PCI DSS: стандарт pci dss, сертификат, требования и область применения

20.09.2021
Цод Миранов

PCI DSS (Payment Card Industry Data Security Standard) — набор стандартов безопасности в индустрии платежных карт, принятый в 2004 году ассоциацией крупнейших платежных операторов, включая Visa, MasterCard и др. В 2006 году его действие распространили на страны Восточной Европы.

Стандарт обеспечивает безопасность финансовых транзакций, поэтому применим ко всем организациям, которые имеют отношение к обработке платежных карт:

  • торговые предприятия любого размера;
  • финансовые учреждения;
  • разработчики ПО и аппаратного обеспечения для этой области;
  • сервис-провайдеры.

То есть ко всем организациям, которые хранят, обрабатывают или передают данные платежных карт. В таблице указано, что конкретно считается «данными платежных карт».

Данные держателя картыХранение разрешеноПривести в нечитаемый вид
Основной номер держателя банковской карты (PAN)ДаДа
Имя держателя картыДаНет
Сервисный кодДаНет
Дата истечения срока действия картыДаНет
Критические аутентификационные данные
Полные данные дорожкиНетХранение запрещено
CAV2/CVC2/CVV2/CIDНетХранение запрещено
ПИН/ПИН-блокНетХранение запрещено

Зачем нужен сертификат PCI DSS?

В первую очередь сертификация важна для самой компании, которая защищает свой бизнес и минимизирует ущерб от взлома. Она важна и для клиентов, которые могут рассчитывать на безопасность своих данных. Сертификат помогает строить долгосрочные отношения с клиентами, улучшает имидж.

Сертификация PCI DSS дает конкретные права, без которых электронная коммерция в интернете в крупном масштабе практически невозможна:

  • Возможность принимать платежи через банковские карты.
  • Возможность работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия.

Примечание. Чтобы избежать сертификации, некоторые компании прибегают к помощи платежных шлюзов, но это не избавляет от необходимости защищать информацию клиентов. Также важно, чтобы сервисные партнеры — операторы, провайдеры, хостеры — тоже соответствовали PCI DSS.

сертификат соответствия компании Миран
Сертификат PCI DSS компании Миран

Область применения стандарта PCI DSS

Стандарт применяется ко всем системным компонентам, которые так или иначе связаны со средой данных платежных карт. Эта среда включает в себя людей, процессы и технологии, которые хранят, обрабатывают или передают их. Вот примеры системных компонентов:

  • Системы, обеспечивающие стандарты безопасность (например, серверы аутентификации), соответствующие сегментации (например, внутренние файрволы) или влияющие на безопасность.
  • Компоненты виртуализации, такие как виртуальные машины, виртуальные коммутаторы и маршрутизаторы, виртуальные устройства, виртуальные приложения/рабочие столы и гипервизоры.
  • Сетевые компоненты, в том числе файрволы, коммутаторы, маршрутизаторы, беспроводные точки доступа, устройства сетевой безопасности и иные устройства безопасности.
  • Типы серверов, включая веб-серверы, серверы приложений, серверы баз данных, серверы аутентификации, почтовые серверы, прокси-серверы, серверы NTP (протокол сетевого времени) и серверы DNS.
  • Приложения, включая все приобретенные или заказанные приложения, в том числе внутренние и внешние (например, веб-приложения).
  • Любой иной компонент или устройство, расположенное в среде данных держателей карт или подключенное к ней.

На первом этапе оценки соответствия производится точная оценка области аудита. Минимум раз в год перед каждой проверкой оцениваемая организация должна проверять корректность этой области. 

Чтобы уменьшить область применения стандарта PCI DSS, можно выполнить сегментацию и изолировать системы, которые хранят, обрабатывают или передают данные держателей карт.

Соответствие означает соблюдение технических и операционных стандартов. Стандарты соответствия PCI DSS разрабатываются и публикуются Советом по стандартам безопасности PCI.

Последняя версия PCI DSS (v3.2.1) опубликована в мае 2018 года.

В документе 168 страниц с подробным техническим описанием двенадцати групп требований.

12 требований стандарта PCI DSS

Создание и поддержка защищенной сети и систем

  1. Установить и поддерживать конфигурацию межсетевых экранов для защиты данных держателей карт.
  2. Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию.

Защита данных держателей карт

  1. Защищать хранимые данные держателей карт.
  2. Шифровать их при  передаче в открытых общедоступных сетях.

Ведение программы по управлению зависимостями

  1. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы.
  2. Разрабатывать и поддерживать безопасные системы и приложения.

Внедрение строгих мер контроля доступа

  1. Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью.
  2. Определять и подтверждать доступ к системным компонентам.
  3. Ограничить физический доступ к данным держателей карт.

