Pci что это: PCI устройство — что это?

Содержание

PCI устройство — что это?

PCI устройство — оборудование, которое подключается по шине PCI к материнской платы для увеличения аппаратной функциональности ПК.

Важный момент. Вы можете в диспетчере заметить непонятное устройство PCI, что это может быть? Скорее всего было подключено какое-то устройство, но Windows его не смогла определить. Что делать? Нужно посмотреть в свойствах оборудование ИД и по этой информации поискать в интернете что это может быть за устройство.. также проверьте что вы установили драйвера на чипсет.

Разбираемся

PCI это специальная шина для подключения устройств к материнской плате. Раньше была просто PCI, сегодня уже присутствует обновленная версия — PCI-Express.

Я не буду вникать в детали как работает шина, а напишу более простыми словами. PCI это по факту разьемы, они расположены в нижней части материнской платы, внешне длинные, но есть и короткие. Чем короче размер тем меньше пропускная способность (скорость).

Максимальная скорость нужна для видеокарты. А например для звуковой карты, сетевой, Wi-Fi адаптера достаточно и низкой скорости. PCI позволяет добавить в ПК новые устройства, тем самым расширив функциональность.

Но что именно можно установить на ПК через PCI, какие именно платы? Давайте посмотрим:

  1. ТВ-тюнер.
  2. Звуковая карта (может дать звук лучше качества).
  3. Сетевая карта. Если встроенная вышла из строя или если нужна еще одна — можно добавить, установив карту в PCI-слот.
  4. Конечно видеокарта. Можно установить даже несколько, это зависит от материнки.
  5. Wi-Fi адаптер.
  6. Дополнительные USB-порты, SATA-разьемы.

Это только пример того, что можно добавить. Устройств существует много, разные, при помощи PCI можно добавить новые возможности компьютеру.

Важно понимать — устройства PCI и PCI-Express несовместимы. Первый вариант — это устаревшая версия, а вторая — современная.

Старую версию PCI можно встретить на материнках 478, 775 сокета. Также относительно современные материнки тоже могут содержать этот разьем для поддержки старых устройств.

Видеокарт именно на PCI — очень и очень мало (потому что в те времена видеокарты подключались через разьем AGP). А вот на PCI-E — большинство (это современный интерфейс подключения видеокарты).

Примеры устаревших разьемов PCI (они идут одинаковы, нет разделения по скоростям):

РЕКЛАМА

Вверху видим AGP — именно в этот слот раньше устанавливалась видеокарты.

Примеры разьемов PCI-E современной материнки:

РЕКЛАМА

Зелеными стрелочками — это и есть современные PCI-E (те что синие имеют максимальную пропускную способность). А остальные — это устаревшие PCI. Некоторые модели содержат сразу два вида.

Еще раз — устаревшая версия PCI и современная PCI-E никак не совместима, вообще.

Они физически отличаются ключом.

Пример сетевой карты для просто PCI:

РЕКЛАМА

А вот пример уже сетевой карты для PCI-E:

Второй пример — плата больше, но размер контактов такой же, потому что для сетевой, как и для звуковой, Wi-Fi адаптеров.. большой пропускной способности не нужно:

РЕКЛАМА

А вот для видеокарты (GPU) — пропускная способность важна, именно поэтому она содержит много контактов и устанавливается соответственно с длинный разьем PCI-E:

РЕКЛАМА

PS: выше на картинке — современная видеокарта, игровая, стоит недешево, греется тоже прилично и потребляет энергии много, на уровне процессора, а то и больше))

В названии PCI-E может быть цифра, например x1, что она значит? Это просто указывает на скорость.

Чем больше цифра, тем больше пропускная способность:

Надеюсь данная информация оказалась полезной. Удачи и добра, до новых встреч друзья!

На главную! 22.11.2021

Шина PCI — Настройка BIOS

PCI (Peripheral Component Interconnect) – это компьютерная шина ввода/вывода, предназначена для подключения периферийных устройств к системной плате персонального компьютера. Шина PCI поддерживает 32-х/64-х битный обмен данными.

 

Частота шины PCI 33 МГц или 66 МГц (новые спецификации шины могут работать на более высоких частотах: 100 МГц, 133 МГц, 266 МГц, 533 МГц). Поддерживаемое напряжение 3,3/5 В.

 

Характерной особенностью интерфейса PCI есть использование для передачи данных общей 32/64-битной двунаправленной параллельной шины, к которой подключаются все PCI-устройства. Любое устройство на шине PCI может позиционироваться как master-устройство (т. е., шина децентрализована).

Рис 1. Слоты 32-разрядной шины PCI на материнской плате.

 

Спецификации шины PCI

 

Спецификация 2.0 шины PCI – первая версия шины. Пропускная способность (пиковая) – 133 Мбайт/с.

 

Спецификация 2.1 шины PCI – модификация шины PCI, преимуществами которой (по сравнению с предыдущей версией 2.0) является возможность параллельной работы нескольких шинных задатчиков, использование универсальных плат расширения (которые могут работать в слотах под напряжением 5 Вольт и 3,3 Вольт). Спецификация PCI 2.1 позволяет использовать частоты 33 МГц и 66 МГц и подключение к шине PCI более 4 устройств. Пропускная способность (пиковая) – 133 Мбайт/с (для 33 МГц) и 266 Мбайт/с (для 66 МГц).

 

Спецификация 3.0 шины PCI – модификация шины PCI, характерной особенностью которой было использование слотов с напряжением только 3,3 Вольт.

 

Спецификация PCI 64. Поддерживает напряжения 5 Вольт и 3,3 Вольт. Пропускная способность (пиковая) – 266 Мбайт/с (увеличена за счёт удлинения обычного PCI-слота). Рабочая частота 33 МГц.

 

Спецификация PCI 66. Поддерживает напряжение 3,3 Вольт. Пропускная способность (пиковая) – 533 Мбайт/с. Рабочая частота 66 МГц.

 

Спецификация PCI 64/66. Объединение спецификаций PCI 64 и PCI 66. Поддерживает напряжение 3,3 Вольт. Пропускная способность (пиковая) – 533 Мбайт/с. Рабочая частота 66 МГц.

 

Спецификация PCI-X 1.0. Поддерживает напряжение 3,3 Вольт. Рабочие частоты 100 МГц и 133 МГц. Пропускная способность (пиковая) – 1024 Мбайт/с.

Спецификация PCI-X 2.0. Пропускная способность 4096 Мбайт/с. Рабочие частоты 100 МГц, 133 МГц, 266 МГц, 533 МГц. Пропускная способность (пиковая) – 4096 Мбайт/с.

 

Опции BIOS Setup для настройки шины PCI можно найти здесь.


Еще по настройке БИОС (БИОЗ) плат:

КАК: Что такое PCI? (Межкомпонентное соединение периферийных компонентов)

Компонент периферийных компонентов (PCI) — это термин, используемый для описания общего интерфейса подключения для подключения компьютерной периферии к материнской плате ПК.

PCI был популярным в период с 1995 по 2005 год и чаще всего использовался для подключения звуковых карт и сетевых карт. PCI также использовался для подключения видеокарт к материнской плате, но потребность в графике от игр сделала его недостаточным для этого использования.

Современные компьютеры в основном используют другие интерфейсные технологии, такие как USB или PCI Express (PCIe). Некоторые настольные компьютеры могут иметь PCI-слоты на материнской плате, чтобы поддерживать обратную совместимость, но устройства, которые раньше были подключены как платы расширения PCI, теперь либо интегрированы на материнские платы, либо подключены другими разъемами, такими как PCIe.

PCI также является аббревиатурой для других технологических терминов, которые не имеют ничего общего с Peripheral Component Interconnect, например индикатор возможностей протокола, прерывание с программным управлением, Palm Computing, индикатор вызова панели, интерфейс персонального компьютера , и больше.

Другие имена для PCI

PCI также называют PCI-шиной; шина — это термин для пути между компонентами компьютера. Вы также можете увидеть этот термин, описанный как Обычная PCI .

Однако не следует путать PCI с PCI-совместимостью, что означает соответствие платежных карт , или PCI DSS, что означает стандарт безопасности данных платежной карты .

Как работает PCI?

Шина PCI позволяет изменять различные периферийные устройства, подключенные к компьютерной системе, поэтому позволяет использовать различные звуковые карты и жесткие диски.

Обычно на материнской плате имеется три или четыре слота PCI. С PCI вы можете отключить компонент, который вы хотите заменить, и подключить новый в слот PCI. Или, если у вас есть открытый слот, вы можете добавить другое периферийное устройство, например, второй жесткий диск для двойной загрузки вашего компьютера, или специальную звуковую карту, если вы имеете дело с музыкой много.

У компьютеров может быть более одного типа шины, обрабатывающих разные типы трафика. Шина PCI использовалась как в 32-битной, так и в 64-разрядной версиях. PCI работает на частоте 33 МГц или 66 МГц.

Платы PCI

Карты PCI существуют в нескольких формах и размерах, называемых форм-факторами. Полноразмерные PCI-карты имеют длину 312 миллиметра. Короткие карточки варьируются от 119 до 167 миллиметров, чтобы вписаться в меньшие слоты. Существуют и другие варианты, такие как компактный PCI, Mini PCI, Low-Profile PCI и другие.

PCI-карты используют 47 контактов для подключения, а PCI поддерживает устройства, которые используют 5 вольт или 3,3 вольта.

История межсоединений периферийных компонентов

Исходной шиной, которая позволяла использовать карты расширения, была шина ISA, изобретенная в 1982 году для оригинального ПК IBM, и которая использовалась на протяжении десятилетий. Intel разработала шину PCI в начале 1990-х годов. Он обеспечивал прямой доступ к системной памяти для подключенных устройств через мост, соединяющий шину на передней панели и, в конечном счете, с CPU.

PCI 1.0 был выпущен в 1992 году, PCI 2.0 в 1993 году, PCI 2.1 в 1995 году, PCI 2.2 в 1998 году, PCI 2.3 в 2002 году и PCI 3.0 в 2004 году.

PCI стал популярным, когда Windows 95 представила свою функцию Plug and Play (PnP) в 1995 году. Intel включила стандарт PnP в PCI, что дало ему преимущество перед ISA. PCI не требовал перемычек или dip-переключателей, как ISA.

PCIe улучшен на PCI и имеет более высокую максимальную пропускную способность системной шины, меньшее количество контактов ввода-вывода и физически меньше. Он был разработан Intel и рабочей группой Arapaho (AWG). Он стал основным интерфейсом на уровне материнской платы для ПК к 2012 году и заменил Accelerated Graphics Port (AGP) как интерфейс по умолчанию для видеокарт для новых систем.

PCI-X похож на технологию PCI. Поддерживая периферийные компоненты Interconnect eXtended, PCI-X улучшает пропускную способность на 32-битной шине PCI для серверов и рабочих станций.

Страшные сказки на ночь, о PCI шине / Хабр

Всеобщая эйфория от появления на рынке новых процессоров, не дает достаточно времени кинуть взгляд, а что же там у них «под капотом». Те же их стороны, которыми обычно восхищаются

кликатели и кнопкодавы

, вовсе не отражают реальное положение дел на железном фронте.

А тучи, тем временем, сгущались. Да, процессоры стали быстрее. Да, действительно, там стало больше ядер. И последнее, как раз, является серьезной архитектурной проблемой. По крайней мере, для наметившегося лидера гонки.

Кто сейчас помнит такой архаизм как «Архитектура»? Мало кто. Слово в станкостроении стало в IT практически ругательным. А ведь когда-то, в былые времена, книга «PCI System Architecture „ и прочие, зачитывалась до дыр, на экране. И что же там такого страшного, в этом осколке прошлого, накарябано о PCI, что может нас ввести в глубокую задумчивость, полную вселенской грусти?

Страшная цифра — 256. Хотя, на первый взгляд, и не очень страшная. Да, именно столько, и есть максимальный предел присутствия независимых PCI устройств, на PCI шине. Цифра кажется на самом деле заоблачной.

Ну кому, в здравом уме и твердой памяти, придет в голову иметь в компьютере больше 5-10 реальных, т.е. “физических» устройств? Именно исходя из этих «логичных» предпосылок, недавний лидер процессорной гонки, вводил ограничивающие настройки в свой чипсет, дающие возможность принудительно ограничивать волшебную цифру до 128, 64, и не поверите 32(!) PCI шин. И это была не просто блажь, т.к. давало серьезную возможность экономить системный кусок (первые 4Gb) памяти, до сих пор наделенный «волшебными свойствами» в отношении ОС. В том то и дело, что физических устройств было до недавнего времени не очень много.
Но, время не стоит на месте, и вот я держу в руках очередное 64 ядерное чудо враждебной техники, Rome от AMD.

И что же он хочет, нет ТРЕБУЕТ, для своего минимального функционирования? Всего то малость… откусить для своих 64 ядер… пространство в 80 PCI шин. Браво. Но, ведь у нас есть еще 2/3 пространства? У кого то есть, а у кого-то и нет.

Первый раз на небездонность PCI шины я обратил внимание, настраивая PCI расширитель, так уж получилось, что на нем висело, за гроздью из P2P мостов Pericom, 119 PCI устройств требовавших подобное же количество индивидуальных PCI шин. И это только за единственным х8 PCI расширителем. А таких х8 портов, там было 8. Вот тут, как бы невзначай, и всплывает «волшебность» первых 4Gb системной памяти, когда львиная доля из тех 119 PCI устройств, требует для своей инициализации во время обнаружения БИОСом «скромные» 32-64 Мб на каждого.

Хорошо что Интел не так мощно выгрызет PCI пространство. При необходимости, но повесить второю гроздь еще оставалось возможным.

А вот с Rome и единственное такое «расширение» лишает нас надежды хоть на какое то будущее столь увесистой «грозди», в этой АМД системе. Нет, конечно, клиенту можно предложить перейти на суперкомпьютерную архитектуру, ту которая будет под заказ, и выльется в 10 раз дороже. Но и вышепредложенная конфигурация, как вы успели заметить, не для каждого из нас. И также разрабатывается индивидуально под хотелки клиента. Но архитектурная граница хотелок уже ощутимо близка. Не хочется в каждую вышку мобильной связи лепить суперкомпьютер, исключительно из-за тридцатилетней «ограниченности» PCI шины. Что самое интересное, но переход на ARM совершенно не выход, поскольку на нем мы видим все тот же PCI, и все те же 30 летние ограничения.

Увы, ситуация в деталях повторяет тенденцию с памятью, стало мало? Пихай-суй больше! PCI пространство есть? Что его жалеть, от него не убудет. Увы, уже убудет. Уже, не то что в четверо или вдвое не обрежешь, чем баловался Интел. Уже и в полном объеме, для серьезных игроков — на грани. И применение транспарентных P2P мостов, увы только паллиатив, в сложившейся ситуации.

Только и остается что беречь каждый байт адрес шины. Или мечтать о том что крупные игроки созреют для создания IP6 адресов SuperPCIExpress.

UPD
Уважаемый ikle, поделился ценной информацией по поднятой теме в своем комментарии

Дак в PCI всё для этого уже есть — буковка S в SBDF — целых 16 бит — четвёртое измерение. Более того, PCI-E позволяет уже использовать разные сегменты: Если ОС не дремучая и умеет понимать ACPI MCFG таблицу, то проблемы никакой нет уже сейчас.

Описываемая в статье проблема — это проблема реализации платформы: никто не мешает прямо сейчас завести на платформе несколько сегментов, подправить BIOS, чтобы он отдавал в ACPI MCFG, где искать базовый каждого адрес сегмента и всё

А от себя добавлю, что в UefiShell есть коменда pci c параметром -s Seg которая как раз и показывет нужный PCI сегмент. Печаль только в том, что новые сегменты растут исключительно(я так пока понял) из дополнительных физических процессоров. А с этим мало кто встречается. Многоядерность — «это не совсем то». Либо, как вариант, P2P мост должен поддерживать эту достаточно не популярную в широких массах опцию.

UPD2
Всем, сигнализировавшим от ошибках в тексте, большое спасибо. Исправил, как только смог.

Линии PCI-E — конфигурации платформ AMD AM4 и sTRX4, Intel LGA1200 и LGA2066 | Материнские платы | Блог

Линии PCI-E и не только

Линии — это дорожки, использующие две сигнальные пары для отправки и приема данных,  по которым материнская плата обменивается информацией со слотами PCI-Express, процессором, контроллерами SATA, USB. PCI-E — самый быстрый слот. Кроме видеокарты, к линиям PCI-E могут подключаться твердотельные накопители, модули Bluetooth, Wi-Fi, различные адаптеры. 

Каждая линия, как дорога, может пропустить только ограниченное количество трафика в секунду. Для нормального функционирования видеокарты под интерфейс PCI-E 3 и 4 поколения необходимо от 8 до 16 линий. Скоростные линии обмена данных используют и твердотельные накопители. Если установить 2 видеокарты в слоты PCI-E х16 или одну видеокарту и файловый накопитель NVMe M. 2, каждое устройство будет использовать по 8 линий. 

Сколько бывает линий

Материнская плата может поддерживать 64 линии PCI-E, но не все они используются для работы видеокарт. Например, процессоры AMD серии Ryzen поддерживают 24 линии и только 16 для слотов PCI-E х16, соответственно 8 линий отводится под другие устройства. Чем выше класс материнской платы, тем больше линий она поддерживает, тоже можно сказать и о процессорах. Не все линии доступны для пользователей, до 10 низкоскоростных линий 2.0 обычно используются для связи процессора с чипсетом материнской платы.  

При одновременной работе нескольких накопителей часто не хватает пропускной способности линий, особенно когда они объединены в Raid. При подключении 6 SATA устройств, рекомендуется использовать адаптер для слота PCI-E. Если установлена память NVMe M.2 и заняты все SATA-порты, также желательно использовать 8 дополнительных линий, подключившись к слоту PCI-E х16. 

Основные потребители линий PCI-E​

PCI-E x16 — слот используется для подключения видеокарт, PCI-Express SSD, M. 2.

PCI-E x4 и х8 — предназначены для скоростной передачи данных объемом 4–8 ГБ/с. В эти слоты подключают твердотельные накопители через RAID-контроллеры или карту расширения USB.

PCI-E x1 — используют в основном для подключения Wi-Fi и звуковых карт. Скорости слота третьего поколения — почти 1 ГБ/с, хватает для передачи качественного сигнала. 

Сколько линий нужно современной видеокарте

Пропускная способность PCI-E первого поколения линии — 250 МБ\с, второго — 500 МБ\с, третьего — 984,6 МБ\с, четвертого — 1969 МБ\с. В последнее время второй слот PCI-E х16 все чаще используют для подключения накопителей данных M.2. Пропускная способность 8 линий третьего поколения равна 7 872 МБ\с, чего вполне достаточно для большинства современных игр и графических редакторов. 

AMD AM4

Процессор

APU Bristol Ridge

Ryzen

PCIe 3. 0

8 линий

16/8+8 линий

PCIe 3.0

2 линии 

2/4 линии 

SATA600

2 порта

2/0 порта

USB 3.0

4 порта

4 порта

Это новая единая платформа для бюджетных и высокопроизводительных гибридных процессоров. APU — микропроцессорная архитектура от AMD, объединяющая центральный и графический процессор в одном кристалле. Socket AM4 с микроархитектурой Zen появился в 2016 году. Платформа поддерживает память DDR4, до 24 линий PCI-E за счет материнской платы и до 64 за счет процессоров. Сокет работает с 9 наборами логики: Z2, b550, x570, x470, X370, B550, B450, B350, А320.

Чипсет

Линии PCI-E за счет процессора

Линии PCI-E за счет материнской платы

Версия PCI-E 

TRX40

64

24

4.0

X339

64

10

3.0

X570

24

16

4.0

X470

24

8

4.0

X370

24

8

3. 0

B450

24

6

4.0

B350

24

6

3.0

A320

24

4

3.0

X300

24

4

3.0

A300

24

4

3.0

TRX40 и X399 поддерживают наибольшее число линий — по 64, но X399 работает только с 10 линиями PCI-E, идущими с материнской платы, у TRX40 таких 24, к тому же он работает с 4 версией PCI-Express. У остальных наборов логик 24 линии от процессора и 4–16 за счет материнской платы.  

AM4 кардинально отличается от архитектуры своей предшественницы AM3 Plus и больше напоминает материнские платы FMX или LGA 1150. Поддержка чипсетов PCI-E 3.0 осуществляется только за счет линий, идущих непосредственно от процессора. Минимальное количество линий с любым APU — 16.  Видеокарта может использовать 16 или 8 + 8 линий в разных слотах PCI-E. На этой материнской плате можно установить высокоскоростной твердотельный накопитель без использования PCI-E-линий. Для M.2 есть 2 высокоскоростные линии, ведущие от чипсета к процессору. 

Дополнительные линии: 4 для порта SATA и 4 для USB 3.0. Если отказаться от SATA, освободится 4 линии ввода-вывода для установки дополнительного NWME M.2. 

sTRX4


Ryzen Threadripper 4, вышедший в ноябре 2019 года, обеспечивает работу 8–32 ядерных APU третьего поколения, созданных по 7-нанометровому техпроцессу. 

