Сегодня покупатели товаров и услуг практически каждый день осуществляют электронные платежи. Популярность этого способа обусловлена его удобством, ведь это отличная альтернатива бумажным деньгам. Баольше нет необходимости пользоваться наличными средствами: брать с собой кошелек, разменивать крупные купюры, считать сдачу и т.д. Оплата картой имеет огромное количество плюсов, но и большие риски в сфере кибербезопасности. Клиенты хотят безопасно хранить свои деньги и быть уверенными в их защите. Для этого многие платежные системы, в том числе Visa и MasterCard, даже внесли обязательное требование к торговым предприятиям и поставщикам услуг. Чтобы компании при работе с онлайн-платежами отвечали установленным требованиям безопасности, требуется PCI DSS сертификация.
Далеко не все понимают, насколько важно наличие такого сертификата. Самый простой пример — это обычные магазины, на кассах которых установлены POS-терминалы (специальные аппараты для приема платежей с банковских карт). Некоторые владельцы торговых сетей до сих пор уверены в том, что за безопасность платежей отвечает банк, устанавливающий платежные терминалы. Но на самом деле за безопасность транзакций и данных карты клиентов отвечает именно торговая сеть.
Если злоумышленники смогут каким-то образом украсть персональные данные с платежных карт клиентов, то вся ответственность лежит на магазине, где была проведена транзакция. И вот, чтобы минимизировать риски подобных инцидентов, надежные платежные системы и сотрудничают только с теми банками, call-центрами, реализаторами товаров и услуг, платежными шлюзами, которые получили сертификат PCI DSS.
PCI DSS — это общие требования по обеспечению безопасности данных о держателях платежных карт. Получение данного сертификата требуется любым организациям, в чьих информационных системах происходит обработка, передача и хранение персональных данных. Этот стандарт разработан Советом по стандартам безопасности индустрии платежных карт и является общепринятым.
Решение о соответствии этому стандарту должно приниматься руководителем организации. А сам стандарт преследует следующие цели:
- внедрение мер по контролю доступа;
- устранение уязвимостей;
- разработка четкой политики информационной безопасности;
- построение и обслуживание защищенной сети;
Получить представленный сертификат — это актуальная задача для любой компании, которая хочет вести бизнес и принимать платежи с помощью банковских карт. Сюда относятся компании из финансовой индустрии, интернет-магазины, call-центры, ритейлеры и в целом все организации, являющиеся поставщиками товаров и услуг.
Стандарт PCI DSS предусматривает двенадцать четких требований, которые делятся на шесть основных категорий. Компания получает сертификат и может безопасно заниматься обработкой, передачей и хранением данных о держателях платежных карт. Рассмотрим основные группы требований стандарта:
Быстрое закрытие любых уязвимостей. Требуется своевременная установка обновления на используемые программные продукты, особенно это касается антивирусов.
Защита корпоративных сетей. Перед началом использования сетевого оборудования необходимо сразу настроить файрволы и изменить стандартные коды (пароли) разработчика.
Проверка состояния инфраструктуры. Также не обойтись без регулярного тестирования на выявление возможных уязвимостей системы, компоненты которой отвечают за информационную безопасность.
Защита данных карт. Также необходимо внедрить шифрование, а передача данных должна происходить по протоколу TLS 1.1 и выше.
Установка политики информационной безопасности. Требуется проведение проверок на соответствие информационной безопасности, также должен быть продуман алгоритм действий при взломе системы.
Контроль доступа к хранилищу. Доступ должен быть только у чётко обозначенного круга сотрудников. Работники без разрешения и лица со стороны не должны иметь к нему доступа.
Способы и форма сертификации могут отличаться. Компаниям, которые проводят менее 20 тысяч транзакций за год намного проще. Они просто заполняют лист самооценки, по результатам которого и получают желанный сертификат. Если же количество платежей в течение одного календарного года превышает значение в 20 000, тогда следует обратиться в сертификационную организацию, которая и проводит проверку. Процедура проходит в три этапа:
- Этап 1: Теоретическая часть.
Аудиторы должны оценить качество и актуальность политики информационной безопасности, а также посмотреть, как это работает на практике.
- Этап 2: Оценка ИТ-инфраструктуры.
На данном этапе проверяющие инсценируют целую серию атак на корпоративную сеть. Основная задача заключается в том, чтобы посмотреть, насколько эффективно файрволы, антивирусы и другое программное обеспечение организации справится с такой атакой.
- Этап 3: Составление отчетов.
В случае успешного прохождения проверки компания получает сертификат, подтверждающий безопасность. Если же организация не проходит проверку, то аудиторы не просто сообщают об этом, но еще и указывают на все нарушения, которые следует устранить.
Естественно, для получения сертификата компания должна успешно пройти все три этапа. Необходимо учитывать, что в случае несоответствия каким-либо требованиям и отказе в выдаче сертификата, всегда есть возможность устранить полученные замечания, и в таком случае, аудиторы сразу выдадут сертификат. Если же будут обнаружены серьезные нарушения, то потребуется повторное прохождение всех этапов проверки. Фирма может делать любое количество попыток, в этом плане никаких ограничений не существует, ведь главное — добиться положительного результата.
Необходимо понимать, что сертификат PCI DSS это не формальность, как многие думают, и его нельзя просто купить, как какую-нибудь лицензию. При этом многие владельцы компаний не хотят тратить время на проведение комплекса работ, чтобы его корпоративная сеть соответствовала всем требованиям. В таком случае лучшим решением станет сотрудничество с поставщиком платежных сервисов. Это компании, выступающие в качестве посредника между продавцом товаров/услуг (фирмой или предпринимателем) и банками. За проведение безналичных платежей и безопасность данных отвечает такой посредник. Соответственно и сертификат должен иметь тоже он.
Поставщики платежных услуг занимаются всеми вопросами, касающимися обработки данных карт, в том числе и сертификацией PCI DSS. Благодаря этому клиентам нет необходимости вовлекаться во все тонкости соответствия требованиям и прохождения аудита. Задача клиента — выбрать посредника, который гарантирует статус соответствия стандартам PCI DSS и регулярно обновляет сертификат соответствия.
Работа с поставщиками платежных услуг актуальна для многих небольших компаний, в которых нет своего IT-отдела. Кроме того, такое сотрудничество может помочь тем организациям, которые по разным причинам никак не могут выполнить все требования на соответствие стандартам. Ведь для соответствия стандартам недостаточно просто пройти одну проверку, необходимо каждый год обновлять сертификат. А для этого нужно обновлять антивирусы, отслеживать угрозы, проводить мониторинг работы корпоративной сети и многое другое.
Еще один простой способ соответствовать требованиям PCI DSS — это воспользоваться услугой Finance Cloud от АО «Казтелепорт». Это облачное решение разработано в соответствии со стандартами PCI DSS и оснащено функционалом задач базового администрирования.
Получение данного сертификата не является обязательным законодательным требованием для всех организаций. Но без него поставщики товаров и услуг смогут сотрудничать исключительно с малоизвестными платежными системами, которые не имеют должного авторитета в вопросах безопасности.
Такая политика проводится для повышения уровня безопасности плательщиков и клиентов. Некоторые международные платежные системы предусматривают наложение штрафов на все организации, которые обязаны проходить ежегодную сертификацию PCI DSS, но не делают этого. Размер штрафов зависит от типа организации и количества транзакций за год.
Безопасность интернет-платежей — серьезный и ответственный вопрос как в коммерческом, так и репутационном аспектах. Поэтому если получать данный сертификат своими силами нет возможности, лучше работать через посредника в лице поставщика платежных услуг.