пятница, 3 июня 2016 г.

Сертификация PCI DSS: часто задаваемые вопросы

В последнее время Visa и MasterCard все более активно требуют соответствия стандарту PCI DSS от платежных шлюзов, торгово-сервисных предприятий, подключенных к ним, а также от поставщиков услуг, которые могут влиять на безопасность карточных данных. В связи с этим вопрос соответствия требованиям стандарту PCI DSS становится важным не только для крупных игроков индустрии платежных карт, но и для небольших торгово-сервисных предприятий. В этой статье мы ответим на основные вопросы, которые волнуют организации, перед которыми встала задача сертификации по стандарту PCI DSS.

FAQ по PCI DSS (вопросы сертификации)

FAQ по PCI DSS для тех, кто интересуется сертификацией

1. На кого распространяются требования стандарта PCI DSS?

В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта достаточно очевидна — обеспечить безопасность обращения платёжных карт. С середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям PCI DSS, и компании на территории Российской Федерации не являются исключением.
Чтобы понять, попадает ли ваша организация под обязательное соблюдение требований стандарта PCI DSS, предлагаем воспользоваться несложной блок-схемой (см. ниже).
Определение необходимости соответствия стандарту PCI DSS
Рисунок 1. Определение необходимости соответствия стандарту PCI DSS
Первым делом следует ответить на два вопроса:
  • Хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации?
  • Могут ли бизнес-процессы вашей организации непосредственно влиять на безопасность данных платежных карт?
При отрицательных ответах на оба эти вопроса сертифицироваться по PCI DSS ненужно. 

2. Каковы требования стандарта PCI DSS?

Для соответствия стандарту необходимо выполнение требований, которые в общих чертах представлены двенадцатью разделами, приведёнными в таблице ниже.
Таблица 1. Верхнеуровневые требования стандарта PCI DSS
Требования стандарта PCI DSS
1. Защита вычислительной сети7. Управление доступом к данным о держателях карт
2. Конфигурация компонентов информационной инфраструктуры8. Механизмы аутентификации
3. Защита хранимых данных о держателях карт9. Физическая защита информационной инфраструктуры
4. Защита передаваемых данных о держателях карт10. Протоколирование событий и действий
5. Антивирусная защита информационной инфраструктуры11. Контроль защищённости информационной инфраструктуры
6. Разработка и поддержка информационных систем12. Управление информационной безопасностью
Если же несколько углубиться, стандарт требует прохождения порядка 440 проверочных процедур, которые должны дать положительный результат при проверке на соответствие требованиям.

3. Как можно подтвердить соответствие стандарту PCI DSS?

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или самооценки (SAQ) организации. Особенности каждого из них проиллюстрированы в таблице.
Таблица 2. Способы подтверждения соответствия стандарту PCI DSS
Внешний аудит QSA (Qualified Security Assessor)Внутренний аудит ISA
(Internal Security Assessor)
Самооценка SAQ
(Self Assessment Questionnaire)
Выполняется внешней аудиторской организациейQSA, сертифицированной Советом PCI SSС.Выполняется внутренним прошедшим обучение и сертифицированным по программе Совета PCI SSCаудитором.Может быть проведен только в случае, если первично соответствие было подтверждено QSA-аудитом.Выполняетсясамостоятельнопутём заполнения листа самооценки.
В результате проверки QSA-аудиторы собираютсвидетельства выполнениятребований стандарта и сохраняют их в течение трёх лёт.В результате проверки ISA-аудиторы, как и при внешнем аудите, собирают свидетельства выполнения требований стандарта и сохраняют их в течение трёх лёт.Сбор свидетельстввыполнения требований стандарта не требуется.
По результатам проведённого аудита подготавливается отчёт о соответствии — ROC(Report on Compliance).Самостоятельно заполняетсялист самооценкиSAQ.

4. В какой ситуации необходимо проводить внешний аудит, а в какой внутренний? Или же достаточно ограничиться самооценкой организации?

Ответы на эти вопросы зависят от типа организации и количества обрабатываемых транзакций в год. Нельзя руководствоваться случайным выбором, поскольку существуют документированные правила, регулирующие, какой способ подтверждения соответствия стандарту будет использовать организация. Все эти требования устанавливаются международными платёжными системами, наиболее популярными из них в России являются Visa и MasterCard. Даже существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия (мерчанты) и поставщики услуг.
Торгово-сервисное предприятие — это организация, принимающая платежные карты к оплате за товары и услуги (магазины, рестораны, интернет-магазины, автозаправочные станции и прочее).
Поставщик услуг - организация, оказывающая услуги в индустрии платежных карт, связанные с обработкой платежных транзакций (дата-центры, хостинг-провайдеры, платежные шлюзы, международные платежные системы и т. д.).
В зависимости от количества обрабатываемых в год транзакций, мерчанты и поставщики услуг могут быть отнесены к различным уровням.

Уровни

Допустим, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции. По классификации Visa и MasterCard (рис. 2) организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодная самооценка SAQ. В таком случае организации не нужно заниматься сбором свидетельств соответствия, поскольку для текущего уровня в этом нет необходимости. Отчётным документом будет выступать заполненный лист самооценки SAQ.
ASV-сканирование (Approved Scanning Vendor) — автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет с целью выявления уязвимостей. Согласно требованиям стандарта PCI DSS, такую процедуру следует выполнять ежеквартально.
Или же рассмотрим пример с поставщиком облачных услуг, который обрабатывает более 300 тысяч транзакций в год. Согласно установленной классификации Visa или MasterCard, поставщик услуг будет относиться к уровню 1. А значит, как указано на рисунке 2, необходимо проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV, а также внешнего ежегодного QSA аудита.
Стоит отметить, что банк, участвующий в процессе приёма платёжных карт к оплате за товары или услуги, так называемый банк-эквайер, а также международные платежные системы (МПС) могут переопределить уровень подключённого к ним торгово-сервисного предприятия или используемого поставщика услуг согласно своей собственной оценке рисков. Присвоенный уровень будет иметь приоритет перед классификацией международной платёжной системы, указанной на рисунке 2.

Классификация уровней и требования подтверждения соответствия стандарту PCI DSS
Рисунок 2. Классификация уровней и требования подтверждения соответствия стандарту PCI DSS


За материалы спасибо компании ИТ-Град

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...