Socket TR4 — первый чипсет AMD, созданный в формате LGA для домашнего использования. До этого LGA-разъемы применялись только в серверных форматах.   

На новой платформе увеличено количество доступных линий контроллера PCI-E 4.0 до 64. Из них 8 используются для связи материнской платы и процессора, 48 линий могут быть задействованы под слоты PCI-E, оставшиеся 8 линий отвечают за подключение SATA, M.2 и 4 портов USB 3.2. Интерфейс DDR-памяти модернизирован до версии 4.0, Максимальным объемом 2 Тб поддерживается UDIMM, RDIMM и LRDIMM, ECC.

Работу системной логики на материнской плате обеспечивает чипсет AMD TRX40, позволяющий подключить дополнительные 16 линий PCIe 4.0 с процессорами Ryzen Threadripper. Эти линии могут быть использованы для работы портов USB, NVMe и SATA3. Таким образом, sTRX4 максимум поддерживает 72 линии. 

Intel LGA1200

В Intel LGA1200, выпущенном в 2020 году, максимум можно задействовать 40 линий PCI Express 3.0. При использовании процессоров серии Coffee Lake-S Refresh и Comet Lake-S поддерживается 16 линий PCI Express, Rocket Lake-S — 20 линий. От чипсета идет 24 линии, от CPU только 16. Возможные конфигурации PCI-Express: ×16, ×8+8, ×8 + ×4х2. На SATA 3.0 + 14 USB портов приходится от 4 до 8 линий в зависимости от набора логики, 2 линии отводится на оперативную память, DMI 3.0 — 4 линии. 

В основу платформы легли новые наборы логики 400-й серии: B460, h570, Q470, Z490, W480.

Наименьшее количество линий получил набор логики Intel h510. Общее число (HSIO) — 30, линий PCIe 3.0 — 22, для SATA 3.0 только 4 линии.  

Intel LGA2066

LGA2066 — платформа 2017 года, поддерживающая процессоры без интегрированного графического ядра, поколения Skylake-X и Kaby Lake-X. Для работы используется набор системной логики X299. Линий PCIe 3.0 от 16 до 48. 

7640X и 7740 — 16 линий.
7800X и 7820 — 28 линий.
7920X–7980 — 44 линии.
9800X–9980 — 44 линии.
10900X–10980X — 48 линий.

Младшие модели процессоров поддерживают 16 линий PCI-E. Максимальный объем памяти DDR4 — 64 Гб. С процессорами Intel Core 7800X и 7820 на PCI-E выделяется 28 линий и поддерживается до 128 Гб DDR4. С остальными процессорами чипсет позволяет активировать 44 и 48 линий, из которых 28 отводится под слот PCI Express 16, остальные на 8 портов SATA, 10 USB 3.0 или 14 USB 2.0 и интегрированный сетевой адаптер. 

Сертификация PCI DSS что это такое

Александр Крупчик, директор по развитию бизнеса и руководитель направления PCI DSS ДиалогНауки

«DataSpace успешно проходит аудит уже в седьмой раз, и на протяжении этого времени мы видим улучшения и актуализацию процедур с учетом изменяющейся обстановки, в том числе с учетом необходимости перехода на дистанционный режим работы, которая возникла в 2020 году. Проверка соответствия международным требованиям стандарта PCI DSS показала, что DataSpace полностью отвечает строгим требованиям к информационной безопасности платежных систем».

«Проверка соответствия международным требованиям стандарта PCI DSS показала, что DataSpace полностью отвечает строгим требованиям к информационной безопасности платежных систем».

Максим Сапронов, технический директор Avito

«Avito — одна из крупнейших IT-компаний, наша деятельность предполагает хранение и обработку и большого объема данных. Мы стремимся предоставлять своим клиентам непрерывный сервис высокого уровня, для чего необходима качественная ИТ-инфраструктура. Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное — безопасности. Успешное прохождение сертификации на соответствие стандарту безопасности данных в очередной раз подчеркивает высокую квалификацию центра и подтверждает наш правильный выбор DataSpace как надежного партнера».

«Avito уже не первый год размещает свое оборудование в ЦОД DataSpace, мы уверены в его надежности, отличной технической оснащенности и главное — безопасности. Успешное прохождение сертификации подчеркивает высокую квалификацию дата-центра, и подтверждает наш правильный выбор DataSpace, как надежного партнера».

Михаил Тележкин, технический директор «ИТ-ГРАД»

«Прохождение DataSpace сертификации по стандарту PCI DSS v3.2 для нас, как поставщика облачных услуг, является гарантией надежности и наглядным доказательством высоких стандартов работы, которых придерживается DataSpace. Получив данный сертификат, компания DataSpace берет на себя ответственность по выполнению требований физической безопасности ЦОД и выступает надежным партнером, что позволяет нам оказывать полный спектр PCI DSS-услуг собственным клиентам».

«Прохождение DataSpace сертификации по стандарту PCI DSS v3.2 для нас, как поставщика облачных услуг, является гарантией надежности и наглядным доказательством высоких стандартов работы, которых придерживается DataSpace».

Арсен Кондахчан, руководитель ИТ департамента БПЦ Процессинг

«Для нас, как для процессингового центра, данная сертификация очень важна, так как упрощает нашу собственную сертификацию, а также подтверждает, что DataSpace является серьезным и ответственным партнером, который думает о нуждах клиентов».

Кирилл Павельев, вице-президент по технологиям DataSpace

«Наличие у DataSpace сертификата PCI DSS существенно облегчит жизнь нашим клиентам из области платежных систем и финансовой сферы, поскольку им не придется беспокоиться о ежегодном прохождении проверки физической безопасности, мы берем это на себя в рамках услуги колокейшн».

Что такое PCI DSS и как соответствовать этому стандарту, принимая онлайн-платежи

Во многих странах организации, принимающие онлайн-оплату, обязаны регулярно проходить сертификацию на соответствие PCI DSS. И Россия — не исключение. Нужно ли проходить сертификацию вашей компании и как это делается — расскажем в этой статье.

Примерно каждые 39 секунд в мире совершается одна хакерская атака. Жертвами злоумышленников становятся не только крупные корпорации — более 40% кибератак направлены на малый бизнес. Чтобы усложнить работу мошенникам и хакерам, ИТ-индустрия разрабатывает специальные стандарты. Следование этим стандартам помогает компаниям защитить их инфраструктуру, сети и персональные данные пользователей. Например, данные клиентов Robokassa находятся в безопасности, потому что наш сервис соответствует требованиям стандарта PCI DSS.

Стандарту PCI DSS должны следовать все организации, которые хранят или передают данные хотя бы одной банковской карты. Он описывает меры для защиты таких данных и необходимые требования к ИТ-инфраструктуре компании.

Первую редакцию стандарта приняли Visa, MasterCard и несколько других американских платежных систем в 2004 году. На российский рынок PCI DSS пришел в 2006-м, после того, как его действие расширили на страны Центральной и Восточной Европы. Перевод документации на русский появился позднее — с выходом PCI DSS v2.0.

Стандарт не закреплен на законодательном уровне ни в одном государстве. Контроль осуществляют Visa и MasterCard — они отвечают за санкции и штрафы. Однако отдельные требования PCI DSS можно встретить в различных правовых документах. Так, американском штате Миннесота с 2007 года действует Plastic Card Security Act, запрещающий бизнесу хранение PIN-кодов карт клиентов. Если говорить о России, то стандарт во многом соответствует положению ЦБ РФ 382-П от 2012 года. Оно касается защиты информации при переводе денежных средств.


Требования стандарта

PCI DSS предъявляет двенадцать основных требований безопасности. Их можно объединить в шесть групп. Компании, внедрившие стандарт, обязаны:

  • Защищать корпоративные сети. Настроить файрволы и заменить все пароли, установленные производителем сетевого оборудования.

  • Защищать данные карт. Внедрить шифрование и осуществлять передачу данных карт по сети с помощью протокола TLS 1.1 (или выше).

  • Своевременно закрывать уязвимости. Устанавливать обновления для используемых программ и корпоративных антивирусов.

  • Контролировать доступ к хранилищу. Ограничить круг сотрудников, имеющих доступ к месту физического хранения данных.

  • Установить политики информационной безопасности. Проверить соответствие им и продумать алгоритм действий при взломе.

  • Мониторить инфраструктуру. Плюс проводить регулярное тестирование всех систем, отвечающих за информационную безопасность.

Ответственность за нарушение

Платёжные системы устанавливают штрафы за несоблюдение требований PCI DSS. Сумма зависит от типа компании (торговое предприятие или поставщик услуг), объёмов проводимых транзакций и повторяемости нарушения. За первый проступок Visa может назначить штраф в 50 тыс. долларов, за третий — уже 200 тыс. Санкции накладывают ежемесячно вплоть до устранения несоответствий.

Невыполнение требований PCI DSS также может рассматриваться как нарушение законов о защите персональных данных. Они зависят от юрисдикции, в которой фирма осуществляет деятельность: в Европе действует GDPR, в России — 152-ФЗ «О персональных данных» (помимо него может применяться КоАП РФ — пункт 6 статьи 13. 12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе»).

Процесс сертификации

Способ сертификации зависит от объема обрабатываемых транзакций. Если он не превышает 20 тысяч платежей в год, можно провести аудит, заполнив опросный лист самооценки. Если число транзакций больше, нужно обращаться к сертифицированной организации. Она проведет проверку в три этапа:

  1. Теоретическая часть. Аудиторы оценят качество и актуальность политик информационной безопасности, их применимость на практике.

  2. Оценка ИТ-инфраструктуры. Специалисты проведут серию пентестов, симулируя атаки на корпоративную сеть. Сюда входит проверка работы файрволов, антивирусов и другого программного обеспечения компании.

  3. Составление отчетов. Если фирма успешно прошла все тесты, она получит сертификат соответствия PCI DSS. В ином случае аудиторы предоставят отчет о нарушениях, которые необходимо устранить. Если они обнаружат серьезные отклонения от требований стандарта, то даже после исправления ситуации весь процесс аудита потребуется пройти повторно.

Альтернативный подход

Сертификацию PCI DSS можно не проходить, если работать с поставщиком платежных сервисов. Это — компания, которая выступает посредником между продавцом (онлайн-магазином или индивидуальным предпринимателем) и банком. Она отвечает за проведение безналичных платежей через интернет.

Поставщики платежных услуг берут на себя вопросы, связанные с обработкой данных банковских карт, а значит — и сертификацией PCI DSS. Поэтому их клиенты освобождаются от необходимости проходить аудит. Им остается следить за тем, чтобы сертификат соответствия PCI DSS у платежного сервиса регулярно обновлялся.

Robokassa подтверждает статус соответствия стандартам PCI DSS каждый год.



Что такое соответствие PCI? | Digital Guardian

Узнайте о требованиях Стандарта безопасности данных индустрии платежных карт и о независимом органе, Совете по стандартам безопасности PCI, который управляет PCI DSS и обеспечивает его соблюдение.

A ОПРЕДЕЛЕНИЕ СОБЛЮДЕНИЯ СООТВЕТСТВИЯ PCI

Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой набор требований, призванных гарантировать, что все компании, которые обрабатывают, хранят или передают информацию о кредитных картах, поддерживают безопасную среду. Он был запущен 7 сентября 2006 г. для управления стандартами безопасности PCI и повышения безопасности учетной записи на протяжении всего процесса транзакции.Независимый орган, созданный Visa, MasterCard, American Express, Discover и JCB, Совет по стандартам безопасности PCI (PCI SSC) администрирует и управляет PCI DSS. Интересно, что платежные бренды и эквайеры несут ответственность за соблюдение требований, а не PCI SSC.

В целях предоставления обширного ресурса по соответствию требованиям PCI в эту статью включены:

  • Подробный обзор стандартов безопасности данных PCI SSC (вместе с несколькими источниками для дальнейшего изучения).
  • Перечислены и объяснены 12 требований соответствия PCI DSS.
  • Преимущества соответствия PCI.
  • Возможные неудачи из-за несоответствия.
  • Сборник советов от 18 экспертов PCS DSS.

ОБЗОР СТАНДАРТОВ БЕЗОПАСНОСТИ ДАННЫХ PCI SSC

Стремясь повысить безопасность данных платежных карт, Совет по стандартам безопасности PCI (SSC) предоставляет всеобъемлющие стандарты и вспомогательные материалы, которые включают рамки спецификаций, инструменты, измерения и вспомогательные ресурсы. чтобы помочь организациям обеспечить постоянную безопасность информации о держателях карт.PCI DSS является краеугольным камнем совета, поскольку он обеспечивает необходимую основу для разработки полного процесса защиты данных платежных карт, который включает предотвращение, обнаружение и надлежащее реагирование на инциденты безопасности.

Инструменты и ресурсы, доступные в PCI SSC:

  • Анкеты для самооценки, помогающие организациям подтвердить соответствие требованиям PCI DSS.
  • Требования безопасности транзакций с PIN-кодом (PTS) для поставщиков и производителей устройств, а также список утвержденных устройств для транзакций с PIN-кодом.
  • Стандарт безопасности данных платежных приложений (PA-DSS) и список проверенных платежных приложений, чтобы помочь поставщикам программного обеспечения и другим лицам разрабатывать безопасные платежные приложения.
  • Общественные ресурсы:
    • Списки квалифицированных оценщиков безопасности (qsas)
    • Оплата Приложение квалифицированные оценщики (PA-QSAS)
    • Одобренные поставщики Сканирования (ASVS)
    • Внутренняя безопасность Оценщик (ISV) Программа образования

12 требований для соответствия стандарту PCI DSS

1.Использование и техническое обслуживание брандмауэров

Брандмауэры фактически блокируют доступ посторонних или неизвестных объектов, пытающихся получить доступ к личным данным. Эти системы предотвращения часто являются первой линией защиты от хакеров (злонамеренных или иных). Брандмауэры необходимы для соответствия стандарту PCI DSS из-за их эффективности в предотвращении несанкционированного доступа.

2. Надлежащая защита паролем

Маршрутизаторы, модемы, системы торговых точек (POS) и другие продукты сторонних производителей часто поставляются с общими паролями и мерами безопасности, легко доступными для общественности.Слишком часто предприятия не могут защитить эти уязвимости. Обеспечение соответствия в этой области включает в себя ведение списка всех устройств и программного обеспечения, для доступа к которым требуется пароль (или другая защита). В дополнение к инвентаризации устройств/паролей также должны быть приняты основные меры предосторожности и конфигурации (например, изменение пароля).

3. Защита данных держателей карт

Третье требование соответствия стандарту PCI DSS — двойная защита данных держателей карт. Данные карты должны быть зашифрованы с помощью определенных алгоритмов.Эти шифрования реализуются с помощью ключей шифрования, которые также должны быть зашифрованы для соблюдения требований. Необходимо регулярное обслуживание и сканирование основных номеров счетов (PAN), чтобы гарантировать отсутствие незашифрованных данных.

4. Шифрование передаваемых данных

Данные о держателях карт отправляются по нескольким обычным каналам (например, платежные системы, домашний офис из местных магазинов и т. д.). Эти данные должны быть зашифрованы всякий раз, когда они отправляются в эти известные места. Номера счетов также никогда не следует отправлять в неизвестные места.

5. Используйте и обслуживайте антивирус

Установка антивирусного программного обеспечения является хорошей практикой, не соответствующей стандарту PCI DSS. Однако антивирусное программное обеспечение требуется для всех устройств, которые взаимодействуют с PAN и/или хранят его. Это программное обеспечение должно регулярно исправляться и обновляться. Ваш POS-провайдер также должен использовать антивирусные меры, если его нельзя установить напрямую.

6. Правильно обновленное программное обеспечение

Брандмауэры и антивирусное программное обеспечение часто требуют обновлений. Также неплохо обновить каждую часть программного обеспечения в бизнесе. Большинство программных продуктов будут включать меры безопасности, такие как исправления для устранения недавно обнаруженных уязвимостей, в свои обновления, которые добавляют еще один уровень защиты. Эти обновления особенно необходимы для всего программного обеспечения на устройствах, которые взаимодействуют с данными держателей карт или хранят их.

7. Ограничение доступа к данным

Данные держателя карты должны быть строго «необходимо знать». Все сотрудники, руководители и третьи лица, которым не нужен доступ к этим данным, не должны их иметь. Роли, которым нужны конфиденциальные данные, должны быть хорошо задокументированы и регулярно обновляться — в соответствии с требованиями PCI DSS.

8. Уникальные идентификаторы для доступа

Лица, имеющие доступ к данным держателей карт, должны иметь индивидуальные учетные данные и удостоверение личности для доступа. Например, не должно быть единого входа в зашифрованные данные, когда несколько сотрудников знают имя пользователя и пароль. Уникальные идентификаторы создают меньшую уязвимость и более быстрое время отклика в случае компрометации данных.

9. Ограничение физического доступа

Любые данные о держателях карт должны физически храниться в безопасном месте.Как данные, которые физически записаны или напечатаны, так и данные, которые хранятся в цифровом виде (например, на жестком диске), должны быть заперты в надежной комнате, ящике или шкафу. Мало того, что доступ должен быть ограничен, но каждый раз, когда происходит доступ к конфиденциальным данным, он должен храниться в журнале, чтобы соответствовать требованиям.

10. Создание и ведение журналов доступа

Все действия, связанные с данными держателей карт и номерами основных счетов (PAN), требуют записи в журнале. Возможно, наиболее распространенной проблемой несоблюдения требований является отсутствие надлежащего учета и документации, когда речь идет о доступе к конфиденциальным данным.Соответствие требует документирования того, как данные поступают в вашу организацию, и количества раз, когда требуется доступ. Программные продукты для регистрации доступа также необходимы для обеспечения точности.

11. Сканирование и тестирование на наличие уязвимостей

Все десять предыдущих стандартов соответствия касаются нескольких программных продуктов, физических местоположений и, вероятно, нескольких сотрудников. Есть много вещей, которые могут работать со сбоями, устареть или пострадать из-за человеческого фактора. Эти угрозы можно ограничить, выполнив требование PCI DSS по регулярному сканированию и тестированию на уязвимости.

12. Политики документирования

Инвентаризация оборудования, программного обеспечения и сотрудников, имеющих доступ, должна быть задокументирована для соответствия требованиям. Журналы доступа к данным о держателях карт также потребуют документации. То, как информация поступает в вашу компанию, где она хранится и как она используется после продажи, также необходимо задокументировать.

Преимущества соответствия PCI

Соблюдение стандартов безопасности PCI кажется сложной задачей, по крайней мере. В лабиринте стандартов и проблем, кажется, сложно разобраться крупным организациям, не говоря уже о небольших компаниях. Тем не менее, соответствие становится все более важным и может быть не таким хлопотным, как вы предполагаете, особенно если у вас есть правильные инструменты.

По мнению PCI SSC, соответствие требованиям дает большие преимущества, особенно если учесть, что несоблюдение может привести к серьезным и долгосрочным последствиям. Например:

  • Соответствие PCI означает, что ваши системы защищены, и ваши клиенты могут доверять вам конфиденциальную информацию о своих платежных картах; доверие приводит к уверенности клиентов и постоянных клиентов.
  • PCI Compliance улучшит вашу репутацию среди эквайеров и платежных систем — именно тех партнеров, которые нужны вашему бизнесу.
  • PCI Compliance — это непрерывный процесс, помогающий предотвратить нарушения безопасности и кражу данных платежных карт в настоящем и будущем; Соответствие стандарту PCI означает, что вы вносите свой вклад в глобальное решение по обеспечению безопасности данных платежных карт.
  • Пытаясь соответствовать требованиям PCI Compliance, вы лучше подготовлены к соблюдению дополнительных правил, таких как HIPAA, SOX и других.
  • Соответствие PCI вносит свой вклад в стратегии корпоративной безопасности (даже если это только отправная точка).
  • Соответствие PCI, вероятно, приведет к повышению эффективности ИТ-инфраструктуры.

Трудности, вызванные несоблюдением требований PCI

PCI SSC также указывает на потенциально катастрофические последствия несоблюдения требований PCI. После работы над созданием своего бренда и защитой клиентов не рискуйте с их конфиденциальной информацией. Выполняя требования PCI Compliance, вы защищаете своих клиентов, чтобы они могли продолжать оставаться вашими клиентами.Возможные результаты несоответствия PCI включают:

  • Скомпрометированные данные, которые негативно влияют на потребителей, продавцов и финансовые учреждения.
  • Нанесение серьезного ущерба вашей репутации и способности эффективно вести бизнес не только сегодня, но и в будущем.
  • Утечки данных учетной записи, которые могут привести к катастрофической потере продаж, отношений и общественного положения; кроме того, публичные компании часто сталкиваются с падением курса акций в результате утечки данных учетной записи.
  • Судебные иски, страховые претензии, аннулированные счета, штрафы эмитентов платежных карт и государственные штрафы.
  • Соответствие PCI, как и другие нормативные требования, может создать проблемы для организаций, которые не готовы заниматься защитой критически важной информации. Но защита данных — гораздо более выполнимая задача при наличии правильного программного обеспечения и услуг. Выберите программное обеспечение для предотвращения потери данных, которое точно классифицирует данные и использует их надлежащим образом, чтобы вам было спокойнее, зная, что данные держателя вашей карты в безопасности.

