритета над любыми другими законами, определяющими, что может быть напечатано на квитанциях (например, Закон США о честных и точных кредитных сделках (FACTA) или любые другие применимые законы).
См. примечание, выделенное курсивом, к требованию 3.3 стандарта PCI DSS: «Примечание. Это требование не отменяет более строгих требований к отображению данных о держателях карт — например, юридических требований или требований к бренду платежной карты для чеков в точках продаж (POS). Любые бумажные квитанции, хранящиеся у продавцов, должны соответствовать PCI DSS, особенно требованию 9, касающемуся физической безопасности». Источник: PCI SSC
Вопрос 23. Нужно ли сканирование уязвимостей для подтверждения соответствия требованиям?
О: Если вы отвечаете требованиям для определенных анкет самооценки (SAQ) или вы храните данные о держателях карт в электронном виде после авторизации, то для соблюдения требований требуется ежеквартальное сканирование, проводимое сертифицированным поставщиком сканирования (ASV) PCI SSC. Если вы соответствуете любому из следующих SAQ в соответствии с версией 3.x стандарта PCI DSS, вам необходимо пройти успешное сканирование ASV:
- SAQ A-EP
- SAQ B-IP
- SAQ С
- SAQ D-продавец
- Поставщик D-услуг SAQ
Вопрос 24. Что такое сканирование уязвимостей?
О. Для сканирования уязвимостей используется автоматизированный инструмент, который проверяет системы продавца или поставщика услуг на наличие уязвимостей. Инструмент будет проводить ненавязчивое сканирование для удаленного просмотра сетей и веб-приложений на основе адресов внешнего интернет-протокола (IP), предоставленных продавцом или поставщиком услуг. Сканирование выявляет уязвимости в операционных системах, службах и устройствах, которые могут быть использованы хакерами для атаки на частную сеть компании. Согласно утвержденным поставщикам сканирования (ASV), таким как ControlScan, сканирование не требует от продавца или поставщика услуг установки какого-либо программного обеспечения на свои системы, и атаки типа «отказ в обслуживании» выполняться не будут. Узнайте больше о сканировании уязвимостей здесь.
Вопрос 25. Как часто мне нужно проводить сканирование уязвимостей?
A: Каждые 90 дней/один раз в квартал те, кто соответствует вышеуказанным критериям, должны отправлять проходное сканирование. Продавцы и поставщики услуг должны представить документацию о соответствии (отчеты об успешном сканировании) в соответствии с графиком, установленным их эквайером. Сканирование должно проводиться одобренным PCI SSC поставщиком услуг сканирования (ASV), таким как ControlScan.
Вопрос 26. Что делать, если мой бизнес отказывается сотрудничать?
О: PCI сам по себе не является законом. Стандарт был создан основными карточными брендами Visa, MasterCard, Discover, AMEX и JCB. По усмотрению своих эквайеров/поставщиков услуг продавцы, которые не соблюдают PCI DSS, могут быть подвергнуты штрафам, затратам на замену карты, дорогостоящим судебно-медицинским проверкам, повреждению торговой марки и т. д. в случае нарушения правил.
Небольшие первоначальные усилия и затраты на обеспечение соответствия стандарту PCI DSS помогут значительно снизить риск возникновения этих чрезвычайно неприятных и дорогостоящих последствий. Узнайте, как ControlScan помогает упростить стандарт PCI DSS.
Вопрос 27. Если я веду бизнес из дома, могу ли я стать серьезной целью для хакеров?
О: Да. Домашние пользователи, возможно, наиболее уязвимы просто потому, что они обычно плохо защищены. Применяя модель «пути наименьшего сопротивления», злоумышленники часто сосредотачиваются на домашних пользователях, часто используя их постоянно активные широкополосные соединения и типичные домашние программы, такие как чат, интернет-игры и приложения для обмена файлами P2P. Служба сканирования ControlScan позволяет домашним пользователям и сетевым администраторам выявлять и устранять любые уязвимости в системе безопасности на своих настольных и портативных компьютерах.
