Сертификация по PCI DSS

PCI DSS
В своей работе мы уделяем огромное внимание вопросам информационной безопасности. Публикации по соответствующей тематике уже неоднократно появлялись в нашем блоге (см., например, здесь; отдельные аспекты затронуты также здесь).
Совсем недавно произошло ещё одно важное событие: мы получили сертификат соответствия требованиям стандарта PCI DSS v3.0.
Это несомненно должно заинтересовать клиентов, чья деятельность так или иначе связана с электронными платёжными системами и банковскими картами: представителей финансового и банковского сектора, интернет-магазины и других.

В этой статье мы подробно расскажем о том, что представляет собой PCI DSS и какие преимущества даст прохождение сертификации нашим клиентам и партнёрам.

PCI DSS: общие сведения

Аббревиатура PCI DSS означает Payment Card Data Security Standard — стандарт безопасности данных индустрии платёжных карт. Стандарт PCI DSS представляет собой документ, определяющий требования к поставщикам услуг и торгово-сервисным предприятиям по обеспечению безопасности обращения карт. Первая версия стандарта появилась в январе 2005 года. На сегодняшний день актуальной является третья версия стандарта (полный текст см. на английском языке см. здесь, на русском языке — здесь) Она содержит 241 требование, распределенные по 12 разделам:

  1. Защита вычислительной сети.
  2. Конфигурация компонентов информационной инфраструктуры.
  3. Защита хранимых данных о держателях карт.
  4. Защита передаваемых по сети данных о держателях карт.
  5. Антивирусная защита информационной инфраструктуры.
  6. Разработка и поддержка информационных систем.
  7. Управление доступом к данным о держателях карт.
  8. Механизмы аутентификации.
  9. Физическая защита информационной инфраструктуры.
  10. Протоколирование событий и действий.
  11. Контроль защищённости информационной инфраструктуры.
  12. Управление информационной безопасностью.

Вопросами внедрения и применения стандарта PCI DSS занимается специальная организация — PCI SSC (Payment Card Industry Security Standards Council, Совет по стандартам безопасности индустрии платежных карт). Совет был создан в 2006 году коллективным решением пятью крупными платёжными системами — Visa, MasterCard, American Express, JCB и Discover.

Советом PCI SSC разработаны также следующие документы:

  • стандарт PCI PA DSS (Payment Card Industry Payment Application Data Security Standard, стандарт безопасности данных в приложениях индустрии платёжных карт) —определяет требования к приложениям, обрабатывающим персональные данные владельцев карт, а также к процессу их разработки;
  • руководства PCI PTS (Payment Card Industry PIN Transaction Security) — содержат требования к устройствам, обрабатывающим PIN-коды платёжных карт (POS-терминалам, шифрующим PIN-клавиатурам, аппаратным модулям безопасности).

Стандарт PCI DSS предназначен для организаций, в информационной инфраструктуре которых обрабатываются или передаются данные платёжных карт. Его область применения включает также организации, в бизнес-процессах которых задействованы персональные данные владельцев карт. К таким организациям относятся и дата-центры, в которых может быть размещено оборудование платёжных систем, предприятий электронной коммерции и т.п.

Внедрение PCI DSS: основные этапы

Согласно официальным документами, процесс внедрения PCI DSS подразделяется на следующие этапы:

  • анализ исходного уровня соотвестствия;
  • приведение к требуемому уровню соответствия;
  • подтверждение соответствия;
  • поддержка соответствия.

Рассмотрим процесс внедрения PCI DSS более подробно. Для оценки соответствия выполняется аудит. Его проводит сторонняя организация, имеющая специальную сертификацию от PCI SSC. Мы в качестве аудитора привлекатели немецкую компанию SRC Security Research and Consulting GmbH.
Процедура аудита включает интервью с сотрудниками организации-заказчика, изучение информационных систем, а также изучение и анализ внутренней нормативной документации. Результатом этого этапа является определение сферы применимости требований PCI DSS в информационной инфраструктуре заказчика.
После того, как определена сфера применимости и собрана вся необходимая информация, разрабатываются рекомендации по внедрению PCI DSS.
На основе этих рекомендаций вносятся конкретные изменения в информационную инфраструктуру: модернизируется оборудование, дорабатывается программное обеспечение, внедряются системы защиты информации, разрабатывается необходимая документация.