Передовые методы обеспечения соответствия требованиям PCI-DSS, по мнению 18 экспертов и специалистов по безопасности PCI-DSS , хранит, обрабатывает или передает информацию о кредитных картах — независимо от количества транзакций или размера этих транзакций.

Из-за этого тысячи организаций, охватывающих практически все отрасли, должны соблюдать эти стандарты.

Поддержание соответствия является главным приоритетом. Чтобы узнать больше о том, что компаниям необходимо знать и что делать для обеспечения соответствия требованиям PCI-DSS, мы обратились к группе специалистов по информационной безопасности и попросили их ответить на следующий вопрос: ?»

Познакомьтесь с нашей группой специалистов по безопасности и экспертов PCI-DSS:


Майк Бейкер

@Mosaic451

Майк Бейкер является основателем и управляющим партнером Mosaic451, поставщика услуг управляемой кибербезопасности (MSSP), обладающего опытом в создании и эксплуатации и защита некоторых из самых защищенных сетей в Северной Америке.Бейкер имеет многолетний опыт мониторинга безопасности и операций в правительстве США, коммунальных службах и критической инфраструктуре.

«Соответствие PCI не является гарантией того, что инфраструктура розничного продавца защищена от взломов. ..»

Это просто означает, что минимальные стандарты были достигнуты. По мере того как киберпреступники становятся все более изощренными, опережать угрозы становится ежедневной задачей. Номер карты — это лишь малая часть того, что нужно хакеру. Чем больше данных получает хакер, тем более полный профиль человека он получает, что делает украденные данные гораздо более ценными.

Продавцы должны принять ряд мер, чтобы соответствовать требованиям и предотвратить компрометацию своих POS-систем.

1. Персоналу магазина необходимо контролировать терминалы/киоски самообслуживания

Существует два метода кражи данных POS: путем компрометации самой POS-системы с использованием украденных учетных данных или путем физической установки «скиммеров карт», обычно на кассах самообслуживания. терминалы, которые не контролируются. Эти устройства, установка которых занимает всего несколько секунд, крадут данные платежной карты и информацию о PIN-коде прямо с магнитной полосы карты. В то время как внедрение новых карт с чипом устранит угрозу скиммеров, 42% розничных продавцов еще не обновили свои платежные терминалы для приема карт с чипом, и даже некоторые продавцы, у которых есть терминалы с поддержкой EMV, не могут принимать карты с чипом, потому что программное обеспечение POS не может еще справиться с ними. Крайне важно, чтобы такие терминалы не оставались без присмотра. В каждом магазине должен быть персонал, обученный обнаруживать скиммеры для карт и назначенный для контроля терминалов самообслуживания на предмет их присутствия.

2. Обеспечить актуальность программного обеспечения POS и ОС

Поскольку кибербезопасность — это постоянная битва «шпион против шпиона», в которой эксперты находят способы исправления уязвимостей, а хакеры находят новые способы доступа к системам, программным системам POS выпускайте частые обновления для устранения самых последних угроз безопасности. Для максимальной защиты эти обновления необходимо загружать и устанавливать сразу после их выпуска, а не ежемесячно или ежеквартально. Та же концепция применима к программному обеспечению операционной системы; продавцы и рестораны, работающие под управлением Microsoft Windows, должны обеспечить установку исправлений, как только они станут доступны.

3. Всегда меняйте пароли производителей по умолчанию

Продавцы и рестораны должны всегда менять пароль по умолчанию, предоставленный производителем, как только новое оборудование подключается к их POS-системе. Пароли по умолчанию общедоступны и поэтому широко известны хакерам; на самом деле первое, что попытается сделать злоумышленник, — это получить доступ к устройству, используя пароль по умолчанию. Изменение паролей по умолчанию требуется в рамках соблюдения организацией стандартов PCI-DSS.Точно так же системные пароли программного обеспечения также должны быть изменены при установке, а затем регулярно после этого.

4. Изолируйте POS-систему от других сетей

Многие магазины розничной торговли, рестораны и отели предлагают своим клиентам бесплатный Wi-Fi. Система POS никогда не должна подключаться к этой сети, так как хакер может использовать ее для доступа к системе. Аналогичным образом, если POS-система организации не отделена от ее корпоративной сети, хакер, взломавший основную сеть организации, сможет получить доступ к ее POS-системе.Есть два способа добиться этого: фактически сегментировать две сети или использовать многофакторную аутентификацию для связи между основной сетью организации и ее POS-системой. Правильное решение для конкретной организации зависит от ее размера и ресурсов, поэтому организациям лучше проконсультироваться с поставщиком управляемых услуг безопасности (MSSP), чтобы определить, какое решение лучше всего соответствует их потребностям.

5. Всегда покупайте POS-системы у авторитетных дилеров

Розничные магазины и рестораны имеют очень низкую норму прибыли, а рестораны с индивидуальными франшизами, которые популярны в индустрии быстрого питания, как правило, работают с особенно ограниченным бюджетом. Поскольку отрасль впервые автоматизируется, у этих мелких операторов может возникнуть соблазн найти лучшую «сделку» на системах самообслуживания, но POS-система, приобретенная у производителя, который оказался мошенническим, не является «сделкой». вообще, и это может привести к финансовому краху для этого места. POS-системы следует приобретать только у известных, авторитетных дилеров, и если «сделка» по системе кажется слишком хорошей, чтобы быть правдой, скорее всего, так оно и есть.


Седрик Саварезе

@cedsav

Седрик Саварезе является основателем и главным исполнительным директором FormAssembly, ведущего поставщика решений для корпоративных форм.Седрик возглавлял FormAssembly, отвечая за стратегическое направление и рост компании с момента ее основания в 2006 году.

Цель. Постоянная безопасность данных держателей карт должна быть основной целью всех действий по обеспечению соответствия PCI, а не просто получение отчетов о соответствии.

Перспектива. Организации увязают в процессе соблюдения требований и не могут установить долгосрочные процессы и управление для обеспечения безопасности информации о держателях карт.Данные о держателях карт — один из самых простых типов данных для конвертации в наличные деньги. На его долю приходится почти 75 процентов всех атак на системы безопасности. Организация, собирающая данные о держателях карт, должна учитывать, почему, где, когда и зачем собирать такие данные.

Риск и безопасность предшествуют соответствию

Дело не в соблюдении. Любая компания может добиться соответствия PCI, выполнив минимальные требования безопасности, установленные Советом по стандартам безопасности PCI. Выявление риска, связанного с любой деятельностью по сбору данных, является основным шагом на пути к безопасности.Безопасность, в свою очередь, снижает риски и помогает организации достичь и поддерживать соответствие требованиям. Соответствие не должно быть целью — это руководство — снижение риска и безопасность должны быть.

Частота проверок и сканирований.

Это непрерывный процесс, который никогда не останавливается. Сканирование, мониторинг и смягчение последствий — у этого процесса нет быстрого пути.

Владелец

Определение владельца — соответствие PCI и координация действий по обеспечению безопасности должны быть основной ролью владельца.Комплаенс-менеджер должен иметь адекватную ответственность, бюджет и полномочия.

Баланс бизнес-приоритетов с затратами на безопасность и процедурами

Одной из самых больших проблем для малого бизнеса является баланс. Компании делают упор на рост, ограничивая бюджет на информационную безопасность. Информационная безопасность и соответствие требованиям не должны рассматриваться как дополнительный источник затрат. Вместо этого их следует рассматривать как долгосрочные инвестиции.


Ян МакКларти

@phoenixnap

Ян МакКларти имеет более чем 20-летний опыт руководящего звена в сфере кибербезопасности и центров обработки данных. В настоящее время он является генеральным директором и президентом PhoenixNAP Global IT Services.

«При соблюдении требований PCI…»

Приоритетом номер один является защита данных держателей карт (CHD). PCI имеет очень полный набор правил для обеспечения защиты, но ваша компания может учитывать следующие передовые методы, стремясь обеспечить соответствие PCI.

  • Сегментируйте свои данные. Крайне важно, чтобы ваш CHD был отделен от стандартных данных вашей компании. Это влечет за собой создание среды держателей карт (CHE), которая имеет дело только с CHD.Это не только защитит ваши данные, но и уменьшит объем вашего аудита PCI.
  • Зашифруйте свои данные. Все CHD должны быть зашифрованы или токенизированы с того момента, как вы взаимодействуете с номером карты вашего клиента. Это также включает обеспечение шифрования этих данных в состоянии покоя.
  • Управляйте доступом к своим данным. Управление доступом на основе ролей (RBAC) значительно упростит соблюдение требований PCI. RBAC гарантирует, что ваш отдел кадров не будет иметь доступа к CHD, а ваши системные администраторы получат необходимый им доступ.
  • Мониторинг ваших данных. Настройте оповещения об инцидентах безопасности, связанных с CHD или чем-либо, что может поставить под угрозу вашу CHE. Злоумышленники обычно не компрометируют ваши данные, проникая через вашу парадную дверь, а делают это методично, скрытно, чтобы не насторожить вас. Контролируйте даже активы, которые вы считаете тривиальными, но которые поддерживают вашу CHE.

Бен Зильберман

@radware

Бен Зильберман (Ben Zilberman) — менеджер по маркетингу продуктов в группе безопасности Radware.В этой должности Бен специализируется на безопасности приложений и анализе угроз и тесно сотрудничает со службой реагирования на чрезвычайные ситуации Radware и исследовательскими группами, чтобы повысить осведомленность о громких и надвигающихся атаках. Бен имеет разнообразный опыт в области сетевой безопасности, включая брандмауэры, предотвращение угроз, веб-безопасность и технологии DDoS.

«Существует несколько методов обеспечения соответствия стандарту безопасности данных индустрии платежных карт (PCI-DSS)…» недостаточно для PCI-DSS.К 30 июня 2018 г. вам необходимо отключить SSL и ранние протоколы TLS и перейти на более безопасную альтернативу. Еще одним требованием для соответствия требованиям PCI-DSS является использование строгого контроля доступа для предотвращения несанкционированного доступа. Это включает в себя сочетание многофакторной аутентификации с надежными паролями. Эти пароли должны быть очень длинными, состоять из разных типов символов и избегать словарных слов. Вам также необходимо внедрить безопасную удаленную связь, чтобы предотвратить прослушивание, обеспечить безопасность данных, передаваемых через API, а также зашифровать и защитить сертификаты и ключи.Также важно следить за предупреждениями и рекомендациями по безопасности и обеспечивать своевременное исправление, чтобы существенно уменьшить поверхность атаки и уровень риска. Также периодически проверяйте состояние безопасности, особенно после внесения изменений. Это включает в себя любой редизайн, замену или интеграцию новых решений. Аудит безопасности идет рука об руку с проверкой кода для предотвращения эксплуатации распространенных уязвимостей. Вы можете сделать это вручную или с помощью инструментов автоматического сканирования и оценки уязвимостей.Наконец, не забудьте внедрить брандмауэры веб-приложений (WAF) в качестве точки применения политики безопасности. Если вы выполните эти важные шаги и требования для PCI-DSS, вы будете на правильном пути к обеспечению соответствия.


Стив Диксон

@Netwrix

Стив Диксон — опытный эксперт в области информационной безопасности и генеральный директор Netwrix, поставщика платформы визуализации для обеспечения безопасности данных и снижения рисков в гибридных средах. Netwrix базируется в Ирвине, Калифорния.

«Стандарт безопасности данных индустрии платежных карт (PCI-DSS) направлен на…»

Повышение безопасности данных держателей карт и содействие принятию согласованных мер безопасности данных во всем мире. Этот стандарт применяется ко всем организациям, участвующим в обработке платежных карт, включая продавцов, обработчиков, эквайеров, эмитентов и поставщиков услуг, которые хранят, обрабатывают или передают данные о держателях карт или конфиденциальные данные аутентификации.

Вот три меры, которые организации должны принять для обеспечения соответствия стандарту PCI-DSS:

Проведение регулярных оценок рисков.PCI-DSS подчеркивает важность проведения оценки рисков, чтобы понять вероятность и масштабы вреда от различных угроз и определить, необходимы ли дополнительные средства контроля для защиты данных. Вам необходимо регулярно оценивать уровень безопасности, чтобы быстро находить области, требующие внимания, расставлять приоритеты и снижать риски до приемлемого уровня. Если процесс оценки рисков еще не установлен, определите методологию оценки рисков, распределите роли и обязанности и распределите ресурсы.

Анализ поведения пользователей. Как указано в Требовании 10, вам необходимо отслеживать доступ к сетевым ресурсам и данным о держателях карт, чтобы выявлять аномалии или подозрительные действия до того, как они приведут к нарушениям безопасности. Аналитика поведения пользователей может помочь вам получить представление о том, что пользователи делают в ИТ-среде, и обнаружить необычное поведение, которое может быть признаком неправомерного использования инсайдерами или хакеров, пытающихся получить доступ к ИТ-инфраструктуре.

Использовать обнаружение и классификацию данных. Требование 3 PCI-DSS гласит, что компании должны хранить данные «только в определенных известных местах с ограниченным доступом» для защиты данных держателей карт.Обнаружение и классификация данных могут помочь вам выполнить это требование и определить ваши конфиденциальные данные, где они находятся, кто может получить к ним доступ и кто их использует, чтобы установить соответствующие уровни контроля и гарантировать, что важная информация не будет раскрыта.


Тим Кричли

@Semafone

Тим является опытным директором технологических стартапов как в сфере продуктов, так и в сфере услуг. Он был генеральным директором Semafone с 2009 года и привел компанию от британского стартапа к международному бизнесу, охватывающему пять континентов.Он помог обеспечить раунды финансирования серии A и серии B от различных групп инвесторов, включая BGF и Octopus.

«Соответствие сложному стандарту PCI-DSS может быть довольно простым с помощью тактики, называемой дескопированием…» объем. Чтобы упростить соблюдение требований, компаниям следует искать возможности для удаления этих объектов из сферы действия PCI-DSS (дескопирование), гарантируя, что они никогда не будут подвержены CHD.

Например, если в вашей организации есть контакт-центр, который регулярно принимает платежи от клиентов по телефону, вы можете уменьшить охват своей сетевой инфраструктуры ИТ, агентов/представителей службы поддержки, систем записи звонков и другой телефонной связи с помощью двухтональной многоканальной связи. -частотные (DTMF) технологии маскирования. Эти технологии позволяют клиентам напрямую вводить данные своей платежной карты на клавиатуре своего телефона, заменяя тональные сигналы DTMF плоскими, что делает их неразборчивыми.Отправляя CHD непосредственно в платежную систему, такие решения полностью исключают попадание данных в среду контакт-центра. В результате для соответствия стандарту PCI-DSS требуется гораздо меньше средств контроля, а конфиденциальные данные недоступны для мошенников и хакеров. Как я люблю говорить, никто не может взломать данные, которых у вас нет.


Дженнифер Гласс

@creditcardsnj

Дженнифер Гласс является генеральным директором Credit Cards, NJ (CCNJ), растущего ISO в индустрии обработки платежей.Г-жа Гласс была признана экспертом в области обработки платежей Центром развития малого бизнеса, SCORE, многими банками, несколькими ведущими 50 мировыми бухгалтерскими фирмами и более чем 1000 организаций за более чем 15 лет.

«Во-первых, очевидно…»

Убедитесь, что все люди в организации следуют здравому смыслу и не оставляют данные кредитных карт без присмотра, а доступ к безопасному данные.Во-вторых, и это, возможно, даже более важно в определенных ситуациях, таких как то, что мы видели во взломе Saks Fifth Avenue/Lord & Taylor — если система обработки платежей подключена к тому же серверу (серверам), что и электронная почта и другие не связанные с платежами деятельность, вывести эту платежную систему из общего ресурса (ресурсов) и разместить ее на собственном выделенном ресурсе с отдельными входами в систему и т. д., чтобы предотвратить атаку вредоносного ПО на ту же систему и оставить данные платежа открытыми для хакеров. Это похоже на то, как в наши дни делают большие (круизные) лодки — есть переборки для удержания воды в случае удара / аварии, чтобы вся лодка не затопила.Если хакер ограничен одной областью, он не получит вторую победу, просто проникнув в сеть со стороны электронной почты с попытками фишинга с помощью социальной инженерии и т. д. Это лишь некоторые из способов, которыми предприятия могут быть более безопасными, помимо простого завершения анкеты для самооценки или сканирование, выполненное поставщиком средств безопасности, потому что эти варианты не всегда выявляют проблемные области, как мы снова и снова видели с этими крупными взломами.


Эллен Каннингем

@CardFellow

Эллен Каннингем — менеджер по маркетингу CardFellow, торговой площадки для сравнения процессоров кредитных карт.Ей нравится объяснять сложные темы, что делает ее идеально подходящей для обработки кредитных карт, и она твердо верит в миссию CardFellow по расширению прав и возможностей владельцев бизнеса посредством образования.

«Соответствие требованиям PCI можно условно разделить на 6 «категорий» с шагами в каждой категории…» обзор уровня.

Шесть основных областей соответствия: наличие безопасной сети обработки, защита данных держателей карт, защита систем от вредоносных программ, использование жестких мер контроля доступа, мониторинг и тестирование сетей, а также создание политики информационной безопасности.

Наличие безопасной сети обработки включает в себя установку брандмауэров, изменение паролей по умолчанию на более безопасные параметры и обновление других параметров безопасности по умолчанию.

Защита данных держателей карт включает в себя шифрование данных во время передачи, а также соблюдение надлежащих процедур хранения карт. Большинство процессоров предлагают безопасное хранилище для хранения цифровых карт, чтобы помочь вам хранить данные на ваших серверах и поддерживать соответствие требованиям.

Защита систем от вредоносных программ включает в себя установку и регулярное обновление антивирусного программного обеспечения, а также устранение любых уязвимостей.

Использование строгих мер контроля доступа означает ограничение доступа сотрудников к информации о держателях карт и отслеживание того, кто имеет доступ к данным по уникальному идентификатору. Это также включает ограничение физического доступа к данным держателей карт.

Мониторинг и тестирование сетей включает в себя отслеживание персонала, имеющего доступ к данным о держателях карт в вашей сети, и того, что они делают с этими данными, а также тестирование ваших систем на наличие недостатков или уязвимостей в системе безопасности.

Создание политики информационной безопасности включает в себя четкое указание того, как ваша организация будет обращаться с PCI-DSS и какие сотрудники или поставщики несут ответственность за какие компоненты.


Джейк Поузи

@jacobposey

Джейк Поузи — генеральный директор Prepaid Program Management LLC. Его компания обучает финтех-компаний и предпринимателей запускать программы предоплаченных карт. Джейк также является ведущим инструктором Prepaid Academy, которая предлагает предоплаченное обучение по соблюдению требований, ИТ и PCI.

«Есть три области, на которых я рекомендую компаниям сосредоточиться…»

Первая — это мини-аудит. Я видел слишком много менеджеров предоплаченных программ, которые ждали, пока их аудиторы собираются провести ежегодную проверку, прежде чем сканировать свои системы. для соблюдения.Конечно, эти компании находятся в довольно хорошей форме, но все может выйти из-под контроля, если в течение года выпускается несколько релизов. В результате, однако, необходимо посвятить весь цикл выпуска требованиям PCI вместо запуска новых продуктов, которые увеличат доходы. Компании должны проводить мини-аудит после каждого релиза. Каждая из этих областей может быть сосредоточена на различных областях соответствия PCI. Это само по себе предотвратит монополизацию всего выпуска элементами PCI.

Во-вторых, компании должны уделять больше внимания ограничению доступа для своих сотрудников. Многие финтех-компании сегодня заполнены рок-звездами, которые могут выполнять множество задач. Однако у каждой рок-звезды есть определенный круг обязанностей. Его или ее доступ должен быть ограничен порученной им работой, а не работой, которую он мог бы выполнять. В одном случае я видел, как программист подвергал компанию потенциальным убыткам в размере 900 миллионов долларов, потому что он проводил тестирование в производственной среде, а не в UAT. Кроме того, компаниям необходимо разработать надежные процедуры аудита, чтобы закрыть доступ для сотрудников и подрядчиков после того, как они покинут компанию.

И наконец, инвестиции в отраслевое обучение. PCI охватывает индустрию платежей, но эта отрасль многогранна и сложна. Существуют разные сценарии, которые необходимо учитывать банку, соответствующему требованиям PCI, и финтех-компании, которая должна соответствовать требованиям PCI. Тем не менее, большинство тренировок относится ко всем одинаково. Компаниям необходимо вкладывать средства в обучение, соответствующее их нише и демонстрирующее соответствующие примеры. В противном случае вы рискуете, что сотрудник будет спешить с обучением вместо того, чтобы обдумать его.


Эвалдас Александр

@rankpay

Эвальдас Александр является техническим директором RankPay, высокорейтингового SEO-сервиса, который помогает тысячам малых предприятий повышать рейтинг.

