Стандарт безопасности PCI DSS сделал наши платежи надежнее

Стандарт безопасности данных PCI (PCI DSS) является своего рода эталоном. Он играет ключевую роль в обеспечении целостности и конфиденциальности данных карты «Мир» в рамках платежной системы «Мир» (Mir PS).

Что такое PCI DSS и зачем он нужен?

PCI DSS это не рекомендация по обеспечению безопасности; это обязательное требование для всех организаций, независимо от их непосредственного участия в работе с данными карт Mir. Стандарт распространяется на организации, за которыми стоит задача хранения, обработки или передачи данных карт Mir. Кроме того, он распространяется на те организации, которые, хотя и не обрабатывают данные карт Mir напрямую, обладают потенциалом повлиять на безопасность такой конфиденциальной информации. Среди этих влиятельных организаций предприятия розничной торговли и сферы услуг, использующие карты «Мир» в качестве способа оплаты.

По своей сути PCI DSS — это международно признанный протокол безопасности, разработанный для усиления защитных механизмов, связанных с данными платежных карт. Его основная цель состоит в укреплении организационной защиты от обновляющихся угроз. Придерживаясь стандартов PCI DSS, организации могут заблаговременно обезопасить свои операции и обеспечить необходимый уровень защиты во всей своей платежной системе.

Это неотъемлемая часть всех решений для электронной коммерции, и для разработчиков, хорошо разбирающихся в тонкостях этого процесса, это рутинная последовательность задач. Обычно для разработчика это включает в себя получение библиотечного кода для конкретного платежного шлюза, его настройку (обычно с помощью специализированного ключа), внесение необходимых корректировок и, наконец, развертывание в рабочей среде.

Однако одним из важнейших аспектов, который нельзя упускать из виду при обработке платежей, является безопасность. Чтобы действительно гарантировать безопасность платежей, компании должны тщательно изучить внутреннюю работу выбранного ими платежного шлюза.

Как происходит оценка выполнения критериев PCI DSS?

PCI DSS стал одним из главных в индустрии электронной коммерции. Наличие этого сертификата для вашего платежного шлюза обеспечивает высокий уровень уверенности в том, что данные платежной карты и, следовательно, денежные средства плательщика обрабатываются без неоправданного риска.

PCI DSS содержит набор рекомендаций, которых предприятия должны придерживаться при обработке конфиденциальной информации, которая содержится в характеристиках карт, включая такие данные, как номера карт, CVV-коды и даты, после которых карты становятся недействительными.

Достижение соответствия этому стандарту предполагает выполнение более чем двухсот критериев и успешное прохождение оценки. В ходе этой оценки тщательно изучаются как программное обеспечение, так и физические элементы вашей системы обработки платежей. Оценка о включает в себя личный визит уполномоченного аудитора — эксперта по оценке безопасности. Этот аудитор взаимодействует с персоналом платежного шлюза и тщательно изучает конфигурации системы, чтобы обеспечить соответствие стандартам безопасности.

В оценке уделяется значительное внимание соблюдению стандарта внешней безопасности OWASP, в котором излагаются основные требования для выявления и устранения уязвимостей кода. Проверка кода легко интегрируется в процесс разработки, вводя дополнительный уровень контроля, независимый от первоначального создания кода.

На этом проверка не заканчивается — серверы и другие важные компоненты инфраструктуры подлежат обязательной оценке. Статус соответствия требованиям PCI DSS остается динамичным, на него влияют такие факторы, как обновления программного обеспечения, конфигурации оборудования, виртуальные среды и оценки уязвимостей. Процесс аудита начинается с автоматического сканирования на наличие известных уязвимостей, проводимого одобренным поставщиком средств сканирования, за которым следует ручная оценка экспертами по кибербезопасности.

Одним из главных правил PCI DSS является запрет на хранение критических аутентификационных данных (CAD), которые включают в себя конфиденциальную информацию, такую как CVV или PIN-код. Чтобы соответствовать требованиям, предприятия внедряют программы, которые автоматически удаляют данные транзакции из хранилища после завершения транзакции. Если доступ к носителю данных не был осуществлен, данные транзакции удаляются из памяти сервера, что эффективно предотвращает хранение CAD. В редких случаях, когда требуется хранение, можно сохранить только PAN (основной номер учетной записи), и даже в этом случае он должен быть надежно зашифрован.

Влияние этого стандарта на сферу финансовых транзакций и защиту информации пользователей сложно переоценить. С момента своего создания PCI DSS оказал глубокое влияние на мир, укрепив методы обеспечения безопасности данных и сократив количество случаев утечки данных платежных карт. Организации обязаны сохранять бдительность, адаптируясь к меняющимся угрозам кибербезопасности и обеспечивая постоянную эффективность мер PCI DSS.

ООО «РТМ Технологии»