Полное руководство по соответствию PCI

[Carding Forum]

PCI DSS - это протокол, созданный схемами карт в 2006 году для управления стандартами безопасности данных в экосистеме онлайн-платежей.

В этой статье вы найдете

• Что такое PCI DSS?
• Что такое соответствие PCI?
• Есть ли штраф, если продавец не соответствует требованиям PCI?
• Уровни соответствия PCI
• Уровень соответствия PCI 2
• Уровень соответствия PCI 3
• Уровень соответствия PCI 4
• Анкета самооценки (SAQ)
• Контрольный список соответствия PCI
• Сколько стоит соответствие стандарту PCI?
• Как Emerchantpay может помочь в соблюдении требований PCI?

Мы привыкли читать заголовки последних новостей, которые предупреждают нас о новой утечке данных, но, несмотря на весь жаргон, может быть трудно понять, что на самом деле подразумевается под соответствием PCI. Когда дело доходит до онлайн-транзакций и платежей, нарушение безопасности может быть не только неудобным, но и дорогостоящим. IT Governance сообщает, что средняя утечка данных для среднего бизнеса обходится в 16,1 тыс. Фунтов стерлингов. Соблюдение требований PCI является ключом к защите данных ваших клиентов и вашего бизнеса от мошенничества с кредитными картами и утечки конфиденциальных данных. Это руководство прольет свет на то, как вы можете определить свой текущий уровень соответствия PCI, все требования, предъявляемые PCI DSS, и как обеспечить соответствие требованиям PCI.

Что такое PCI DSS?​

PCI DSS - это аббревиатура от стандарта безопасности данных индустрии платежных карт, протокола, установленного схемами карт (Visa, Mastercard, American Express, Discover и JCB) в 2006 году для управления стандартами безопасности данных для предприятий, которые хранят, передают и обрабатывают карты. данные. Стандарт направлен на обеспечение защиты потребителей и банков в экосистеме онлайн-платежей, где конфиденциальные данные подвержены мошенничеству.
PCI DSS включает 12 требований высокого уровня с более чем 300 под-требованиями, которые подпадают под следующие категории.

1. Постройте и поддерживайте безопасную сеть
2. Установите и поддерживайте конфигурацию брандмауэра для защиты данных
3. Не используйте заводские настройки по умолчанию для системных паролей и других параметров безопасности.
4. Защитить данные держателей карт
5. Защитите хранимые данные с помощью шифрования
6. Шифрование передачи данных о держателях карт и конфиденциальной информации по общедоступным сетям
7. Поддерживайте программу управления уязвимостями
8. Используйте и регулярно обновляйте антивирусное программное обеспечение
9. Разрабатывать и поддерживать безопасные системы и приложения
10. Реализуйте строгие меры контроля доступа
11. Ограничьте доступ к данным по служебной необходимости
12. Назначьте уникальный идентификатор каждому человеку, имеющему доступ к компьютеру
13. Ограничить физический доступ к данным держателей карт
14. Регулярно отслеживайте и тестируйте сети
15. Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт
16. Регулярно тестируйте системы и процессы безопасности
17. Поддерживать политику информационной безопасности
18. Поддерживайте политику, касающуюся информационной безопасности

Что такое соответствие PCI?​

Соответствие стандарту PCI DSS соответствует требованиям PCI DSS, а также наличию инфраструктуры и процессов для защиты информации о картах потребителей от утечки данных и мошенничества с картами. Стоит отметить, что соответствие PCI - это стандарт, установленный основными брендами карт, а не законодательством. Обеспечение соответствия PCI актуально для любого продавца, который принимает платежи по картам, независимо от доходов, сектора и объемов транзакций по кредитным картам. Если ваша платежная страница размещена на сервере вашего платежного процессора, который в идеале соответствует стандарту PCI уровня 1, и вы не передаете и не храните конфиденциальные данные карты через свой сервер, то ваша нагрузка на PCI значительно снижается. Полную версию документа PCI DSS можно найти здесь .
Это три основные области, в которые входит ЧКВ:

Обработка данных карты
Если ваши клиенты вводят конфиденциальные данные кредитной карты на вашей платежной странице, которая размещена на вашем сервере, вам, скорее всего, потребуется соответствовать требованиям PCI и соответствовать всем более чем 300 мерам безопасности, указанным в PCI DSS. По сути, вашей компании, скорее всего, потребуется приобрести, применить и поддерживать программное обеспечение, оборудование для обеспечения безопасности и иметь надежную систему безопасности.
Если ваши клиенты вводят данные своей карты на странице, размещенной вашим поставщиком платежных услуг или эквайером, ответственность за соблюдение требований PCI переходит к PSP, которая обрабатывает ваш платеж. Перейдите к этой части, чтобы узнать о решениях для соответствия стандарту PCI, которые может предложить вам Emerchantpay.

