Содержание статьи
Что такое PCI DSS
Стандарт безопасности данных индустрии платежных карт (PCI DSS) - это набор стандартов безопасности, созданный в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express. Схема соответствия, регулируемая Советом по стандартам безопасности индустрии платежных карт (PCI SSC), направлена на защиту транзакций по кредитным и дебетовым картам от кражи данных и мошенничества.
Хотя PCI SSC не имеет юридических полномочий требовать соблюдения, это требование для любого бизнеса, который обрабатывает транзакции по кредитным или дебетовым картам. Сертификация PCI также считается лучшим способом защиты конфиденциальных данных и информации, тем самым помогая предприятиям строить прочные и доверительные отношения со своими клиентами.
Сертификация PCI DSS
Сертификация PCI гарантирует безопасность данных карты на вашем предприятии благодаря набору требований, установленных PCI SSC. К ним относятся ряд общеизвестных передовых практик, таких как:
Безопасность, соответствующая стандарту PCI, является ценным активом, который информирует клиентов о том, что с вашим бизнесом безопасно совершать сделки. И наоборот, цена несоблюдения как в денежном, так и в репутационном плане должна быть достаточной, чтобы убедить любого владельца бизнеса серьезно относиться к безопасности данных.
Утечка данных, раскрывающая конфиденциальную информацию о клиентах, может иметь серьезные последствия для предприятия. Нарушение может привести к штрафам со стороны эмитентов платежных карт, судебным искам, снижению продаж и серьезному ущербу репутации.
После взлома компании, возможно, придется прекратить принимать транзакции по кредитным картам или вынудить ее оплачивать последующие сборы, превышающие первоначальную стоимость соблюдения требований безопасности. Инвестиции в процедуры безопасности PCI имеют большое значение для обеспечения защиты других аспектов вашей коммерции от злоумышленников в сети.
Уровни соответствия PCI DSS
Соответствие требованиям PCI разделено на четыре уровня в зависимости от ежегодного количества транзакций по кредитным или дебетовым картам в рамках бизнес-процессов. Уровень классификации определяет, что нужно делать предприятию, чтобы соответствовать требованиям.
Требования PCI DSS
PCI SSC изложил 12 требований для обработки данных о держателях карт и поддержания безопасности сети. Распределенные между шестью более широкими целями, все они необходимы для того, чтобы предприятие соответствовало требованиям.
Безопасная сеть
Безопасные данные держателя карты
Управление уязвимостями
Контроль доступа
Мониторинг и тестирование сети
Информационная безопасность
Соответствие PCI и брандмауэры веб-приложений
С момента своего создания PCI DSS прошел несколько итераций, чтобы не отставать от изменений в ландшафте сетевых угроз. Хотя основные правила соответствия остались неизменными, периодически добавляются новые требования.
Одним из наиболее значительных из этих дополнений было Требование 6.6, представленное в 2008 году. Оно было создано для защиты данных от некоторых из наиболее распространенных векторов атак веб-приложений, включая SQL-инъекции, RFI и другие вредоносные входные данные. Используя такие методы, злоумышленники потенциально могут получить доступ к множеству данных, включая конфиденциальную информацию о клиентах.
Удовлетворение этого требования может быть достигнуто либо путем проверки кода приложения, либо путем внедрения брандмауэра веб-приложения (WAF).
Первый вариант включает в себя ручную проверку исходного кода веб-приложения вместе с оценкой уязвимости безопасности приложения. Для проведения проверки требуется квалифицированный внутренний ресурс или третье лицо, а окончательное утверждение должно исходить от внешней организации. Более того, назначенный рецензент должен быть в курсе последних тенденций в области безопасности веб-приложений, чтобы гарантировать, что все будущие угрозы будут должным образом устранены.
В качестве альтернативы компании могут защититься от атак на уровне приложений с помощью WAF, развернутого между приложением и клиентами. WAF проверяет весь входящий трафик и отфильтровывает вредоносные атаки.
Наш облачный WAF, предлагаемый Imperva, блокирует атаки на веб-приложения, используя ряд различных методологий безопасности, включая распознавание подписи и репутацию IP. Будучи полностью совместимым с требованиями PCI 6.6, он может быть настроен и готов к использованию в течение нескольких минут.
Чтобы сделать соответствие еще проще, cloud WAF не требует дополнительных затрат на установку оборудования или управление. Это позволяет всем организациям - от крупных компаний до стартапов и малых и средних предприятий, у которых может не быть необходимой инфраструктуры безопасности и персонала - оставаться защищенными и соответствовать требованиям PCI DSS.
- Что такое PCI DSS
- Сертификация PCI DSS
- Уровни соответствия PCI DSS
- Требования PCI DSS
- Соответствие PCI и брандмауэры веб-приложений
Что такое PCI DSS
Стандарт безопасности данных индустрии платежных карт (PCI DSS) - это набор стандартов безопасности, созданный в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express. Схема соответствия, регулируемая Советом по стандартам безопасности индустрии платежных карт (PCI SSC), направлена на защиту транзакций по кредитным и дебетовым картам от кражи данных и мошенничества.
Хотя PCI SSC не имеет юридических полномочий требовать соблюдения, это требование для любого бизнеса, который обрабатывает транзакции по кредитным или дебетовым картам. Сертификация PCI также считается лучшим способом защиты конфиденциальных данных и информации, тем самым помогая предприятиям строить прочные и доверительные отношения со своими клиентами.
Сертификация PCI DSS
Сертификация PCI гарантирует безопасность данных карты на вашем предприятии благодаря набору требований, установленных PCI SSC. К ним относятся ряд общеизвестных передовых практик, таких как:
- Установка межсетевых экранов
- Шифрование передачи данных
- Использование антивирусного программного обеспечения
Безопасность, соответствующая стандарту PCI, является ценным активом, который информирует клиентов о том, что с вашим бизнесом безопасно совершать сделки. И наоборот, цена несоблюдения как в денежном, так и в репутационном плане должна быть достаточной, чтобы убедить любого владельца бизнеса серьезно относиться к безопасности данных.
Утечка данных, раскрывающая конфиденциальную информацию о клиентах, может иметь серьезные последствия для предприятия. Нарушение может привести к штрафам со стороны эмитентов платежных карт, судебным искам, снижению продаж и серьезному ущербу репутации.
После взлома компании, возможно, придется прекратить принимать транзакции по кредитным картам или вынудить ее оплачивать последующие сборы, превышающие первоначальную стоимость соблюдения требований безопасности. Инвестиции в процедуры безопасности PCI имеют большое значение для обеспечения защиты других аспектов вашей коммерции от злоумышленников в сети.
Уровни соответствия PCI DSS
Соответствие требованиям PCI разделено на четыре уровня в зависимости от ежегодного количества транзакций по кредитным или дебетовым картам в рамках бизнес-процессов. Уровень классификации определяет, что нужно делать предприятию, чтобы соответствовать требованиям.
- Уровень 1: применяется к продавцам, обрабатывающим более шести миллионов реальных транзакций по кредитным или дебетовым картам ежегодно. Проводимые уполномоченным аудитором PCI, они должны проходить внутренний аудит один раз в год. Кроме того, раз в квартал они должны проходить сканирование PCI утвержденным поставщиком сканирования (ASV).
- Уровень 2: применяется к продавцам, обрабатывающим от одного до шести миллионов реальных транзакций по кредитным или дебетовым картам ежегодно. Они должны проходить оценку один раз в год с использованием анкеты самооценки (SAQ). Кроме того, может потребоваться ежеквартальное сканирование PCI.
- Уровень 3: применяется к продавцам, обрабатывающим от 20 000 до 1 миллиона транзакций электронной торговли ежегодно. Они должны проходить ежегодную оценку, используя соответствующий опросный лист. Также может потребоваться ежеквартальное сканирование PCI.
- Уровень 4: применяется к продавцам, обрабатывающим менее 20 000 транзакций электронной коммерции в год, или к тем, которые обрабатывают до одного миллиона реальных транзакций. Ежегодная оценка с использованием соответствующего опросного листа должна быть завершена, и может потребоваться ежеквартальное сканирование PCI.
Требования PCI DSS
PCI SSC изложил 12 требований для обработки данных о держателях карт и поддержания безопасности сети. Распределенные между шестью более широкими целями, все они необходимы для того, чтобы предприятие соответствовало требованиям.
Безопасная сеть
- Необходимо установить и поддерживать конфигурацию брандмауэра.
- Системные пароли должны быть оригинальными (не поставляемыми производителем)
Безопасные данные держателя карты
- Сохраненные данные держателей карт должны быть защищены
- Передача данных о держателях карт по общедоступным сетям должна быть зашифрована.
Управление уязвимостями
- Необходимо использовать антивирусное программное обеспечение и регулярно обновлять
- Необходимо разрабатывать и поддерживать безопасные системы и приложения.
Контроль доступа
- Доступ к данным о держателях карт должен быть ограничен служебной необходимостью.
- Каждому человеку, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор.
- Физический доступ к данным держателя карты должен быть ограничен.
Мониторинг и тестирование сети
- Доступ к данным держателей карт и сетевым ресурсам необходимо отслеживать и контролировать.
- Системы и процессы безопасности необходимо регулярно тестировать.
Информационная безопасность
- Необходимо поддерживать политику, касающуюся информационной безопасности.
Соответствие PCI и брандмауэры веб-приложений
С момента своего создания PCI DSS прошел несколько итераций, чтобы не отставать от изменений в ландшафте сетевых угроз. Хотя основные правила соответствия остались неизменными, периодически добавляются новые требования.
Одним из наиболее значительных из этих дополнений было Требование 6.6, представленное в 2008 году. Оно было создано для защиты данных от некоторых из наиболее распространенных векторов атак веб-приложений, включая SQL-инъекции, RFI и другие вредоносные входные данные. Используя такие методы, злоумышленники потенциально могут получить доступ к множеству данных, включая конфиденциальную информацию о клиентах.
Удовлетворение этого требования может быть достигнуто либо путем проверки кода приложения, либо путем внедрения брандмауэра веб-приложения (WAF).
Первый вариант включает в себя ручную проверку исходного кода веб-приложения вместе с оценкой уязвимости безопасности приложения. Для проведения проверки требуется квалифицированный внутренний ресурс или третье лицо, а окончательное утверждение должно исходить от внешней организации. Более того, назначенный рецензент должен быть в курсе последних тенденций в области безопасности веб-приложений, чтобы гарантировать, что все будущие угрозы будут должным образом устранены.
В качестве альтернативы компании могут защититься от атак на уровне приложений с помощью WAF, развернутого между приложением и клиентами. WAF проверяет весь входящий трафик и отфильтровывает вредоносные атаки.
Наш облачный WAF, предлагаемый Imperva, блокирует атаки на веб-приложения, используя ряд различных методологий безопасности, включая распознавание подписи и репутацию IP. Будучи полностью совместимым с требованиями PCI 6.6, он может быть настроен и готов к использованию в течение нескольких минут.
Чтобы сделать соответствие еще проще, cloud WAF не требует дополнительных затрат на установку оборудования или управление. Это позволяет всем организациям - от крупных компаний до стартапов и малых и средних предприятий, у которых может не быть необходимой инфраструктуры безопасности и персонала - оставаться защищенными и соответствовать требованиям PCI DSS.
