PCI DSS, V.2

PCI DSS (Payment Card Industry Data Security Standard) – Стандарт за сигурност на данните в индустрията за разплащане с платежни карти

PCI DSS (Payment Card Industry Data Security Standard) представлява стандарт сигурност за търговци и процесори на платежни карти и е жизнено важен за прилагането на информационната сигурност и най-добрите практики в индустрията с кредитни карти.

PCI DSS е разработен от PCI SSC (PCI Security Standards Council). PCI Security Standards Council е отворен глобален форум, чието начало в поставено през 2006 г. PCI SSC е отговорен за развитието, управлението, образованието и информираността по стандарти за сигурност PCI.

PCI SSC е основан от пет световни марки за разплащане – American Express, Discover Financial Services, JCB International, MasterCard Worldwide, and Visa Inc, които са се споразумели да включат PCI DSS като техническо изискване за съответствие със всяка от техните програми за сигурност на данните.

Стандартът включва 12 изисквания за всеки бизнес, който съхранява, обработва или предава данни за плащания на картодържатели. Тези изисквания определят рамката за сигурност на средата за плащания, за целите на спазването на PCI. Тяхната същност е в три стъпки: оценка, третиране и докладване.

За да се извърши оценката, трябва да се направи опис на ИТ активи и бизнес процеси за обработка на плащания с кредитни карти и да се анализира наличието на уязвимости, които могат да изложат на риск данните на картодържателите. Третирането е процесът на “поправяне” на тези уязвимости. Докладването е воденето на записи и регистри, изисквани от PCI DSS, за да се валидира съответствието с изискванията на банките издатели (acquiring bank). Провеждане на тези три стъпки е един непрекъснат процес за непрекъснато съответствие с изискванията на PCI DSS. Тези стъпки позволяват строго осигуряване на безопасност на данните от кредитната карта.

Изисквания на PCI DSS:

PCI DSS версия 2.0 е световен стандарт за сигурност на данните за всеки бизнес, независимо от големината, решил да приема платежни карти, както и да съхранява, обработва и / или прехвърлят данни за картодържатели. Стандартът представлява общо приети добри практики за осигуряване на сигурност.

Стъпка 1 – Оценка на уязвимостите

Основната цел на оценката е да се идентифицират всички уязвимости в технологиите и процесите, които представляват риск за сигурността за данни от кредитните карти, които се предават, обработват или съхраняват от Вашия бизнес. Идентифицирането описва ИТ инфраструктура и процесите, които осигуряват достъп до инфраструктурата, съдържаща платежна информация. Трябва да бъде определен потокът на пренос на данни през целия му цикъл: от картодържателя до края на процеса на сделката, включително компютри и лаптопи, които имат достъп до критични системи, механизми за съхранение на хартиени разписки и др.

Забележка: Отговорност за спазването на PCI се отнася и за трети страни, ангажирани с потока на данните и вие се задължавате да потвърдите, че те са съвместими. Детайлната оценка е много важна част от разбирането какви елементи могат да бъдат уязвими към и къде да насочи внедряването на контролни механизми.

Стъпка 2 – Третиране на уязвимостите

Третирането е процес на отстраняване на уязвимости, включително технически пропуски в софтуерен код или опасни практики в организацията при обработване или съхранение на данни за картодържатели. Стъпки включват:

  • Сканиране на мрежа със софтуерни инструменти, които анализират инфраструктурата и мрежата за уязвимости;
  • Преглед и отстраняване на уязвимости, открити в оценката на риска на място (ако е приложимо);
  • Систематизирането и класиране на уязвимости, за да се приоритизират мерките за третиране;
  • Прилагане на пачове, фиксове, заобиколни методи, и промените на несигурни процеси и потоци от данни.
  • Повторно сканиране, за да се провери, че третирането е дало очаквания резултат.

Стъпка 3 – Докладване

Редовни доклади са необходими за спазването на PCI и те се представят на банката издател и световните марки за плащане. PCI SSC не е отговорен за спазването на PCI. Всички търговци и процесори трябва да представят всяко тримесечие отчет за сканиране на сигурността, който трябва да бъде попълнен и одобрен от одобрен валидатор (ASV). Бизнеси с големи потоци данни от транзакции трябва да правят годишна оценка на място от одобрен валидатор (QSA) и да представят констатациите на съответната банка. Бизнеси с малък поток данни от транзакции подават годишна самооценка.