«Соответствие стандарту PCI-DSS включает несколько разных анкет самооценки (SAQ), которым необходимо следовать, чтобы соответствовать требованиям…» для того, чтобы иметь право на соответствие в рамках кратчайшего возможного SAQ.Например, в одном SAQ всего 13 требований, а в другом SAQ более 200! Когда дело доходит до выполнения таких требований, у вас должны быть соответствующие политики и процедуры, задокументированные в вашей внутренней вики. Проводите регулярные проверки, чтобы убедиться, что сотрудники работают в соответствии с параметрами, указанными в выбранном вами SAQ. Например, ни один представитель службы поддержки клиентов не может обновить кредитную карту в файле от имени клиента, если вы соответствуете требованиям спецификации SAQ A.


Дмитрий Лановский

@intellias

Сотрудник (CISSP) в одном из клиентских проектов Intellias.

«Наилучшие методы обеспечения соответствия требованиям PCI-DSS включают…»

1. Прежде всего, вам необходимо назначить ответственного за процесс обеспечения соответствия. Как правило, это должен быть эксперт по безопасности с соответствующим опытом координации деятельности по обеспечению безопасности.

2. Вы должны начать создавать свою архитектуру с учетом требований PCI-DSS.

3. Проведите углубленную оценку рисков, чтобы определить потребности в безопасности.

4. Обеспечить заказное и автоматизированное управление системами мониторинга.

5. Обнаружение и быстрое реагирование на проблемы контроля безопасности.

6. Разработайте показатели производительности для измерения успехов и неудач.

7. Будьте готовы подготовить кучу документации для сертификации PCI-DSS с нуля и гарантировать постоянное соответствие.

8. Список документации о вашей компании и услугах, которую вам необходимо подготовить, включает:

  • Политика защиты от вирусов
  • Политика данных держателей карт
  • Политика межсетевого экрана и маршрутизатора
  • Политика информационной безопасности
  • Политика физической безопасности паролей
  • 2
  • Политика
  • Политика конфигурации системы
  • Политика мониторинга и ведения журналов
  • Процедура тестирования систем и процессов
  • Политика управления инцидентами информационной безопасности
  • Политика инвентаризации и владения активами
  • Политика программного обеспечения для разработки приложений и систем
  • Управление услугами
  • Политика контроля доступа
  • Программа повышения осведомленности об информационной безопасности
  • Заявление о политике ответственности за информационную безопасность
  • Шаблон индивидуального пользовательского соглашения
  • Политика классификации данных
  • Политика защиты данных
  • Управление данными Политика

9.Вы должны соблюдать стандарты PCI-DSS ежедневно, даже после успешного аудита.

10. Учитывайте стандартную позицию CISSP по контролю за всеми действиями по обеспечению безопасности.


Джеффри Скотт

@PayMotile

Джеффри Скотт — консультант по платежам в PayMotile.com, где он ежедневно сотрудничает с предприятиями, чтобы связать их с платежной системой, наиболее подходящей для удовлетворения их конкретных потребностей.

«Соответствие стандарту PCI-DSS является стандартной практикой для платежных систем…»

Предприятия, плохо знакомые с миром карточных транзакций, могут столкнуться с трудностями при соблюдении требований, если они не подготовились сами. Вот несколько рекомендаций для предприятий, стремящихся соответствовать стандартам PCI-DSS:

1. Свести к минимуму (или устранить) данные, которые вы собираете от клиентов.

Чем больше данных вы собираете, тем тщательнее вы будете подвергаться проверке. Например, предприятия электронной коммерции, которые собирают и хранят пользовательские данные, должны заполнить надежный вопрос из 326. Форма версии PCI SAQ (анкета для самооценки).Для компаний, которые предоставляют такой сбор данных третьей стороне, соблюдение требований является более простым (и SAQ намного более лаконичен).

Не говоря уже о том, что с учетом GDPR сбор данных становится все более сложным, чем когда-либо. Рекомендуется ограничивать такие действия и внимательно следить за ними, чтобы уменьшить ответственность вашей компании в случае нарушения (или судебного иска).

2. Свяжитесь с вашим платежным оператором.

Несмотря на то, что ваше соответствие PCI-DSS регулируется стандартным набором правил, ваш платежный процессор может иметь дополнительные меры соответствия, которым вам необходимо будет следовать.Если вы сомневаетесь, свяжитесь с ними. Получайте явное подтверждение всякий раз, когда вы не уверены в чем-либо, связанном с соблюдением требований. Разногласия между вами и вашим провайдером приведут только к головной боли для обеих сторон.


МакКолл Робисон

@BestCompanyUSA

МакКолл Робисон — специалист по контенту BestCompany.com. Она также ведет блог Merchant Accounts.

«Некоторые люди не понимают, что соответствие стандарту PCI-DSS…»

Это не разовая сделка; это непрерывный процесс.Чтобы убедиться, что ваш бизнес соответствует стандартам PCI-DSS, вы должны периодически выполнять три шага: оценивать, исправлять и сообщать.

Вы должны постоянно оценивать и анализировать стандарты PCI-DSS, чтобы убедиться, что вы их соблюдаете. Если вы не полностью соблюдаете требования, вы должны исправить все недостатки и устранить эти уязвимости. После этого вы должны составить отчет об этом исправлении и предоставить новое заявление о соответствии вашему банку-эквайеру, а также бренду вашей платежной карты.


Грегори Моравиц

@SinglePointOC

Грегори — вице-президент по операциям в Единой точке контакта. Он специалист по ИТ-безопасности с более чем двадцатилетним опытом работы в области сетей и безопасности. Он работал с сотнями фирм над улучшением ИТ-среды, консультированием и интеграцией технологий для корпоративной сети.

«Наилучшие методы обеспечения соответствия требованиям PCI-DSS заключаются в следующем…»

Построить и поддерживать безопасную сеть с помощью систем, защищающих данные держателей карт; иметь программу управления уязвимостями и внедрить систему контроля доступа; контролировать и тестировать сети, а также иметь политику информационной безопасности.Имейте все это в наличии, чтобы показать аудитору или для собственного внутреннего обзора.​


Кармине Мастропьерро

@mastro_digital

Кармине Мастропьеро — владелец цифрового агентства, трех компаний, занимающихся аффилированным маркетингом, и автор, публикующийся самостоятельно. Он писал для GQ Magazine, Postmates, Marketo и других.

«Для соответствия требованиям PCI-DSS…»

Владельцы бизнеса должны сначала убедиться, что на их веб-сайте используется сертификат SSL.Это обеспечивает дополнительный уровень безопасности для клиентов и требуется основными платежными шлюзами. Он также обеспечивает страховку для конечных пользователей, если какие-либо деньги будут потеряны во время оплаты. Во-вторых, наличие политик и процедур безопасности обеспечит дополнительную безопасность данных клиентов. В-третьих, требованием соответствия PCI является обновленная система. Базы данных, браузеры, брандмауэры и другие важные компоненты должны быть современными и поддерживаться в актуальном состоянии.


Чад Рейд

@JotForm

Чад Рейд является директором по коммуникациям в JotForm, ПО для форм, совместимом с PCI-DSS Service Provider Level One.

«Я думаю, что одним из наиболее важных аспектов соответствия требованиям PCI-DSS для поставщика услуг является…»

Получение наилучшей оценки безопасности третьей стороной. Когда вы объясняете своим клиентам, что вы полностью соответствуете требованиям, вы должны предоставить им весомые доказательства. Наличие первоклассной оценки безопасности имеет большое значение. Профессиональная оценка безопасности в любом случае важна для вашей компании, но наличие хорошей оценки может показать вашим клиентам, что вы действительно серьезно относитесь к безопасности.


Майк Муд

@LamoodBigHats

Майк Муд — основатель Lamood Big Hats и WalletGear. Lamood Big Hats производит шляпы для больших голов, выходящие за рамки кепок одного размера на все случаи жизни. В WalletGear есть мужские кошельки, вкладыши для кошельков, держатели кредитных карт, зажимы для денег и многое другое.

«Одним из лучших способов обеспечения соответствия стандарту PCI-DSS является…»

Никогда не храните информацию о кредитных картах на своих серверах. Используйте сторонний платежный процессор, который уже совместим с PCI, например Paypal, Authorize.net и т. д. Соответствие PCI не только гарантирует безопасность кредитных карт, но и проверяет другие возможные уязвимости на вашем сервере. Вам нужно будет убедиться, что ваш брандмауэр защищает ваши порты и что вы используете правильные порты для таких элементов, как исходящие электронные письма с подтверждением заказа.

Вам также необходимо будет провести самооценку своих внутренних бизнес-политик, таких как безопасность приложений. Вам нужно будет убедиться, что ваше программное обеспечение электронной коммерции обновлено с последними исправлениями.Если у вас есть физический розничный магазин, вам необходимо убедиться, что ваша POS-система изолирована от вашего Wi-Fi, и вести список точек беспроводного доступа. Если вы храните данные о клиентах, вам также потребуется настроить физическую безопасность.


Ильми Шам Ку

@BlueLinkERP

Ильми Шам Ку — координатор контент-маркетинга в Blue Link ERP.

«Все больше и больше предприятий розничной торговли начинают…»

Принимайте платежи по кредитным картам от своих клиентов как онлайн, так и офлайн.Предприятия несут ответственность за соблюдение стандартов PCI-DSS для обеспечения безопасности информации о картах своих клиентов. Это включает в себя внедрение процессов и программного обеспечения для надлежащего управления данными о держателях карт, обновление программ брандмауэра и защиты от вирусов, а также надлежащее обучение сотрудников стандартам соответствия. Соответствие — это больше, чем просто соблюдение отраслевых норм; это также поможет вам завоевать доверие ваших клиентов и предоставить различные варианты оплаты, чтобы оставаться конкурентоспособными. Если ваша компания работает с информацией о держателях карт, важно убедиться, что у вас есть система для защиты этих данных.Тем не менее, может быть трудно преодолеть некоторые проблемы, связанные с этим:

  • Привычка сотрудников: сотрудники могут помещать информацию о кредитной карте в незашифрованные поля просто по привычке или потому, что у них нет легкого доступа к зашифрованной базе данных. для сохранения информации в
  • Миграция данных: перенос всей информации о кредитных картах, которую ваша компания хранит в незашифрованных полях, в безопасную базу данных может быть трудоемким и утомительным процессом миграции данных

В такой ситуации менеджеры должны внедрить надлежащие процессы для приема информации о кредитных картах, сотрудники должны быть обучены соблюдению требований PCI Compliance, а любое бухгалтерское программное обеспечение или программы, используемые для хранения данных карты, должны предоставлять зашифрованные базы данных.Некоторые компании могут практиковать соблюдение, поддерживая безопасную бумажную заблокированную файловую систему номеров счетов. Однако сотрудники часто игнорируют эти правила в своей повседневной жизни, так как это может занять много времени. Лучшее решение — внедрить надлежащее бухгалтерское программное обеспечение, которое включает полностью отдельные зашифрованные базы данных для хранения такого рода конфиденциальной информации о держателях карт. Внедрение надлежащей системы потребует передачи всей информации о кредитных картах, которую ваша компания ранее хранила в незашифрованных полях, в защищенную базу данных.Поиск системы с консультантами, которые хорошо разбираются в этой области, поможет сделать настройку и процесс переноса данных более плавным.

Защита конфиденциальных данных о держателях карт — это лишь один из важных аспектов достижения полного соответствия стандартам PCI-DSS, который следует рассматривать и пересматривать вместе со всеми другими требованиями на регулярной основе. Если вы каждый год будете активно следить за тем, чтобы ваш бизнес соответствовал правильным стандартам PCI-DSS, это сэкономит время и деньги вашей компании на решение любых проблем с соблюдением требований, сделает ваших клиентов счастливыми, зная, что их данные в безопасности, и поможет вашему бизнесу оставаться конкурентоспособным.

Теги: Защита данных 101

Руководство по соответствию PCI Часто задаваемые вопросы

Нажмите на ссылки ниже, чтобы найти ответы на часто задаваемые вопросы.


Q1: Что такое PCI?

A: Стандарт безопасности данных индустрии платежных карт (PCI DSS) представляет собой набор стандартов безопасности, разработанных для обеспечения того, чтобы ВСЕ компании, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах, поддерживали безопасную среду.

Совет по стандартам безопасности индустрии платежных карт (PCI SSC) был создан 7 сентября 2006 г. для управления продолжающейся эволюцией стандартов безопасности индустрии платежных карт (PCI) с акцентом на повышение безопасности платежных счетов на протяжении всего процесса транзакции.PCI DSS администрируется и управляется PCI SSC (www.pcisecuritystandards.org), независимым органом, созданным основными брендами платежных карт (Visa, MasterCard, American Express, Discover и JCB). Важно отметить, что платежные бренды и эквайеры несут ответственность за соблюдение требований, а не совет PCI. Копия стандарта PCI DSS доступна здесь.

Наверх


Q2: К кому применяется стандарт PCI DSS?

A: PCI DSS применяется к ЛЮБОЙ организации, независимо от размера или количества транзакций, которая принимает, передает или хранит любые данные о держателях карт.

Наверх


В3: Где я могу найти Стандарт безопасности данных PCI (PCI DSS)?

A: Текущие документы PCI DSS можно найти на веб-сайте Совета по стандартам безопасности PCI.

Наверх


Q4: Что такое «уровни» соответствия PCI и как они определяются?

A: Все продавцы попадут в один из четырех уровней продавцов в зависимости от объема транзакций Visa за 12-месячный период.Объем транзакций основан на совокупном количестве транзакций Visa (включая кредитные, дебетовые и предоплаченные) от продавца, ведущего бизнес как («DBA»). В случаях, когда торговая корпорация имеет более одного DBA, эквайеры Visa должны учитывать совокупный объем транзакций, хранимых, обрабатываемых или передаваемых юридическим лицом, чтобы определить уровень проверки. Если данные не агрегированы, то есть юридическое лицо не хранит, не обрабатывает и не передает данные о держателях карт от имени нескольких администраторов баз данных, эквайеры будут продолжать учитывать объем транзакций отдельного администратора баз данных для определения уровня проверки.

Уровни продавца согласно Visa:

Уровень продавца Описание
1 Любой продавец — независимо от канала приема — обрабатывает более 6 миллионов транзакций Visa в год. Любой продавец, которого Visa по своему усмотрению определяет, должен соответствовать требованиям продавца Уровня 1, чтобы свести к минимуму риск для системы Visa.
2 Любой продавец — независимо от канала приема — обрабатывает от 1 до 6 миллионов транзакций Visa в год.
3 Любой продавец, обрабатывающий от 20 000 до 1 млн транзакций электронной коммерции Visa в год.
4 Любой продавец, обрабатывающий менее 20 000 транзакций электронной коммерции Visa в год, а все остальные продавцы — независимо от канала приема — обрабатывающие до 1 млн транзакций Visa в год.

* Любой продавец, пострадавший от взлома, который привел к компрометации данных учетной записи, может быть переведен на более высокий уровень проверки.

Наверх


В5. Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI DSS?

A: Чтобы выполнить требования PCI, продавец должен выполнить следующие шаги:

  • Определите, какой опросный лист для самооценки (SAQ) должен использовать ваш бизнес для подтверждения соответствия требованиям. См. таблицу ниже, чтобы помочь вам выбрать. (Нажмите на таблицу, чтобы увеличить.)
  • Заполните Анкету самооценки в соответствии с содержащимися в ней инструкциями.
  • Завершите и получите подтверждение прохождения сканирования уязвимостей с помощью утвержденного PCI SSC поставщика сканирования (ASV). Примечание. Сканирование распространяется не на всех продавцов. Он требуется для SAQ A-EP, SAQ B-IP, SAQ C, SAQ D-Merchant и SAQ D-Service Provider.
  • Полностью заполните соответствующую аттестацию соответствия (находится в инструменте SAQ).
  • Отправьте SAQ, подтверждение прохождения сканирования (если применимо) и Аттестацию соответствия вместе с любой другой запрошенной документацией вашему эквайеру.

Прочтите нашу запись в блоге «Основы PCI/Краткое руководство — что нужно делать мелким торговцам для достижения соответствия требованиям PCI?»

Наверх


Q6: Как прием кредитных карт по телефону работает с PCI?

A: Следующий пост «Как работает прием кредитных карт по телефону с PCI?» объясняет ваши обязанности по соблюдению требований PCI при получении информации о кредитной карте по телефону (например, в колл-центре). Обратите внимание, что, хотя этот пост был опубликован в 2014 году, он по-прежнему актуален для текущей версии PCI DSS .

Наверх


В7: Если я принимаю кредитные карты только по телефону, распространяется ли на меня стандарт PCI DSS?

А: Да. Все предприятия, которые хранят, обрабатывают или передают данные о держателях платежных карт, должны соответствовать стандарту PCI.

Наверх


В8. Должны ли организации, использующие сторонние процессоры, соответствовать стандарту PCI DSS?

А: Да. Простое использование сторонней компании не исключает компанию из-под действия стандарта PCI DSS.Это может снизить их подверженность риску и, следовательно, уменьшить усилия по проверке соблюдения требований. Однако это не означает, что они могут игнорировать PCI DSS.

Наверх


В9. У моей компании несколько офисов. Нужно ли в каждом из них подтверждать соответствие стандарту PCI?

A: Если ваши офисы работают с одним и тем же ИНН, то, как правило, вам требуется подтверждать только один раз в год для всех местоположений. Кроме того, ежеквартально отправляйте сканирование сети утвержденным поставщиком сканирования (ASV) PCI SSC для каждого местоположения, если это применимо.

Наверх


Q10: Мы занимаемся только электронной коммерцией. Какой SAQ мы должны использовать?

A: Это зависит от того, как настроена ваша корзина. См. PCI SAQ 3.1: Объяснение вариантов электронной коммерции.

Наверх


В11. Моя компания не хранит данные кредитных карт, поэтому соответствие PCI на нас не распространяется, верно?

A: Если вы принимаете кредитные или дебетовые карты в качестве формы оплаты, к вам применяется соответствие требованиям PCI.Хранение данных карты сопряжено с риском, поэтому, если вы не храните данные карты, может быть проще обеспечить безопасность и соответствие требованиям.

Наверх


В12. Подпадают ли операции с дебетовыми картами под действие PCI?

A: Карты, входящие в сферу охвата, включают любые дебетовые, кредитные и предоплаченные карты с одним из пяти логотипов ассоциаций/брендов карт, которые участвуют в PCI SSC — American Express, Discover, JCB, MasterCard и Visa International. .

Наверх


Q13: Соответствую ли я стандарту PCI, если у меня есть SSL-сертификат?

А: №SSL-сертификаты не защищают веб-сервер от вредоносных атак или вторжений. SSL-сертификаты высокой надежности обеспечивают первый уровень безопасности и уверенности клиентов, как показано ниже, но есть и другие шаги для достижения соответствия PCI. См. вопрос «Что должен сделать малый и средний бизнес (торговец уровня 4), чтобы соответствовать требованиям PCI?»

  • Безопасное соединение между браузером клиента и веб-сервером
  • Подтверждение того, что операторы веб-сайта являются законной, юридически подотчетной организацией

См. соответствующую запись в блоге «PCI DSS v3.1 и SSL: что вам следует делать СЕЙЧАС».
Вернуться к началу


Q14: Моя компания хочет сохранить данные кредитной карты. Какие методы мы можем использовать?

A: Большинство продавцов, которым необходимо хранить данные кредитных карт, делают это для регулярного выставления счетов. Лучший способ сохранить данные кредитной карты для регулярного выставления счетов — использовать стороннее хранилище кредитных карт и поставщика токенизации. При использовании хранилища данные карты удаляются из вашего владения, и вам возвращается «токен», который можно использовать для периодического выставления счетов.Используя третью сторону, вы перекладываете риск хранения данных карты на того, кто специализируется на этом и имеет все средства контроля безопасности для обеспечения безопасности данных карты.

Если вам нужно хранить данные карты самостоятельно, ваша планка для самооценки очень высока, и вам может потребоваться пригласить QSA (квалифицированный оценщик безопасности) на место и провести аудит, чтобы убедиться, что у вас есть все средства контроля. необходимо для соответствия спецификациям PCI DSS.

См. соответствующую публикацию в блоге «Можем ли мы безопасно хранить данные карты для регулярного выставления счетов?»

Наверх


В15: Какие санкции предусмотрены за несоблюдение требований?

A: Платежные бренды могут по своему усмотрению оштрафовать банк-эквайер на сумму от 5 000 до 100 000 долларов США в месяц за нарушение требований PCI.Банки, скорее всего, пропустят этот штраф, пока он в конечном итоге не попадет на продавца. Кроме того, банк также, скорее всего, либо разорвет ваши отношения, либо повысит комиссию за транзакцию. Штрафы не обсуждаются открыто и не афишируются, но они могут иметь катастрофические последствия для малого бизнеса. Важно ознакомиться с соглашением об учетной записи продавца, в котором должны быть изложены ваши риски.

Узнайте больше о штрафах за несоблюдение требований в нашем блоге «Как ваши усилия по соблюдению требований PCI могут в конечном итоге сэкономить деньги вашего бизнеса?»

Наверх


Q16: Что определяется как «данные держателя карты»?

A: Совет по стандартам безопасности PCI (SSC) определяет «данные держателя карты» как полный основной номер счета (PAN) или полный PAN вместе с любым из следующих элементов:

  • Имя держателя карты
  • Срок годности
  • Сервисный код

Конфиденциальные данные аутентификации, которые также должны быть защищены, включают полные данные магнитной полосы, CAV2, CVC2, CVV2, CID, PIN-коды, блоки PIN-кодов и многое другое.

