Набір із шести вимог

Основу стандарту становить набір із шести вимог. Тією чи іншою мірою вони є загальновизнаними best practices у світі інформаційної безпеки. Згідно з PCI DSS, компанія повинна:

1. Захистити мережну інфраструктуру. Весь вхідний та вихідний трафік фільтрується файрволами. При цьому частина мережі, відповідальна за обробку клієнтських даних, має бути сегментована  — тобто розділена на кілька незалежних один від одного кластерів. Це дозволяє обмежити потенційні збитки, якщо хакерам все ж таки вдасться «проникнути» в мережу.

При цьому всі віртуальні машини повинні виконувати лише одну функцію. Такий підхід гарантує, що зламування сервера не дозволить зловмисникам отримати контроль над кількома ступенями процесу обробки даних.

Паролі, які використовуються для доступу до компонентів інфраструктури, повинні відрізнятися від фабричних і не входити до списку найпоширеніших паролів. Інакше виникає ризик злому за допомогою простого перебору за словником.. Наприклад, однією з причин витоку в кредитному бюро Equifax в 2017 році став слабкий пароль. Організація  використовувала  логін і пароль admin для доступу до бази даних.

1. Використовувати шифрування. Для шифрування даних потрібно використовувати сильну криптографію (з ключами довжиною не менше 128 біт).  Остання версія документа PCI DSS від 1 січня 2019 року зобов'язує компанії використовувати TLS 1.2. Цей захід було введено через  вразливість у попереднику протоколу — SSL 3.0, який дає зловмисникові можливість витягти із зашифрованого каналу зв'язку закриту інформацію.

При цьому в документі PCI DSS вказано список провайдерів криптографічних рішень, продукти яких рекомендується використовувати для успішного проходження сертифікації. До нього входять 886 постачальників платіжного програмного забезпечення та понад 200 розробників різних шифрувальних систем.

1. Встановити антивірусне програмне забезпечення. Сам процес оновлення вразливого програмного забезпечення має бути регламентований, щоб превентивно закривати всі потенційні вразливості.
2. Налаштувати політики доступу до даних. Одна з вимог – використовувати багатофакторну автентифікацію для підключення до критичних інфраструктурних компонентів та персональних даних. При цьому слід обмежити доступ до місць фізичного зберігання клієнтських даних. Ці політики коригуються щоразу, коли у компанії відбуваються кадрові перестановки.
3. Організувати моніторинг інфраструктури. Важливо логувати всі операції над даними, щоб швидко виявляти зломи. Самі системи безпеки варто регулярно тестувати, щоб оперативно виявляти слабкі місця у ІТ-інфраструктурі.
4. Сформулювати корпоративну політику щодо ІБ. Важливо прописати загальні принципи безпеки ІТ-інфраструктури, алгоритм надання доступу до ПД користувачів та кроки, які будуть зроблені у разі виникнення загрози цим даним. Документи мають коригуватися щороку відповідно до змін, що вносяться до ІТ-структури.

Процес аудиту

Компанії, що обробляють менше 20 тисяч платежів на рік, можуть здійснити аудит самостійно. Іншим організаціям обов'язково вдаватися до допомоги сертифікованих аудиторів.

Починається аудит з теоретичної частини. Тут перевіряється актуальність внутрішніх безпекових політик та компетентність персоналу. Компанія надає розроблені інструкції, регламенти та інші нормативно-розпорядчі документи з ІБ.

Потім оцінюється надійність ІТ-інфраструктури. Для цього аудитори проводять випробування на проникнення — симульовану атаку на мережі компанії. Таким чином перевіряється робота рішень, спрямованих на захист даних власників карток, і виявляються потенційні «дірки» у безпеці.

Якщо все успішно, то залишиться узгодити технічні характеристикиінфраструктури з аудиторами. Фахівці оцінюють програмне забезпечення, параметри заліза, топологію мережі, конфігурацію операційних систем та ін. Зазначимо, якщо під час аудиту виявляються невеликі порушення вимог PCI DSS, їх можна усунути «на місці».

Як спростити сертифікацію

Сертифікація PCI DSS забирає багато сил та часу. У нас цей процес зайняв понад рік. Команді фахівців ІТ-ГРАД довелося перезбирати великий сегмент нашої хостинг-інфраструктури. Ми створили ізольовану мережу на основі ESX, vSphere та vCenter, доступ до якої надається через VPN з двофакторною автентифікацією. У цій мережі ми  розгорнули системи моніторингу, ведення логів та контролю цілісності даних, а також антивірусне ПЗ.

Для проходження аудиту часом доводиться повністю переосмислити ІТ-інфраструктуру. І чим більше компанія, тим триваліший цей процес. Виходить, що бізнесам, які потребують PCI DSS інфраструктури більше за інших — банкам і великим рітейлерам —  найважче організувати відповідність цим стандартам.

Спростити процес сертифікації здатні IaaS-провайдери. Наприклад, ми в «ІТ-ГРАД» надаємо послугу  PCI DSS хостингу. Вона дозволяє компаніям перекласти частину відповідальності за виконання вимог стандарту на плечі хмарного провайдера. Наприклад, фахівці «ІТ-ГРАД» відповідають за захист мережі та контроль фізичного доступу до обладнання. Наші дата-центри у Москві та Санкт-Петербурзі відповідають найвищим вимогам безпеки. Додатково ми допомагаємо настроїти серверне середовище та організувати необхідний для сертифікації моніторинг.

Таким чином, користуючись послугою PCI DSS хостингу, клієнт заощаджує свої кошти та скорочує час на сертифікацію. Такий підхід дає змогу зосередитись на профільному розвитку бізнесу.

Посилання на статтю