Набор из шести требований
Основу стандарта составляет набор из шести требований. В той или иной степени, они являются общепризнанными best practices в мире информационной безопасности. Согласно PCI DSS, компания должна:
- Защитить сетевую инфраструктуру. Весь входящий и исходящий трафик фильтруется файрволами. При этом часть сети, ответственная за обработку клиентских данных, должна быть сегментирована — то есть разделена на несколько независимых друг от друга кластеров. Это позволяет ограничить потенциальный ущерб, если хакерам все же удастся «проникнуть» в сеть.
При этом все виртуальные машины обязаны выполнять только одну функцию. Такой подход гарантирует, что взлом сервера не позволит злоумышленникам получить контроль над несколькими ступенями процесса обработки данных.
Пароли, используемые для доступа к компонентам инфраструктуры, должны отличаться от фабричных и не входить в список наиболее распространенных паролей. Иначе возникает риск взлома с помощью простого перебора по словарю. К примеру, одной из причин утечки в кредитном бюро Equifax в 2017 году как раз стал слабый пароль. Jанизация использовала логин и пароль admin для доступа к базе данных.
- Использовать шифрование. Дли шифрования данных нужно использовать сильную криптографию (с ключами длиной не менее 128 бит). Последняя версия документа PCI DSS от 1 января 2019 года, обязует компании использовать TLS 1.2. Эта мера была введена из-за уязвимости в предшественнике протокола — SSL 3.0, которая дает злоумышленнику возможность извлечь из зашифрованного канала связи закрытую информацию.
При этом в документе PCI DSS указан список провайдеров криптографических решений, чьи продукты рекомендуется использовать для успешного прохождения сертификации. В него входят 886 поставщиков платежного программного обеспечения и более 200 разработчиков различных шифровальных систем.
- Установить антивирусное ПО. Сам процесс обновления уязвимого программного обеспечения должен быть регламентирован, чтобы превентивно закрывать все потенциальные уязвимости.
- Настроить политики доступа к данным. Одно из требований — использовать многофакторную аутентификацию для подключения к критическим инфраструктурным компонентам и персональным данным. При этом нужно ограничить доступ к местам физического хранения клиентских данных. Эти политики корректируются каждый раз, когда в компании происходят кадровые перестановки.
- Организовать мониторинг инфраструктуры. Важно логировать все операции, проводимые над данными, чтобы быстро обнаруживать взломы. Сами системы безопасности стоит регулярно тестировать, чтобы оперативно выявлять слабые места в ИТ-инфраструктуре.
- Сформулировать корпоративную политику по ИБ. Важно прописать общие принципы обеспечения безопасности ИТ-инфраструктуры, алгоритм предоставления доступа к ПД пользователей и шаги, которые будут предприняты в случае возникновения угрозы этим данным. Документы должны корректироваться каждый год в соответствии с вносимыми в ИТ-структуру изменениями.
Процесс аудита
Компании, обрабатывающие менее 20 тысяч платежей в год, могут провести аудит самостоятельно. Остальным организациям обязательно прибегать к помощи сертифицированных аудиторов.
Начинается аудит с теоретической части. Здесь проверяется актуальность внутренних политик безопасности и компетентность персонала. Компания предоставляет разработанные инструкции, регламенты и другие нормативно-распорядительные документы по ИБ.
Затем оценивается надежность ИТ-инфраструктуры. Для этого аудиторы проводят испытание на проникновение — симулированную атаку на сети компании. Таким образом проверяется работа решений, направленных на защиту данных владельцев карт, и выявляются потенциальные «дыры» в безопасности.
Если все успешно, то останется согласовать технические характеристики инфраструктуры с аудиторами. Специалисты оценивают программное обеспечение, параметры железа, топологию сети, конфигурацию операционных систем и др. Отметим, что если во время аудита обнаруживаются небольшие нарушение требований PCI DSS, их можно устранить «на месте».
Как упростить сертификацию
Сертификация PCI DSS отнимает много сил и времени. У нас этот процесс занял более года. Команде специалистов «ИТ-ГРАД» пришлось пересобрать большой сегмент нашей хостинг-инфраструктуры. Мы создали изолированную сеть на основе ESX, vSphere и vCenter, доступ к которой предоставляется через VPN с двухфакторной аутентификацией. В этой сети мы системы мониторинга, ведения логов и контроля целостности данных, а также антивирусное ПО.
Для прохождения аудита порой приходится полностью переосмыслить ИТ-инфраструктуру. И чем больше компания, тем длительнее этот процесс. Получается, что бизнесам, которые нуждаются в PCI DSS инфраструктуре больше других — банкам и крупным ритейлерам — тяжелее всего самостоятельно организовать соответствие этим стандартам.
Упростить процесс сертификации способны IaaS-провайдеры. Например, мы в «ИТ-ГРАД» предоставляем услугу PCI DSS хостинга. Она дает компаниям возможность переложить часть ответственности за выполнение требований стандарта на плечи облачного провайдера. К примеру, специалисты «ИТ-ГРАД» отвечают за защиту сети и контроль физического доступа к оборудованию. Наши дата-центры в Москве и Санкт-Петербурге соответствуют самым высоким требованиям безопасности. Дополнительно мы помогаем настроить серверную среду и организовать необходимый для сертификации мониторинг.
Таким образом, пользуясь услугой PCI DSS хостинга, клиент экономит свои средства и сокращает время на сертификацию. Такой подход дает возможность сосредоточиться на профильном развитии бизнеса.