Наверх


Вопрос 17. Что означает термин «торговец»?

A: В соответствии с PCI DSS продавцом считается любое лицо, принимающее в качестве оплаты платежные карты с логотипами любого из пяти членов PCI SSC (American Express, Discover, JCB, MasterCard или Visa). на товары и/или услуги. Обратите внимание, что торговец, который принимает платежные карты в качестве оплаты товаров и/или услуг, также может быть поставщиком услуг, если проданные услуги приводят к хранению, обработке или передаче данных держателя карты от имени других торговцев или поставщиков услуг.Например, интернет-провайдер является продавцом, который принимает платежные карты для ежемесячного выставления счетов, но также является поставщиком услуг, если он принимает продавцов в качестве клиентов. Источник: PCI SSC

.

Наверх


Q18: Что представляет собой поставщик услуг?

A: PCI SSC определяет поставщика услуг следующим образом:
«Коммерческая организация, не являющаяся платежным брендом, непосредственно участвующая в обработке, хранении или передаче данных о держателях карт. Сюда также входят компании, предоставляющие услуги, которые контролируют или могут повлиять на безопасность данных держателей карт.(Источник: www.pcisecuritystandards.org)

Роль «продавца как поставщика услуг» далее определяется PCI SSC как «продавец, который принимает платежные карты в качестве оплаты за товары и/или услуги… если проданные услуги приводят к хранению, обработке или передаче данных держателей карт от имени других продавцов или поставщиков услуг». Узнайте больше о том, как обеспечить соответствие требованиям в качестве поставщика услуг. См. запись в нашем блоге «Соответствие требованиям PCI и поставщик услуг».

Наверх


Q19: Что такое платежное приложение?

A: Что представляет собой платежное приложение с точки зрения соответствия PCI? Термин «платежное приложение» имеет очень широкое значение в PCI.Платежное приложение — это все, что хранит, обрабатывает или передает данные карты в электронном виде. Это означает, что все, от системы точек продаж (например, считывающих терминалов Verifone, терминалов ALOHA и т. д.) в ресторане до корзины для покупок на веб-сайте (например, CreLoaded, osCommerce и т. д.), классифицируется как платежные приложения. Поэтому любое программное обеспечение, предназначенное для работы с данными кредитных карт, считается платежным приложением.

Наверх


Q20: Что такое платежный шлюз?

A: Платежные шлюзы соединяют продавца с банком или процессором, который выступает в качестве интерфейсного соединения с брендами карт.Их называют шлюзами, потому что они принимают множество входных данных от различных приложений и направляют эти входные данные в соответствующий банк или процессор. Шлюзы обмениваются данными с банком или процессором, используя коммутируемые соединения, веб-соединения или частные выделенные линии.

Наверх


Q21: Что такое PA-DSS?

A: PA-DSS — это стандарт безопасности данных платежных приложений, поддерживаемый Советом по стандартам безопасности PCI (SSC) для решения критической проблемы безопасности платежных приложений.Требования стандарта PA-DSS предназначены для обеспечения того, чтобы поставщики предоставляли продукты, поддерживающие усилия продавцов по соблюдению требований PCI DSS и отказу от хранения конфиденциальных данных держателей карт.

PCI SSC администрирует программу проверки платежных приложений на соответствие требованиям PA-DSS, а также публикует и ведет список приложений, прошедших проверку PA-DSS. Дополнительную информацию см. в Стандартах безопасности PCI. Также см. статью в нашем блоге о критической разнице между PCI DSS и PA-DSS здесь.

Наверх


В22. Можно ли указать полный номер кредитной карты на копии квитанции для покупателя?

A: Требование 3.3 PCI DSS гласит: «Маска PAN при отображении (первые шесть и последние четыре цифры — максимальное количество отображаемых цифр)». Хотя это требование не запрещает печатать полный номер карты или дату истечения срока действия на квитанциях (как на копии для продавца, так и на копии для потребителя), обратите внимание, что PCI DSS не имеет приоритета над любыми другими законами, определяющими, что может быть напечатано на квитанциях (например, У.S. Закон о честных и точных кредитных сделках (FACTA) или любые другие применимые законы).

См. примечание, выделенное курсивом, к требованию 3.3 PCI DSS «Примечание. Это требование не отменяет более строгих требований к отображению данных о держателях карт — например, юридических требований или требований к бренду платежной карты для чеков в точках продаж (POS). Любые бумажные квитанции, хранящиеся у продавцов, должны соответствовать PCI DSS, особенно требованию 9, касающемуся физической безопасности». Источник: PCI SSC

.

Наверх


Вопрос 23. Нужно ли мне сканирование уязвимостей для подтверждения соответствия требованиям?

A: Если вы имеете право на участие в определенных опросниках для самооценки (SAQ) или вы храните данные о держателях карт в электронном виде после авторизации, то для обеспечения соблюдения требований требуется ежеквартальное сканирование утвержденным поставщиком услуг сканирования (ASV) PCI SSC.Если вы соответствуете любому из следующих SAQ версии 3.x стандарта PCI DSS, вам необходимо пройти успешное сканирование ASV:

.
  • SAQ A-EP
  • SAQ B-IP
  • SAQ С
  • SAQ D-торговец
  • SAQ D-Service Provider

Наверх


Вопрос 24. Что такое сканирование уязвимостей?

A: Сканирование уязвимостей включает в себя автоматизированный инструмент, который проверяет системы продавца или поставщика услуг на наличие уязвимостей.Инструмент будет проводить ненавязчивое сканирование для удаленного просмотра сетей и веб-приложений на основе адресов внешнего интернет-протокола (IP), предоставленных продавцом или поставщиком услуг. Сканирование выявляет уязвимости в операционных системах, службах и устройствах, которые хакеры могут использовать для атаки на частную сеть компании. Согласно утвержденным поставщикам сканирования (ASV), таким как ControlScan, сканирование не требует от продавца или поставщика услуг установки какого-либо программного обеспечения на свои системы, и атаки типа «отказ в обслуживании» выполняться не будут.Узнайте больше о сканировании уязвимостей здесь.

Наверх


Вопрос 25. Как часто мне нужно проводить сканирование на наличие уязвимостей?

A: Каждые 90 дней/один раз в квартал те, кто соответствует вышеперечисленным критериям, должны пройти проходное сканирование. Продавцы и поставщики услуг должны представить документацию о соответствии (отчеты об успешном сканировании) в соответствии с графиком, установленным их эквайером. Сканирование должно проводиться одобренным PCI SSC поставщиком услуг сканирования (ASV), таким как ControlScan.

См. соответствующую публикацию в блоге «Внутреннее и внешнее сканирование уязвимостей: почему вам нужно и то, и другое».

Наверх


Q26: Что делать, если мой бизнес отказывается сотрудничать?

A: PCI сам по себе не является законом. Стандарт был создан основными карточными брендами Visa, MasterCard, Discover, AMEX и JCB. По усмотрению своих эквайеров/поставщиков услуг, продавцы, которые не соблюдают PCI DSS, могут быть оштрафованы, расходы на замену карты, дорогостоящие судебные проверки, ущерб бренду и т. д., если произойдет событие нарушения.

Небольшие первоначальные усилия и затраты на обеспечение соответствия стандарту PCI DSS помогут значительно снизить риск возникновения этих чрезвычайно неприятных и дорогостоящих последствий. Узнайте, как ControlScan помогает упростить стандарт PCI DSS.

Наверх


В27. Если я веду бизнес из дома, могу ли я стать серьезной мишенью для хакеров?

А: Да. Домашние пользователи, возможно, наиболее уязвимы просто потому, что они обычно плохо защищены.Применяя модель «пути наименьшего сопротивления», злоумышленники часто сосредотачиваются на домашних пользователях, часто используя их постоянно активные широкополосные соединения и типичные домашние программы, такие как чат, интернет-игры и приложения для обмена файлами P2P. Служба сканирования ControlScan позволяет домашним пользователям и сетевым администраторам выявлять и устранять любые уязвимости в системе безопасности на своих настольных или портативных компьютерах.

См. соответствующую публикацию в блоге «5 передовых методов обеспечения безопасности малого бизнеса».

Наверх


Q28: Что делать, если меня взломали?

A: Несмотря на то, что многие утечки данных платежных карт легко предотвратить, они все еще могут происходить и происходят в компаниях любого размера.

Если ваш малый или средний бизнес обнаружил взлом, есть много полезных ресурсов, которые помогут вам сделать следующие шаги. Мы рекомендуем следующее:

Наверх


Вопрос 29. Есть ли в штатах законы, требующие уведомления пострадавших сторон об утечке данных?

О: Абсолютно. Калифорния является катализатором для сообщения об утечках данных затронутым сторонам. Штат ввел свой закон об уведомлении о нарушениях в 2003 году, и теперь почти в каждом штате действует аналогичный закон.

По состоянию на 12 апреля 2017 г., NCSL.org сообщает: Сорок восемь штатов, округ Колумбия, Гуам, Пуэрто-Рико и Виргинские острова приняли законы, требующие от частных, государственных или образовательных учреждений уведомлять лиц о нарушениях безопасности информации, связанных с личную информацию.

Наверх

Каковы 12 требований соответствия PCI DSS?

Стандарт безопасности данных индустрии платежных карт (PCI DSS) требуется в соответствии с контрактом для тех, кто обрабатывает данные о держателях карт, независимо от того, являетесь ли вы стартапом или глобальным предприятием.Ваш бизнес всегда должен соответствовать требованиям, и ваше соответствие должно подтверждаться ежегодно. Обычно это предписано компаниями, выпускающими кредитные карты, и обсуждается в сетевых соглашениях о кредитных картах.

Совет по стандартам PCI (SSC) отвечает за разработку стандартов соответствия PCI. Его цель — помочь обезопасить и защитить всю экосистему платежных карт. Эти стандарты применяются к продавцам и поставщикам услуг, обрабатывающим платежные операции по кредитным/дебетовым картам.

Что такое соответствие PCI? Соответствие стандарту

индустрии платежных карт (PCI) требуется компаниями, выпускающими кредитные карты, для обеспечения безопасности транзакций по кредитным картам в индустрии платежей.Соответствие требованиям индустрии платежных карт относится к техническим и операционным стандартам, которым следуют компании для обеспечения безопасности и защиты данных кредитных карт, предоставляемых держателями карт и передаваемых посредством транзакций по обработке карт. Стандарты соответствия PCI разрабатываются и управляются Советом по стандартам безопасности PCI.

12 требований стандарта PCI DSS

Требования, установленные PCI SSC, являются как операционными, так и техническими, и основная цель этих правил всегда заключается в защите данных держателей карт.

12 требований PCI DSS:

  1. Установка и поддержание конфигурации брандмауэра для защиты данных держателей карт
  2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности
  3. Защита сохраненных данных держателей карт
  4. Шифровать передачу данных держателей карт через открытые общедоступные сети
  5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы
  6. Разработка и поддержка безопасных систем и приложений
  7. Ограничение доступа к данным о держателях карт по служебной необходимости
  8. Назначение уникального идентификатора каждому пользователю с доступом к компьютеру
  9. Ограничить физический доступ к данным держателей карт
  10. Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт
  11. Регулярно тестировать системы и процессы безопасности
  12. Поддерживать политику, касающуюся информационной безопасности для всего персонала

Прежде чем приступить к требованиям PCI DSS, вам также необходимо  узнать, как определить область применения PCI DSS.Крайне важно сократить объем аудита PCI DSS, поскольку это поможет снизить ваши расходы на соблюдение требований, операционные расходы и риски, связанные с взаимодействием с данными платежных карт.

Контрольный список требований соответствия PCI DSS
Загрузить сейчас
Требования

PCI DSS 12 представляют собой набор мер безопасности, которые предприятия должны внедрить для защиты данных кредитных карт и соблюдения Стандарта безопасности данных индустрии платежных карт (PCI DSS).

Требование 1 PCI DSS: установка и поддержание конфигурации брандмауэра для защиты данных держателей карт

Это первое требование гарантирует, что поставщики услуг и продавцы поддерживают безопасную сеть посредством правильной настройки брандмауэра, а также маршрутизаторов, если это применимо.Правильно настроенные брандмауэры защищают среду данных вашей карты. Брандмауэры ограничивают входящий и исходящий сетевой трафик с помощью правил и критериев, настроенных вашей организацией.

Брандмауэры

обеспечивают первую линию защиты вашей сети. Организации должны установить стандарты брандмауэров и маршрутизаторов, которые позволяют стандартизировать процесс разрешения или запрета правил доступа к сети. Правила конфигурации должны пересматриваться раз в два года и обеспечивать отсутствие небезопасных правил доступа, которые могут разрешить доступ к среде данных карты.

Требование 2 PCI DSS: не используйте значения по умолчанию, предоставленные поставщиком для системных паролей и других параметров безопасности

Он предназначен для защиты систем вашей организации, таких как серверы, сетевые устройства, приложения, брандмауэры, точки беспроводного доступа и т. д. Большинство операционных систем и устройств поставляются с заводскими настройками по умолчанию, такими как имена пользователей, пароли и другие небезопасные параметры конфигурации. Эти стандартные имена пользователей и пароли легко угадать, и большинство из них даже публикуются в Интернете.

Такие пароли по умолчанию и другие параметры безопасности недопустимы в соответствии с этим требованием. Это требование также требует инвентаризации всех систем, процедур настройки/укрепления. Эти процедуры необходимо выполнять каждый раз, когда в ИТ-инфраструктуру внедряется новая система.

 

Требование 3 стандарта PCI DSS: защита хранимых данных держателей карт

Это самое важное требование стандарта PCI. В соответствии с требованием 3 вы должны сначала знать все данные, которые вы собираетесь хранить в , а также их местонахождение и срок хранения.Все такие данные о держателях карт должны быть зашифрованы с использованием общепринятых алгоритмов (например, AES-256, RSA 2048), усечены, токенизированы или хешированы (например, SHA 256, PBKDF2). Наряду с шифрованием данных карты это требование также говорит о надежном процессе управления ключами шифрования PCI DSS.

Часто поставщики услуг или продавцы не знают, что они хранят незашифрованные номера основных счетов (PAN), и поэтому использование такого инструмента, как обнаружение данных карты, становится важным. Обратите внимание, что распространенными местами, где находятся данные карты, являются файлы журналов, базы данных, электронные таблицы и т. д.Это требование также включает правила отображения основных номеров счетов, например раскрытие только первых шести и последних четырех цифр.

 

Требование 4 стандарта PCI DSS: шифровать передачу данных о держателях карт через открытые общедоступные сети

Аналогично требованию 3, в этом требовании вы должны защитить данные карты при их передаче по открытой или общедоступной сети (например, Интернет, 802.11, Bluetooth, GSM, CDMA, GPRS). Вы должны знать, куда вы собираетесь отправлять/получать данные карты.В основном данные карты передаются платежному шлюзу, процессору и т. д. для обработки транзакций.

Киберпреступники потенциально могут получить доступ к данным держателей карт, когда они передаются по общедоступным сетям. Шифрование данных о держателях карт перед передачей с использованием защищенной версии протоколов передачи, таких как TLS, SSH и т. д., может снизить вероятность компрометации таких данных.

 

Требование 5 PCI DSS: Используйте и регулярно обновляйте антивирусное программное обеспечение или программы

Это требование направлено на защиту от всех типов вредоносных программ, которые могут поражать системы.Все системы, включая рабочие станции, ноутбуки и мобильные устройства, которые сотрудники могут использовать для доступа к системе как локально, так и удаленно, должны иметь развернутое антивирусное решение. Вы должны убедиться, что антивирусные программы или программы защиты от вредоносных программ регулярно обновляются для обнаружения известных вредоносных программ. Наличие обновленной программы защиты от вредоносных программ предотвратит заражение систем известными вредоносными программами.

Убедитесь, что антивирусные механизмы всегда активны, используют самые последние сигнатуры и создают проверяемые журналы.

 

Требование 6 стандарта PCI DSS. Разработка и поддержка безопасных систем и приложений

Важно определить и внедрить процесс, позволяющий выявлять и классифицировать риск уязвимостей безопасности в среде PCI DSS через надежные внешние источники. Организации должны ограничивать возможность эксплойтов, своевременно развертывая критические исправления. Пропатчить все системы в среде карточных данных, в том числе:

  • Операционные системы
  • Межсетевые экраны, маршрутизаторы, коммутаторы
  • Прикладное программное обеспечение
  • Базы данных
  • POS-терминалы

Кроме того, требуется определить и внедрить процесс разработки, включающий требования безопасности на всех этапах разработки.

Нужна помощь с внедрением PCI DSS? Наши QSA могут помочь.

 

Требование 7 PCI DSS. Ограничение доступа к данным о держателях карт в соответствии с бизнес-требованиями

Для реализации строгих мер контроля доступа поставщики услуг и продавцы должны иметь возможность разрешать или запрещать доступ к системам данных держателей карт. Это требование касается управления доступом на основе ролей (RBAC), которое предоставляет доступ к данным карты и системам по мере необходимости.

«Необходимо знать» — это фундаментальная концепция стандарта PCI DSS.Система контроля доступа (например, Active Directory, LDAP) должна оценивать каждый запрос, чтобы предотвратить раскрытие конфиденциальных данных тем, кому эта информация не нужна. У вас должен быть документированный список всех пользователей с их ролями, которым необходим доступ к среде карточных данных. Этот список должен содержать каждую роль, определение роли, текущий уровень привилегий, ожидаемый уровень привилегий и ресурсы данных для каждого пользователя для выполнения операций с данными карты.

 

Требование 8 стандарта PCI DSS: присваивайте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру

В соответствии с требованием 8 вы не должны использовать общих/групповых пользователей и пароли.Каждый авторизованный пользователь должен иметь уникальный идентификатор, а пароли должны быть достаточно сложными. Это гарантирует, что всякий раз, когда кто-то получает доступ к данным держателя карты, эта активность может быть отслежена до известного пользователя, и может поддерживаться подотчетность. Для всего неконсольного административного доступа (удаленный доступ) требуется двухфакторная авторизация.

 

Требование 9 PCI DSS: ограничение физического доступа к данным держателей карт

Это требование направлено на защиту физического доступа к системам с данными держателей карт.Без контроля физического доступа неавторизованные лица могут получить доступ к установке, чтобы украсть, отключить, прервать или уничтожить важные системы и данные держателей карт.

Требуется использование видеокамер/электронного контроля доступа для наблюдения за входными и выходными дверями физических мест, таких как центр обработки данных. Записи или журналы доступа персонала должны храниться не менее 90 дней. Вам необходимо реализовать процесс доступа, позволяющий различать авторизованных посетителей и сотрудников.Все съемные или портативные носители, содержащие данные о держателях карт, должны быть физически защищены. Нужно уничтожать все носители, когда бизнес уже не нужен.

 

Требование 10 стандарта PCI DSS. Отслеживание и мониторинг любого доступа к сетевым ресурсам и данным держателей карт

Уязвимости в физических и беспроводных сетях облегчают киберпреступникам кражу данных карт. Это требование требует, чтобы все системы имели правильную политику аудита и отправляли журналы на централизованный сервер системных журналов.Эти журналы необходимо просматривать не реже одного раза в день для выявления аномалий и подозрительных действий.

Инструменты безопасности и мониторинга событий (SIEM) могут помочь вам регистрировать системные и сетевые действия, отслеживать журналы и предупреждать о подозрительной активности. PCI DSS также требует, чтобы записи контрольного журнала соответствовали определенному стандарту в отношении содержащейся в них информации. Требуется синхронизация времени. Данные аудита должны быть защищены, и такие данные должны храниться не менее года.

 

Требование 11 PCI DSS: регулярно тестировать системы и процессы безопасности

Злоумышленники и исследователи постоянно обнаруживают уязвимости. Поэтому все системы и процессы необходимо регулярно тестировать, чтобы гарантировать поддержание безопасности.

Требуются следующие периодические действия:

  1. Ежеквартальное сканирование анализатора беспроводных сетей для обнаружения и идентификации всех авторизованных и неавторизованных точек беспроводного доступа.
  2. Все внешние IP-адреса и домены, представленные в CDE, должны сканироваться одобренным PCI поставщиком средств сканирования (ASV) не реже одного раза в квартал.
  3. Внутреннее сканирование уязвимостей должно проводиться не реже одного раза в квартал.
  4. Все внешние IP-адреса и домены должны проходить исчерпывающее тестирование на проникновение приложений и тестирование на проникновение в сеть не реже одного раза в год или после любого существенного изменения.

Мониторинг файлов тоже необходим. Каждую неделю система должна выполнять сравнение файлов, чтобы обнаруживать изменения, которые в противном случае могли бы остаться незамеченными.

 

Требование 12 стандарта PCI DSS: поддерживать политику, направленную на обеспечение информационной безопасности для всего персонала

Это последнее требование соответствия PCI, и оно посвящено основной цели PCI DSS по внедрению и поддержанию политики информационной безопасности для всех сотрудников и других соответствующих сторон. Политика информационной безопасности должна пересматриваться не реже одного раза в год и распространяться среди всех сотрудников, поставщиков/подрядчиков. Пользователи должны прочитать политику и принять ее.

