9 Сентября 2022 г.
PCI DSS: что это и как соответствовать стандарту при приеме онлайн-платежей
В большинстве стран компании, работающие с приемом онлайн платежей должны получать сертификаты соответствия формата PCI DSS. Россия входит в число таких государств. В интернет пространстве на каждом шагу могут подстерегать угрозы. Атаки хакеров происходят каждые минуты на большое количество сервисов. Основная часть жертв мошенников — крупные компании, а на малый бизнес приходится порядка 35-40% взломов систем. Специалисты в области IT-технологий постоянно разрабатывают новые стратегии для подавления атак хакеров. Это различные типы стандартов, которым должны соответствовать онлайн-сервисы.
Соблюдение стандарта PCI DSS позволяет защитить инфраструктуру компании, ее внутреннюю виртуальную сеть и, соответственно, личные данные пользователей. Процедуру соответствия данному стандарту обязаны проходить организации, работающие с хранением и передачей сведений банковских карт. PCI DSS описывает варианты защиты персональной информации, а также указывает на требования, предъявляемые к инфраструктуре IT в компании.
Первыми, кто начал работать по данному стандарту были платежные системы Visa и Mastercard. Действовать компании В США стали по новым разработкам в 2004г. В России стандарт PCI DSS был внедрен в 2006г.
На законодательном уровне PCI DSS не был принят ни в одном из государств, в котором он применялся. Контрольные функции за исполнением требований выполняют компании Visa и Mastercard. В их полномочия входит исполнение штрафных предписаний и санкций. Тем не менее в отдельных правовых документах можно найти некоторые требования стандарта PCI DSS. В России, например, есть положение Центробанка РФ №382-П, в котором говорится о защите персональных данных при переводе денежных средств.
Основные требования стандарта PCI DSS
Существует 12 главных требований по стандарту PCI DSS, которые можно объединить в следующие группы:
- Защита внутренней сети компании. Для этого необходимо настраивать фаерволы и менять пароли на сложные.
- Защита сведений банковских карт. Требуется внедрить систему шифрования данных, а передачу сведений осуществлять по протоколу не ниже TLS 1.1.
- Минимизирование рисков уязвимости. На оборудовании должны систематически устанавливаться обновления программного обеспечения.
- Контроль за доступом к хранилищу данных. Следует ограничивать число лиц, имеющих доступ к информационной системе.
- Установление правил политики безопасности. Необходимо периодически проверять соответствие данным правилам и продумывать алгоритмы поэтапных действий при хакерском взломе.
- Мониторинг IT-инфраструктуры. Следует регулярно проводить тестирование информационных систем.
Каждая компания должна выполнять данные требования, чтобы осуществлять прием онлайн платежей. За нарушение предусматриваются штрафы. Размер штрафных санкций зависит от типа организации и характера оказываемых ею услуг, а также от количества проводимых платежных операций. При повторных нарушениях требований штрафы будут увеличиваться.
В России отказ от выполнения требований стандарта может расцениваться как нарушение закона «О защите персональных данных», а также ст. 13.12 КоАП РФ о «Нарушении правил защиты информации».
Этапы сертификации
Процесс получения компанией сертификата соответствия стандарту PCI DSS зависит от количества проводимых транзакций. При числе платежных операций менее 20 000 в год необходимо проводить аудит с заполнением листа самооценки. Если данный порог превышен, то следует обратиться в организацию по сертификации. В этом случае получение сертификата будет проходить в три этапа:
- Теоретический. Специалисты сертифицирующей организации оценивают качество политики конфиденциальности, а также проверяют ее актуальность и применение на практике.
- Оценочный. Аудиторы проводят серию пентестов для оценки уязвимости IT-инфраструктуры, а также эффективности фаерволов, антивирусной защиты и ПО.
- Отчетный. Делается заключение о выдаче сертификата PCI DSS. Если были выявлены нарушения, то аудиторы выписывают рекомендации по их устранению. При выявлении серьезных отклонений в дальнейшем потребуется пройти все этапы аудита заново.
Альтернативное решение
Компания может не проходить сертификацию, если она сотрудничает с поставщиками платежных систем. Например, платежная система ENOT.io полностью соответствует стандарту PCI DSS и ежегодно проходит проверку на соответствие. В случае работы с ENOT.io отвечает за проводимые транзакции, выступая связующим звеном между банком и конечным потребителем. Зарегистрируйтесь прямо сейчас и начните безопасно принимать денежные средства :)