Co musisz wiedzieć o PCI DSS

Zestaw sześciu wymagań

Podstawą standardu jest zestaw sześciu wymagań. W takim czy innym stopniu są one powszechnie uznanymi najlepszymi praktykami w świecie bezpieczeństwa informacji. Zgodnie z PCI DSS firma musi:

  1. Chroń infrastrukturę sieciową. Cały ruch przychodzący i wychodzący jest filtrowany przez zapory sieciowe. Jednocześnie część sieci odpowiedzialna za przetwarzanie danych klientów musi być segmentowany - czyli podzielony na kilka niezależnych klastrów. Pozwala to ograniczyć potencjalne szkody, jeśli hakerom nadal uda się „przeniknąć” do sieci.

Jednocześnie wszystkie maszyny wirtualne muszą wykonywać tylko jedną funkcję. Takie podejście zapewnia, że ​​włamanie na serwer nie pozwoli atakującym przejąć kontroli nad kilkoma etapami procesu przetwarzania danych.

Hasła używane do uzyskiwania dostępu do elementów infrastruktury muszą różnić się od domyślnych ustawień fabrycznych i nie mogą znajdować się na liście najczęściej używanych haseł. W przeciwnym razie istnieje ryzyko włamania za pomocą prostego wyliczanie słownikowe . Na przykład jednym z powodów przecieku w biurze kredytowym Equifax w 2017 roku było po prostu słabe hasło. Organizacja Użyto loginu i hasła admin, aby uzyskać dostęp do bazy danych.

  1. Użyj szyfrowania. Aby zaszyfrować dane, musisz użyć silnej kryptografii (z kluczami co najmniej 128-bitowymi). Najnowsza wersja dokumentu PCI DSS z 1 stycznia 2019 r. wymaga od firm korzystania z TLS 1.2. Środek ten został wprowadzony ze względu na podatność poprzednika protokołu, SSL 3.0, który daje atakujący możliwość wydobycia poufnych informacji z zaszyfrowanego kanału komunikacji.

Jednocześnie dokument PCI DSS zawiera listę dostawców rozwiązań kryptograficznych, których produkty są zalecane do pomyślnej certyfikacji. Obejmuje 886 dostawców oprogramowania płatniczego i ponad 200 programistów różnych systemów szyfrowania.

  1. Zainstaluj oprogramowanie antywirusowe. Sam proces aktualizacji podatnego oprogramowania powinien być regulowany, aby zapobiec wszelkim potencjalnym lukom.
  2. Skonfiguruj zasady dostępu do danych. Jednym z wymagań jest używanie uwierzytelniania wieloskładnikowego do łączenia się z krytycznymi składnikami infrastruktury i danymi osobowymi. Jednocześnie konieczne jest ograniczenie dostępu do miejsc fizycznego przechowywania danych Klienta. Zasady te są dostosowywane za każdym razem, gdy w firmie następuje zmiana personelu.
  3. Organizuj monitorowanie infrastruktury. Ważne jest rejestrowanie wszystkich operacji wykonywanych na danych, aby szybko wykrywać włamania. Same systemy bezpieczeństwa powinny być regularnie testowane, aby szybko zidentyfikować słabe punkty infrastruktury IT.
  4. Formułowanie firmowej polityki bezpieczeństwa informacji. Ważne jest określenie ogólnych zasad zapewnienia bezpieczeństwa infrastruktury informatycznej, algorytmu przyznawania dostępu do danych osobowych użytkowników oraz kroków, które zostaną podjęte w przypadku zagrożenia tych danych. Dokumenty muszą być aktualizowane co roku zgodnie ze zmianami wprowadzonymi w strukturze IT.

Proces audytu

Firmy przetwarzające mniej niż 20 000 płatności rocznie mogą przeprowadzać samokontrolę. Inne organizacje muszą skorzystać z pomocy biegłych rewidentów.

Audyt rozpoczyna się od części teoretycznej. Tutaj sprawdzana jest aktualność wewnętrznych polityk bezpieczeństwa oraz kompetencje personelu. Firma dostarcza opracowane instrukcje, regulaminy i inne dokumenty normatywne i administracyjne dotyczące bezpieczeństwa informacji.

Następnie oceniana jest niezawodność infrastruktury IT. W tym celu audytorzy przeprowadzają test penetracyjny — symulowany atak na sieci firmy. Więcw ten sposób sprawdzane jest działanie rozwiązań mających na celu ochronę danych posiadaczy kart i identyfikowane są potencjalne luki w zabezpieczeniach.

Jeśli wszystko się powiedzie, pozostaje uzgodnić charakterystykę techniczną infrastruktury z audytorami. Specjaliści oceniają oprogramowanie, parametry sprzętu, topologię sieci, konfigurację systemu operacyjnego itp. Należy pamiętać, że jeśli podczas audytu zostaną wykryte drobne naruszenia wymagań PCI DSS, można je wyeliminować na miejscu.

Jak uprościć certyfikację

Certyfikacja PCI DSS wymaga dużo wysiłku i czasu. Ten proces zajął nam ponad rok. Zespół IT-GRAD musiał przebudować duży segment naszej infrastruktury hostingowej. Stworzyliśmy izolowaną sieć opartą na ESX, vSphere i vCenter, dostępną przez VPN z uwierzytelnianiem dwuskładnikowym. W tej sieci wdrożone systemy monitorowania, rejestrowania i kontroli integralności danych, a także oprogramowanie antywirusowe.

Aby przejść audyt, czasami trzeba całkowicie przemyśleć swoją infrastrukturę IT. A im większa firma, tym dłuższy proces. Okazuje się, że firmy, które potrzebują infrastruktury PCI DSS bardziej niż inne – banki i duzi detaliści – Najtrudniejszą rzeczą jest samodzielne zorganizowanie zgodności z tymi standardami.

Dostawcy IaaS mogą uprościć proces certyfikacji. Na przykład w IT-GRAD świadczymy usługę -5758&roistat_visit=2331">hosting PCI DSS. Daje to firmom możliwość przeniesienia części odpowiedzialności za spełnienie wymagań standardu na barki dostawcy chmury. Na przykład specjaliści IT-GRAD odpowiadają za ochronę sieci i kontrolę fizycznego dostępu do sprzętu. Nasze centra danych w Moskwie i Sankt Petersburgu spełniają najwyższe wymagania bezpieczeństwa. Ponadto pomagamy skonfigurować środowisko serwera i zorganizować monitorowanie wymagane do certyfikacji.

W ten sposób, korzystając z usługi hostingu PCI DSS, klient oszczędza swoje pieniądze i skraca czas certyfikacji. Takie podejście umożliwia skupienie się na rozwoju podstawowej działalności.

Link do artykułu< /p>