Аудит и соблюдение стандарта PCI DSS:
актуальные проблемы

Торговые организации, банки и другие компании, принимающие участие в проведении платежей с кредитных и дебитных карт, должны предпринимать всё новые шаги для защиты конфиденциальности данных о счетах клиентов; - это необходимо и для соблюдения основных целей бизнеса, и для выполнения обязательств, налагаемых «Стандартом безопасности данных в индустрии платежных карт» (PCI DSS), который является одним из наиболее детализированных и полных на сегодня стандартов. Стандарт PCI DSS определяет строгие требования к обработке, хранению и передаче данных о счетах клиентов. Соблюдение этого стандарта подлежит периодическим проверкам, а несоблюдение этого стандарта может привести к штрафам и даже к запрету на деятельность по обработке кредитных карт. 

Хотя стандарт PCI DSS разработан специально для экосистемы проведения платежей, включает в себя полный набор стандартов «due care», которые соответствуют многим типам чувствительных данных, и может рассматриваться как модель для других отраслей, например, для здравоохранения. 

Читать далее

Организации, стремящиеся к соблюдению стандарта PCI DSS, сталкиваются со множеством трудностей:

  • Они подвергаются упреждающему аудиту. Процедуры аудита для проверки соблюдения стандарта PCI DSS включаютежегодные инспекции территории, проводимые аттестованными аудиторами илисобственными специалистами по оценке, а также регулярное тестирование системы на выявление фактов враждебного проникновения.. В противоположность этому порядку вещей соблюдение большинства других указов о соблюдении конфиденциальности подвергается аудиту только в случае утечки данных.
  • На соблюдение стандарта могут повлиятьмногочисленные системы и процессы. Стандарт PCI DSS применяется к любым системам ИТ с доступом к данным держателей карт, где бы эти системы не находились в данной организации (доступ организуется на основе подхода «необходимость в получении информации»). Это требует применения скоординированного межфункционального подхода и может ограничить гибкость в любой зоне.  
  • По возможности организации стремятся к минимизации масштаба соблюдения стандарта. По возможности организации стремятся к минимизации масштаба соблюдения стандарта. Постоянная мотивация организаций, заключающаяся в тенденции к уменьшению объема соблюдения и влияния стандарта PCI DSS, привела к публикации указаний по использованию шифрования и присвоения меток только для обеспечения соблюдения стандарта; и все равно минимизация объема усилий все еще требует значительной осторожности.
  • Новые технологии могут привести к возрастаниюсебестоимости и сложности. Стандарт PCI DSS - относительно специфичный продукт, и он может послужить отправной точкой для применения таких новых технологий, как шифрование, модификация существующих бизнес-приложений и создание новых процессов безопасности и новых средств контроля доступа к данным.
  • Разработка стандарта привела к неопределенности. Все нормативы о конфиденциальности данных и требования об обязательном раскрытии фактов утечки данных должны развиваться наряду с изменяющимся характером угроз и изменениями в местном законодательстве. По мере того, как организации пытаются найти равновесие между своими обязательствами по соблюдению стандарта и общими целями обеспечения безопасности, они сталкиваются со значительной неопределенностью. 

Скрыть раздел

Риски

  • Несоблюдение стандарта может привести к санкциям, всё возрастающим штрафам или даже к прекращению деятельности из-за запрета на обработку кредитных карт.
  • Соблюдение стандарта PCI DSS не может рассматриваться визоляции; организации должны выполнять множество других указов по обеспечению безопасности и законы об обязательном раскрытии фактов утечки данных. С другой стороны, проекты по соблюдению стандартов индустрии платежных карт (PCI) легко могут завести организацию в тупик в условиях существования более широких инициатив по обеспечению безопасности.
  • Стандарт PCI DSS включает обычные практики, которые с высокой вероятностью уже применяются в организациях. Но некоторые аспекты, а именно те, которые связаны с шифрованием, могут оказаться для организаций новыми, и их выполнение может оказать разрушительное действие на бизнес-процессы, негативно сказаться на эффективности деятельности, если не принять меры по выработке для них корректного дизайна.
  • Существуют возможности снижения объема усилий по соблюдению обязательств, налагаемых стандартом PCI DSS, а значит снижения себестоимости продукции и негативного влияния на бизнес; организации могут терять время и деньги, если не заботятся о фактическом внедрении новых систем и процессов, позволяющих соблюдать стандарт. 

