Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the wptelegram domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/u632055791/domains/itg.az/public_html/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the wp-pagenavi domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/u632055791/domains/itg.az/public_html/wp-includes/functions.php on line 6114

Notice: Функция _load_textdomain_just_in_time вызвана неправильно. Загрузка перевода для домена kirki была запущена слишком рано. Обычно это индикатор того, что какой-то код в плагине или теме запускается слишком рано. Переводы должны загружаться при выполнении действия init или позже. Дополнительную информацию можно найти на странице «Отладка в WordPress». (Это сообщение было добавлено в версии 6.7.0.) in /home/u632055791/domains/itg.az/public_html/wp-includes/functions.php on line 6114
Что нужно знать о PCI DSS: обзор стандарта

Что нужно знать о PCI DSS: обзор стандарта

Стандарт PCI DSS — это набор требований для защиты данных пользователей платежных карт. Его представили 15 лет назад Visa, MasterCard и ряд других финансовых организаций. Сегодня этому стандарту обязаны следовать все компании, которые обрабатывают данные держателей пластиковых карт. Далее расскажем, что требует стандарт и как проводится аудит.

Набор из шести требований

Основу стандарта составляет набор из шести требований. В той или иной степени, они являются общепризнанными best practices в мире информационной безопасности. Согласно PCI DSS, компания должна:
  1. Защитить сетевую инфраструктуру. Весь входящий и исходящий трафик фильтруется файрволами. При этом часть сети, ответственная за обработку клиентских данных, должна быть сегментирована — то есть разделена на несколько независимых друг от друга кластеров. Это позволяет ограничить потенциальный ущерб, если хакерам все же удастся «проникнуть» в сеть.
При этом все виртуальные машины обязаны выполнять только одну функцию. Такой подход гарантирует, что взлом сервера не позволит злоумышленникам получить контроль над несколькими ступенями процесса обработки данных. Пароли, используемые для доступа к компонентам инфраструктуры, должны отличаться от фабричных и не входить в список наиболее распространенных паролей. Иначе возникает риск взлома с помощью простого перебора по словарю. К примеру, одной из причин утечки в кредитном бюро Equifax в 2017 году как раз стал слабый пароль. Организация использовала логин и пароль admin для доступа к базе данных.
  1. Использовать шифрование. Дли шифрования данных нужно использовать сильную криптографию (с ключами длиной не менее 128 бит). Последняя версия документа PCI DSS от 1 января 2019 года, обязует компании использовать TLS 1.2. Эта мера была введена из-за уязвимости в предшественнике протокола — SSL 3.0, которая дает злоумышленнику возможность извлечь из зашифрованного канала связи закрытую информацию.
При этом в документе PCI DSS указан список провайдеров криптографических решений, чьи продукты рекомендуется использовать для успешного прохождения сертификации. В него входят 886 поставщиков платежного программного обеспечения и более 200 разработчиков различных шифровальных систем.
  1. Установить антивирусное ПО. Сам процесс обновления уязвимого программного обеспечения должен быть регламентирован, чтобы превентивно закрывать все потенциальные уязвимости.
  2. Настроить политики доступа к данным. Одно из требований — использовать многофакторную аутентификацию для подключения к критическим инфраструктурным компонентам и персональным данным. При этом нужно ограничить доступ к местам физического хранения клиентских данных. Эти политики корректируются каждый раз, когда в компании происходят кадровые перестановки.
  3. Организовать мониторинг инфраструктуры. Важно логировать все операции, проводимые над данными, чтобы быстро обнаруживать взломы. Сами системы безопасности стоит регулярно тестировать, чтобы оперативно выявлять слабые места в ИТ-инфраструктуре.
  4. Сформулировать корпоративную политику по ИБ. Важно прописать общие принципы обеспечения безопасности ИТ-инфраструктуры, алгоритм предоставления доступа к ПД пользователей и шаги, которые будут предприняты в случае возникновения угрозы этим данным. Документы должны корректироваться каждый год в соответствии с вносимыми в ИТ-структуру изменениями.

Процесс аудита

Компании, обрабатывающие менее 20 тысяч платежей в год, могут провести аудит самостоятельно. Остальным организациям обязательно прибегать к помощи сертифицированных аудиторов. Начинается аудит с теоретической части. Здесь проверяется актуальность внутренних политик безопасности и компетентность персонала. Компания предоставляет разработанные инструкции, регламенты и другие нормативно-распорядительные документы по ИБ. Затем оценивается надежность ИТ-инфраструктуры. Для этого аудиторы проводят испытание на проникновение — симулированную атаку на сети компании. Таким образом проверяется работа решений, направленных на защиту данных владельцев карт, и выявляются потенциальные «дыры» в безопасности. Если все успешно, то останется согласовать технические характеристики инфраструктуры с аудиторами. Специалисты оценивают программное обеспечение, параметры железа, топологию сети, конфигурацию операционных систем и др. Отметим, что если во время аудита обнаруживаются небольшие нарушение требований PCI DSS, их можно устранить «на месте».

Как упростить сертификацию

Для прохождения аудита порой приходится полностью переосмыслить ИТ-инфраструктуру. И чем больше компания, тем длительнее этот процесс. Получается, что бизнесам, которые нуждаются в PCI DSS инфраструктуре больше других — банкам и крупным ритейлерам — тяжелее всего самостоятельно организовать соответствие этим стандартам. Упростить процесс сертификации способны IaaS-провайдеры. Таким образом, пользуясь услугой PCI DSS хостинга, клиент экономит свои средства и сокращает время на сертификацию. Такой подход дает возможность сосредоточиться на профильном развитии бизнеса.