PCI DSS — это стандарт безопасности индустрии платежных карт, регламентирующий список процедур и политик, основная функция которых заключается в оптимизации уровня безопасности транзакций, проводимых по платежным картам, в том числе дебетовым и кредитным, и защите владельцев карт от несанкционированного использования личных конфиденциальных данных. Основная цель разработки технологии payment card industry data заключалась в предотвращении нарушений кибербезопасности личной информации и минимизации случаев мошенничества в организациях, работающих с данными о платежных картах.
PCI DSS стандарт не является обязательным к выполнению, так как не относится к нормативно-правовым актам ни одной страны. Тем не менее финансовые компании, занимающиеся обработкой и хранением информации о транзакциях по платежным картам, зачастую выполняют его как одно из договорных обязательств.
Создание и поддержание высокого уровня безопасности системы и сети. Проведение транзакций по картам пользователей возможно только в защищенной сети. В список компонентов безопасности должны быть включены надежные брандмауэры, эффективно выполняющие возложенные на них функции и при этом не доставляющие клиентам неудобств. Системные пароли должны быть оригинальными.
Безопасность личной информации владельцев платежных карт. Компании, работающие по security standard, должны гарантировать конфиденциальность данных, касающихся владельцев карт, включая почтовые адреса, даты рождения, номера телефонов, девичьи фамилии матерей и прочее, вне зависимости от места ее хранения. При необходимости отправки информации по каналам связи с общим доступом, она должна быть предварительно зашифрована.
Управление уязвимостями. Финансовым компаниям, занимающимся обслуживанием клиентских платежных карт, необходимо разработать и внедрить программы управления уязвимостями и оценки рисков, основная задача которых состоит в защите корпоративных систем от потенциальных злонамеренных действий хакеров, от вредоносного и шпионского программного обеспечения. Используемые в процессе работы приложения должны быть протестированы и не содержать известных уязвимостей, которые могут быть использованы злоумышленниками с целью завладения конфиденциальной информацией.
Контроль доступа. Обязательным условием является контроль доступа к системным данным и его ограничение, в зависимости от роли пользователя. Всем сотрудникам, работающим с корпоративной IT-инфраструктурой, должны быть присвоены уникальный идентификатор и имя пользователя. Вся информация, касающаяся владельцев карт, должна быть защищена не только в цифровом, но и в физическом виде. К физической защите относится ввод ограничения на копирование бумажных документов, применение уничтожителей документов, использование замков на мусорных урнах и баках.
Мониторинг и контроль сети. Необходимо проводить регулярное тестирование используемых сетей, чтобы иметь возможность гарантировать их эффективное функционирование и надлежащий уровень безопасности. Антивирусное ПО и другие программные защитные продукты должны иметь последние обновления.
Информационная безопасность. Требования по информационной безопасности должны соблюдаться всеми сотрудниками. За нарушение правил возможно введение системы ответственности, включающей в себя дополнительные проверки и денежные взыскания.
Стандарт PCI DSS позволяет компаниям повысить репутацию среди клиентов, так как его соблюдение обеспечивает высокий уровень безопасности в работе с личными данными. Рассмотрим основные плюсы стандарта для компаний, занимающихся финансовыми операциями:
Повышение доверия клиентов. Высокий уровень защиты личной информации способствует повышению доверия к компании и ее росту как бизнес-предприятия за счет повышения вероятности повторного использования ее услуг клиентами и возможных рекомендаций услуг другим пользователям.
Минимизация вероятности утечек информации. Защитные процедуры и меры безопасности стандарта максимально снижают риск утечки информации и, соответственно, связанных с этим бюджетных расходов, в частности судебных издержек, штрафов и репутационных потерь.
Высокий уровень защиты от мошенничества. При соблюдении всех требований PCI DSS, возможные факты мошенничества обнаруживаются в кратчайший срок, что снижает риск потенциального финансового ущерба для организации.
Соответствие стандартам отрасли. Компании, придерживающиеся стандарта безопасности, соответствуют лучшим отраслевым практикам, что позволяет улучшить репутацию не только среди клиентов, но и в кругу партнеров, регулирующих органов и заинтересованных сторон.
