Pēdējā laikā Visa un MasterCard arvien vairāk pieprasa PCI DSS standarta ievērošanu no maksājumu vārtejām, ar tiem pieslēgtajiem tirgotājiem, kā arī no pakalpojumu sniedzējiem, kas var ietekmēt karšu datu drošību. Šajā sakarā jautājums par atbilstību PCI DSS standarta prasībām kļūst aktuāls ne tikai lielajiem maksājumu karšu nozares spēlētājiem, bet arī mazajiem komersantiem. Šajā rakstā mēs atbildēsim uz galvenajiem jautājumiem, kas attiecas uz organizācijām, kuras saskaras ar sertifikācijas uzdevumu saskaņā ar PCI DSS standartu.
PCI DSS FAQ tiem, kurus interesē sertifikācija
# Uz ko attiecas PCI DSS?
Pirmkārt, standarts nosaka prasības organizācijām, kuru informācijas infrastruktūra glabā, apstrādā vai pārraida maksājumu karšu datus, kā arī organizācijām, kas var ietekmēt šo datu drošību. Standarta mērķis ir diezgan acīmredzams - nodrošināt maksājumu karšu aprites drošību. Kopš 2012. gada vidus visām organizācijām, kas iesaistītas WPC glabāšanas, apstrādes un nodošanas procesā, ir jāievēro PCI DSS prasības, un uzņēmumiem, kas atrodas teritorijā Krievijas Federācija nav izņēmums.
Lai saprastu, vai uz jūsu organizāciju attiecas obligāta PCI DSS atbilstība, iesakām izmantot vienkāršu blokshēmu.
1. attēls. PCI DSS atbilstības nepieciešamības noteikšana
Pirmais solis ir atbildēt uz diviem jautājumiem:
- Vai maksājumu karšu dati tiek glabāti, apstrādāti vai pārsūtīti jūsu organizācijā?
- Vai jūsu organizācijas biznesa procesi var tieši ietekmēt maksājumu karšu datu drošību?
# Kādas ir PCI DSS prasības?
Lai atbilstu standartam, ir jāizpilda prasības, kuras ir vispārīgi runājot ir attēlotas divpadsmit sadaļās, kas parādītas tabulā zemāk.
1. tabula. Augstākā līmeņa PCI DSS prasības
Ja iedziļināties nedaudz, standarts prasa iziet aptuveni 440 verifikācijas procedūras, kurām vajadzētu dot pozitīvu rezultātu, pārbaudot atbilstību prasībām.# Kā es varu pārbaudīt PCI DSS atbilstību?
Ir dažādi veidi, kā pārbaudīt atbilstību PCI DSS standarta prasībām, kas sastāv no vadīšanas ārējais audits (QSA), iekšējais audits(ISA) vai organizācijas pašnovērtējums (SAQ). Katra no tām iezīmes ir ilustrētas tabulā.
2. tabula. PCI DSS atbilstības pārbaudes metodes
Ārējā audita QSA (kvalificēts drošības novērtētājs) | ISA iekšējais audits (Iekšējās drošības vērtētājs) | SAQ pašnovērtējums (Pašnovērtējuma anketa) |
| Izpildīts ārējā audita organizācija QSA sertificējusi PCI SCC padome. | Izpildīts iekšējais apmācīts un sertificēts PCI SSC padomes programmā auditors.Var veikt tikai tad, ja primāro atbilstību apstiprināja QSA audits. | Izpildīts paša spēkiem aizpildot pašnovērtējuma lapu. |
| Pārbaudes rezultātā QSA auditori savākt darbības pierādījumi | Pārbaudes rezultātā ISA auditori, tāpat kā ārējā auditā, savāc darbības pierādījumi standarta prasībām un glabā tās trīs gadus. | Pierādījumu vākšana atbilst standarta prasībām nav nepieciešams. |
| Pēc audita rezultātiem Tiek gatavots atbilstības ziņojums- ROC(Ziņojums par atbilstību). | Pašaizpildīts SAQ pašnovērtējuma lapa. |
# Kādā situācijā ir nepieciešams veikt ārējo auditu un kādā- interjers? Vai arī pietiek tikai ar organizācijas pašnovērtējumu?
Atbildes uz šiem jautājumiem ir atkarīgas no organizācijas veida un gadā apstrādāto darījumu skaita. Tā nedrīkst būt nejauša izvēle, jo ir dokumentēti noteikumi, kas nosaka veidu, kādā organizācija pārbaudīs atbilstību standartam. Visas šīs prasības nosaka starptautiskās maksājumu sistēmas, no kurām populārākās Krievijā ir Visa un MasterCard. Pastāv pat klasifikācija, pēc kuras izšķir divu veidu organizācijas: tirdzniecības un pakalpojumu uzņēmumi (komersanti) un pakalpojumu sniedzēji.