Аудит и соблюдение стандарта PCI DSS:
решения компании Thales e-Security

У компании Thales e-Security за десятилетия накоплен колоссальный опыт помощи банкам и финансовым учреждениям в выполнении требований по соблюдению индустриальных указов и постановлений; и сейчас компания Thales e-Security предлагает продукты и услуги, которые дадут вам возможность защитить хранящиеся у вас данные держателей карт, зашифровать их для пересылки и ограничить доступ. Кроме того, компания Thales работает в тесном контакте с партнерами, и поэтому может обещать клиентам всесторонне проработанные решения, которые могут уменьшить ваше бремя по соблюдению стандартов.

Стандарт PCI DSS (www.pcisecuritystandards.org) включает в себя оценку по более чем 200 тестам, которые покрывают 12 областей общей безопасности и шесть основных принципов безопасности. Эти тесты охватывают широкий ряд отличающихся разнообразием обычных практик обеспечения безопасности, а также такие технологии, как шифрование, управление ключами защиты и другие техники защиты данных.

Компания Thales предлагает продуманные решения, которые помогают организациям соответствовать шести основным принципам, заложенным в стандарте PCI DSS; эти шесть принципов приводятся ниже:

  • Защита данных держателей карт. Соблюдение стандарта требует шифрования данных, пересылаемых по открытым сетям, и защиты данных держателей карт в местах их хранения. Помимо применения сетевого шифрования и шифрования по протоколам SSL/TLS для защиты данных при их передаче, организации должны также применять такие технологии, как шифрование данных в местах хранения, шифрование баз данных, шифрование на уровне приложений, присвоение меток, и межконцевое шифрование; все эти меры позволят организовать адекватную защиту данных в местах их хранения и снизить объем работы по обеспечению безопасности.
  • Выполнение строгого контроля доступа. Применение любых технологий защиты данных должно сопровождаться контролем доступа. Криптографические технологии, такие как инфраструктура PKI и цифровые сертификаты, выходят далеко за рамки ввода пароля для аутентификации пользователей и систем. Более того, контроль доступа к ключам расшифровки данных только на основе подхода «необходимости в получении информации» обеспечивает мощный дополнительный уровень безопасности.
  • Построение и поддержка безопаснойсети. Помимо шифрования на уровне сети, важным компонентом сетевой безопасности является строгая аутентификация сетевых устройств; на уровне устройств всё более широко применяются цифровые верительные данные, что позволяет контролировать сетевой доступ; цифровые верительные данные также являются важным аргументом для построения корпоративной инфраструктуры PKI.
  • Регулярный мониторинг и тестирование сетей. Одной из проблем все более широкого использования шифрования является то, что сетевой мониторинг может быть обойден атаками, работающими под прикрытием шифрования. Это создает необходимость внедрения систем мониторинга событий и предотвращения потери данных, обладающих способностью безопасно анализировать данные путем временного снятия барьера шифрования.
  • Поддержка программы управления уязвимостью. Распространение высокотехнологичных постоянно существующих атак, с помощью которых взломщики пытаются повредить бизнес-приложения путем внедрения вредоносных программ, уже привлекло внимание к использованию цифровых и кодовых подписей, как к средствам проверки целостности и аутентичности бизнес-систем и программных приложений.
  • Соблюдение политики обеспечения безопасности информации. Стандарт PCI DSS придает большое значение установлению четкого разделения обязанностей между членами персонала в целях минимизации риска атаки со стороны своего же сотрудника. Использование криптографии предоставляет мощный механизм для усиления этого разделения обязанностей и для создания надежной регистрации сетевых и внутренних событий; наличие таких технологий в организации демонстрирует соблюдение ею стандарта.

Преимущества:

  • Существенно снижается стоимость соблюдения стандарта за счет снижения объема ваших обязанностей по соблюдению стандарта.
  • Используется технология, проверенная на практике, что помогает обезопасить более 80% платежных транзакций во всем мире.
  • Данные держателей карт получают защиту виртуально везде в стенах предприятия – включая системы, которыми пользуются десятилетиями, и применение облачных сервисов.