Это требование также требует от вас выполнения:

  1. Ежегодная официальная оценка рисков, выявляющая критически важные активы, угрозы и уязвимости.
  2. Обучение пользователей
  3. Проверка биографических данных сотрудников
  4. Управление инцидентами

Все эти требования рассматриваются QSA и проверяется их адекватное выполнение.

Соблюдение стандарта

PCI DSS — непростая задача даже для компаний с самыми лучшими намерениями. Несмотря на сложность поддержания этого стандарта, преимущества того стоят.Несмотря на трудности, компаниям следует стремиться соблюдать PCI DSS, ведь несоблюдение может иметь серьезные последствия.

Чтобы обсудить ваши конкретные требования к аудиту PCI DSS или другие услуги по обеспечению безопасности, свяжитесь с нами здесь.

Satya Rane
ControlCase, CIO
PCI QSA, PA QSA, P2PE, CISSP, CEH, ASV, PCI SSF/SLC, 3DS QSA

Что такое PCI DSS | Уровни соответствия, сертификация и требования

Что такое PCI DSS

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это набор стандартов безопасности, разработанный в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express.Схема соответствия, регулируемая Советом по стандартам безопасности индустрии платежных карт (PCI SSC), направлена ​​на защиту транзакций по кредитным и дебетовым картам от кражи данных и мошенничества.

Хотя PCI SSC не имеет законных полномочий принуждать к соблюдению, это требование для любого бизнеса, который обрабатывает транзакции по кредитным или дебетовым картам. Сертификация PCI также считается лучшим способом защиты конфиденциальных данных и информации, тем самым помогая компаниям строить долгосрочные и доверительные отношения со своими клиентами.

Сертификация PCI DSS

Сертификация PCI

обеспечивает безопасность карточных данных в вашем бизнесе благодаря набору требований, установленных PCI SSC. К ним относятся ряд общеизвестных передовых практик, таких как:

  • Установка межсетевых экранов
  • Шифрование передачи данных
  • Использование антивирусного программного обеспечения

Кроме того, предприятия должны ограничивать доступ к данным держателей карт и контролировать доступ к сетевым ресурсам.

Безопасность, соответствующая стандарту PCI

, представляет собой ценный актив, который информирует клиентов о том, что с вашим бизнесом безопасно вести дела. И наоборот, цена несоблюдения требований, как в денежном, так и в репутационном выражении, должна быть достаточной, чтобы убедить любого владельца бизнеса серьезно относиться к безопасности данных.

Нарушение данных, раскрывающее конфиденциальную информацию о клиентах, может иметь серьезные последствия для предприятия. Нарушение может привести к штрафам со стороны эмитентов платежных карт, судебным искам, снижению продаж и серьезному ущербу для репутации.

После обнаружения нарушения компания может быть вынуждена прекратить прием транзакций по кредитным картам или быть вынуждена платить более высокие последующие сборы, чем первоначальная стоимость соблюдения требований безопасности. Инвестиции в процедуры безопасности PCI имеют большое значение для обеспечения того, чтобы другие аспекты вашей торговли были защищены от злоумышленников в Интернете.

×

Уровни соответствия стандарту PCI DSS

Соответствие

PCI разделено на четыре уровня в зависимости от ежегодного количества транзакций по кредитным или дебетовым картам, которые бизнес обрабатывает.Уровень классификации определяет, что предприятие должно делать, чтобы соответствовать требованиям.

  • Уровень 1 : Применяется к продавцам, которые ежегодно обрабатывают более шести миллионов реальных транзакций по кредитным или дебетовым картам. Раз в год они должны проходить внутренний аудит, проводимый уполномоченным аудитором PCI. Кроме того, раз в квартал они должны проходить сканирование PCI у утвержденного поставщика услуг сканирования (ASV).
  • Уровень 2 : Применяется к продавцам, ежегодно обрабатывающим от одного до шести миллионов реальных транзакций по кредитным или дебетовым картам.Они обязаны проходить оценку один раз в год, используя Анкету самооценки (SAQ). Кроме того, может потребоваться ежеквартальное сканирование PCI.
  • Уровень 3 : Применяется к продавцам, обрабатывающим от 20 000 до одного миллиона транзакций электронной торговли в год. Они должны пройти ежегодную оценку, используя соответствующий SAQ. Также может потребоваться ежеквартальное сканирование PCI.
  • Уровень 4 : Применяется к продавцам, обрабатывающим менее 20 000 транзакций электронной торговли в год, или к тем, которые обрабатывают до миллиона транзакций в реальном мире.Должна быть выполнена ежегодная оценка с использованием соответствующего SAQ, и может потребоваться ежеквартальное сканирование PCI.

Требования PCI DSS

PCI SSC изложил 12 требований по обработке данных держателей карт и обеспечению безопасности сети. Распределенные между шестью более широкими целями, все они необходимы для того, чтобы предприятие соответствовало требованиям.

Безопасная сеть

  1. Необходимо установить и поддерживать конфигурацию брандмауэра
  2. Системные пароли должны быть оригинальными (не предоставленными поставщиком)

Защита данных держателей карт

  1. Сохраняемые данные держателей карт должны быть защищены
  2. Передача данных о держателях карт через общедоступные сети должна быть зашифрована

Управление уязвимостями

  1. Необходимо использовать и регулярно обновлять антивирусное программное обеспечение
  2. Необходимо разрабатывать и поддерживать безопасные системы и приложения

Контроль доступа

  1. Доступ к данным о держателях карт должен быть ограничен бизнес-основой
  2. Каждому лицу, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор
  3. Физический доступ к данным держателей карт должен быть ограничен

Мониторинг и тестирование сети

  1. Доступ к данным держателей карт и сетевым ресурсам должен отслеживаться и контролироваться
  2. Системы и процессы безопасности должны регулярно тестироваться

Информационная безопасность

  1. Политика, касающаяся информационной безопасности, должна поддерживаться

Узнайте, как Imperva Data Security Solutions может помочь вам пройти сертификацию PCI DSS.

Совместимость с PCI и межсетевые экраны веб-приложений

С момента своего создания PCI DSS претерпел несколько итераций, чтобы не отставать от изменений в ландшафте онлайн-угроз. Хотя основные правила соответствия остались неизменными, периодически добавляются новые требования.

Одним из наиболее важных из этих дополнений было Требование 6.6, представленное в 2008 году. Оно было установлено для защиты данных от некоторых наиболее распространенных векторов атак на веб-приложения, включая SQL-инъекции, RFI и другие вредоносные входные данные.Используя такие методы, злоумышленники потенциально могут получить доступ к множеству данных, включая конфиденциальную информацию о клиентах.

Выполнение этого требования может быть достигнуто либо путем проверки кода приложения, либо путем внедрения брандмауэра веб-приложений (WAF).

Первый вариант включает ручную проверку исходного кода веб-приложения в сочетании с оценкой уязвимости безопасности приложения. Для проведения проверки требуется квалифицированный внутренний ресурс или третья сторона, а окончательное утверждение должно исходить от внешней организации.Кроме того, назначенный рецензент должен быть в курсе последних тенденций в области безопасности веб-приложений, чтобы обеспечить надлежащее устранение всех будущих угроз.

В качестве альтернативы предприятия могут защититься от атак на уровне приложений, используя WAF, развернутый между приложением и клиентами. WAF проверяет весь входящий трафик и отфильтровывает вредоносные атаки.

Наш облачный WAF, предлагаемый Imperva, блокирует атаки веб-приложений, используя ряд различных методологий безопасности, включая распознавание подписи и репутацию IP.Будучи полностью совместимым с требованием PCI Requirement 6.6, он может быть настроен и готов к использованию в течение нескольких минут.

Чтобы упростить соответствие требованиям, облачный WAF Imperva не требует дополнительных затрат на установку оборудования или управление. Это позволяет всем организациям — от крупных компаний до стартапов и малых и средних предприятий, которые могут не иметь необходимой инфраструктуры безопасности и персонала — оставаться защищенными и соответствовать стандарту PCI DSS.

Что такое соответствие PCI? Полное руководство

Итак, что такое PCI DSS?

PCI DSS означает стандарт безопасности данных индустрии платежных карт.Это набор средств контроля и обязательств для компаний любого размера, обрабатывающих информацию о кредитных картах, предназначенный для снижения вероятности компрометации данных карты. Проще говоря, PCI DSS указывает, как организации должны безопасно управлять номерами счетов кредитных карт и данными платежных карт, чтобы наилучшим образом защитить сбор, хранение и передачу данных держателей карт при транзакциях электронной коммерции. PCI DSS содержит 12 требований, которым должны соответствовать продавцы и поставщики услуг, чтобы работать с крупными компаниями, выпускающими кредитные карты.

Эти компании-эмитенты кредитных карт — American Express, Discover Financial Services, Visa, Mastercard и JCB International — разработали совет (PCS SSC), который создал набор стандартов безопасности данных (PCI DSS), чтобы помочь защитить данные платежных карт и предотвратить мошенничество с платежными картами. PCI SSC обеспечивает, поддерживает, развивает и продвигает эти стандарты безопасности. Они также предлагают продавцам и поставщикам услуг инструменты для внедрения стандартов PCI, такие как оценка и сканирование квалификаций, анкета для самооценки (SAQ), программы обучения и сертификации продукции.

Каковы преимущества соответствия PCI?

Хотя соответствие стандарту PCI DSS не является юридическим требованием, оно необходимо компаниям, решившим работать с любой крупной сетью платежных карт, например Visa или Mastercard. Несмотря на то, что PCI DSS может быть препятствием, соблюдение стандартов PCI не должно быть бременем. Если вы используете правильное решение для достижения этой цели, это бизнес-инвестиции с многочисленными преимуществами.

Достижение надлежащего уровня соответствия стандарту PCI DSS позволяет вашей компании:

  • Работа с платежными системами для создания онлайн-рынка.
  • Сотрудничайте с эмитентами карт, чтобы запустить собственную платежную карту.
  • Настройте себя на более легкое соблюдение других стандартов соответствия, таких как GDPR или HIPAA, поскольку эти платформы имеют схожие элементы управления.
  • Сведите к минимуму риск и влияние потенциального нарушения.
  • Завоюйте доверие своих клиентов и партнеров.

Обязательно ли соответствие стандарту PCI?

Если ваша организация осуществляет операции с одной из крупнейших компаний-эмитентов кредитных карт, например Visa, Mastercard, American Express или Discover, вы должны соблюдать Стандарты безопасности данных PCI.Вы должны соответствовать стандарту PCI, если ваша организация собирает, передает, поддерживает или передает данные карты, независимо от суммы или количества транзакций или размера вашего бизнеса. Другими словами, если информация о кредитной карте в любой момент касается вашей защищенной сети, вы должны соблюдать эти стандарты PCI.

Как и в случае требований GDPR и CCPA, несоблюдение требований PCI DSS недопустимо. Хотя PCI DSS технически не является законом, как GDPR и CCPA, компании соглашаются придерживаться стандартов PCI, когда они участвуют в любой деятельности, связанной с индустрией платежных карт.

Как и многие программы соответствия, эти стандарты PCI предназначены для обеспечения большей стабильности и безопасности поставщиков, что приводит к более надежной индустрии платежных карт в целом. PCI DSS гарантирует, что вы, ваши коллеги-продавцы и все заинтересованные стороны в индустрии кредитных карт придерживаетесь строгих отраслевых стандартов безопасности.

Что делать, если я не совместим с PCI?

Несоблюдение требований PCI DSS может дорого обойтись, особенно если у вас когда-либо возникали утечки данных кредитной карты.Штрафы за несоблюдение этих стандартов безопасности варьируются от значительных денежных штрафов до лишения возможности обрабатывать данные кредитной карты — и то, и другое может нанести ущерб любой компании, которая полагается на этот тип клиентских платежей.

Несоблюдение PCI DSS означает, что платежные данные, принадлежащие каждому клиенту, менее защищены, что имеет ряд недостатков. Отсутствие достаточной защиты CDE делает вашу организацию более уязвимой для утечки данных, что может привести к:

  • Неспособность продолжать принимать кредитные карты, такие как Visa или Mastercard
  • Потеря доверия к банковским и финансовым товариществам
  • Существенные финансовые санкции
  • Регулятивные проверки, такие как расследования и аудиты FTC
  • Подпорченная репутация бренда
  • Ослабление продаж
  • Потерянные рабочие места

Компаниям, возможно, придется платить за информирование каждого лица, пострадавшего от утечки данных, за перевыпуск карт или оплату судебных издержек; и эти штрафы и сборы — только начало.Если вы являетесь публичной компанией, существуют юридические и нормативные риски, если нарушение поставит под сомнение достоверность финансовой отчетности вашей фирмы (например, 10 000 заявок). Не говоря уже о подрыве доверия инвесторов и стоимости акций в случае утечки данных.

Длительный ущерб бренду, вызванный утечкой данных, и последующая каскадная потеря доверия потребителей огромны. Имидж бренда, по сути, является одной из самых серьезных уязвимостей, когда речь идет о безопасности данных.Согласно исследованию Ponemon Institute, 61% директоров по маркетингу считают, что самым большим последствием инцидента с безопасностью является снижение ценности бренда.

Утечки данных затронули некоторые из крупнейших предприятий, что привело к раскрытию сотен миллионов фрагментов конфиденциальных данных клиентов и поставило под угрозу конфиденциальность и доверие их клиентов. Когда данные кредитных карт утекают в больших масштабах, ущерб выходит далеко за рамки доверия потребителей. Средства к существованию отдельных клиентов могут серьезно пострадать или навсегда разрушиться, когда их конфиденциальная информация попадет в чужие руки.Вот почему крайне важно обеспечить безопасность данных карты. Именно на это и нацелен PCI DSS.

Вы, как бизнес-лидер, должны не только поддерживать безопасную среду данных держателей карт (CDE) для своих клиентов, но и избегать ответственности за несоблюдение этих требований соответствия. Таким образом, вопрос не должен звучать так: «Обязательно ли соответствие стандарту PCI DSS?» (так и есть), а скорее «Почему вы рискуете не реализовать это?»

Сколько стоят штрафы за несоблюдение PCI?

Штрафы за несоблюдение требований начинаются с 5000 долларов США, но могут достигать 500 000 долларов США за каждый инцидент с безопасностью данных PCI (например, массовые утечки данных).Диапазон штрафов будет варьироваться в зависимости от состояния средств контроля PCI и, если нарушение имело место, было ли оно вызвано сбоем операции контроля PCI.

Вдобавок к этим расходам торговцы могут быть вынуждены платить дополнительные штрафы. Банки и платежные системы могут полностью прекратить свои отношения с продавцом или увеличить комиссию за обработку транзакции и потребовать от продавца оплатить замену платежных карт, обнаруженных в результате утечки данных. Банк или процессор также могут обязать продавца перейти на более высокий уровень соответствия, если у них есть нарушение, что означает, что соблюдение требований может быть еще более сложным и гораздо более дорогостоящим.

Кроме того, нормативные акты требуют, чтобы все лица, чьи данные, по всей видимости, просочились во время взлома, были предупреждены в письменной форме, чтобы они могли сохранять бдительность в отношении любых мошеннических действий со своими учетными записями. Нет никаких шансов скрыть это нарушение доверия.

Из-за этих растущих затрат расходы, вызванные единичным раскрытием данных, могут в конечном итоге намного превысить первоначальный штраф в размере 500 000 долларов и могут привести к финансовому разорению организации любого размера.

Что требуется для совместимости с PCI?

Если организация постоянно соблюдает требования PCI DSS и может эффективно защищать данные о держателях карт, поддерживая безопасную среду данных о держателях карт (CDE), она соответствует требованиям PCI.То, как ваша организация проверяет ваше соответствие PCI, зависит от того, сколько транзакций она обрабатывает каждый год.

Каковы уровни соответствия стандарту PCI DSS?

Соответствие

PCI DSS имеет две категории — продавцы и поставщики услуг — с разными уровнями в зависимости от того, сколько транзакций по кредитным картам вы проводите каждый год. Уровень соответствия PCI 1 является самым строгим.

На высоком уровне рекомендации следующие:

Торговцы

  • Уровень 1: предприятия, обрабатывающие более 6 миллионов карточных транзакций в год по всем каналам, или предприятия, в которых произошла утечка данных.
  • Уровень 2: предприятия, которые обрабатывают от 1 до 6 миллионов карточных транзакций в год по всем каналам.
  • Уровень 3: Предприятия, которые обрабатывают от 20 000 до 1 миллиона транзакций по картам электронной коммерции в год.
  • Уровень 4: Предприятия, которые обрабатывают менее 20 000 транзакций по картам электронной коммерции в год, или любые предприятия, обрабатывающие до 1 миллиона обычных транзакций по картам в год.

Поставщики услуг

  • Уровень 1: Компании, которые обрабатывают более 300 000 транзакций в год (включая платежных посредников).
  • Уровень 2: предприятия, обрабатывающие менее 300 000 транзакций в год.

Важно отметить, что хотя Visa, MasterCard и American Express определяют уровни очень похоже, между ними есть небольшие различия. Они становятся еще более заметными, когда речь идет об American Express и JCB. Например, для American Express уровень 1 определяется как предприятия, которые ежегодно обрабатывают более 2,5 миллионов транзакций. Вы можете узнать больше от каждого эмитента карты напрямую.

Также важно отметить, что хотя количество транзакций вашей организации может поместить вас в определенный уровень PCI, потенциальные клиенты, партнеры или платежные системы могут попросить вас «повышение уровня» с учетом любых конкретных потребностей в безопасности, которые могут у них возникнуть.

Каковы требования для соответствия PCI?

Соответствие стандарту

PCI DSS достигается после того, как предприятия подтвердят выполнение всех 12 требований, включенных в стандарт безопасности.

В рамках этих 12 требований есть сотни подтребований, которые выходят далеко за рамки брандмауэров, антивирусного программного обеспечения, надежных паролей и других мер безопасности. Небольшим организациям может быть особенно сложно справиться с некоторыми из них, особенно без какой-либо помощи экспертов.

12 требований для соответствия стандарту PCI DSS:

  1. Установка и поддержание конфигурации брандмауэра для защиты данных держателей карт
  2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности
  3. Защита сохраненных данных держателей карт
  4. Шифровать передачу данных держателей карт через открытые общедоступные сети
  5. Используйте и регулярно обновляйте антивирусное программное обеспечение или программы
  6. Разработка и поддержка безопасных систем и приложений
  7. Ограничение доступа к данным о держателях карт в соответствии с служебной необходимостью, что достигается при внедрении строгих мер контроля доступа
  8. Назначение уникального идентификатора каждому пользователю с доступом к компьютеру
  9. Ограничить физический доступ к данным держателей карт
  10. Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт
  11. Регулярно тестировать системы и процессы безопасности
  12. Поддерживать политику безопасности, направленную на обеспечение информационной безопасности сотрудников и подрядчиков

С таким количеством многогранных требований создание PCI-совместимой инфраструктуры информационной безопасности может оказаться непростой задачей для малого и среднего бизнеса.Дополнительные инженеры часто нанимаются для дополнения внутренних ресурсов.

Каждое требование также требует различных затрат и сроков для успешного выполнения.

Как нам стать совместимыми с PCI?

Чтобы стать организацией, соответствующей стандарту PCI DSS, может потребоваться долгий путь, особенно если вы представляете малый бизнес в одиночку. Построение PCI-совместимой сети с нуля и следование рекомендациям означает, что вам, как минимум, потребуется выполнить следующие шаги.

Шаг 1: Оценка пробелов (1,5–3 месяца)

Первый шаг, который должен сделать ваш бизнес, — выяснить текущую ситуацию, связанную с безопасностью данных платежных карт, процедура, называемая «анализом пробелов». Это позволяет компаниям выявлять любые «пробелы» в своей системе безопасности, чтобы они знали, что нужно исправить, чтобы соответствовать стандарту PCI DSS.

Устранение пробелов, выявленных вами во время оценки, может потребовать новых дополнительных ресурсов, включая серверы, маршрутизаторы, коммуникационное оборудование, физическую безопасность и штатных сотрудников, поскольку ваших текущих ресурсов может быть недостаточно.

Самый безболезненный способ сделать это — полностью пропустить этап оценки пробелов, что возможно только в том случае, если вы внедрите универсальное выделенное решение PCI as a Service, такое как VGS.

Для компаний, которые предпочитают поэтапный переход к соответствию стандарту PCI DSS, а не комплексное решение, есть два варианта:

  • Вариант «Сделай сам»: не обращаясь за какой-либо помощью к третьей стороне, компании могут заполнить Анкету самооценки (SAQ).SAQ — это простое руководство, дающее ответы «да» или «нет», которое помогает компаниям оценить, насколько они соблюдают стандарты безопасности PCI (имейте в виду, что существует девять различных версий, в зависимости от того, как ваш бизнес обрабатывает данные о держателях карт).
  • Точечный вариант решения: вместо самостоятельной навигации по анкете самооценки многие организации пропускают SAQ и вместо этого предпочитают платить внешнему квалифицированному эксперту по безопасности PCI (QSA) за выполнение анализа пробелов.