Atkarībā no gadā apstrādāto darījumu skaita tirgotājus un pakalpojumu sniedzējus var klasificēt dažādos līmeņos.
Pieņemsim, ka tirdzniecības un pakalpojumu uzņēmums, izmantojot e-komerciju, apstrādā līdz 1 miljonam darījumu gadā. Saskaņā ar Visa un MasterCard klasifikāciju (2. att.) organizācija tiks klasificēta kā 3. līmenis. Tāpēc, lai apstiprinātu atbilstību PCI DSS, ir nepieciešams reizi ceturksnī veikt informācijas infrastruktūras komponentu ASV ārējo ievainojamības skenēšanu (Approved Scanning). Pārdevējs) un ikgadēju SAQ pašnovērtējumu. Šajā gadījumā organizācijai nav jāvāc atbilstības pierādījumi, jo pašreizējam līmenim tas nav nepieciešams. Aizpildītā SAQ pašnovērtējuma lapa būs atskaites dokuments.
Vai arī apsveriet piemēru ar mākoņpakalpojumu sniedzēju, kas apstrādā vairāk nekā 300 000 darījumu gadā. Saskaņā ar noteikto Visa vai MasterCard klasifikāciju pakalpojumu sniedzējs tiks klasificēts kā 1. līmenis. Tas nozīmē, kā parādīts 2. attēlā, reizi ceturksnī ir jāveic ASV informācijas infrastruktūras komponentu ārējās ievainojamības skenēšana, kā arī ārējā ievainojamības pārbaude. ikgadējais QSA audits.
2. attēls. Līmeņu klasifikācija un prasības atbilstības PCI DSS standartam apstiprināšanai
# Vai viens ASV skenēšanas taimauts rada būtisku risku PCI DSS atbilstībai?Organizācijai, kas sasniedz PCI DSS statusu, regulāri jāatbilst vairākām prasībām, piemēram, reizi ceturksnī ASV skenēšanai. Sākotnējā audita laikā pietiek ar dokumentētu ASV-scan procedūru un vismaz vienas veiksmīgas tās izpildes rezultātiem pēdējo trīs mēnešu laikā. Visas turpmākās skenēšanas jāveic reizi ceturksnī, un tās ilgums nedrīkst pārsniegt trīs mēnešus.
Ārējās ievainojamību skenēšanas grafika pārkāpšana nozīmē papildu prasību uzlikšanu informācijas drošības pārvaldības sistēmai organizācijā. Pirmkārt, joprojām būs jāveic ASV ievainojamību skenēšana, lai iegūtu "zaļo" ziņojumu. Otrkārt, jums ir jāattīstās papildu procedūra kas novērsīs līdzīgus grafikas traucējumus nākotnē.
Beidzot
Galvenos secinājumus var izteikt citātā no Pētera Šapovalova, Deuterium LLC informācijas drošības inženiera:
| “Neskatoties uz to, ka Krievijas Federācijas teritorijā savs Nacionālā sistēma maksājumu kartes (NSPK), starptautisko maksājumu sistēmu prasības nav atceltas. Tieši otrādi, pēdējā laikā arvien biežāk tiek saņemtas Visa un MasterCard vēstules pieņēmējbankām, ka pēdējās pieprasa PCI DSS standarta ievērošanu no maksājumu vārtejām, ar tiem pieslēgtajiem tirgotājiem, kā arī no pakalpojumu sniedzējiem, kas var ietekmēt karšu drošību. dati. Šajā sakarā jautājums par atbilstību PCI DSS standarta prasībām kļūst aktuāls ne tikai lielajiem maksājumu karšu nozares spēlētājiem, bet arī mazajiem komersantiem. Attiecas uz Krievijas tirgus tagad tiek pārvaldīti pakalpojumi. Tas sastāv no tā, ka pakalpojumu sniedzējs klientiem nodrošina ne tikai aprīkojuma vai virtuālās informācijas infrastruktūras nomu, bet arī tās administrēšanas pakalpojumus atbilstoši PCI DSS standarta prasībām. Tas ir īpaši noderīgi maziem tirdzniecības un pakalpojumu uzņēmumiem, kuriem nav savu informācijas tehnoloģiju un informācijas drošības nodaļu. Vēršanās pie sertificētiem pakalpojumu sniedzējiem palīdz būtiski vienkāršot PCI DSS sertifikācijas procesu tirgotājiem un nodrošināt maksājumu karšu datu aizsardzību atbilstošā līmenī. |
Kā piemēru uzņēmumam, kas sniedz PCI DSS pārvaldītos pakalpojumus (ne tikai nomā PCI DSS infrastruktūru, bet arī administrē to atbilstoši standarta prasībām), varam minēt
Uzmanību!Šis raksts ir par PCI kopni un tās PCI64 un PCI-X atvasinājumiem! Nejauciet to ar jaunāku riepu ("PCI Express"), kas ir pilnībā nesaderīga ar šajā FAQ aprakstītajām riepām.
PCI 2.0- pirmā pamata standarta versija, kas tika plaši izmantota, tika izmantotas gan kartes, gan sloti ar signāla spriegumu tikai 5 V. PCI 2.1- no 2.0 atšķīrās ar iespēju vienlaikus darboties vairākām kopnes-masterierīcēm (tā sauktais konkurences režīms), kā arī ar universālu paplašināšanas karšu izskatu, kas spēj darboties gan 5V, gan 3,3V slotos. Iespēja strādāt ar 3.3V kartēm un atbilstošu elektropārvades līniju esamība versijā 2.1 bija pēc izvēles Parādījās PCI66 un PCI64 paplašinājumi.
PCI 2.2- pamata kopnes standarta versija, kas ļauj pieslēgt paplašināšanas kartes ar signāla spriegumu gan 5V, gan 3,3V. Šo standartu 32 bitu versijas bija visizplatītākais slotu veids FAQ rakstīšanas laikā. Tiek izmantoti 32 bitu, 5V tipa sloti.
Paplašināšanas kartēm, kas izgatavotas saskaņā ar šiem standartiem, ir universāls savienotājs, un tās var darboties gandrīz visās jaunākajās PCI kopņu slotu versijās, kā arī dažos gadījumos arī 2.1 slotos.
PCI 2.3- nākamā PCI kopnes kopējā standarta versija, paplašināšanas sloti, kas atbilst šim standartam, nav saderīgi ar PCI 5V kartēm, neskatoties uz to, ka tiek turpināti 32 bitu sloti ar 5 V atslēgu. Paplašināšanas kartēm ir universāls savienotājs, taču tās nevar darboties iepriekšējo versiju 5 V slotos (līdz 2.1 ieskaitot).
Atgādinām, ka barošanas spriegums (nevis signāls!) 5V tiek saglabāts absolūti visās PCI kopnes savienotāju versijās.
PCI 64- pamata PCI standarta paplašinājums, kas ieviests 2.1 versijā, dubultojot datu līniju skaitu un līdz ar to arī caurlaidspēju. PCI64 slots ir parastā PCI slota paplašināta versija. Formāli 32 bitu karšu saderība ar 64 bitu slotiem (ja ir vispārējs atbalstītais signāla spriegums) ir pilnīga, un 64 bitu karšu saderība ar 32 bitu slotiem ir ierobežota (jebkurā gadījumā, būs veiktspējas zudums), precīzus datus katrā konkrētajā gadījumā var atrast ierīces specifikācijās.
Pirmajās PCI64 versijās (atvasinātas no PCI 2.1) tika izmantots 64 bitu 5 V PCI slots un 33 MHz.
PCI 66- PCI standarta paplašinājums, kas parādījās versijā 2.1 ar atbalstu 66 MHz takts frekvencei, kā arī PCI64, ļauj dubultot joslas platumu. Sākot ar versiju 2.2, tajā tiek izmantoti 3,3 V sloti (32 bitu versija gandrīz nekad nav atrodama datorā), kartēm ir universāls vai 3,3 V formas faktors. (Bija arī risinājumi, kas balstīti uz versiju 2.1, kas ir nejauši reti PC 5V 66MHz tirgū, šādi sloti un plates bija savietojami tikai viens ar otru)
PCI 64/66- Iepriekš minēto divu tehnoloģiju kombinācija var četrkāršot datu pārsūtīšanas ātrumu, salīdzinot ar pamata PCI standartu, un izmanto 64 bitu 3,3 V slotus, kas ir saderīgi tikai ar universālajām un 3,3 V 32 bitu paplašināšanas kartēm. PCI64/66 kartēm ir universāls (ar ierobežotu savietojamību ar 32 bitu slotiem) vai 3,3 V formas faktors (pēdējā iespēja būtībā nav saderīga ar populāru standartu 32 bitu 33 MHz slotiem)
Šobrīd termins PCI64 nozīmē tieši PCI64/66, jo 33MHz 5V 64 bitu sloti jau sen nav izmantoti.
PCI-X 1.0- PCI64 paplašināšana, pievienojot divas jaunas darbības frekvences, 100 un 133 MHz, kā arī atsevišķu transakciju mehānismu, lai uzlabotu veiktspēju, vienlaikus darbinot vairākas ierīces. Parasti saderīgs ar visām 3,3 V un universālajām PCI kartēm.
PCI-X kartes parasti tiek izgatavotas 64 bitu 3.3 formātā, un tām ir ierobežota atpakaļsaderība ar PCI64/66 slotiem, un dažas PCI-X kartes ir universālā formātā un var darboties (lai gan tam gandrīz nav praktiskas vērtības) parastajā PCI. 2.2 /2.3.
Sarežģītos gadījumos, lai būtu pilnībā pārliecināts par jūsu izvēlētās mātesplates un paplašināšanas kartes kombinācijas veiktspēju, gadījumā jums ir jāiepazīstas ar abu ierīču ražotāju saderības sarakstiem.
PCI-X 2.0- turpmāka PCI-X 1.0 iespēju paplašināšana, pievienoti ātrumi 266 un 533 MHz, kā arī paritātes kļūdu korekcija datu pārraides laikā.(ECC). Tas ļauj sadalīt 4 neatkarīgās 16 bitu kopnēs, kuras tiek izmantotas tikai iegultās un industriālās sistēmās, signāla spriegums tiek samazināts līdz 1,5 V, bet savienotāji ir atgriezeniski savietojami ar visām kartēm, kas izmanto 3,3 V signāla spriegumu.
PCI-X 1066/PCI-X 2133- plānotās PCI-X kopnes nākotnes versijas ar darba frekvencēm attiecīgi 1066 un 2133 MHz, kas sākotnēji bija paredzētas 10 un 40 Gbit Ethernet adapteru pievienošanai.
Visiem PCI-X kopnes variantiem ir šādi ierobežojumi katrai kopnei pievienoto ierīču skaitam:
66MHz - 4
100 MHz - 2
133MHz - 1 (2, ja viena vai abas ierīces nav uz paplašināšanas plates, bet jau ir integrētas vienā platē kopā ar kontrolieri)
266,533 MHz un vairāk -1.
Tieši tāpēc dažās situācijās, lai nodrošinātu vairāku uzstādīto ierīču stabilitāti, ir jāierobežo izmantotās PCI-X kopnes maksimālā frekvence (parasti to dara džemperi)
CompactPCI- standarts savienotājiem un paplašināšanas kartēm, ko izmanto rūpnieciskajos un iegultajos datoros. Mehāniski nav savietojams ne ar vienu no "parastajiem" standartiem.
MiniPCI- standarts dēļiem un savienotājiem integrēšanai klēpjdatoros (parasti izmanto bezvadu tīkla adapteriem) un tieši uz virsmas. Tas ir arī mehāniski nesaderīgs ar neko citu, izņemot sevi.
PCI paplašināšanas karšu veidi:
Karšu un slotu konstrukciju kopsavilkuma tabula atkarībā no standarta versijas:
Karšu un slotu saderības kopsavilkuma tabula atkarībā no versijas un dizaina:
| Kartes | ||||||||
| Slots | PCI 2.0/2.1 5B | PCI 2.1 vispārējs | PCI 2.2/2.3 universāls | PCI64/5B (33MHz) |
PCI64/universāls | PCI64/3.3B | PCI-X/3.3B | PCI-X universāls |
| PCI 2.0 | Saderīgs | Saderīgs | Nesaderīgs | Ierobežota saderība ar veiktspējas zudumu | Nesaderīgs | |||
| PCI 2.1 | Saderīgs | Saderīgs | Ierobežota saderība | Ierobežota saderība ar veiktspējas zudumu | Ierobežota saderība ar veiktspējas zudumu | Nesaderīgs | ||
| PCI 2.2 | Saderīgs | Ierobežota saderība ar veiktspējas zudumu | Ierobežota saderība ar veiktspējas zudumu | Nesaderīgs | Nesaderīgs | Ierobežota saderība ar veiktspējas zudumu | ||
| PCI 2.3 | Nesaderīgs | Ierobežota saderība | Saderīgs | Nesaderīgs | Ierobežota saderība ar veiktspējas zudumu | Nesaderīgs | Nesaderīgs | Ierobežota saderība ar veiktspējas zudumu |
| PCIB 64/5B (33MHz) |
Saderīgs | Saderīgs | Ierobežota saderība | Saderīgs | Ierobežota saderība ar veiktspējas zudumu | Nesaderīgs | Nesaderīgs | Ierobežota saderība ar veiktspējas zudumu |
| PCI64/3.3B | Nesaderīgs | Ierobežota saderība | Saderīgs | Nesaderīgs | Saderīgs | Saderīgs | Ierobežota saderība ar veiktspējas zudumu | Ierobežota saderība ar veiktspējas zudumu |
| PCI-X | Nesaderīgs | Ierobežota saderība | Saderīgs | Nesaderīgs | Saderīgs | |||
Maksājumu karšu nozares datu drošības standarts (PCI DSS) ir maksājumu karšu nozares datu drošības standarts, ko izstrādājusi Maksājumu karšu nozares drošības standartu padome (PCI SSC), ko izveidojušas starptautiskās maksājumu sistēmas Visa, MasterCard, American Express, JCB un Discover.
PCI DSS prasības ir obligātas jebkuram uzņēmumam, kas strādā ar lielākajām maksājumu sistēmām. Tie garantē aizsardzību pret klientu informācijas zādzībām un citiem krāpnieciskiem darījumiem. Sertifikācijas ietvaros veiktā infrastruktūras analīze atspoguļo sistēmas procesu aizsardzības pakāpi, kurā tiek glabāta, apstrādāta un pārraidīta informācija par karšu īpašniekiem.
PCI DSS VERSIJA 3.2, 2018. gads
Maksims Sapronovs, Avito CTO: “Avito ir viens no lielākajiem IT uzņēmumiem, mūsu darbība ir saistīta ar lielu datu apjomu uzglabāšanu un apstrādi. Mēs cenšamies saviem klientiem nodrošināt nepārtrauktu augsta līmeņa servisu, kam nepieciešama kvalitatīva IT infrastruktūra. Avito jau vairākus gadus izvieto savu aprīkojumu DataSpace datu centrā, esam pārliecināti par tā uzticamību, izcilu tehnisko aprīkojumu un, galvenais, drošību. Veiksmīga sertifikācija par atbilstību datu drošības standartam vēlreiz uzsver centra augsto kvalifikāciju un apliecina mūsu pareizā izvēle DataSpace kā uzticams partneris.
PCI DSS VERSIJA 3.1
Arsens Kondakhchans, BPC Banking Technologies IT nodaļas vadītājs, atzīmēja: "Mums kā apstrādes centram šī sertifikācija ir ļoti svarīga, jo tā vienkāršo mūsu pašu sertifikāciju, kā arī apliecina, ka DataSpace ir nopietns un atbildīgs partneris, kas domā par klientu vajadzībām."
Draugi, mēs paplašinām sniegto pakalpojumu klāstu un drīzumā papildināsim mūsu vietni ar iespēju pasūtīt pakalpojumus vietņu skenēšanai pēc ļaunprātīga koda (ASV skenēšana), ko pieprasa PCI DSS sertifikācija. Šajā sakarā sākam jaunu publikāciju sadaļu saistībā ar datu drošības standartiem un prasībām. Un vispirms mēs vēlamies runāt par PCI DSS sertifikāciju. Maksājuma izmantošana ar kredītu un debetkartes paredz iespējamu maksājumu karšu datu pārsūtīšanu, uzglabāšanu un apstrādi, kas palielina kibernoziegumu risku. Šajā sakarā MasterCard, Visa, American Express un citas maksājumu sistēmas izvirza noteiktas drošības prasības tirgotājiem un pakalpojumu sniedzējiem, kas strādā ar maksājumu karšu datiem. Šīs prasības ir aprakstītas PCI DSS standartā. Sapratīsim, kas ir PCI DSS sertifikācija un kādi ir galvenie punkti, kas jums jāzina.
Kas ir PCI DSS?
PCI DSS ir maksājumu karšu nozares datu drošības standarta saīsinājums, kas nozīmē maksājumu karšu nozares datu drošības standartu. PCI DSS izstrādāja PCI SSC (Maksājumu karšu nozares drošības standartu padome). PCI SSC valdes dibinātāji - starptautiski maksājumu sistēmas Visa, MasterCard, American Express, JCB International un Discover Financial Services ir vienojušās pieņemt kopīgu drošības standartu kā daļu no katras savas datu drošības atbilstības programmas specifikācijas. Turklāt katrs dibinātājs atzīst PCI SSC kvalificēti drošības auditori(Kvalificēti drošības vērtētāji, QSA) un apstiprināti skenēšanas pakalpojumu sniedzēji(Apstiprinātie skenēšanas piegādātāji, ASV). Pēdējais ietver mūsu partneri Komodo, kura licencētais skenēšanas pakalpojums HackerGuardian PCI skenēšanas pakalpojums drīzumā būs pieejams pasūtīšanai mūsu mājas lapā.Kam nepieciešama PCI DSS sertifikācija?
Ikvienam, kurš strādā ar maksājumu kartēm vai jebkādā veidā ietekmē to drošību, ir jārūpējas par maksājumu karšu datu drošību, un tie var būt:- Jebkura lieluma tirdzniecības un pakalpojumu uzņēmumi
- Finanšu institūcijas
- Tirdzniecības vietas termināļa piegādātāji
- Datoru aparatūras ražotāji un programmatūraīsi sakot, visi, kas veido un izmanto starptautisko maksājumu apstrādes infrastruktūru.
Tādējādi PCI DSS standartu prasības attiecas uz visām organizācijām neatkarīgi no to lieluma vai veikto darījumu skaita, kas saņem, pārraida, apstrādā vai glabā jebkādu informāciju par turētājiem. kredītkartes, vai arī biznesa procesi šajās organizācijās var ietekmēt maksājumu karšu drošību. PCI DSS prasības
PCI DSS sertifikācija nozīmē atbilstību standartam, kas sastāv no 12 sadaļām visaptverošām prasībām, lai nodrošinātu informācijas drošību par to maksājumu karšu īpašniekiem, ar kurām strādā tirgotāji un pakalpojumu sniedzēji. Atbilstība PCI standarta prasībām nozīmē visaptverošu pasākumu ieviešanu, lai nodrošinātu drošību katrā darba ar maksājumu kartēm solī, sākot no datu pārsūtīšanas līdz to glabāšanai uzņēmuma datu bāzēs.| Kontroles objekti | PCI DSS prasības |
|---|---|
| Droša tīkla izveide un uzturēšana | 1. Ugunsmūra konfigurācijas uzstādīšana un uzturēšana maksājumu karšu īpašnieku datu aizsardzībai |
| 2. Atteikties no noklusējuma iestatījumiem paroļu sistēmām un citiem drošības iestatījumiem | |
| Maksājumu karšu turētāju datu aizsardzība | 3. Maksājumu karšu īpašnieku saņemto datu aizsardzība |
| 4. Maksājumu karšu īpašnieku datu pārraides šifrēšana atklātajos publiskajos tīklos | |
| Neaizsargātības pārvaldības programmas atbalsts | 5. Izmantojiet un regulāri atjauniniet pretvīrusu programmatūru visās sistēmās, kuras parasti ietekmē ļaunprātīga programmatūra |
| 6. Drošu sistēmu un lietojumprogrammu izstrāde un atbalsts | |
| Ieviesiet spēcīgu piekļuves kontroli | 7. Piekļuves ierobežošana maksājumu karšu īpašnieku datiem, pamatojoties uz nepieciešamību zināt. |
| 8. Katrai personai, kurai ir pieeja datoram, piešķirot unikālu identifikācijas numuru | |
| 9. Fiziskās piekļuves ierobežošana maksājumu karšu īpašnieku datiem | |
| Regulāra tīklu uzraudzība un pārbaude | 10. Tīkla resursiem un maksājumu karšu īpašnieku datiem pieejas izsekošana un uzraudzība |
| 11. Regulāra drošības sistēmu un procesu pārskatīšana | |
| Informācijas drošības politikas atbalsts | 12. Atbalsts politikām, kuru mērķis ir nodrošināt datu drošību |
PCI DSS sertifikācijas līmeņi
PCI DSS sertifikācija nosaka četri tirdzniecības un pakalpojumu uzņēmumu līmeņi un divu līmeņu pakalpojumu sniedzēji atkarībā no darījumu skaita ar maksājumu Visa kartes(ieskaitot kredītkartes, debetkartes un priekšapmaksas kartes) 12 mēnešu laikā.Visa nosaka šādus tirgotāju līmeņus:
| Līmenis | Apraksts | PCI DSS sertifikācija ietver: |
|---|---|---|
| 4 | Tirgotāji, kas apstrādā mazāk nekā 20 000 e-komercijas darījumu gadā, un visi pārējie tirgotāji, kas nav uzskaitīti citos līmeņos un kas apstrādā līdz 1 miljonam darījumu gadā neatkarīgi no saņemšanas kanāla. | Katru gadu: ieteicams aizpildīt drošības pašnovērtējuma anketu (SAQ); Ceturkšņa: ASV skenēšana ieteicama; Pieņēmēja banka nosaka atbilstības prasības. |
| 3 | Tirgotāji, kas apstrādā 20 000 līdz 1 miljonu e-komercijas darījumu gadā. | |
| 2 | Tirgotāji, kas apstrādā 1-6 miljonus darījumu gadā, neatkarīgi no to saņemšanas kanāla. | Katru gadu: Drošības pašnovērtējuma aptaujas (SAQ) aizpildīšana; Ceturkšņa: ieteicams veikt ASV skenēšanu. |
| 1 | Tirgotāji, kas apstrādā vairāk nekā 6 miljonus darījumu gadā neatkarīgi no to saņemšanas kanāla. | Katru gadu: apstiprināta drošības auditora (QSA) veikts audits; Reizi ceturksnī: ASV ievainojamības pārbaude. |
PCI DSS (Payment Card Industry Data Security Standard) ir dokuments, kas apraksta noteikumus informācijas drošības nodrošināšanai par maksājumu karšu īpašniekiem tās apstrādes, pārsūtīšanas vai uzglabāšanas laikā.
PCI DSS standartu izstrādāja Maksājumu karšu nozares drošības standartu padome (PCI SSC). PCI SSC dibināja vadošās starptautiskās maksājumu sistēmas - Visa, MasterCard, American Express, JCB, Discover. PCI SSC informāciju par savu darbību publicē savā mājaslapā.
PCI DSS standarta prasības attiecas uz organizācijām, kas apstrādā informāciju par maksājumu karšu īpašniekiem. Ja organizācija gada laikā uzglabā, apstrādā vai pārsūta informāciju par vismaz vienu kartes darījumu vai īpašnieku maksājumu karte, tad tam jāatbilst PCI DSS standarta prasībām. Šādu organizāciju piemēri ir tirdzniecības un pakalpojumu uzņēmumi (mazumtirdzniecības veikali un e-komercijas pakalpojumi), kā arī pakalpojumu sniedzēji, kas saistīti ar karšu informācijas apstrādi, uzglabāšanu un pārsūtīšanu (apstrādes centri, maksājumu vārtejas, zvanu centri, datu rezerves datu nesēji, organizācijas, kas iesaistītas karšu personalizācijā utt.).
Saskaņojot savu informācijas infrastruktūru PCI DSS prasībām, paaugstināsiet karšu datu apstrādes vides drošības līmeni. Tādējādi jūs samazināsiet finansiālu zaudējumu riskus no informācijas drošības incidentiem un izpildīsiet starptautisko maksājumu sistēmu prasību ievērot šo standartu.
Galvenais PCI DSS standarta prasību ievērošanas mērķis ir paaugstināt informācijas infrastruktūras drošības līmeni, tādēļ standarts tika izstrādāts. No tā varam secināt, ka standarts noderēs ikvienam, kurš domā par savas informācijas drošību.
PCI DSS standarts satur detalizētas informācijas drošības prasības, kas sadalītas 12 tematiskās sadaļās:
- ugunsmūru pielietošana;
- aprīkojuma uzstādīšanas noteikumi;
- uzkrāto datu aizsardzība par maksājumu karšu īpašniekiem;
- kriptogrāfisku aizsardzības līdzekļu izmantošana datu pārraides laikā;
- pretvīrusu līdzekļu lietošana;
- droša lietojumprogrammu un sistēmu izstrāde un atbalsts;
- pārvaldīt lietotāju piekļuvi datiem;
- kontu pārvaldība;
- fiziskās drošības nodrošināšana;
- datu drošības uzraudzība;
- regulāra sistēmas pārbaude;
- informācijas drošības politikas izstrāde un atbalsts.
PCI DSS standarts nesatur prasības konkrētu tehnisko risinājumu, aparatūras modeļu un programmatūras versiju lietošanai. PCI DSS izvirza prasības informācijas drošības procesu organizācijai, informācijas drošības rīku funkcionalitātei, to konfigurācijai un lietojumprogrammu iestatījumiem.
Varat lejupielādēt PCI DSS standarta pašreizējo versiju 1.2.
Visas PCI DSS prasības ir obligātas. Dažas prasības uz jūsu organizāciju var neattiekties atsevišķu informācijas infrastruktūras komponentu trūkuma dēļ, piemēram, ja neizmantojat bezvadu tīklus, tad uz jūsu uzņēmumu neattiecas bezvadu tīklu drošības nodrošināšanas prasības. Ja jūs nevarat izpildīt kādu konkrētu standarta prasību likuma, biznesa procesu vai piemēroto tehnoloģiju ierobežojumu dēļ, varat izmantot kompensācijas pasākumus. Kompensācijas pasākumu izvēles pamatnoteikums ir tāds, ka kompensējošajam pasākumam ir jāmazina tāds pats risks kā standarta prasībai, kuru nevar izpildīt ierobežojumu dēļ.
PCI DSS standarta prasības attiecas uz sistēmām, kuras tiek izmantotas maksājumu karšu īpašnieku datu apstrādei, glabāšanai un pārsūtīšanai, kā arī sistēmām, kurām ar tiem ir tīkla savienojums (sistēmām, kuru savienojumus neaizsargā ugunsmūris).
Jā, atsevišķas bankomātu apakšsistēmas, kas iesaistītas maksājumu karšu īpašnieku datu apstrādē, uzglabāšanā un pārsūtīšanā, ir iekļautas PCI DSS standarta darbības jomā.
Attīstoties PCI standartam, SSC veic izmaiņas tā tekstā un publicē jaunas dokumenta versijas vietnē www.pcisecuritystandards.org. No 2008. gada 1. oktobra līdz mūsdienām ir aktuāla PCI DSS standarta versija 1.2.
Saskaņā ar starptautisko maksājumu sistēmu izveidotajām programmām, lai pārbaudītu atbilstību PCI DSS prasībām, vairākām organizācijām ir jāveic ikgadējs audits. Atbilstības programmas tirgotājiem un pakalpojumu sniedzējiem atšķiras.
Ikgadējais audits ir nepieciešams tirgotājiem, kuri veic vairāk nekā sešus miljonus karšu darījumu gadā. Runājot par pakalpojumu sniedzējiem, starptautiski maksājumu sistēma VISA pieprasa ikgadēju auditu no visiem apstrādes centriem un pakalpojumu sniedzējiem, kas apstrādā vairāk nekā 300 000 darījumu gadā, savukārt MasterCard pieprasa visiem apstrādātājiem un pakalpojumu sniedzējiem, kas apstrādā vairāk nekā vienu miljonu darījumu gadā. Detalizēts apraksts PCI DSS atbilstības kontrolsarakstus varat atrast vietnē .
Auditu par atbilstību PCI DSS standarta prasībām var veikt uzņēmumi ar QSA (kvalificēts drošības vērtētājs) statusu. Oficiālais uzņēmumu saraksts ar šo statusu ir pieejams PCI SSC vietnē. Uzņēmumam ar QSA statusu ir jānodarbina sertificēti QSA auditori.
Audita laiks ir atkarīgs no PCI DSS standarta darbības jomas lieluma, kā arī no uzņēmuma infrastruktūras īpašībām. Vidēji audits uzņēmuma objektā ilgst trīs dienas.
Pamatojoties uz Jūsu informācijas infrastruktūras atbilstības QSA standarta prasībām audita rezultātiem, auditors sagatavos Atbilstības ziņojumu, kurā būs detalizēta informācija par katras PCI DSS prasības ieviešanu. Audita rezultāti sniegs priekšstatu par to, kur pirmām kārtām nepieciešams novirzīt resursus maksājumu karšu apstrādes vides drošības uzlabošanai.
Atbilstoši starptautisko maksājumu sistēmu prasībām, gadījumā, ja informācijas infrastruktūra neatbilst PCI DSS standarta prasībām, ir jāsagatavo Rīcības plāns to novēršanai. Rīcības plāna sagatavošanā palīdzēs KSA auditora, kurš veica atbilstības pārbaudi, ieteikumi.
Starptautiskās maksājumu sistēmas paredz sodu uzlikšanu organizācijām, kurām ir jāveic ikgadējs ārējais PCI DSS atbilstības audits, taču tās neiztur.
Šajā gadījumā, lai izpildītu starptautisko maksājumu sistēmu prasību veikt ikgadēju ārējo auditu, būs jāmaina drošības politika, kurā saskaņā ar PCI DSS ir jāņem vērā visas standarta prasības.
Atbilstības sertifikāts tiek izsniegts pēc audita, uzņēmuma maksājumu infrastruktūras pilnīgas atbilstības PCI DSS standarta prasībām gadījumā.
Ārējās un iekšējās iespiešanās pārbaudes veikšanu regulē PCI DSS standarta prasība 11.3. Iespiešanās tests jāveic katru gadu, kā arī pēc būtiskām izmaiņām uzņēmuma maksājumu infrastruktūrā. Ielaušanās mēģinājums, ko veic speciālists, kurš ievieš ievainojamību kopumu atbilstoši noteiktajam ielaušanās modelim, uzskatāmi parāda maksājumu vides drošības līmeni. Jāpiebilst, ka speciālista veiktam iespiešanās testam nav nekāda sakara ar automatizēto skenēšanu.
Uzņēmuma maksājumu infrastruktūras ārējā perimetra ceturkšņa skenēšana, ko veic apstiprināts skenēšanas piegādātājs (ASV), ir obligāta PCI DSS atbilstības procedūru sastāvdaļa. Jūs varat atrast detalizētu aprakstu par PCI DSS atbilstības pārbaudes procedūrām.
Ja neesi atradis atbildi uz savu jautājumu – nekrīti izmisumā. Nosūtiet to mums, un mēs ar prieku centīsimies uz to atbildēt pēc iespējas ātrāk.
Uzvārds un vārds:
E-pasts:
