- безопасность
Мировой рынок e-commerce стабильно растет, а вместе с ним и объем платежных транзакций. Многие компании уже выполняют требования международного стандарта PCI DSS. В их числе — облачные провайдеры.
Что это за стандарт? Зачем нужно облако, сертифицированное по PCI DSS? На эти и другие вопросы отвечаем в статье.
Что такое PCI DSS
Утечки карточных данных все чаще появляются в новостях. В 2023 году самые громкие инциденты произошли с клиентами Альфа-банка и МТС Банка.
Защитить карты пользователей в интернете — цель международного стандарта PCI DSS. Есть мнение, что его создавали именно для банков, но это не так.
Стандарт Payment Card Industry Data Security Standard (PCI DSS) появился в ответ на угрозу интернет-магазинам в начале нулевых. Именно тогда хакеры стали активно взламывать базы данных ритейлеров, чтобы получить информацию о банковских картах покупателей.
Первую редакцию документа в 2004 году приняли Visa, MasterCard и другие популярные американские платежные системы. Спустя годы требования PCI DSS охватили весь мировой бизнес. Стандарту стали соответствовать почти все компании, которые хранят, обрабатывают и передают данные карт.
Как правило, сегодня нормативы PCI DSS распространяются через банки или платежные центры. Часто именно они обязывают ритейлеров выполнять требования стандарта при подключении к платежным системам.
О каких требованиях речь
Обеспечивать безопасность платежных карт по PCI DSS сложно. Компания должна соответствовать множеству требований. Авторы документа делят их на шесть групп:
- Безопасность корпоративной сети. В частности, компания должна установить межсетевые экраны и поддерживать их конфигурацию, а также переписать пароли, которые изначально устанавливаются при производстве оборудования.
- Защита данных карт. Нужно использовать шифрование при передаче информации по сети.
- Работа с уязвимостями. Компания должна обеспечивать безопасность собственных систем от вредоносного ПО, в том числе с помощью антивирусов и других средств защиты, а также их своевременного обновления.
- Контроль доступа к хранилищу. В частности, нужно ввести ограничения для сотрудников. Доступ к данным карт пользователей должен быть только у ограниченного круга лиц.
- Политики информационной безопасности. Им должны соответствовать действия сотрудников при атаках, которые могут закончиться утечкой данных платежных карт.
- Мониторинг инфраструктуры. Регулярный контроль доступов к сетевым ресурсам и данным карт, а также постоянное тестирование средств защиты информации.
Зачем это облачному провайдеру
Сертификаты соответствия PCI DSS получают не только банки и ритейлеры. Они все чаще арендуют виртуальную инфраструктуру у провайдеров. Их облака также должны соответствовать требованиям стандарта и быть сертифицированными по PCI DSS.
Кроме того, в последние годы растет число компаний, которые размещают временные проекты на облачных ресурсах. Хотя многие из них запускаются для проверки гипотез, часто они предполагают подключение платежных систем.
Наличие сертификата PCI DSS для облачного провайдера — гарантия того, что он сможет удовлетворить спрос большого количества клиентов. Но что еще важнее — это подтвержденный высокий уровень информационной безопасности, который гарантированно получают клиенты и сам поставщик услуг.
Что еще получает клиент
Сертифицированное облако — прекрасная возможность сэкономить на затратах. Например, если нужно быстро запустить бизнес с онлайн-оплатой или «прикрутить» такую возможность к старому проекту, не придется покупать дополнительное оборудование, приводить инфраструктуру с процессами в соответствие стандарту. Обычно на эти задачи компании тратят много средств и времени.
Хотя ответственность за соблюдение требований PCI DSS лежит на компании-клиенте, провайдер может снизить риск наложения штрафов. Он уже привел инфраструктуру в соответствие нормативам на своем уровне. Это значит, что у клиентов остается больше времени и средств на задачи в своей зоне ответственности.
А еще облако с PCI DSS помогает сэкономить время и деньги компании: не нужно проходить полную сертификацию виртуальной инфраструктуры, а также прокачивать экспертизу в этих вопросах. Большую часть забот берет на себя провайдер. Клиенту нужно обеспечить соответствие требованиям на своем уровне, в том числе пройти сертификацию используемых систем.
И главное — резидент облака с PCI DSS получает новый статус. Если инфраструктура компании соответствует международному стандарту защиты платежных карт, это огромный плюс к доверию потребителей и репутации на рынке.
Иногда провайдер предлагает больше: клиенты получают дополнительные инструменты и услуги, которые могут усилить безопасность размещаемых в облаке данных. Так, например, в NGcloud уже встроены защита от DDoS-атак на уровнях L3 и L4, сканирование IP-адресов, сбор и анализ логов. Все это уже входит в стоимость ресурсов. Кроме того, облако аттестовано по 152-ФЗ и подходит для размещения персональных данных от УЗ-4 до УЗ-1.
Не только PCI DSS
Международный стандарт от Visa и MasterCard — пример того, как несколько компаний определили правила безопасности онлайн-торговли. Причем во всем мире и на десятилетия вперед.
Хотя это не единственный нормативный документ, который регулирует защиту карт в ритейле и банкинге России. Важную роль сегодня играет аналог PCI DSS от Центробанка, а точнее — ГОСТ 57 580.1–2017.
Какие требования он предъявляет к защите платежных карт в Сети и чем отличается от своего международного двойника? Обо всем этом расскажем уже скоро — следите за публикациями в нашем блоге.