Шаг 2. Решите, какую инфраструктуру использовать для создания CDE (1 месяц)

После того, как вы самостоятельно или с помощью аудитора проведете оценку пробелов, у вас будет хорошее представление о том, чего не хватает вашей компании.Теперь пришло время перейти к мелочам.

Второй шаг — выяснить, как вы будете проектировать безопасную сеть вашей организации для хранения информации о кредитных картах, например, внедрять строгие меры контроля доступа и многое другое. Каким будет процесс хранения данных вашей платежной карты? Выберете ли вы подписку на безопасное облачное хранилище для этого процесса хранения данных? Как насчет локальной физической базы данных для хранения конфиденциальных данных кредитных карт всех ваших пользователей?

Как только вы определите тип инфраструктуры, который, по мнению вашей компании, лучше всего подходит для защиты информации о кредитных картах, вы можете приступить к планированию систем и процессов, которые позволят вам стать совместимыми с PCI.

Шаг 3. Внедрение новых средств контроля бизнеса (~ 3 месяца)

После того, как вы определили, какую инфраструктуру ваша компания будет использовать для хранения данных о держателях карт, вы можете приступить к настройке новых элементов управления, чтобы обеспечить безопасность конфиденциальных данных.

Это включает в себя определение ролей и обязанностей для персонала и поставщиков, имеющих физический доступ к данным держателей карт, обеспечение безопасности мест в вашей системе, которые подвергаются воздействию данных держателей карт, внедрение решения для шифрования данных и/или токенизации и документирование процессов и процедур, а также обеспечение того, чтобы внутренние элементы управления должным образом спроектированы и работают эффективно.

Протестируйте и убедитесь, что ваши средства управления снижают выявленные вами риски, как и ожидалось. Элементы управления не всегда работают должным образом, поскольку технологии быстро меняются.

Шаг 4: Сбор документации (~ 2 месяца)

Соответствие

PCI DSS включает в себя процесс аудита. Точно так же, как вам может потребоваться сохранить квитанции, чтобы ответить на любые вопросы IRS о ваших налогах, важно сохранить документацию по внутреннему контролю в вашей среде для проверки во время аудита PCI DSS.

Поскольку многие из этих элементов управления основаны на политиках и операционных процедурах, крайне важно обеспечить документирование, хранение и доведение до сведения персонала критически важных операций. Кроме того, может потребоваться обмен доказательствами контроля, чтобы обеспечить уверенность в том, что средства внутреннего контроля работают постоянно, а в тех случаях, когда они отсутствуют, но поддерживаются компенсационными средствами контроля в качестве обоснования альтернативного подхода.

В качестве примера рассмотрим один элемент управления: Требование PCI 5 (как указано выше) формулирует потребность в антивирусных/антивредоносных решениях в вашей среде.Для проверки этой единой области управления требуется разнообразная документация:

  • Какая технология используется для выявления, предотвращения и устранения индикаторов вредоносных программ?
  • Где эта технология распространяется по отношению к среде CDE?
  • Кто и как отвечает за обслуживание, эксплуатацию и последовательное развертывание этой технологии? То есть существуют ли процессы или модули Runbook для аналитиков безопасности, позволяющие эффективно перемещаться по пути обнаружения и устранения вредоносных программ?
  • Обеспечивает ли технология изначальное хранение журналов в течение 90 дней? Если нет, то где и как хранятся эти данные журнала?

Теперь, если предположить, что все это на месте и соответствует стандартам безопасности PCI, пришло время предоставить доказательства, подтверждающие это управляющее заявление.Короче говоря, подготовка документации может быть весьма обременительной задачей, особенно если учесть, что документация эффективна настолько, насколько она сообщена и принята.

Шаг 5: Текущее обслуживание (бесконечное)

Когда вы настраиваете безопасную среду данных держателей карт в соответствии со стандартными требованиями безопасности PCI, никогда не бывает финишной черты. Вы должны постоянно следить за своей инфраструктурой и политиками безопасности, обновлять программные системы, сканировать уязвимости и устанавливать исправления.Это постоянные усилия, чтобы сохранить ваш статус соответствия требованиям.

Даже небольшие изменения в инфраструктуре, путях передачи данных или внутренних инструментах могут серьезно повлиять на подход организации к PCI. Кроме того, всякий раз, когда вы добавляете в свой продукт новую функцию, которая каким-либо образом влияет на данные о держателях карт вашей компании, ваше соответствие стандарту PCI DSS перестает быть действительным. Поскольку ваша среда данных о держателях карт изменилась с момента проверки вашего соответствия требованиям, вам потребуется QSA для повторной проверки вашего соответствия текущему состоянию.

Кроме того, сами стандарты PCI могут измениться, что потребует дополнительных инвестиций; сам стандарт PCI претерпел 9 изменений с 2004 года, и PCI DSS версии 4.0 ожидается в первом квартале 2022 года. Бесконечный цикл корректировки, повторной проверки, корректировки и повторной проверки — это постоянные расходы, которые многие компании, к сожалению, не делают. Это следует учитывать, отправляясь на путь соответствия стандарту PCI DSS своими руками. Несмотря на то, что поддержка этих аудитов может быть дорогостоящей с точки зрения инструментов безопасности и инфраструктуры, она может в равной степени потребовать ресурсов, которым теперь, возможно, потребуется посвятить время от создания продуктов и услуг, чтобы сосредоточиться на разработке защищенной позиции PCI.

Как проверить соответствие требованиям PCI?

Итак, вы выполнили все шаги по защите данных держателей карт ваших клиентов. Что теперь?

Нужно ли вашей компании официально подтверждать соответствие стандартам PCI? Для продавцов и поставщиков услуг уровня 1 ответ положительный.

Если вы являетесь продавцом или поставщиком услуг уровня 1, вам необходимо пройти аудит, результатом которого является заполненный Отчет о соответствии (ROC), который должен подписать QSA.

Продавцы и поставщики всех остальных уровней могут просто заполнить свой собственный опросный лист и подписать собственное свидетельство о соответствии (AOC).

Сколько стоит обеспечение совместимости с PCI?

При попытке сделать это самостоятельно, соответствие требованиям PCI связано с высокой совокупной стоимостью владения (TCO) по сравнению с использованием комплексного решения PCI как услуги, такого как VGS. Типичная совокупная стоимость владения «Сделай сам» выглядит примерно так:

.

Когда вы идете по пути «сделай сам», ваш бизнес в конечном итоге «платит» больше, чем просто деньги. Теперь вы выделяете значительное количество времени на каждое требование, что отнимает ресурсы, которые вы могли бы посвятить развитию своего основного бизнеса.

Кроме того, каждый раз, когда вы вносите изменения в свою среду или продукт, вы перезапускаете процесс PCI.

Когда сказано и сделано, стоимость самостоятельного выполнения всех 12 требований PCI может быстро составить до 1 миллиона долларов или более, а годовое обслуживание PCI стоит до 200 000 долларов +. В стоимость входит:

  • Капитальные или операционные затраты на инструменты безопасности и компоненты инфраструктуры
  • Непрерывное использование внутреннего контроля в соответствии с внутренними SLA и процессами
  • Затраты на наем надежных и опытных аудиторов, знающих ваш технологический стек
  • Время для управления персоналом, ресурсами и обязательствами вашего проекта PCI и аудита
  • Создание и поддержание внутреннего контроля в соответствии с PCI
  • Разработка, управление и постоянное обновление политик, процедур и внутренних процессов
  • Выделенный персонал для управления проектами аудита и подготовки
  • Дополнительные операционные и лицензионные расходы на необходимые услуги

Работа с комплексным сторонним решением для защиты данных

Существует гораздо более простой вариант для компаний, которые не заинтересованы в кропотливом изучении списка требований PCI и адаптации политик информационной безопасности, защите и тестировании всего внутри компании, а затем оценке квалифицированным специалистом по безопасности (QSA).Это также стоит значительно меньше, чем маршрут «сделай сам».

Решение: работайте со сторонним партнером по безопасности данных, который позаботится о вашем соответствии стандарту PCI за вас.

Предприятие, стремящееся к соответствию требованиям PCI, может интегрироваться со сторонним поставщиком, таким как VGS, который был проверен независимым QSA и утвержден в качестве поставщика услуг уровня 1 соответствия требованиям PCI. Независимо от того, являетесь ли вы продавцом, поставщиком услуг или организацией другого типа, использование VGS проще для вас и вашего бизнеса, потому что:

  • VGS упрощает удаление ваших систем из сферы действия данных о держателях карт и управление безопасностью и соответствием требованиям в отношении данных платежных карт, а также всей другой конфиденциальной информации от вашего имени.
  • VGS поддерживает полностью защищенную и управляемую CDE, одобренную PCI L1, а также набор опций для безопасного сбора данных кредитных карт.
  • VGS является поставщиком услуг уровня 1, сертифицированным для доменов PCI DSS 3.2.1.

VGS обеспечивает легкое соответствие PCI Level 2-4 для небольших продавцов и поставщиков услуг уже через 7 дней после интеграции. Для предприятий, которым требуется PCI Level 1 либо из-за объема транзакций, либо потому, что это требуется их банку или партнерам, соответствие может быть достигнуто всего за 21 день.

В качестве альтернативы выбор пути «Сделай сам» может занять от нескольких месяцев до года после того, как вы уже вложили значительный объем человеческого и финансового капитала в свою политику информационной безопасности для защиты ваших баз данных, систем и процессов.

Very Good Security — это полностью масштабируемое решение, которое растет вместе с вашим бизнесом и снижает нагрузку на PCI, следуя рекомендациям PCI.

Передача вашего бремени PCI DSS в надежные руки

Использование VGS позволяет быстро выполнить подавляющее большинство требований соответствия PCI DSS и постоянно работает в качестве партнера для обеспечения постоянного соответствия требованиям PCI и обеспечения безопасности ваших наиболее конфиденциальных данных.

Работая с VGS, наши пользователи надежно отделяют свой бизнес от любых конфиденциальных данных, которые всегда защищены в VGS Vault. VGS Vault делает следующее:

  • Служит для безопасного хранения и использования данных индустрии платежных карт
  • Использует элементы управления безопасностью, включая ротацию ключей, управление исправлениями, отдельные учетные записи, подробное журналирование аудита, регулярное тестирование уязвимостей, непрерывный мониторинг 24/7, а также шифрование AES 256

По сравнению с другими решениями для защиты данных или токенизации на рынке VGS Vault уникален, потому что:

  • Он без проблем работает с нашими прокси-серверами, обеспечивая безопасный и надежный способ легко защитить конфиденциальные данные вашей компании, как в состоянии покоя (шифрование AES-256-GCM), так и во время передачи (TLS 1.2).
  • Мгновенно укрепляет ваши приложения, включая круглосуточный мониторинг для обнаружения вторжений и аномалий, эффективное управление уязвимостями, строгие процедуры исправления безопасности и расширенные средства управления изменениями.

VGS быстро освобождает компании от требований PCI DSS и берет на себя ответственность за хранение всех их конфиденциальных данных. Наши клиенты несут ответственность только за контроль доступа к конфигурациям безопасности через панель управления VGS.

В VGS мы:

  • Гарантия того, что данные PCI никогда не соприкасаются с средами, не относящимися к данным о держателях карт (включая любые незащищенные системы, такие как ваша тестовая среда).
  • Надежно храните учетные данные и управляйте ими для доступа к сетевым ресурсам и данным о держателях карт (включая пароль к панели управления VGS и ключи API), а также отслеживайте, как эти учетные данные распространяются и используются.
  • Проводите ежегодный тренинг по безопасности для членов команды.
  • Надлежащая проверка сотрудников (например, проверка криминального прошлого, необходимый доступ, должностные функции и т. д.).
  • Обеспечение полного контроля PCI DSS и SOC-2 в нашей инфраструктуре.

Мы помогаем нашим клиентам:

  1. Ежегодно создавать копии текущих документов о подтверждении соответствия (AOC) от всех поставщиков услуг держателям карт.
  2. Ежегодно проводите аудит средств контроля PCI DSS, особенно Политики информационной безопасности, в которой подробно описаны средства контроля PCI DSS вашей компании.
  3. Создайте и протестируйте процедуры реагирования на инциденты.
  4. Определите и задокументируйте внутренние роли и обязанности для обработки данных, связанных с PCI, и отношений с поставщиками.

Использование VGS для обеспечения безопасности данных и соответствия требованиям, включая PCI и другие, дает вам надежного партнера, который поможет вам пройти весь путь обеспечения безопасности данных.После простого в использовании процесса адаптации вы будете на пути к тому, чтобы освободить свой бизнес от требований соответствия PCI, со сбором, хранением и передачей конфиденциальных данных, которые обрабатываются через VGS.

Вы являетесь финтех-компанией, продавцом или поставщиком услуг, обрабатывающим конфиденциальные данные, связанные с кредитными картами потребителей? Свяжитесь с одним из наших экспертов по PCI и узнайте о более простом, быстром и безопасном способе достижения стандарта PCI DSS.

Руководство по соответствию PCI

С 2005 года более 11 миллиардов записей о потребителях были скомпрометированы в результате более чем 8500 утечек данных.Это последние данные из Центра обмена информацией о правах на конфиденциальность, который сообщает об утечках данных и нарушениях безопасности, затрагивающих потребителей, начиная с 2005 года.

Для повышения безопасности данных потребителей и доверия к платежной экосистеме был создан минимальный стандарт безопасности данных. Visa, Mastercard, American Express, Discover и JCB сформировали Совет по стандартам безопасности индустрии платежных карт (PCI SSC) в 2006 году для администрирования и управления стандартами безопасности для компаний, которые обрабатывают данные кредитных карт.До создания PCI SSC у этих пяти компаний-эмитентов кредитных карт были свои собственные программы стандартов безопасности, каждая из которых имела примерно одинаковые требования и цели. Они объединились с помощью PCI SSC, чтобы согласовать одну стандартную политику, Стандарты безопасности данных PCI (известные как PCI DSS), чтобы обеспечить базовый уровень защиты для потребителей и банков в эпоху Интернета.

Понимание PCI DSS может быть сложным и затруднительным

Если ваша бизнес-модель требует от вас обработки карточных данных, от вас может потребоваться соблюдение каждого из более чем 300 элементов управления безопасностью в PCI DSS.Существует более 1800 страниц официальной документации, опубликованной Советом PCI по PCI DSS, и более 300 страниц только для того, чтобы понять, какие формы использовать при подтверждении соответствия. Это займет более 72 часов только для того, чтобы прочитал .

Чтобы облегчить это бремя, ниже приведено пошаговое руководство по проверке и поддержанию соответствия требованиям PCI.

PCI DSS — это глобальный стандарт безопасности для всех организаций, которые хранят, обрабатывают или передают данные о держателях карт и/или конфиденциальные данные аутентификации.PCI DSS устанавливает базовый уровень защиты для потребителей и помогает снизить уровень мошенничества и утечки данных во всей платежной экосистеме. Он применим к любой организации, которая принимает или обрабатывает платежные карты.

Соответствие

PCI DSS включает в себя 3 основных момента:

  1. Обработка поступления данных кредитных карт от клиентов, а именно сбор и безопасная передача конфиденциальных данных карты
  2. Безопасное хранение данных, описанное в 12 доменах безопасности стандарта PCI, таких как шифрование, постоянный мониторинг и проверка безопасности доступа к данным карты
  3. Ежегодная проверка наличия необходимых средств контроля безопасности, которые могут включать формы, анкеты, внешние службы сканирования уязвимостей и сторонние аудиты (см. пошаговое руководство ниже для таблицы с четырьмя уровнями требований)

Обработка данных карты

Некоторые бизнес-модели требуют прямой обработки конфиденциальных данных кредитной карты при приеме платежей, а другие — нет.Компании, которым необходимо обрабатывать данные карты (например, принимать нетокенизированные PAN на платежной странице), могут быть обязаны соблюдать каждый из более чем 300 элементов управления безопасностью в PCI DSS. Даже если данные карт проходят через серверы только в течение короткого времени, компании необходимо будет приобрести, внедрить и поддерживать программное обеспечение и оборудование для обеспечения безопасности.

Если компании не нужно обрабатывать конфиденциальные данные кредитных карт, она не должна этого делать. Решения сторонних производителей (например, Stripe Elements) надежно принимают и хранят данные, значительно снижая сложность, затраты и риски.Поскольку данные карты никогда не попадают на ее серверы, компании нужно будет подтвердить только 22 элемента управления безопасностью, большинство из которых просты, например, использование надежных паролей.

Безопасное хранение данных

Если организация обрабатывает или хранит данные кредитных карт, ей необходимо определить область своей среды данных о держателях карт (CDE). PCI DSS определяет CDE как людей, процессы и технологии, которые хранят, обрабатывают или передают данные кредитных карт, или любую систему, подключенную к ним. Поскольку все более 300 требований безопасности в PCI DSS применяются к CDE, важно правильно отделить платежную среду от остального бизнеса, чтобы ограничить область проверки PCI.Если организация не может содержать область CDE с детальной сегментацией, элементы управления безопасностью PCI будут применяться к каждой системе, ноутбуку и устройству в ее корпоративной сети. Ой!

Ежегодная проверка

Независимо от того, как принимаются данные карты, организации обязаны ежегодно заполнять форму проверки PCI. Способ подтверждения соответствия PCI зависит от ряда факторов, которые описаны ниже. Вот 3 сценария, в которых организацию могут попросить показать, что она соответствует требованиям PCI:

  • Платежные операторы могут запросить его в рамках своей обязательной отчетности для брендов платежных карт
  • Деловые партнеры могут запросить его в качестве предварительного условия для заключения деловых соглашений
  • Для платформенных компаний (тех, чьи технологии упрощают онлайн-транзакции между несколькими отдельными наборами пользователей) клиенты могут запросить это, чтобы показать своим клиентам, что они обрабатывают данные безопасно

Последний набор стандартов безопасности PCI DSS версии 3.2.1 включает 12 основных требований с более чем 300 подтребованиями, отражающими лучшие практики безопасности.

    Создание и обслуживание безопасной сети и систем
  1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт
  2. Не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности
  3. Защита данных держателей карт
  4. Защита сохраненных данных держателей карт
  5. Шифровать передачу данных о держателях карт через открытые или общедоступные сети
  6. Поддерживать программу управления уязвимостями
  7. Защитите все системы от вредоносных программ и регулярно обновляйте антивирусное ПО
  8. Разработка и поддержка безопасных систем и приложений
  9. Реализовать строгие меры контроля доступа
  10. Ограничение доступа к данным о держателях карт по служебной необходимости
  11. Идентифицировать и аутентифицировать доступ к системным компонентам
  12. Ограничить физический доступ к данным держателей карт
  13. Регулярный мониторинг и тестирование сетей
  14. Отслеживание и мониторинг доступа к сетевым ресурсам и данным держателей карт
  15. Регулярно тестировать системы и процессы безопасности
  16. Поддерживать политику информационной безопасности
  17. Поддерживать политику, касающуюся информационной безопасности для всего персонала

Чтобы новым компаниям было «легче» подтверждать соответствие требованиям PCI, Совет PCI создал девять различных форм или опросников для самооценки (SAQ), которые являются подмножеством всех требований PCI DSS.Хитрость заключается в том, чтобы выяснить, что применимо или необходимо нанять аудитора, утвержденного Советом PCI, для проверки соблюдения каждого требования безопасности PCI DSS. Кроме того, PCI Council пересматривает правила каждые три года и выпускает дополнительные обновления в течение года, добавляя еще больше динамической сложности.

1. Знайте свои требования

Первым шагом в достижении соответствия PCI является знание требований, применимых к вашей организации. Существует четыре различных уровня соответствия PCI, обычно основанных на объеме транзакций по кредитным картам, которые вы обрабатываете в течение 12-месячного периода.

Относится к Требования
Уровень 1
  1. Организации, ежегодно обрабатывающие более 6 миллионов транзакций Visa или MasterCard или более 2,5 миллионов транзакций American Express; или
  2. Произошла утечка данных; или
  3. Считаются «Уровнем 1» любой карточной ассоциацией (Visa, Mastercard и т. д.)
  1. Годовой отчет о соответствии (ROC), подготовленный квалифицированным оценщиком безопасности (QSA) — также известный как выездная оценка уровня 1 — или внутренним аудитором, если он подписан должностным лицом компании
  2. Ежеквартальное сканирование сети утвержденным поставщиком услуг сканирования (ASV)
  3. Подтверждение соответствия (AOC) для оценки на месте — существуют специальные формы для продавцов и поставщиков услуг
Уровень 2 Организации, обрабатывающие от 1 до 6 миллионов транзакций в год
  1. Ежегодный опросник для самооценки PCI DSS (SAQ) — существует 9 типов SAQ, кратко показанных в таблице ниже
  2. Ежеквартальное сканирование сети утвержденным поставщиком услуг сканирования (ASV)
  3. Подтверждение соответствия (AOC) — каждый из 9 SAQ имеет соответствующую форму AOC
  4. .
Уровень 3
  1. Организации, которые ежегодно обрабатывают от 20 000 до 1 миллиона онлайн-транзакций
  2. Организации, которые ежегодно обрабатывают менее 1 миллиона транзакций
Уровень 4
  1. Организации, которые ежегодно обрабатывают менее 20 000 онлайн-транзакций; или
  2. Организации, которые ежегодно обрабатывают до 1 миллиона транзакций

Для уровней 2–4 существуют разные типы SAQ в зависимости от вашего метода интеграции платежей.Вот краткая таблица:

А

Продавцы без предъявления карты (электронная коммерция или заказ по почте/телефону), которые полностью передали все функции данных о держателях карт сторонним поставщикам услуг, соответствующим стандарту PCI DSS, без электронного хранения, обработки или передачи каких-либо данных о держателях карт в системах или помещениях продавца.