Регулярный мониторинг и тестирование сети

  1. Контролировать и отслеживать весь доступ к сетевым ресурсам и данным держателей карт.
  2. Регулярно выполнять тестирование систем и процессов обеспечения стандартов

Поддержание политики информационной безопасности

  1. Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации.

Регламент PCI DSS v3.2.1 содержит подробное техническое описание, какие именно меры должна принять организация для соответствия каждому из этих требований.

Уровни соответствия

По классификации Visa, торгово-сервисные предприятия подразделяются на четыре уровня соответствия PCI, в зависимости от количества операций с платежными картами. 

Уровень 1

Более 6 млн операций по платежным картам в год. Такие компании раз в год должны проходить внутренний аудит с уполномоченным аудитором. Раз в квартал они должны проходить процедуру сканирования на уязвимости с уполномоченным вендором (Approved Scanning Vendor, ASV). Процедура сертификации включает обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту.

Уровень 2

От 1 млн до 6 млн транзакций. Ежегодное самостоятельное заполнение анкеты SAQ (Self-Assessment Questionnaire). Рекомендовано ежеквартальное сканирование. В уровнях 3 и 4 требования те же, кроме объема транзакций. 

Уровень 3

От 20 тыс до 1 млн транзакций. 

Уровень 4

Менее 20 тыс. операций в год. 

Кроме того, определено два уровня поставщиков услуг, в зависимости по количеству данных, которые они обрабатывают, хранят или передают (более или менее 300 тыс. транзакций в год).

Лучшие практики

Чтобы гарантировать оптимальный уровень, стандарт PCI DSS рекомендуется внедрить в традиционные рабочие процессы в рамках общей стратегии безопасности предприятия. Пример лучших практик из официальной документации PCI DSS:

  1. Мониторинг мер безопасности.
  2. Своевременное обнаружение и реагирование на любые отказы с целью определения причин, решения проблем, принятия мер и возобновления мониторинга.
  3. Оценка изменений среды до окончательного внесения изменений в нее, включая определение потенциального влияния на область действия и внедрение необходимых средств контроля.
  4. Внесение изменений в организационную структуру предприятия должно приводить к официальному пересмотру области применения PCI DSS и применения требований.
  5. Выполнение регулярной оценки и проведение опросов с целью подтверждения, что стандарт PCI DSS соблюдаются, а сотрудники следуют процессам обеспечения безопасности.
  6. Выполнение проверки аппаратных и программных технологий не реже одного раза в год для подтверждения наличия их поддержки производителем и способности соблюдать требования организации по безопасности, включая PCI DSS.

Кроме этого, компаниям предлагается разделить обязанности сотрудников так, чтобы это функции и/или оценки были отделены от функций оперативного управления. Идея в том, чтобы никакой сотрудник не обладал полным контролем над процессом. 

Модернизация требований

С момента своего создания PCI DSS пережил несколько итераций, чтобы соответствовать изменениям в современном ландшафте онлайновых угроз. Хотя основные правила соответствия остаются неизменными, периодически добавляются новые.

Одним из наиболее значительных дополнений стало требование 6.6, введенное в 2008 году. Это требование защиты данных от некоторых наиболее распространенных векторов атак на веб-приложения, включая SQL-инъекции, RFI (remote file inclusion) и другие методы. Его выполнение требует аудита кода или установки файрвола веб-приложений (WAF).

В 2010 году приняли вторую версию с ранжированием уязвимостей по уровню риска и новым требованием идентификации в процессе разработки приложений всех уязвимостей с «высоким» риском.

Ответственность за нарушение

От уровня компании зависит размер штрафов, которые накладывают на компанию платежные системы Visa и MasterCard в случае несоответствия правилам:

Штрафные санкции за нарушение требований по защите данных платежных систем

Платежная системаНарушениеУчастникТорговое-сервисное предприятиеПоставщики услуг
1, 2 уровень3 уровень
VisaПервое$50 000
Второе$100 000
Третье и последующие$200 000
MasterCardПервое$25 000$25 000$10 000$25 000
Второе$50 000$50 000$20 000$50 000
Третье$75 000$100 000$40 000$100 000
Четвертое и последующие$100 000$200 000$80 000$200 000

Кроме того, многие требования PCI DSS совпадают с национальным законодательством. Таким образом, нарушение PCI DSS может быть нарушением европейского закона GDPR, в России — 152-ФЗ «О персональных данных» и пункта 6 статьи 13.12 КоАП РФ «Нарушение правил защиты информации».

Примечание. Международный стандарт PCI DSS во многом совпадает с Положением № 382-П Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».