Если ваша компания обрабатывает, хранит или передает данные платежных карт, значит она попадает под требования стандарта PCI DSS и должна пройти сертификацию. Но этот процесс можно значительно упростить, если часть ответственности за ежегодный аудит и аттестацию возьмет на себя облачный провайдер, который предоставил услугу «PCI DSS в облаке».
Начиная с 15 декабря 2004 года стандарт PCI DSS претерпел множество изменений. С выходом каждой новой версии он становился более требовательным к безопасности. Последний полноценный релиз состоялся в ноябре 2013 года, стандарт PCI DSS версии 3.0 сделал первый шаг в сторону эволюции мобильных и облачных систем. А версия 3.2 частично изменила терминологию, например, ввела понятие многофакторной аутентификации, вместо двухфакторной, предъявила новые требования к поставщикам услуг – документирование криптографической архитектуры, своевременно обнаружение сбоев в системах контроля, обязательны пентесты сегментированной сети, а также ускорила переход на безопасные протоколы SSL 3.0 и TLS 1.2. А вот последняя на текущий момент версия 3.2.1 напротив, лишь добавила несколько косметических штрихов в даты и понятия.
Казалось бы, новые версии выходят не так часто, чтобы переживать за регулярность обновлений, вот только выполнять аудит и проводить сертификацию надо ежегодно, а не по мере выхода новых релизов стандарта.
Как безопасно и в соответствии с требованиями регуляторов работать с платежными картами, но не тратить силы на выполнение всех 12 разделов стандарта PCI DSS? Воспользоваться услугой PCI DSS хостинга.
PCI DSS в облаке
Облачный провайдер разрабатывает матрицу ответственности, в которой четко определены зоны ответственности за выполнение требований стандарта PCI DSS. Клиенту не надо отвлекаться на вопросы соответствия инфраструктуры разделам стандарта и его требованиям, достаточно обеспечить безопасность работы платёжного приложения. За аудит и сертификацию облачной инфраструктуры и дата-центра отвечает облачный провайдер, в случае проверки достаточно сослаться на то, что рабочие ресурсы находятся в облаке PCI DSS. Именно облачный провайдер обеспечивает меры физической и информационной безопасности, протоколирует все события, использует межсетевые экраны для защиты веб-приложений, применяет многофакторную аутентификацию, защищает от вирусов и других вредоносных программ, а главное – проходит регулярный аудит и обновляет сертификаты по соответствию всех выше причисленных мероприятий.
Такой аудит состоит из трех этапов. На теоретическом проверяется актуальность и соответствие требованиям внутренних регламентов, политик безопасности и квалификации персонала. Далее, проверяется надежность ИТ-инфраструктуры –производится симуляция проникновение в сеть компании с целью похищения данных платежных карт. На последнем этапе аудиторы согласовывают используемые компанией оборудование, программное обеспечение, топологию сети и другие технические параметры инфраструктуры.
Подготовка к проверке и сам процесс получения сертификата занимает много времени и сил. Опытные специалисты по информационной безопасности и ИТ-архитекторы облачного провайдера самостоятельно разрабатывают услугу предоставления PCI DSS в облаке, так, чтобы их клиенты могли сосредоточиться на развитии своего бизнеса и пользоваться готовыми решениям при работе с платежными картами.
В зону ответственности провайдера входит: защита сетевой инфраструктуры, физическая защита и безопасность, управление доступом к хранящимся данным о платежных картах, многофакторная аутентификация, шифрование, управление системными компонентами, и, что очень важно, политика и регламенты информационной безопасности (ИБ).
Почему так важны именно регламенты и внутренние нормативы обеспечения безопасности? В вашей компании может не быть сложной ИТ-инфраструктуры, а работу с картами можно осуществлять вручную, с использованием минимума средств вычислительной техники. PCI DSS касается не только и не столько оборудования, сколько систем и процедур компании, а также ее бизнес-процессов, отвечающих за ИБ. Облачный провайдер в данном случае выступает не только поставщиком защищенных услуг, но еще консультантом и интегратором по правильной работа с платежными картами. Зарплата собственного специалиста, отвечающего за PCI DSS может измеряться сотнями тысяч рублей, не каждая компания или стартап могут себе позволить такие расходы. И разместить свою инфраструктуру в облаке провайдера получается дешевле не только с финансовой стороны, но и с точки зрения затрат на повышение квалификации в данном направлении.
PCI DSS от «ИТ-ГРАД»
В конце 2019 года облачный провайдер «ИТ-ГРАД» (входит в Группу МТС) подтвердил соответствие требованиям стандарта PCI DSS версии 3.2.1,обновив сертификат PCI DSS. Аудит был выполнен организацией Compliance Control Ltd, обладающей статусом Qualified Security Assessor (QSA). В ходе сертификации был доказан высочайший уровень компетенции специалистов облачного провайдера, а также отличное выполнение всех надлежащих требований.
Заказчики услуги PCI DSS в облаке «ИТ-ГРАД» могут быть уверены в том, что данные карт их клиентов надежно защищены, а с появлением новых версий стандарта – все необходимые требования будут выполнены в кратчайший срок.
Так нужна ли с выходом новой версии стандарта новая спецификация? Для облачного провайдера да, для клиента – нет. В современном мире, чтобы лидировать на рынке, важно грамотно распределять ресурсы, вынося вторичные функции на аутсорсинг. Сегодня переносить в облако можно не только ИТ-инфраструктуру. Облачные технологии закрывают и вопросы безопасности, в частности связанные с соблюдением требований PCI DSS. Такой подход позволяет упростить процедуру аудита и сертификации, существенно облегчая жизнь клиенту.