Не применимо к очным каналам.

А-ЭП

Продавцы электронной коммерции, которые передают всю обработку платежей третьим сторонам, прошедшим проверку PCI DSS, и у которых есть веб-сайт(ы), которые не получают напрямую данные о держателях карт, но которые могут повлиять на безопасность платежных транзакций.Нет электронного хранения, обработки или передачи данных о держателях карт в системах или помещениях продавца.

Применимо только к каналам электронной коммерции.

Б

Торговцы, использующие только:

  • Импринтеры без электронного хранилища данных держателей карт и/или
  • Автономные терминалы с набором номера без хранения электронных данных держателей карт.

Не применимо к каналам электронной коммерции.

Б-ИП

Продавцы, использующие только автономные платежные терминалы, одобренные PTS, с IP-подключением к платежному процессору без хранения электронных данных о держателях карт.

Не применимо к каналам электронной коммерции.

С-ВТ

Продавцы, которые вручную вводят одну транзакцию за раз с помощью клавиатуры в онлайн-решение виртуального платежного терминала, которое предоставляется и размещается сторонним поставщиком услуг, прошедшим проверку PCI DSS.Отсутствие электронного хранения данных держателя карты.

Не применимо к каналам электронной коммерции.

С

Продавцы с платежными системами, подключенными к Интернету, без электронного хранилища данных о держателях карт.

Не применимо к каналам электронной коммерции.

P2PE

Продавцы, использующие только аппаратные платежные терминалы, включенные в проверенное решение P2PE (Point-to-Point Encryption, P2PE), включенное в список PCI SSC, без хранения электронных данных держателей карт.

Не применимо к продавцам электронной коммерции.

Д

SAQ D для продавцов: Все продавцы, не включенные в описания вышеуказанных типов SAQ.

SAQ D для поставщиков услуг: Все поставщики услуг, определенные платежным брендом как имеющие право на заполнение SAQ.

Чтобы выбрать документы SAQ и Attestation, которые лучше всего подходят для вашей организации, может помочь блок-схема на странице 18 этого документа PCI.

Требования PCI DSS со временем меняются, поэтому один из лучших способов получать обновления о новых или меняющихся требованиях к сертификации и способах их выполнения — стать организацией-участником PCI (PO).

2. Сопоставьте свои потоки данных

Прежде чем вы сможете защитить конфиденциальные данные кредитной карты, вам нужно знать, где они хранятся и как туда попадают. Вам нужно создать исчерпывающую карту систем, сетевых подключений и приложений, которые взаимодействуют с данными кредитных карт в вашей организации.В зависимости от вашей роли, вам, вероятно, придется работать с вашими ИТ-командами и командой безопасности, чтобы сделать это.

  • Во-первых, определите все области бизнеса, ориентированные на потребителя, которые включают платежные операции. Например, вы можете принимать платежи через онлайн-корзину, платежные терминалы в магазине или заказы, размещенные по телефону.
  • Затем определите различные способы обработки данных держателей карт в бизнесе. Важно точно знать, где хранятся данные и кто имеет к ним доступ.
  • Затем определите внутренние системы или базовые технологии, связанные с платежными транзакциями. Сюда входят ваши сетевые системы, центры обработки данных и облачные среды.

3. Проверьте элементы управления безопасностью и протоколы

После того, как вы наметите все потенциальные точки соприкосновения с данными кредитных карт в вашей организации, сотрудничайте с ИТ-специалистами и специалистами по безопасности, чтобы обеспечить наличие правильных конфигураций и протоколов безопасности (см. список из 12 требований безопасности для PCI DSS выше).Эти протоколы предназначены для защиты передачи данных, например Transport Layer Security (TLS).

12 требований безопасности для PCI DSS версии 3.2.1 основаны на передовых методах защиты конфиденциальных данных для любого бизнеса. Некоторые из них совпадают с теми, которые необходимы для соблюдения GDPR, HIPAA и других требований конфиденциальности, поэтому некоторые из них могут уже действовать в вашей организации.

4. Мониторинг и обслуживание

Важно отметить, что соответствие стандарту PCI — это не разовое событие.Это непрерывный процесс, обеспечивающий соответствие вашего бизнеса требованиям, даже когда потоки данных и точки взаимодействия с клиентами развиваются. Некоторые бренды кредитных карт могут потребовать от вас предоставления ежеквартальных или годовых отчетов или выполнения ежегодной оценки на месте для проверки текущего соответствия, особенно если вы обрабатываете более 6 миллионов транзакций каждый год.

Управление соответствием PCI в течение года (и из года в год) часто требует межведомственной поддержки и сотрудничества. Если этого еще не существует, возможно, стоит создать специальную группу внутри компании для надлежащего соблюдения требований.Хотя каждая компания уникальна, хорошей отправной точкой для «команды PCI» будет представительство из следующих компаний:

  • Безопасность : Директор по безопасности (CSO), Директор по информационной безопасности (CISO) и их команды гарантируют, что организация всегда должным образом инвестирует в необходимые ресурсы и политики безопасности и конфиденциальности данных.
  • Технологии / Платежи : Технический директор (CTO), вице-президент по платежам и их команды обеспечивают соответствие основных инструментов, интеграций и инфраструктуры по мере развития систем организации.
  • Финансы : Финансовый директор (CFO) и его команда обеспечивают учет всех потоков платежных данных, когда речь идет о платежных системах и партнерах.
  • Юридический отдел : Эта группа может помочь разобраться во многих юридических нюансах соответствия требованиям PCI DSS.

Для получения дополнительной информации о сложном мире соответствия требованиям PCI посетите веб-сайт Совета по стандартам безопасности PCI. Если вы читаете только это руководство и несколько других документов PCI, мы рекомендуем начать с них: приоритетный подход к PCI DSS, инструкции и руководства по SAQ, часто задаваемые вопросы об использовании критериев приемлемости SAQ для определения требований к оценке на месте и часто задаваемые вопросы об обязательствах для продавцов. которые разрабатывают приложения для потребительских устройств, которые принимают данные платежных карт.

Stripe значительно упрощает работу с PCI для компаний, которые интегрируются с Checkout, Elements, мобильными SDK и Terminal SDK. Stripe Checkout и Stripe Elements используют размещенное поле платежа для обработки всех данных платежной карты, поэтому держатель карты вводит всю конфиденциальную платежную информацию в поле платежа, которое поступает непосредственно с наших серверов, прошедших проверку PCI DSS. Пакеты SDK для мобильных устройств и терминалов Stripe также позволяют держателю карты отправлять конфиденциальную платежную информацию непосредственно на наши серверы, прошедшие проверку PCI DSS.

Благодаря более безопасным методам приема карт мы будем заполнять форму PCI (SAQ) на панели Stripe Dashboard, что сделает проверку PCI простым нажатием кнопки. Для небольших организаций это может сэкономить сотни часов работы, для крупных — тысячи.

Для всех наших пользователей, независимо от типа интеграции, Stripe выступает в роли защитника PCI и может помочь несколькими способами.

  • Мы проанализируем ваш метод интеграции и порекомендуем вам, какую форму PCI использовать и как снизить нагрузку на соблюдение требований.
  • Мы заранее уведомим вас, если растущий объем транзакций потребует изменения способа проверки соответствия.
  • Для крупных продавцов (уровень 1) мы предоставляем PCI-пакет, который может сократить время проверки PCI с месяцев до дней. Если вам нужно работать с PCI QSA (поскольку вы храните данные кредитной карты или имеете более сложный поток платежей), в мире существует более 350 таких QSA-компаний, и мы можем связать вас с несколькими аудиторами, которые хорошо разбираются в различных Stripe. методы интеграции.
Уровень 1 3-5 месяцев 2-5 дней
Уровень 2 1-3 месяца 0 дней
Уровень 3 1-3 месяца 0 дней
Уровень 4 1-3 месяца 0 дней

Для получения дополнительной информации о том, как Stripe помогает защитить данные ваших клиентов и обеспечить соответствие PCI, ознакомьтесь с нашей документацией по безопасности интеграции.

Оценка и подтверждение соответствия PCI обычно происходит раз в год, но соответствие PCI — это не разовое мероприятие — это непрерывная и существенная работа по оценке и устранению недостатков. По мере роста компании будет меняться основная бизнес-логика и процессы, что означает, что требования соответствия также будут развиваться. Интернет-бизнес, например, может принять решение об открытии физических магазинов, выходе на новые рынки или запуске центра поддержки клиентов. Если что-то новое связано с данными платежной карты, рекомендуется заблаговременно проверить, не повлияет ли это на ваш метод проверки PCI, и при необходимости повторно проверить соответствие PCI.

Соответствие

PCI помогает. Этого просто недостаточно.

Соблюдение рекомендаций PCI DSS — это необходимый уровень защиты вашего бизнеса, но этого недостаточно. PCI DSS устанавливает важные стандарты для обработки и хранения данных держателей карт, но сам по себе не обеспечивает достаточную защиту для каждой платежной среды. Вместо этого переход на более безопасный метод приема карт (например, Stripe Checkout, Elements и мобильные SDK) — гораздо более эффективный способ защитить вашу организацию.Долгосрочное преимущество, которое это дает, заключается в том, что вам не нужно полагаться на базовые отраслевые стандарты или беспокоиться о потенциальном сбое элементов управления безопасностью. Этот подход предоставляет гибким предприятиям способ смягчить потенциальную утечку данных и избежать эмоционального, трудоемкого и дорогостоящего исторического подхода к проверке PCI. Не говоря уже о том, что более безопасный метод интеграции надежен каждый день в году.

Оставайтесь на связи

Мы сообщим вам, когда опубликуем новые руководства или обновления.

Вернуться к руководствам

Что такое соответствие PCI? Требования и руководство

Соответствие индустрии платежных карт или соответствие PCI — это процесс, который предприятия используют для оценки и подтверждения безопасности данных карт клиентов. Если ваш аккаунт продавца открыт через поставщика платежных услуг, поставщик может взять на себя многие требования соответствия.

Но владельцы малого бизнеса, которые хотят принимать платежи по картам, тоже должны сыграть свою роль. Знание этих обязанностей является обязательным, потому что, если ваш бизнес не следует надлежащим процедурам соответствия PCI, он может быть оштрафован.

Что такое соответствие PCI и нужно ли оно мне?

В 2006 году компании American Express, Discover, JCB International, Mastercard и Visa основали Совет по стандартам безопасности платежных карт для стандартизации протоколов и методов безопасности операций с картами. Эти стандарты применяются к цифровым и физическим практикам и записям.

Требования соответствия PCI обычно включают комбинацию двух вещей:

  1. Оценка для определения того, насколько безопасны бизнес-системы и практики.Крупные предприятия должны нанять стороннюю фирму для проведения этой оценки. Большинство малых предприятий могут проводить самооценку.

  2. Сканирование сети, используемой предприятием. Это техническое упражнение, требующее помощи сторонней фирмы.

Некоторые платежные системы взимают плату за соответствие PCI. Иногда в эти сборы входят услуги, например доступ к консультантам, которые помогут вам выполнить требования соответствия. Сопоставление стоимости этой платы, если таковая имеется, с услугами, которые вы получаете, может сыграть роль в выборе наилучшего платежного процессора для вас.

Кто должен соответствовать требованиям PCI?

Соответствие стандарту PCI распространяется на предприятия любого размера, хотя конкретные требования могут различаться.

Многие предприятия используют поставщиков платежных услуг, таких как Square или Stripe, вместо использования торгового счета. В этих случаях поставщик платежных услуг часто берет на себя многие обязанности по соблюдению требований, поскольку он, а не малый бизнес, который его использует, имеет торговый счет в банке. Тем не менее, обратитесь непосредственно к поставщику финансовых услуг, чтобы узнать, что ожидается и какую помощь они предлагают.

Кто участвует в обеспечении соответствия PCI?

В обеспечении соответствия PCI участвуют четыре организации.

PCI Security Standards Council

  • Разрабатывает широкие стандарты безопасности.

  • Тестирует и сертифицирует платежные технологии.

Сети кредитных карт, такие как Visa и Mastercard

  • Основал Совет по стандартам безопасности PCI.

  • Каждая сеть карт создает свой собственный набор конкретных требований, руководствуясь стандартами безопасности, установленными Советом по стандартам безопасности PCI.

  • Соответствовать требованиям, установленным поставщиком торгового счета.

Поставщики торговых счетов

  • Соблюдайте правила, установленные карточными сетями.

  • Установить требования для предприятий, которые имеют торговые счета.

Совет по стандартам безопасности PCI не создает и не обеспечивает соблюдения конкретных правил, которые поставщик торговых счетов может потребовать от своих клиентов — лучше всего ссылаться непосредственно на условия, содержащиеся в вашем договоре. Тем не менее, правила в целом схожи благодаря общему языку и общим целям, которые они поддерживают.

Что такое стандарты PCI?

Соответствие PCI может быстро стать техническим. Тем не менее, руководящие принципы Совета по стандартам безопасности PCI, называемые Стандартом безопасности данных индустрии платежных карт или PCI DSS, ясно показывают общие цели.Достижение этих шести целей путем выполнения 12 основных требований, которые их поддерживают, затрудняет доступ злоумышленников к конфиденциальным платежным данным. Выполнение требований означает, что ваш бизнес соответствует требованиям. Если вы не соблюдаете требования, вы можете быть оштрафованы или потерять свой торговый счет.

Цели и стандарты соответствия PCI

Создание и обслуживание защищенной сети

1. Установите и обслуживайте брандмауэр.

3. Защитите сохраненные данные держателей карт.

4. Зашифровать передачу данных держателя карты.

Поддерживайте программу управления уязвимостями

5. Используйте новейшее антивирусное программное обеспечение.

6. Разработка и поддержка безопасных систем и приложений.

Внедрить строгие меры контроля доступа

7. Предоставлять доступ к данным о держателях карт только в случае необходимости.

8. Назначьте уникальный идентификатор каждому лицу, имеющему доступ к данным держателя карты.

9. Ограничить физический доступ к данным держателей карт.

Регулярно контролировать и тестировать сети

10. Отслеживать и контролировать любой доступ к сетевым ресурсам и данным держателей карт.

11. Регулярно тестировать системы и процессы безопасности.

Поддерживать политику информационной безопасности

12. Поддерживать политику, касающуюся информационной безопасности для сотрудников и подрядчиков.

Забавный совет: Совет по стандартам безопасности PCI выпустит крупное обновление этих рекомендаций в первой половине 2022 года, после чего последует многолетний переходный период.

Требования к оценке соответствия требованиям PCI

Чтобы определить, соответствует ли ваш бизнес требованиям PCI, необходимо ежегодно проводить тщательную оценку методов обеспечения безопасности.

Хотя требование является универсальным, универсальной оценки не существует. Вместо этого тип ежегодной оценки зависит от нескольких факторов, включая объем транзакций по картам. Бизнес относится к одному из четырех уровней:

Продавцы уровня 1 обрабатывают более 6 миллионов транзакций по картам в год или подвергались взлому или атаке, которая привела к потере данных.

  • Квалифицированный оценщик безопасности Совета по стандартам безопасности PCI, или QSA, или оценщик внутренней безопасности Совета по стандартам безопасности PCI, или ISA, должен проводить ежегодную оценку PCI DSS. Эти сторонние эксперты помогают компаниям определить, насколько эффективны их методы обеспечения безопасности.

  • Подать отчет о соответствии или ROC.

  • Утвержденный поставщик услуг сканирования или ASV должен ежеквартально выполнять сканирование сети. Сканирование сети, которое обычно выполняется удаленно, обнаруживает уязвимости на веб-сайте компании, в сети или в другой системе, которую можно использовать.

  • Отправьте форму подтверждения соответствия или AOC.

Продавцы уровня 2 обрабатывают от 1 до 6 миллионов транзакций по картам в год.

  • Заполните анкету для самооценки или SAQ.

  • Утвержденный поставщик услуг сканирования или ASV должен ежеквартально выполнять сканирование сети.

  • Отправьте форму подтверждения соответствия или AOC.

Продавцы уровня 3 обрабатывают от 20 000 до 1 миллиона онлайн-транзакций по картам в год.

  • Заполните анкету для самооценки или SAQ.

  • Утвержденный поставщик услуг сканирования или ASV должен ежеквартально выполнять сканирование сети.

  • Отправьте форму подтверждения соответствия или AOC.

Продавцы уровня 4 обрабатывают менее 20 000 онлайн-транзакций по картам или до 1 миллиона транзакций в год.

  • Заполните анкету для самооценки, SAQ или другое требование, установленное продавцом-эквайером.

  • Может потребоваться, чтобы утвержденный поставщик услуг сканирования или ASV выполнял ежеквартальное сканирование сети.

  • Отправьте форму подтверждения соответствия или AOC.

Большинство малых предприятий подпадают под уровень 4 и обязаны проводить самооценку. Опросник самооценки имеет несколько версий. Способ, которым бизнес принимает карточные платежи, определяет, какую оценку использовать. Например, Анкета B предназначена для продавца, который не использует электронную импринтерную машину для сбора информации о картах клиентов, а Анкета A-EP предназначена для компаний, которые передают всю обработку платежей сертифицированным третьим сторонам.

Советы по обеспечению соответствия стандарту PCI

Учитывая техническую природу защиты данных, заполнение анкеты может оказаться сложной задачей для владельцев малого бизнеса. Анкеты для самооценки состоят из вопросов, на которые можно ответить «да» или «нет»; если вы ответите «нет» на любой из них, вы должны решить проблему, прежде чем отправлять ее.

Однако есть способы упростить этот процесс.

  1. Соблюдайте правила гигиены данных

Многие советы по защите данных отражают лучшие практики, с которыми вы, возможно, уже знакомы при защите своих личных устройств, в том числе:

  • Постоянно обновляйте программное обеспечение.Старые торговые терминалы могут быть особенно уязвимы. Более новые облачные системы построены с надежным шифрованием, обычно автоматически получают обновления и могут быть менее дорогими.

  • Храните только то, что вам нужно. Вам, вероятно, не нужно хранить физические копии квитанций.

  • Не нажимайте на подозрительные ссылки.

  • Убедитесь, что сотрудники знают о защите данных держателей карт.

2. Получите помощь в оформлении документов

Анкеты для самооценки носят технический характер и могут расстроить владельцев бизнеса.Может возникнуть соблазн ответить «да» на все вопросы, не задумываясь над анкетой. Но если владелец бизнеса делает это, а позже бизнес скомпрометирован, штрафы часто бывают более строгими.

Владельцы бизнеса могут воспользоваться помощью эксперта.

  • Банки, предлагающие торговые счета, часто заключают партнерские отношения с надежными компаниями, занимающимися кибербезопасностью, которые помогают предприятиям любого размера пройти шаги, необходимые для достижения соответствия.

  • Эти компании также часто проводят сканирование утвержденных поставщиков.

  • Услуги внешних экспертов могут стоить несколько сотен долларов, но экономия времени может того стоить. Кроме того, советы экспертов по снижению уровня риска могут снизить риск наложения штрафов на тысячи долларов в случае взлома вашего бизнеса.

3. Используйте системы, облегчающие соблюдение требований

Система точек продаж или POS может упростить соблюдение требований PCI.

  • Это означает, что для многих малых предприятий лучшим решением часто является облачный агрегатор, который объединяет обработку платежей, POS-систему, считыватели EMV и другие функции, помогающие минимизировать риски безопасности.

  • Эти сквозные системы безопасны, требуют минимального обслуживания и часто включают поддержку соответствия требованиям PCI.

  • Владельцы бизнеса также могут собрать воедино ряд продуктов и услуг, как лично, так и через стороннего поставщика. Однако эти системы могут быть менее безопасными и часто зависят от владельца, поддерживающего все в актуальном состоянии.

Контрольный список ресурсов соответствия

  • Знайте, к какому уровню относится ваш бизнес.

Поговорите со своим платежным оператором о следующих

  • Конкретных требованиях соответствия в вашем контракте.

  • Есть ли у него рекомендации консультанта, если вам нужна помощь.

  • Платите ли вы сбор за соответствие PCI.

  • Услуги по обеспечению соответствия, которые он предоставляет или рекомендует.

  • Используйте ресурсы на веб-сайте Совета по стандартам безопасности PCI, чтобы узнать больше о защите данных клиентов.

  • Если вам нужна помощь в поиске утвержденного поставщика оборудования для сканирования или кого-либо, кто может помочь с вашей оценкой, поговорите со своими финансовыми партнерами или воспользуйтесь списками поставщиков, которые ведет Совет по стандартам безопасности PCI.

    Leave a comment