Вопрос 28. Что делать, если меня взломали?
О: Несмотря на то, что многие утечки данных платежных карт легко предотвратить, они все еще могут происходить и происходят в компаниях любого размера.
Если ваша компания малого или среднего бизнеса обнаружила, что ее взломали, существует множество полезных ресурсов, которые помогут вам предпринять следующие шаги. Мы рекомендуем следующее:
Вопрос 29. Есть ли в штатах законы, требующие уведомления пострадавших сторон об утечке данных?
О: Абсолютно. Калифорния является катализатором для сообщения об утечках данных затронутым сторонам. Штат ввел свой закон об уведомлении о нарушениях в 2003 году, и теперь почти в каждом штате действует аналогичный закон.
Руководство по соответствию требованиям PCI разработано экспертами Sysnet и Viking Cloud.
Узнайте, как мы можем вам помочь.
Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это набор стандартов безопасности, разработанный в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express. Схема соответствия, регулируемая Советом по стандартам безопасности индустрии платежных карт (PCI SSC), направлена на защиту транзакций по кредитным и дебетовым картам от кражи данных и мошенничества.
Несмотря на то, что PCI SSC не имеет юридических полномочий принуждать к соблюдению, это требование для любой компании, которая обрабатывает транзакции по кредитным или дебетовым картам. Сертификация PCI также считается лучшим способом защиты конфиденциальных данных и информации, помогая компаниям строить долгосрочные и доверительные отношения со своими клиентами.
Сертификат PCI DSS
Сертификация PCI обеспечивает безопасность карточных данных в вашем бизнесе благодаря набору требований, установленных PCI SSC. К ним относятся ряд общеизвестных рекомендаций, таких как:
- Установка брандмауэров
- Шифрование передачи данных
- Использование антивирусного ПО
Кроме того, предприятия должны ограничивать доступ к данным держателей карт и контролировать доступ к сетевым ресурсам.
Безопасность, соответствующая стандарту PCI, представляет собой ценный актив, который информирует клиентов о том, что с вашим бизнесом безопасно вести дела. И наоборот, цена несоблюдения требований, как в денежном, так и в репутационном выражении, должна быть достаточной, чтобы убедить любого владельца бизнеса серьезно относиться к безопасности данных.
Нарушение данных, раскрывающее конфиденциальную информацию о клиентах, может иметь серьезные последствия для предприятия. Нарушение может привести к штрафам со стороны эмитентов платежных карт, судебным искам, снижению продаж и серьезному ущербу для репутации.
После взлома компания может прекратить прием транзакций по кредитным картам или быть вынуждена платить более высокие последующие платежи, чем первоначальные затраты на соблюдение требований безопасности. Инвестиции в процедуры безопасности PCI имеют большое значение для обеспечения того, чтобы другие аспекты вашей торговли были защищены от злоумышленников в Интернете.
Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.
Уровни соответствия стандарту PCI DSS
Соответствие стандарту PCI подразделяется на четыре уровня в зависимости от годового количества транзакций по кредитным или дебетовым картам, которые бизнес обрабатывает. Уровень классификации определяет, что предприятие должно делать, чтобы соответствовать требованиям.
- Уровень 1. Относится к продавцам, которые ежегодно обрабатывают более шести миллионов реальных транзакций по кредитным или дебетовым картам. Раз в год они должны проходить внутренний аудит, проводимый уполномоченным аудитором PCI. Кроме того, раз в квартал они должны проходить сканирование PCI у утвержденного поставщика услуг сканирования (ASV).
- Уровень 2. Применяется к продавцам, которые ежегодно обрабатывают от одного до шести миллионов реальных транзакций по кредитным или дебетовым картам. Они обязаны проходить оценку один раз в год, используя Анкету самооценки (SAQ). Кроме того, может потребоваться ежеквартальное сканирование PCI.
