17 декабря 2020

Как облако с PCI DSS-сертификацией обеспечивает безопасность платежей

Обеспечение безопасности банковских транзакций в Сети – комплексный процесс. Одна из его главных составляющих заключается в обеспечении соответствия инфраструктуры, ИТ-платформ и бизнес-процессов всех участников, обеспечивающих проведение платежной цепочки, требованиям отраслевого стандарта сертификации PCIDSS. Облачные провайдеры занимают в работе платежной отрасли в Сети значимое место и также должны выполнять комплекс требований стандарта.

Почему облаку важно соответствовать стандартам PCI?

Облачные провайдеры обычно сами по себе не оказывают платежные услуги. Провайдер может лишь предоставить ресурсы в аренду организации, осуществляющей обработку платежных карт. Следовательно, провайдеры самостоятельно не передают, не обрабатывают и не хранят данные о держателях карт (CHD) или конфиденциальные данные аутентификации (SAD) при транзакциях.

Однако многие клиенты крупного облачного провайдера оказывают платежные услуги населению или бизнесу. Например, это могут быть банки, ретейлеры, e-commerce – компании, которые размещают свои системы в инфраструктуре провайдера.

В этом случае обязанности по защите платежных данных разделяются между провайдером и клиентов, но и провайдер, и клиент в этом случае обязаны соответствовать требованиям PCI DSS в том объеме, в котором это определено договором между этими сторонами. Таким образом, совместными усилиями и провайдера, и клиента достигается соответствие всем требованиям PCI DSS, и это бремя не ложится лишь на одного клиента.

Что такое PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) – ключевой стандарт безопасности данных для банковских платёжных карт. Разработан он Советом по стандартам безопасности отрасли (Payment Card Industry Security Standards Council, PCI SSC), а в его создании принимали участие все главные международные платёжные системы - Visa, MasterCard, American Express, JCB и Discover.

На сегодня PCI DSS существует в версии 3.2.1 и представляет собой 12 подробных технических и организационных требований, выполнение которых обеспечивает безопасную обработку данных о держателях платёжных карт, а также их передачу и хранение в ИТ-системах различных организаций в рамках их бизнес-процессов.

Требования стандарта направлены на защиту информации, утечка или несанкционированный доступ к которой может привести к потере конфиденциальности и, как следствие, денежных средств физлиц и/или учреждений.

Получение сертификата подтверждает высокий уровень безопасности и надежности ИТ-сервисов компании и свидетельствует о комплексном подходе к обеспечению информационной безопасности карточных данных.

Тонкости и нюансы

По большому счету, под требования PCI DSS подпадают любые компании и организации, которые обрабатывают, передают или хранят данных карт различных платежных систем.

На практике это означает, что любой платежный оператор и другие юрлица, принимающие платежи от клиентов с платежных карт всех крупнейших систем, должны соблюдать PCI DSS или обеспечить соблюдение требований лицами, участвующими в обработке платежных данных. Например, провайдером ИТ-инфраструктуры, берущим часть обязанностей по соблюдению PCI DSS в свою зону ответственности.

Зона ответственности – это та часть ИТ-инфраструктуры, функционирование которой обеспечивает та или иная сторона. Например, облачный провайдер не имеет доступа к содержимому виртуальных машин клиента. Как правило, клиент самостоятельно работает в своем виртуальном окружении (создает ВМ, устанавливает операционные системы и приложения).

Провайдер предоставляет защищенную платформу до уровня гипервизора. Таким образом, защита данных, начиная с физической безопасности и заканчивая уровнем гипервизора, является зоной ответственности провайдера облачных услуг, а все компоненты выше уровня гипервизора – зона ответственности клиента. Таким образом, часть требований обеспечивается силами провайдера, часть совместно провайдером и клиентом, а часть – только клиентом.

В стандарте прописаны различные требования к безопасности, которые подразумевают различные уровни соответствия, для торгово-сервисных предприятий (ТСП) и поставщиков ИТ-услуг.

Для ТСП уровни зависят от количества обрабатываемых транзакций в год – например Уровень 1 по Visa и по MasterCard – это ТСП с 6 млн и более таких операций.

Поставщиками услуг по PCI DSS являются организации, предоставляющие различные ИТ-сервисы ТСП, банкам-эквайерам и эмитентам, а также международным платежным системам с получением непосредственного доступа к данным о держателях карт.

Под это определение подпадают процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования "точка-точка" (P2PE).

Сертификат и мы

Для соответствия стандарту PCI DSS необходимо либо пройти независимый QSA-аудит, либо заполнить лист самооценки SAQ.

Сертификация по высшим уровням соответствия может проводиться только аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным.

В соответствии с требованиями стандарта и платежных систем оцениваются системы защиты информации ТСП и провайдеров ИТ-услуг на физическом и прикладном уровне, на уровне сетевой инфраструктуры, управления доступом к данным, включая все механизмы аутентификации, протоколирование событий и действий, контроль защищенности информационной инфраструктуры и многое другое.

Ранее инфраструктура ЦОДов Linxdatacenter в Москве и Санкт-Петербурге, включая помещения машинных залов, системы управления доступом и видеонаблюдения, уже прошла QSA на соответствие стандарту PCI DSS.

Это означало, что мы создавали адекватные стандарту условия для размещения клиентского оборудования и его дальнейшей эксплуатации, включая задачи обработки платежей.

В результате последнего QSA в перечень решений компании, полностью отвечающих требованиям стандарта, вошла и наша собственная облачная платформа.

Аудит, проведенный компанией Compliance Control Ltd, носил по-настоящему комплексный характер и позволил получить сквозную оценку физической, виртуальной и сетевой инфраструктуры Linxdatacenter, программного обеспечения и систем безопасности.

Независимые эксперты исследовали организационные и технические меры защиты, реализуемые в рамках облачных сервисов и услуг по размещению оборудования, а также всю сопутствующую документацию.

Процесс сертификации проходил в два этапа. На первом этапе эксперты провели анализ и систематизацию описания систем безопасности ЦОД, анализ нормативно-распорядительной документации, анализ топологии сети и программных и аппаратных средств, а также другие действия в соответствии с методологией. Второй этап включал в себя сертификационный аудит и подготовку отчетной документации.

Итоги PCI DSS-аудита

Аудит подтвердил способность Linxdatacenter обеспечить безопасную поддержку виртуальной инфраструктуры, изоляцию клиентских систем и физическую безопасность облачных сервисов и услуг по размещению оборудования в ЦОДах на площадках в Санкт-Петербурге и Москве.

Аудит также показал, что безопасность в Linxdatacenter обеспечивается по всем необходимым направлениям: физическая безопасность, управление инцидентами, управление информационными системами, обеспечение безопасности при внедрении, администрирование виртуальных инфраструктур, в том числе систем виртуализации VMware, администрирование сетевой инфраструктуры, администрирование и сопровождение средств защиты.

Подтверждение высокой степени защищенности облачных продуктов в области поддержки платежных операций – это непростая и затратная процедура для ИТ-провайдера. Однако получение этой сертификации – своеобразный знак качества и ответ на запросы крупного бизнеса, который вынужден постоянно повышать безопасность данных своих потребителей – особенно в сверхчувствительной сфере платежных операций.

Автор: Ге­ор­гий Бе­ляков, ме­нед­жер по ин­форма­ци­он­ной бе­зопас­ности Linxdatacenter
Источник: Comnews

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend