PCI DSS - что это и кому это нужно

Все сайты, которые занимаются электронной коммерцией обязаны соответствовать требованиям, изложенным в стандартах защиты данных платежных карт (PCI DSS). Эти требования регулируются крупными компаниями для обеспечения безопасной передачи, хранения и обработки данных владельцев карт.

Все сайты, которые занимаются электронной коммерцией обязаны соответствовать требованиям, изложенным в стандартах защиты данных платежных карт (PCI DSS). Эти требования регулируются крупными компаниями для обеспечения безопасной передачи, хранения и обработки данных владельцев карт.

Стандарты PCI DSS – это набор общих методов, таких как ограничение распространения информации о владельцах карт и необходимость создания безопасных паролей, а также более сложные методы, например, шифрование и использование брандмауэра.

Совет по стандартам безопасности PCI – это глобальная организация, созданная крупнейшими компаниями: Visa, Mastercard и American Express.

Если вы владелец сайта, который занимается электронной коммерцией, соблюдение требований PCI является обязательным. Он не диктуется объемом транзакций и не ограничивается исключительно хранением, передачей и обработкой, он применяется к любому бизнесу, который разрешает платежи по кредитным картам.

Все сводится к снижению уязвимостей. У сайтов, которые используются для электронной коммерции, это особенно касается CDE – способа обработки кредитных карт на вашем сайте. Даже если вы используете сторонние сервисы, такие как PayPal или другой безопасный способ оплаты, вы обязаны соблюдать требования, изложенные в PCI DSS.

Мелкие торговцы не освобождаются от выполнения этих требований. Незащищенные сайты, связанные с электронной коммерцией, являются основными целями для похитителей данных.

Если конфиденциальные данные клиента или информация о владельце карты украдены с веб-сайта, за который вы несете ответственность, вы можете понести штрафы, крупные штрафы и даже потерять возможность принимать платежи.

Почему важно соблюдение требований PCI

Доверие – это ключ к вашему онлайн-бизнесу. Если происходит инцидент безопасности, он может нанести ущерб трафику, доходу и репутации бренда. Популярность онлайн-покупок растёт, а интернет-магазины становятся мишенями для киберпреступников, желающих украсть конфиденциальные данные клиентов и информацию о кредитных картах.

Будет ли ваш сайт хорошей мишенью для атаки? С помощью автоматизированных скриптов хакеры могут находить интернет-магазины, сканировать их на наличие уязвимостей и получать несанкционированный доступ. Небольшие интернет-магазины с небольшим количеством продаж не являются исключением – преступники любят легкую наживу и будут атаковать любые доступные веб-сайты или серверы. Зачастую проще взломать тысячу небольших сайтов, чем один крупный интернет-магазин, виртуальная инфраструктура которого надежно защищена.

Онлайн-магазины подвержены ряду рисков и угроз:

  • Похитители кредитных карт подвергают ваших клиентов риску кражи личности или мошенничества с кредитными картами.

  • Взлом приводит к потере продаж, когда клиенты перенаправляются в поддельную корзину.

  • Мошенники могут изменять контент на веб-сайте с целью распространения спама, вредоносных программ и ПО.

  • Ресурсы сервера могут быть скомпрометированы и использованы во время вредоносных кампаний, DDoS-атак и т.д.

  • Взломанные сайты могут быть заблокированы поисковыми системами, антивирусами, браузерами.

Поскольку всегда будет существовать определенный уровень риска, обеспечение безопасности должно стать непрерывным процессом. Правильная стратегия безопасности невозможна без периодической оценки и проверок.

Что если вы не соответствуете требованиям PCI

Если компания не будет признана соответствующей требованиям PCI-DSS, можно ожидать негативные последствия и различные санкции, например, штрафы, простои в работе и ущерб репутации.

Контрольный список соответствия требованиям PCI

Последняя версия PCI DSS v3.2.1 выпущена в мае 2018.

Требования делятся на несколько подпунктов и сотни шагов. На первый взгляд, выполнение всех этих требований может показаться сложной задачей для владельца небольшого веб-сайта.

Мы вкратце представим вам этот список для предварительного ознакомления:

  • создание и обслуживание защищенной сети;

  • отказ от использования «значений по умолчанию»;

  • защита данных владельцев карт;

  • шифрование во время передачи данных;

  • ведение программы управления уязвимостями;

  • обеспечение и обслуживание безопасных систем и приложений;

  • ограничение доступа к данным владельцев карт;

  • внедрение строгих мер контроля доступа;

  • отслеживание и мониторинг всего доступа к сетевым ресурсам и данным держателей карт;

  • идентификация и аутентификация доступа к компонентам системы;

  • ведение политики ИБ;

  • периодическое тестирование системы и процессов обеспечения безопасности.

Заключение

Сервис по предоставлению услуг PCI DSS серверов далеко не новинка на мировом рынке. Однако в России такие предложение начали появляться недавно.

Такая услуга отлично подойдет для организаций, которые не желают или не способны обеспечить выполнение требований стандарта PCI DSS из-за технических причин или отсутствия необходимых подразделений. Использование такого хостинга не освободит бизнес от необходимости соответствовать требованиям стандарта, но значительно снизит их количество, что, в свою очередь, может упростить сертификацию. Если выбором вашего бизнеса станет облачная инфраструктура, внимательно подойдите к заключению договора и предварительно обсудите, какие пункты стандарта берет на себя провайдер, а какие останутся вашей заботой..