Все сайты, которые занимаются электронной коммерцией обязаны соответствовать требованиям, изложенным в стандартах защиты данных платежных карт (PCI DSS). Эти требования регулируются крупными компаниями для обеспечения безопасной передачи, хранения и обработки данных владельцев карт.
Стандарты PCI DSS – это набор общих методов, таких как ограничение распространения информации о владельцах карт и необходимость создания безопасных паролей, а также более сложные методы, например, шифрование и использование брандмауэра.
Совет по стандартам безопасности PCI – это глобальная организация, созданная крупнейшими компаниями: Visa, Mastercard и American Express.
Если вы владелец сайта, который занимается электронной коммерцией, соблюдение требований PCI является обязательным. Он не диктуется объемом транзакций и не ограничивается исключительно хранением, передачей и обработкой, он применяется к любому бизнесу, который разрешает платежи по кредитным картам.
Все сводится к снижению уязвимостей. У сайтов, которые используются для электронной коммерции, это особенно касается CDE – способа обработки кредитных карт на вашем сайте. Даже если вы используете сторонние сервисы, такие как PayPal или другой безопасный способ оплаты, вы обязаны соблюдать требования, изложенные в PCI DSS.
Мелкие торговцы не освобождаются от выполнения этих требований. Незащищенные сайты, связанные с электронной коммерцией, являются основными целями для похитителей данных.
Если конфиденциальные данные клиента или информация о владельце карты украдены с веб-сайта, за который вы несете ответственность, вы можете понести штрафы, крупные штрафы и даже потерять возможность принимать платежи.
Почему важно соблюдение требований PCI
Доверие – это ключ к вашему онлайн-бизнесу. Если происходит инцидент безопасности, он может нанести ущерб трафику, доходу и репутации бренда. Популярность онлайн-покупок растёт, а интернет-магазины становятся мишенями для киберпреступников, желающих украсть конфиденциальные данные клиентов и информацию о кредитных картах.
Будет ли ваш сайт хорошей мишенью для атаки? С помощью автоматизированных скриптов хакеры могут находить интернет-магазины, сканировать их на наличие уязвимостей и получать несанкционированный доступ. Небольшие интернет-магазины с небольшим количеством продаж не являются исключением – преступники любят легкую наживу и будут атаковать любые доступные веб-сайты или серверы. Зачастую проще взломать тысячу небольших сайтов, чем один крупный интернет-магазин, виртуальная инфраструктура которого надежно защищена.
Онлайн-магазины подвержены ряду рисков и угроз:
Похитители кредитных карт подвергают ваших клиентов риску кражи личности или мошенничества с кредитными картами.
Взлом приводит к потере продаж, когда клиенты перенаправляются в поддельную корзину.
Мошенники могут изменять контент на веб-сайте с целью распространения спама, вредоносных программ и ПО.
Ресурсы сервера могут быть скомпрометированы и использованы во время вредоносных кампаний, DDoS-атак и т.д.
Взломанные сайты могут быть заблокированы поисковыми системами, антивирусами, браузерами.
Поскольку всегда будет существовать определенный уровень риска, обеспечение безопасности должно стать непрерывным процессом. Правильная стратегия безопасности невозможна без периодической оценки и проверок.
Что если вы не соответствуете требованиям PCI
Если компания не будет признана соответствующей требованиям PCI-DSS, можно ожидать негативные последствия и различные санкции, например, штрафы, простои в работе и ущерб репутации.
Контрольный список соответствия требованиям PCI
Последняя версия PCI DSS v3.2.1 выпущена в мае 2018.
Требования делятся на несколько подпунктов и сотни шагов. На первый взгляд, выполнение всех этих требований может показаться сложной задачей для владельца небольшого веб-сайта.
Мы вкратце представим вам этот список для предварительного ознакомления:
создание и обслуживание защищенной сети;
отказ от использования «значений по умолчанию»;
защита данных владельцев карт;
шифрование во время передачи данных;
ведение программы управления уязвимостями;
обеспечение и обслуживание безопасных систем и приложений;
ограничение доступа к данным владельцев карт;
внедрение строгих мер контроля доступа;
отслеживание и мониторинг всего доступа к сетевым ресурсам и данным держателей карт;
идентификация и аутентификация доступа к компонентам системы;
ведение политики ИБ;
периодическое тестирование системы и процессов обеспечения безопасности.
Заключение
Сервис по предоставлению услуг PCI DSS серверов далеко не новинка на мировом рынке. Однако в России такие предложение начали появляться недавно.
Такая услуга отлично подойдет для организаций, которые не желают или не способны обеспечить выполнение требований стандарта PCI DSS из-за технических причин или отсутствия необходимых подразделений. Использование такого хостинга не освободит бизнес от необходимости соответствовать требованиям стандарта, но значительно снизит их количество, что, в свою очередь, может упростить сертификацию. Если выбором вашего бизнеса станет облачная инфраструктура, внимательно подойдите к заключению договора и предварительно обсудите, какие пункты стандарта берет на себя провайдер, а какие останутся вашей заботой..