Co potřebujete vědět o PCI DSS

Sada šesti požadavků

Standard je založen na souboru šesti požadavků . V té či oné míře jsou obecně uznávanými nejlepšími postupy ve světě informační bezpečnosti. Podle PCI DSS musí společnost:

  1. Chraňte síťovou infrastrukturu. Veškerý příchozí a odchozí provoz je filtrován firewally. V tomto případě by část sítě odpovědná za zpracování klientských dat měla být segmentovaný - to znamená, že je rozdělen do několika nezávislých shluků. To vám umožní omezit potenciální škody, pokud se hackerům podaří „infiltrovat“ síť.

V tomto případě musí všechny virtuální stroje provádět pouze jednu funkci. Tento přístup zajišťuje, že hackování serveru zabrání útočníkům získat kontrolu nad více kroky v procesu zpracování dat.

Hesla použitá pro přístup ke komponentám infrastruktury se musí lišit od továrních hesel a nesmí být zahrnuta v seznamu nejběžnějších hesel. V opačném případě hrozí hackování pomocí jednoduchého výčet slovníku . Například jedním z důvodů úniku v úvěrové kanceláři Equifax v roce 2017 bylo slabé heslo. Organizace použil uživatelské jméno a heslo admin pro přístup k databázi.

  1. Použít šifrování. Pro šifrování dat použijte silnou kryptografii (s klíči o délce alespoň 128 bitů). Nejnovější dokument PCI DSS z 1. ledna 2019 zavazuje společnosti používat TLS 1.2. Toto opatření bylo zavedeno kvůli zranitelnosti v předchůdci protokolu – SSL 3.0 , což umožňuje útočníkovi extrahovat soukromé informace ze šifrovaného komunikačního kanálu.

Dokument PCI DSS zároveň obsahuje seznam poskytovatelů kryptografických řešení, jejichž produkty je doporučeno používat pro úspěšnou certifikaci. Zahrnuje 886 prodejců platebního softwaru a více než 200 vývojářů různých šifrovacích systémů.

  1. Nainstalujte antivirový software. Samotný proces aktualizace zranitelného softwaru musí být regulován, aby se proaktivně odstranily všechny potenciální zranitelnosti.
  2. Konfigurace zásad přístupu k datům. Jedním z požadavků je použití vícefaktorové autentizace pro připojení ke kritickým komponentám infrastruktury a osobním datům. Zároveň je nutné omezit přístup do míst fyzického uložení klientských dat. Tyto zásady se upravují pokaždé, když společnost změní zaměstnance.
  3. Organizovat monitorování infrastruktury. Je důležité zaznamenávat všechny operace prováděné s daty, aby bylo možné rychle detekovat hacky. Samotné bezpečnostní systémy by měly být pravidelně testovány, aby bylo možné rychle identifikovat slabá místa v infrastruktuře IT.
  4. Vytvořte podnikovou politiku zabezpečení informací. Je důležité předepsat obecné principy zajištění bezpečnosti IT infrastruktury, algoritmus pro poskytování přístupu k uživatelským datům a kroky, které budou podniknuty v případě ohrožení těchto dat. Dokumenty musí být aktualizovány každý rok v souladu se změnami provedenými ve struktuře IT.

Proces auditu

Společnosti zpracovávající méně než 20 tisíc plateb ročně mohou provést audit samy. Zbytek organizací je povinen uchýlit se k pomoci certifikovaných auditorů.

Audit začíná teoretickou částí . Zde se kontroluje relevance vnitřních bezpečnostních politik a kompetence personálu. Společnost poskytuje vypracované pokyny, předpisy a další regulační a administrativní dokumenty o bezpečnosti informací.

Poté je posouzena spolehlivost IT infrastruktury. Za tímto účelem auditoři provádějí penetrační test – simulovaný útok na firemní síť. TakOvěřuje, že řešení na ochranu dat držitelů karet fungují, a identifikuje potenciální bezpečnostní díry.

Pokud bude vše úspěšné, zbývá se s auditory dohodnout na technických charakteristikách infrastruktury. Odborníci hodnotí software, hardwarové parametry, topologii sítě, konfiguraci operačního systému atd. Upozorňujeme, že pokud jsou během auditu zjištěna drobná porušení požadavků PCI DSS, mohou být na místě opravena.

Jak zjednodušit certifikaci

Certifikace PCI DSS vyžaduje spoustu času a úsilí. Tento proces nám trval přes rok. Tým specialistů IT-GRAD musel přestavět velký segment naší hostingové infrastruktury. Vytvořili jsme izolovanou síť založenou na ESX, vSphere a vCenter, ke které se přistupuje přes VPN s dvoufaktorovou autentizací. V této síti jsme nasadili monitorovací systémy, protokolování a kontrolu integrity dat a také antivirový software.

Chcete-li projít auditem, musíte někdy zcela přehodnotit infrastrukturu IT. A čím větší společnost, tím delší je tento proces. Ukazuje se, že podniky, které potřebují infrastrukturu PCI DSS více než ostatní – banky a velcí maloobchodníci – Nejtěžší věcí je řídit tyto standardy sami.

Poskytovatelé IaaS jsou schopni zjednodušit certifikační proces. Například v IT-GRAD poskytujeme službu PCI DSS Hosting . Umožňuje společnostem přesunout část odpovědnosti za plnění požadavků normy na bedra cloudového poskytovatele. Specialisté IT-GRAD jsou například zodpovědní za ochranu sítě a kontrolu fyzického přístupu k zařízení. Naše datová centra v Moskvě a Petrohradu splňují nejvyšší bezpečnostní požadavky. Kromě toho pomáháme s nastavením serverového prostředí a organizováním monitorování nezbytného pro certifikaci.

Využitím hostingové služby PCI DSS tedy klient šetří své peníze a zkracuje dobu certifikace. Tento přístup umožňuje zaměřit se na hlavní rozvoj podnikání.

Odkaz na článek < / p>