На следующем этапе проводится специализированный аудит. В случае успешного прохождения аудита составляется Отчёт о соответствии (англ. Report on Compliance). Организация-заказчик заполняет также лист самооценки (Self-Assessment Questionnaire, SAQ). Форма этого документа зависит от специфики обработки карточных данных в организации.

Получением необходимых документов процесс сертификации не заканчивается. Соответствие необходимо регулярно подтверждать. Поставщикам услуг (к ним относятся и дата-центры) необходимо ежегодно заполнять лист самооценки, а также раз в квартал проводить так называемое ASV-сканирование — автоматизированную проверку всех точек подключения информационной структуры к Интернету на наличие уязвимостей.

PCI DSS: что сделано у нас

Наши дата-центры сертифицированы на уровне обеспечения физической безопасности. Таким образом, в рамках сертификата PCI DSS нами выполняются требования разделов 9, 11 (частично) и 12. Рассмотрим эти требования более подробно.

Раздел 9: физическая защита информационной инфраструктуры

Охрана наших дата-центров осуществляются в режиме 24/7/365. Все дата-центры оснащены системами защиты от несанкционированного доступа как в периметр здания, так и в серверные помещения. На входе имеется пост вооружённой охраны. Для исключительных случаев предусмотрена и кнопка тревожной сигнализации.

Стандарт PCI DSS предполагает также строгий контроль доступа в помещения. Как для сотрудников, так и для сторонних посетителей проход на территорию дата-центра возможен только с использованием магнитных карт. Доступ сотрудников в дата-центр осуществляется по магнитным картам, выдаваемых под контролем службы безопасности. Представители сторонних организаций могут посетить дата-центр по предварительной договорённости с предъявлением удостоверения личности.
По особым регламентам организован доступ в дата-центры клиентов (тех, кто размещает у нас своё оборудование) и подрядчиков (представителей обслуживающих организаций, проводящих работы на нашей территории). Вопросам идентификации посетителей мы также уделяем большое внимание: так, у нас уже используются пропуски-бэджи для постоянных сотрудников, клиентов и гостей.
Данные обо всех посетителях записываются в журнал и хранятся в течение не менее чем полгода.

На территории всех дата-центров ведётся круглосуточное видеонаблюдение. Видеокамеры установлены во всех серверных, технических и офисных помещениях. Анализ видеозаписей со всех камер осуществляют сотрудники, прошедшие обучение по информационной безопасности.
Согласно нашим внутренним регламентам, данные с видеокамер хранятся в течение 6 месяцев.

Раздел 11: контроль защищённости информационной инфраструктуры

Обработка электронных платёжных транзакций, а также персональных данных держателей карт должны осуществляться на базе защищённой информационной инфраструктуры.
Требования одиннадцатого раздела мы выполняем лишь частично, но реализованных у нас мер вполне достаточно, чтобы обеспечить надёжную защиту персональных данных держателей карт и миниммизировать их уязвимость во время передачи по сети.

Мы проводим регулярное сканирование сети на предмет наличия неавторизованных точек доступа. Процедуру сканирования мы осуществляем полностью самостоятельно, без привлечения специалистов со стороны.

Раздел 12: управление информационной безопасностью

Политикой информационной безопасности (далее для удобства мы будем использовать аббревиатуру ИБ) называется совокупность правил, процедур, методов и принципов в области ИБ, используемых организацией в своей деятельности.
В нашей компании разработан и внедрён весь необходимый набор документации по обеспечению ИБ, который поддерживается в актуальном состоянии.

Заключение

Получение нами сертификата cоответствия стандарту PCI DSS в очередной раз подтверждает, что мы стремимся поддерживать высокий уровень безопасности для клиентов.
Арендуя или размещая оборудование в сертифицированном дата-центре, пользователи наших услуг получат не только гарантии безопасности, но и дополнительные репутационные преимущества, заключающиеся в повышении доверия со стороны клиентов, партнёров и контрагентов.

Обеспечение полного соответствия требованиям PCI DSS — работа очень долгая и сложная, и нам предстоит ещё много сделать в этом направлении. О наиболее значимых результатах мы обязательно расскажем в нашем блоге.