Надежное хранение данных
Если ваша организация обрабатывает и хранит данные кредитных карт, вам необходимо определить объем вашей среды данных о держателях карт (CDE). Согласно PCI DSS, CDE включает всех людей, процессы и технологии, участвующие в обработке, хранении и передаче данных карты. Это означает, что ваша организация должна ограничить платежную среду от остальной части бизнеса, чтобы содержать область CDE. В противном случае вы рискуете применить все 300+ мер безопасности к каждому компьютеру и устройству в вашей компании, что только увеличит ваши расходы и нагрузку на инфраструктуру.

Ежегодная проверка соответствия PCI
Каждая организация, которая обрабатывает, передает и хранит конфиденциальные данные карт, должна ежегодно заполнять форму проверки PCI. Некоторые продавцы могут быть не уверены в том, что их ИТ-отдел достаточно знаком со стандартами PCI, или могут быть обеспокоены тем, что их инфраструктура может предоставлять данные не только внешним мошенникам, но и внутри их организации. В таком случае рассмотрите возможность найма квалифицированного независимого консультанта, который может предоставить объективную консультацию о том, как вы можете достичь соответствия требованиям PCI, а также квалифицированного специалиста по оценке безопасности (известного как QSA), который проведет аудит для проверки вашей внутренней безопасности.

Есть ли штраф, если продавец не соответствует требованиям PCI?​

Как уже упоминалось, PCI - это не закон. Однако бренды карт несут ответственность за наложение штрафов на эквайеров, которые обрабатывают платежи для продавцов, причастных к утечке данных и не соблюдающих PCI DSS. Эквайер передает штраф продавцу, возможно, вместе с другими расходами, такими как затраты на замену карты, повышенные комиссии за транзакцию и т. д. Штрафы могут варьироваться от 3 000 до 60 000 фунтов стерлингов в зависимости от вашего соглашения с эквайером. Помимо штрафов, продавцы, не соответствующие требованиям PCI, потенциально могут столкнуться с судебно-медицинской экспертизой на месте и подняться на уровень соответствия. По этой причине, когда вы регистрируете учетную запись продавца, ваш эквайер обычно информирует вас о соответствии требованиям PCI и потенциально может предложить вам решение, защищающее вас от таких штрафов.

Уровни соответствия PCI​

Все продавцы подпадают под один из следующих уровней соответствия PCI, как правило, в зависимости от объема транзакций по кредитным и дебетовым картам, которые они обрабатывают в течение года, онлайн, лично или в целом.

Уровень соответствия PCI 1​

Уровень 1 - самый строгий по требованиям. Это применимо к любой организации, которая обрабатывает более 6 миллионов транзакций ежегодно, или подверглась нескольким нарушениям данных, или считается Уровнем 1 брендами карт (Visa, Mastercard и т. Д.).
Требования

• Оценка уровня 1 на месте - годовой отчет о соответствии (ROC) QSA или внутренним аудитором, если он подписан должностным лицом компании.
• Пройдите ежеквартальное сканирование сети утвержденным поставщиком сканирования (ASV). Вот список одобренных поставщиков сканирования по стандарту PCI DSS.
• Заполните Свидетельство о соответствии (AOC) для оценки на месте

Уровень соответствия PCI 2​

Уровень 2 применяется к каждой организации, которая обрабатывает от 1 до 6 миллионов транзакций по картам ежегодно.
Требования

• Заполните ежегодную анкету самооценки (SAQ) PCI DSS. Ниже вкратце представлены 9 типов опросных листов.
• Заполните и получите свидетельство прохождения уязвимости ежеквартально с помощью ASV
• Заполните AOC в соответствии с их классификацией SAQ
• Отправьте SAQ, AOC вместе с любой другой запрошенной документацией их заказчику.

Уровень соответствия PCI 3​

Уровень 3 применяется к организациям, которые обрабатывают от 20 000 до 1 миллиона онлайн-транзакций ежегодно.
Требования

• Заполните ежегодную анкету самооценки (SAQ) PCI DSS. Ниже вкратце представлены 9 типов опросных листов.
• Заполните и получите свидетельство прохождения уязвимости ежеквартально с помощью ASV
• Заполните AOC в соответствии с их классификацией SAQ
• Отправьте SAQ, AOC вместе с любой другой запрошенной документацией их заказчику.

Уровень соответствия PCI 4​

Уровень 4 применяется к организациям, которые обрабатывают менее 20 000 онлайн-транзакций в год, или организациям, которые обрабатывают до 1 миллиона транзакций в год.
Требования

• Заполните ежегодную анкету самооценки (SAQ) PCI DSS. Ниже вкратце представлены 9 типов опросных листов.
• Завершите и получите доказательства ежеквартального сканирования уязвимостей с помощью ASV
• Заполните AOC в соответствии с их классификацией SAQ
• Отправьте SAQ, AOC вместе с любой другой запрошенной документацией их заказчику.

Анкета самооценки (SAQ)​

Для уровней 2, 3 и 4 PCI разработала 9 различных форм вопросников самооценки (SAQ). Существуют разные SAQ для каждого уровня соответствия и разные формы AOC для каждого уровня. Иногда бывает довольно сложно определить, какую форму опросного листа использовать. Ваш поставщик платежных услуг / эквайер поможет вам определить, какие документы подходят для вашей платежной интеграции.
Вот краткое описание типов SAQ.
ОЛС A распространяется на продавцов, у которых нет карты (электронная коммерция и заказы по почте / телефону - МОТО- платежи), которые передали все функции данных о держателях карт сторонним поставщикам платежных услуг, совместимым с PCI, и не обрабатывают, не хранят и не передают данные о держателях карт. в их системных помещениях. Сканирование ASV не требуется для SAQ A.
ОЛС A-EP распространяется на продавцов электронной коммерции, которые передали все функции данных о держателях карт сторонним поставщикам платежных услуг, совместимым с PCI, но их веб-сайт может повлиять на безопасность онлайн-платежей. Продавец не обрабатывает, не хранит и не передает данные о держателях карт в своей системе. SAQ A-EP требует сканирования ASV.
ОЛС B распространяется на продавцов (за исключением электронной коммерции), использующих только импринтерские машины без хранения цифровых данных о держателях карт и / или базовые телефонные терминалы, которые подключаются непосредственно к телефонной линии, а не электронным способом. SAQ A-EP не требует сканирования ASV.
ОЛС B-IP распространяется на продавцов, использующих только автономные утвержденные POS-терминалы для защиты транзакций с помощью PIN-кода (PTS) с IP-подключением к поставщику платежных услуг без электронного хранилища данных о держателях карт. SAQ B-IP требует сканирования ASV.
ОЛС C распространяется на продавцов (за исключением электронной коммерции) с платежными приложениями, подключенными к Интернету, без электронного хранения данных о держателях карт. SAQ C требует сканирования ASV.
ОЛС C-VT охватывает торговцев (за исключением электронной коммерции) с виртуальными платежными терминалами на базе Интернета, предоставляемыми сторонним поставщиком платежных услуг, совместимым с PCI.
SAQ P2PE распространяется на продавцов (за исключением электронной коммерции), использующих только аппаратные платежные терминалы, включенные и управляемые с помощью проверенного платежного решения Point-to-Point Encryption (P2PE), внесенного в список PCI SSC, без электронного хранения данных о держателях карт.
ОЛС D распространяется на продавцов, которые имеют прямое соединение с поставщиком платежных услуг и хранят данные карты на своем сервере. Он также охватывает всех поставщиков платежных услуг, определенных брендом карты как имеющих право заполнять опросный лист самооценки.

Контрольный список соответствия PCI​

Эти действия являются частью ежегодного контрольного списка соответствия PCI для продавцов, которые не используют размещенное платежное решение. Вы также должны проводить сканирование безопасности с помощью ASV каждый квартал.

1. Завершите ежегодную оценку рисков на странице веб-сайта, на которой данные карты обрабатываются или касаются CDE.
2. Убедитесь, что третьи стороны, которые хранят, обрабатывают и / или передают данные карт или подключены к CDE, предоставляют доказательства того, что они соответствуют стандарту PCI DSS и зарегистрированы в схемах карт.
3. Если вы используете стороннее платежное приложение на своем веб-сайте, вы должны убедиться, что продукт и используемая вами версия соответствуют PA DSS (Стандарт безопасности данных платежного приложения, который применяется к разработчикам платежных приложений). Кроме того, убедитесь, что вы полностью соблюдаете рекомендации поставщика.
4. Обучите своих сотрудников следовать процедурам PCI-DSS.
5. Убедитесь, что вы храните только необходимые платежные данные. Убедитесь, что все платежные данные зашифрованы при передаче по открытым общедоступным сетям.
6. Настройте элементы управления безопасностью, чтобы отслеживать и контролировать доступ к CDE электронной коммерции.
7. Защитите конфиденциальную информацию о держателях карт, разместив и поддерживая брандмауэры и новейшее антивирусное программное обеспечение, в идеале от известного производителя.
8. Убедитесь, что интеграция корзины покупок является самой последней доступной версией.
9. Защитите безопасность своего веб-сайта и обсудите со своим провайдером веб-хостинга, что они должным образом защитили свою инфраструктуру. Продавцы должны поощрять своего провайдера веб-хостинга принять стандарты повышения безопасности системы и отключить настройки по умолчанию.
10. Выполняйте ежегодные тесты устройства ввода пин-кодов (PED), а также после любых значительных изменений в CDE.
11. Убедитесь, что поставщик программного или аппаратного обеспечения, которое вы используете для обработки транзакций, получил одобрение продукта от Совета по стандартам безопасности индустрии платежных карт (PCI SSC).

Сколько стоит соответствие стандарту PCI?​

Различные уровни соответствия PCI имеют разные цены. Например, соответствие стандарту PCI уровня 1 может стоить более 50 000 долларов. SAQ A обычно стоит около 15 000 долларов, в то время как SAQ D стоит от 50 000 долларов.

Как Emerchantpay может помочь в соблюдении требований PCI?​

Emerchantpay - поставщик платежных услуг уровня 1 PCI и эквайер. Это означает, что мы можем помочь вам минимизировать вашу нагрузку на PCI с помощью трех различных решений. Наша размещенная платежная страницаимеет минимальную нагрузку на PCI для продавца (SAQ A), что означает, что продавец полностью передает все функции данных о держателях карт стороннему поставщику платежных услуг без электронного хранения, обработки или передачи каких-либо данных о держателях карт в системах или помещениях продавца. . С помощью этого решения страница оплаты размещается на нашем сервере, что обеспечивает высочайший уровень безопасности. Для разработки платежной страницы не требуются ресурсы, поскольку мы предоставляем ее для вас, а повседневные технические ресурсы могут быть выделены где-то еще в рамках вашего бизнеса. Интеграция этого решения может позволить вам сэкономить значительный бюджет на ИТ-инфраструктуре и инвестировать его в другие виды деятельности в рамках вашего бизнеса.
Наше решение для шифрования в источнике применяется к продавцам электронной коммерции, которые передают всю обработку платежей сторонним организациям, прошедшим проверку PCI DSS, и у которых есть веб-сайт, который напрямую не получает данные о держателях карт, но может повлиять на безопасность платежной транзакции. Запрещается электронное хранение, обработка или передача каких-либо данных о держателях карт в системах или помещениях продавца. Это решение также снижает нагрузку на PCI для SAQ A-EP, которая строже, чем SAQ A, но значительно меньше хлопот, чем SAQ D. Интеграция шифрования в источнике позволяет вам принимать безопасные платежи, настраивать, владеть и контролировать страницу оплаты, а также сокращать ваши расходы на безопасность.
Интеграции сервер-сервер используется нашими торговцами , которые имеют свою собственную форму оплаты и PCI DSS совместимый. Эта интеграция позволяет продавцам иметь прямое подключение к шлюзу поставщика платежных услуг и хранить данные держателей карт на своем сервере. Этот тип интеграции обеспечивает большую гибкость - вы не только владеете страницей оплаты и полностью контролируете ее, но и ваши клиенты остаются на вашем веб-сайте на протяжении всего пути к покупке, предоставляя вам ценные данные для поведения пользователей и оптимизации. Эта интеграция требует SAQ D, самого высокого уровня требований PCI SAQ, в то время как вам нужно будет обеспечить безопасность онлайн-транзакции.

Вывод​

Соответствие PCI является неотъемлемой частью бизнеса, который принимает платежи по картам. Обязательство защищать транзакции для ваших клиентов всегда повышает доверие к вашему бренду и защищает вас от штрафов и штрафов за несоблюдение требований. Чтобы разобраться в мельчайших подробностях соблюдения требований PCI, может потребоваться время, усилия и значительный бюджет, но это, безусловно, поможет укрепить репутацию вашего бизнеса как среди потребителей, так и среди финансовых учреждений.