- Уровень 3. Применяется к продавцам, которые ежегодно обрабатывают от 20 000 до миллиона транзакций электронной торговли. Они должны пройти ежегодную оценку, используя соответствующий SAQ. Также может потребоваться ежеквартальное сканирование PCI.
- Уровень 4. Применяется к продавцам, обрабатывающим менее 20 000 транзакций электронной торговли в год или обрабатывающим до миллиона транзакций в реальном мире. Должна быть выполнена ежегодная оценка с использованием соответствующего SAQ, и может потребоваться ежеквартальное сканирование PCI.
Требования PCI DSS
PCI SSC изложил 12 требований по обработке данных держателей карт и обеспечению безопасности сети. Распределенные между шестью более широкими целями, все они необходимы для того, чтобы предприятие соответствовало требованиям.
Защищенная сеть
- Необходимо установить и поддерживать конфигурацию брандмауэра.
- Системные пароли должны быть оригинальными (не предоставленными поставщиком)
Защитите данные держателей карт
- Хранящиеся данные держателей карт должны быть защищены
- Передача данных о держателях карт через общедоступные сети должна быть зашифрована.
Управление уязвимостями
- Необходимо использовать и регулярно обновлять антивирусное программное обеспечение.
- Необходимо разрабатывать и поддерживать безопасные системы и приложения
Контроль доступа
- Доступ к данным о держателях карт должен быть ограничен служебной необходимостью.
- Каждому лицу, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор.
- Физический доступ к данным держателей карт должен быть ограничен.
Мониторинг и тестирование сети
- Доступ к данным держателей карт и сетевым ресурсам должен отслеживаться и контролироваться.
- Системы и процессы безопасности необходимо регулярно тестировать
Информационная безопасность
- Должна соблюдаться политика, касающаяся информационной безопасности.
Узнайте, как решения Imperva Data Security Solutions могут помочь вам пройти сертификацию PCI DSS.
Соответствие PCI и брандмауэры веб-приложений
С момента своего создания стандарт PCI DSS претерпел несколько итераций, чтобы не отставать от изменений в ландшафте онлайн-угроз. Хотя основные правила соответствия остаются неизменными, периодически добавляются новые требования.
Одним из наиболее важных дополнений стало Требование 6.6, введенное в 2008 году. Оно было создано для защиты данных от наиболее распространенных векторов атак на веб-приложения, включая SQL-инъекции, RFI и другие вредоносные входные данные. Используя такие методы, злоумышленники потенциально могут получить доступ к множеству данных, включая конфиденциальную информацию о клиентах.
Выполнить это требование можно либо путем проверки кода приложения, либо путем внедрения брандмауэра веб-приложений (WAF).
Первый вариант включает ручную проверку исходного кода веб-приложения в сочетании с оценкой уязвимости безопасности приложения. Для проведения проверки требуется квалифицированный внутренний ресурс или третья сторона, а окончательное утверждение должно исходить от внешней организации. Кроме того, назначенный рецензент должен быть в курсе последних тенденций в области безопасности веб-приложений, чтобы обеспечить надлежащее устранение всех будущих угроз.
Кроме того, компании могут защититься от атак на уровне приложений, используя WAF, развернутый между приложением и клиентами. WAF проверяет весь входящий трафик и отфильтровывает вредоносные атаки.
Предлагаемый Imperva, наш облачный WAF блокирует атаки веб-приложений, используя ряд различных методологий безопасности, включая распознавание подписи и репутацию IP. Поскольку он полностью соответствует требованиям PCI Requirement 6.6, его можно настроить и подготовить к использованию за считанные минуты.
Чтобы еще больше упростить соблюдение требований, облачный WAF Imperva не требует дополнительных затрат на установку оборудования или управление. Это позволяет всем организациям — от крупных компаний до стартапов и малых и средних предприятий, которые могут не иметь необходимой инфраструктуры безопасности и персонала — оставаться защищенными и соответствовать стандарту PCI DSS.
Читайте также: