Каждые 39 секунд в мире происходит одна хакерская атака. По данным исследований за 2020–2022 годы, количество утечек платежных данных в мире продолжает расти. В 2020 году было зарегистрировано более 1000 инцидентов, в 2021 году это число увеличилось на 25%, а в 2022 году на 10%. Чтобы защитить инфраструктуру компаний и данные клиентов, разработаны и постоянно совершенствуются мировые стандарты. Например, PCI DSS. Что это за документ, кому нужно соответствовать его требованиям и какие преимущества это дает, рассказал руководитель направления защищенных сервисов hoster.by Егор Сапун.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности платежных систем. Если проще, это список требований к сервисам, которые хранят и обрабатывают данные банковских карт: номер, срок действия, CVV-код и другие. Документ создали крупнейшие платежные системы Visa, Master Card, American Express, JCB и Discover 20 лет назад.
Ни в одном законе ни одной страны вы не найдете требования проходить сертификацию по стандарту. Дело в том, что контролем занимается специальный международный орган — Совет PCI DSS. Он назначает санкции и штрафы в случае утечек платежных данных, а еще регулярно улучшает и обновляет стандарт. Поэтому проходить сертификацию нужно каждый год.
Кому нужен сертификат PCI DSS?
Все организации, которые хранят или передают данные хотя бы одной банковской карты и хотят работать с международными платежными системами, должны следовать этому стандарту. Делать это нужно:
- сервисам для приема онлайн-платежей по пластиковым картам;
- банкам и финансовым организациям;
- приложениям, которые работают с данными держателей карт;
- крупным интернет-магазинам;
- платежным сервисам.
Какие требования у PCI DSS?
Стандарт охватывает все аспекты защиты данных: от надежных паролей в аккаунтах администраторов до создания безопасных систем и приложений. Всего в PCI DSS около 250 требований. Они включают организационно-правовые и технические меры защиты информации.
К первой группе относятся политики, регламенты и инструкции по информационной безопасности. Для сертификации по стандарту нужно не только составить документацию, но и ознакомить с ней работников, внедрить процессы и контролировать, чтобы они выполнялись. Таких инструкций могут быть десятки и даже сотни в зависимости от особенностей компании. Сотрудники должны знать свои зоны ответственности, что и как делать ежедневно и в случае инцидентов информационной безопасности. Также нужно ограничить доступ к платежным данным: его должны иметь только сотрудники, которые непосредственно работают с данными карт.
Технические меры включают все, что касается защиты информации на сетевом и программном уровнях: от шифрования данных до дублирования серверов и систем. Для построения защищенной инфраструктуры нужно закупить дорогой софт и оборудование, а еще нанять работников, которые будут его обслуживать. На то, чтобы найти подходящие решения и специалистов, может уйти несколько месяцев. Кроме того, следует регулярно обновлять программы и менять пароли, а также периодически проверять системы и процессы обеспечения безопасности на уязвимости и своевременно их устранять. И все это — лишь вершина айсберга требований PCI DSS.
Зачем выполнять требования PCI DSS?
В первую очередь сертификация по PCI DSS нужна, чтобы компания могла проводить международные транзакции и снизила риск утечки платежных данных, а значит репутационных и финансовых потерь. Ведь в случае инцидента компании придется не только заплатить штраф, но и возместить клиентам убытки. Но сертификат PCI DSS дает бизнесу и менее очевидные преимущества:
- Имидж безопасной компании. В момент платежа клиент видит, что компания сертифицирована по международному стандарту, а значит деньги попадут в нужные руки, а его платежные данные надежно защищены.
- Повышение конверсии. Клиент может совершить онлайн-платеж прямо на вашем сайте, не переходя в другие сервисы. А чем меньше шагов нужно для целевого действия, тем выше конверсия.
- Улучшение управления информацией. Сотрудники организаций, которые соответствуют стандарту, отлично знают, какие данные у них есть и как они хранятся, обрабатываются и передаются. Это помогает принимать более обоснованные решения.
- Повышение эффективности компании. Это происходит благодаря тому, что стандарты включают в себя рекомендации по оптимизации бизнес-процессов, что может ускорить выполнение задач и повысить качество работы.
