PCI DSS - Payment Card Industry Data Security Standard

PCI DSS

 

PCI DSS (Payment Card Industry Data Security Standard) представлява стандарт за сигурност за търговци и процесори на платежни карти и е жизнено важен за прилагането на информационната сигурност и най-добрите практики в индустрията с кредитни карти.

PCI DSS е разработен от PCI SSC (PCI Security Standards Council). PCI Security Standards Council е отворен глобален форум, чието начало в поставено през 2006 г. PCI SSC е отговорен за развитието, управлението, образованието и информираността по стандарти за сигурност PCI.

PCI DSS е основан от пет световни марки за разплащане - American Express, Discover Financial Services, JCB International, MasterCard Worldwide, and Visa Inc, които са се споразумели да включат PCI DSS като техническо изискване за съответствие с всяка от техните програми за сигурност на данните.

PCI DSS включва 12 изисквания за всеки бизнес, който съхранява, обработва или предава данни за плащания на картодържатели, а именно:

  Изграждане и поддържане на сигурна мрежа

     1. Инсталиране и поддържане на защитна стена за предпазване на данните на картодържателите;

     2. Неизползване на предоставените от производителя настройки по подразбиране.

  Защита срещу кражба на данните

     3. Защита на съхраняваните данни на картодържателите

     4. Криптиране на предаването на данни на картодържателите през публични мрежи

  Разработване и поддържане на програма за управление на уязвимите места

     5. Задължително използване на антивирусен софтуер и редовното му актуализиране.

     6. Разработване  и поддържане на системи и приложения за сигурност

  Прилагане на строги мерки за контрол на достъпа

    7. Ограничаване достъпа до данните на картодържателите само до обслужващия персонал, който има нужда от такъв достъп.

     8. Предоставяне на уникален идентификационен номер за достъп до данните

     9. Ограничаване на физическия достъп до данните за картодържателите

  Редовно наблюдение и тестване на мрежата

    10. Проследяване и наблюдение на всеки достъп до мрежата и данните на картодържателите

    11. Периодично тестване сигурността на системите и процесите

  Поддържане на политика за информационна сигурност

    12. Поддържане на политика по сигурността на информацията, адресирана към персонала.

Тези изисквания на PCI DSS определят рамката за сигурност на средата за плащания, за целите на спазването на PCI. Тяхната същност е в три стъпки: оценка, третиране и докладване.

За да се извърши оценката, съгласно PCI DSS, трябва да се направи опис на ИТ активи и бизнес процеси за обработка на плащания с кредитни карти и да се анализира наличието на уязвимости, които могат да изложат на риск данните на картодържателите. Третирането е процесът на "поправяне" на тези уязвимости. Докладването, съгласно PCI DSS е воденето на записи и регистри, изисквани от PCI DSS, за да се валидира съответствието с изискванията на банките издатели (acquiring bank). Провеждане на тези три стъпки е един непрекъснат процес за непрекъснато съответствие с изискванията на PCI DSS. Тези стъпки позволяват строго осигуряване на безопасност на данните от кредитната карта. 

Изисквания на PCI DSS:

PCI DSS е световен стандарт за сигурност на данните за всеки бизнес, независимо от големината, решил да приема платежни карти, както и да съхранява, обработва и / или прехвърлят данни за картодържатели. PCI DSS представлява общо приети добри практики за осигуряване на сигурност. 

Стъпка 1 - Оценка на узвимостите, съгласнасно PCI DSS

Основната цел на оценката е да се идентифицират всички уязвимости в технологиите и процесите, които представляват риск за сигурността за данни от кредитните карти, които се предават, обработват или съхраняват от Вашия бизнес. Идентифицирането описва ИТ инфраструктура и процесите, които осигуряват достъп до инфраструктурата, съдържаща платежна информация. Трябва да бъде определен потокът на пренос на данни през целия му цикъл: от картодържателя до края на процеса на сделката, включително компютри и лаптопи, които имат достъп до критични системи, механизми за съхранение на хартиени разписки и др. 

Забележка: Отговорност за спазването на PCI се отнася и за трети страни, ангажирани с потока на данните и вие се задължавате да потвърдите, че те са съвместими. Детайлната оценка е много важна част от разбирането какви елементи могат да бъдат уязвими и къде да се насочи внедряването на контролни механизми. 

Стъпка 2 - Третиране на уязвимостите, съгласно PCI DSS

Третирането е процес на отстраняване на уязвимости, включително технически пропуски в софтуерен код или опасни практики в организацията при обработване или съхранение на данни за картодържатели. Стъпките включват: 

  • Сканиране на мрежа със софтуерни инструменти, които анализират инфраструктурата и мрежата за уязвимости;
  • Преглед и отстраняване на уязвимости, открити в оценката на риска на място (ако е приложимо);
  • Систематизирането и класиране на уязвимости, за да се приоритизират мерките за третиране;
  • Прилагане на пачове, фиксове, заобиколни методи, и промените на несигурни процеси и потоци от данни.
  • Повторно сканиране, за да се провери, че третирането е дало очаквания резултат. 

Стъпка 3 - Докладване, съгласно PCI DSS

Редовни доклади са необходими за спазването на PCI DSS и те се представят на банката издател и световните марки за плащане. PCI SSC не е отговорен за спазването на PCI. Всички търговци и процесори трябва да представят всяко тримесечие отчет за сканиране на сигурността, който трябва да бъде попълнен и одобрен от одобрен валидатор (ASV). Бизнеси с големи потоци данни от транзакции трябва да правят годишна оценка на място от одобрен валидатор (QSA) и да представят констатациите на съответната банка. Бизнеси с малък поток данни от транзакции подават годишна самооценка.

PCI DSS - Payment Card Industry Data Security Standard



ЕТИКЕТИ

Новини

25 Септември 2018
ISO 50001:2018 "Системи за управление на енергията - изисквания с насоки ...
19 Септември 2018
Публикувана е новата версия на ISO / IEC 20000-1:2018 "Информацио...

Акценти

20 Август 2018
Защитата на сигурността на фирмената информация, независимо дали е чувствителна ...
02 Август 2018
Редица големи международни корпорации като Майкрософт са сертифицирали своите об...