1. Что такое PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — это документ, в котором описаны правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении.
2. Кто разрабатывает и продвигает стандарт PCI DSS?
Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Информацию о своей деятельности PCI SSC публикует на своем сайте.
3. Для кого требования стандарта PCI DSS являются обязательными?
Требования стандарта PCI DSS распространяется на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. Примерами таких организаций являются торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).
4. Что я получу от приведения своей информационной инфраструктуры в соответствие требованиям стандарта PCI DSS?
Приведя информационную инфраструктуру в соответствие требованиям PCI DSS, вы повысите уровень защищенности среды обработки карточных данных. Тем самым вы снизите риски финансовых потерь от инцидентов информационной безопасности и выполните требование международных платежных систем о необходимости соответствия данному стандарту.
5. Имеет ли смысл соответствовать требованиям стандарта PCI DSS тем, для кого он не обязателен?
Основная цель соответствия требованиям стандарта PCI DSS — повышение уровня защищенности информационной инфраструктуры, именно для этого стандарт и был разработан. Отсюда можно сделать вывод, что стандарт будет полезен всем, кто задумывается о безопасности своей информации.
6. Что содержит в себе стандарт PCI DSS?
Стандарт PCI DSS содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов:
- применение межсетевых экранов;
- правила настройки оборудования;
- защита хранимых данных о владельцах платежных карт;
- применение криптографических средств защиты при передаче данных;
- применение антивирусных средств;
- безопасная разработка и поддержка приложений и систем;
- управление доступом пользователей к данным;
- управление учетными записями;
- обеспечение физической безопасности;
- мониторинг безопасности данных;
- регулярное тестирование систем;
- разработка и поддержка политики информационной безопасности.
7. Есть ли привязка требований стандарта PCI DSS к конкретным решениям — оборудованию, программному обеспечению, технологиям?
Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения. PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений.
8. Где можно скачать стандарт PCI DSS на русском языке?
Актуальную на сегодняшний день версию 1.2 стандарта PCI DSS вы можете скачать здесь.
9. Все ли требования стандарта обязательны для выполнения?
Все требования стандарта PCI DSS являются обязательными. Некоторые требования могут быть неприменимы к вашей организации по причине отсутствия тех или иных компонентов информационной инфраструктуры, например, если вы не используете беспроводные сети, то на вашу компанию не распространяются требования по обеспечению безопасности беспроводных сетей. Если вы не можете выполнить то или иное требование стандарта из-за ограничений, накладываемых законодательством, бизнес-процессами или применяемыми технологиями, то вы можете использовать компенсирующие меры. Основным правилом выбора компенсирующих мер является то, что компенсирующая мера должна снижать тот же риск, что и требование стандарта, которое невозможно выполнить из-за ограничений.
10. Каковы границы области применения стандарта PCI DSS?
Требования стандарта PCI DSS распространяются на системы, используемые для обработки, хранения и передачи данных о владельцах платежных карт, а также системы, имеющие с ними сетевую связь (системы, соединения с которыми не защищены межсетевым экраном).
11. Входят ли банкоматы в область применения стандарта PCI DSS?
Да, отдельные подсистемы банкомата, участвующие в обработке, хранении и передаче данных о владельцах платежных карт, входят в область применения стандарта PCI DSS.
12. Как часто обновляется стандарт? Какая версия стандарта актуальна на текущий момент?
По мере развития стандарта PCI SSC вносит в его текст изменения и публикует новые версии документа на сайте www.pcisecuritystandards.org. С 1 октября 2008 года по настоящее время актуальна версия 1.2 стандарта PCI DSS.
13. Для кого обязателен внешний аудит на соответствие PCI DSS? Как часто нужно проходить аудит?
Согласно установленным международными платежными системами программам проверки соответствия требованиям PCI DSS ряду организаций необходимо проходить ежегодный аудит. Программы проверки соответствия различаются для торгово-сервисных предприятий (merchants) и поставщиков услуг (service providers).
Ежегодный аудит необходимо проходить торгово-сервисным предприятиям, проводящим более шести миллионов карточных транзакций в год. Касаемо поставщиков услуг, международная платежная система VISA требует прохождение ежегодного аудита от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более 300 000 транзакций в год, а MasterCard – от всех процессинговых центров, а также поставщиков услуг, обрабатывающих более одного миллиона транзакций в год. Подробное описание процедур проверки соответствия PCI DSS вы можете найти здесь.
14. Кто имеет право проводить аудит на соответствие PCI DSS?
Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании, имеющие статус QSA (Qualified Security Assessor). Официальный перечень компаний, обладающих таким статусом, приведен на сайте PCI SSC. В штате компании, имеющей статус QSA, должны работать аттестованные QSA-аудиторы.
15. Сколько по времени длится аудит?
Время проведения аудита зависит от размера области применения стандарта PCI DSS, а также от особенностей инфраструктуры компании. В среднем аудит на объекте компании длится три дня.
16. Что я получу в результате аудита на соответствие PCI DSS?
По результатам аудита соответствия вашей информационной инфраструктуры требованиям стандарта QSA-аудитор подготовит Отчет о Соответствии (Report on Compliance), содержащий детальную информацию о выполнении каждого из требований PCI DSS. Результаты аудита дадут представление о том, куда в первую очередь необходимо направить ресурсы на повышение защищенности среды обработки платежных карт.
17. Что делать, если аудит выявил несоответствия стандарту PCI DSS?
Согласно требованиям международных платежных систем, в случае выявления несоответствий информационной инфраструктуры требованиям стандарта PCI DSS вам необходимо подготовить План мероприятий по их устранению. В подготовке Плана мероприятий помогут рекомендации QSA-аудитора, выполнившего проверку соответствия.
18. Что будет, если я не стану проходить аудит на соответствие PCI DSS?
Международные платежные системы предусматривают наложение штрафных санкций на организации, которые обязаны проходить ежегодный внешний аудит соответствия PCI DSS, но не проходят его.
19. Что делать, если мне нужно проходить ежегодный внешний аудит, но политика безопасности не позволяет пустить внутрь компании стороннего аудитора?
В таком случае для выполнения требования международных платежных систем о прохождении ежегодного внешнего аудита придется менять политику безопасности, которая, согласно PCI DSS, должна учитывать все требования стандарта.
20. Когда я смогу получить сертификат?
Сертификат соответствия выдается после проведения аудита, в случае полного соответствия платежной инфраструктуры компании требованиям стандарта PCI DSS.
21. Зачем мне тест на проникновение?
Проведение внешнего и внутреннего теста на проникновение регламентировано требованием 11.3 стандарта PCI DSS. Тест на проникновение должен выполняться ежегодно, а также после внесения значительных изменений в платежную инфраструктуру компании. Попытка проникновение, выполняемая специалистом, реализующим комплекс уязвимостей в соответствии с заданной моделью нарушителя, наглядно демонстрирует уровень защищенности платежной среды. Следует обратить внимание на то, что тест на проникновение, выполняемый специалистом, не имеет ничего общего с автоматизированным сканированием.
22. Что такое сканирование?
Ежеквартальное сканирование внешнего периметра платежной инфраструктуры компании, выполняемое сертифицированным поставщиком услуг сканирования (approved scanning vendor, ASV) является обязательной частью процедур проверки соответствия PCI DSS. Подробное описание процедур проверки соответствия PCI DSS вы можете найти здесь.
| 
15 мая 2012
Алина Оприско
FAQ: PCI DSS & PA-DSS