- Расширение возможностей сотрудничества. Некоторые крупные компании и государственные учреждения работают только с организациями с сертификатом PCI DSS. Пройдя сертификацию, бизнес открывает для себя новых потенциальных партнеров.
Как проходит сертификация?
Процесс включает четыре этапа: разработку документации, построение защищенной инфраструктуры, тестирование и финальную независимую проверку. Первым делом нужно продумать политику информационной безопасности, написать ее и ознакомить с ней всех сотрудников, вовлеченных в работу с данными держателей карт. Дальше самый трудоемкий и затратный шаг — построение защищенной инфраструктуры. Для этого следует изолировать блок инфраструктуры, который вы будете сертифицировать, от других сетей организации. А затем к нему нужно применить все технические требования стандарта. Когда вы подготовите документацию и инфраструктуру, можно приступать к их тестированию. Команда сторонних аудиторов проверит инфраструктуру на уязвимости, чтобы вы могли устранить их перед финальной проверкой. После вы снова должны пригласить аудиторов. На этот раз они будут оценивать не только надежность инфраструктуры, но и документацию и знания сотрудников.
Как упростить процесс сертификации?
Как видим, самостоятельно пройти сертификацию PCI DSS может быть непросто, долго и затратно. Но есть два альтернативных варианта — обратиться к поставщику платежных услуг или к хостинг-провайдеру.
Платежный шлюз — это посредник между продавцом, банком и клиентом, который безопасно обрабатывает данные банковских карт и сам отвечает за сертификацию PCI DSS. Клиентам платежных шлюзов не нужно проходить аудит. Достаточно следить, чтобы это ежегодно делал поставщик. Однако использование платежного шлюза требует дополнительных затрат на его аренду и обслуживание.
С другой стороны, самостоятельная сертификация дает свои плюсы. Например, компания сама контролирует обработку и хранение данных. А значит, чуть что вы сможете понять, почему не прошла транзакция, и исправить баг. Платежные шлюзы не дают клиентам такую информацию. Также можно настроить обработку платежей под себя, чтобы ускорить их и упростить работу сотрудникам. А еще клиенты будут воспринимать организацию, которая сама сертифицировалась, как более ответственную и заботливую.
Другая альтернатива самостоятельной сертификации — перенести инфраструктуру на сертифицированный по PCI DSS хостинг. В конце 2022 года hoster.by в очередной раз подтвердил высокий уровень безопасности, который он обеспечивает. Это позволяет предоставлять облачные сервисы клиентам, работающим с данными держателей карт напрямую. Проще говоря, вы можете легко и быстро закрыть 70% требований стандарта. Провайдер возьмет на себя всю ответственность за защиту сети, данных и контроль физического доступа к информации. Вам останется только обеспечить организационно-правовые меры защиты информации.
При этом вы получите те же преимущества, что и при самостоятельной сертификации, а еще сэкономите время и деньги. Не нужно покупать дорогое оборудование и программное обеспечение и нанимать специалистов для его поддержки. Все это уже есть у провайдера. Вы переводите капитальные затраты на защиту информации в «колонку» операционных и можете перенести свой проект на инфраструктуру провайдера всего за день. Еще одно преимущество такого решения — опыт технических специалистов хостинг-провайдера. Они уже сертифицировали собственную инфраструктуру и помогут вам получить собственный сертификат с наименьшим количеством препятствий.
Выбирать способ сертификации стоит по своим возможностям. Крупный бизнес с сильными техническими ресурсами и опытом работы в сфере кибербезопасности может сертифицироваться сам или сделать это через хостинг-провайдера и значительно упростить запуск и обслуживание проекта. Маленьким компаниям без опыта проще воспользоваться услугами платежного шлюза.
Подведем итоги. Соответствовать требованиям PCI DSS нужно всем компаниям, которые хранят и обрабатывают данные держателей банковских карт. Сертификация по PCI DSS помогает не только защититься от взломов и утечек платежных данных, но и повысить эффективность и репутацию бизнеса. Это хороший способ для бизнеса стать более конкурентоспособным и привлекательным для клиентов и партнеров. А сэкономить время и средства на этот процесс может помочь хостинг-провайдер.
*Партнерский материал. ООО «Надежные программы», УНП 100160363