– Какие уровни соответствия PCI определены для любого бизнеса? И сколько всего этих уровней?
– В рамках требований PCI DSS все компании, которые работают с данными платежных карт, подразделяются на две категории:
- торгово-сервисные предприятия (ТСП или merchant), принимающие оплату банковскими картами за собственные товары и услуги;
- сервис-провайдеры – все остальные компании, включая банки.
Уровни соответствия для каждой категории задаются непосредственно международными платежными системами (VISA, MasterCard и другими). Количество уровней у разных платежных систем варьируется, но если рассматривать только VISA и MasterCard, то они у них одинаковые.
Уровень определяется количеством успешных транзакций по картам за последний год по каждому платежному бренду. Для ТСП существует четыре основных уровня. Для сервис-провайдеров – два.
Уровни определяют требования к отчетным документам и применимость тех или иных требований стандарта к конкретной организации.
Определить собственный уровень довольно просто. Достаточно знать количество успешных транзакций по картам каждой платежной системы за последний год. Немаловажен и тип транзакции – card-present (оплата в POS-терминалах) или card-not-present (электронная коммерция).
Возьмем к примеру, платежную систему VISA. Для торгово-сервисных предприятий уровни будут следующие:
- уровень 1 – свыше 6 млн транзакций;
- уровень 2 – от 1 до 6 млн транзакций;
- уровень 3 – от 20 000 до 1 млн транз-
- акций;
- уровень 4 – до 20 000 транзакций.
Для сервис-провайдеров все еще проще, так как существует всего два уровня:
- уровень 1 – более 300 000 транзакций;
- уровень 2 – менее 300 000 транзакций.
Также важно знать, что платежная система или ваш эквайер вправе назначить вам более высокий уровень и потребовать сертификацию именно по нему. Например, если банк впервые подключается к международной системе VISA, то от него потребуют сертификацию по уровню 1, хотя еще никаких транзакций по VISA нет.
– Как защитить пользователей карт?
– Защита пользователей карт – это двусторонний процесс. С одной стороны, пользователь должен сам заботиться о физической безопасности своей карты и о том, чтобы ее реквизиты не попали к злоумышленникам. С другой стороны, все остальные участники процесса оплаты – такие, как ТСП и банки, должны обеспечивать безопасность наших с вами карт, так как хранят большие объемы карточных данных.
– Как проходит аудит безопасности на соответствие требованиям PCI DSS. Кто его проводит?
– Если говорить об аудите безопасности по требованиям международного стандарта PCI DSS, то его могут проводить только аудиторские компании, которые аккредитованы специальным Советом Payment CardIndustry Security Standards Council (PCI SSC), основанным платежными брендами VISA, MasterCard и другими.
Аккредитованной компании и ее конкретным сотрудникам присваивается статус QSA (Qualified Security Assessor). Только такие компании могут проводить подобные аудиты.
Процесс аудита схож с другими аудитами, но его целью и областью являются только те системы и специалисты, которые работают с данными платежных карт в рамках аудируемой компании.
В область аудита попадают следующие основные направления:
- сетевая инфраструктура;
- серверы;
- защита данных платежных карт при их хранении и передаче;
- антивирусная защита;
- обеспечение информационной безопасности при разработке ПО;
- процессы управления логическим и физическим доступом;
- процессы журналирования событий;
- документационное обеспечение по направлению информационной безопасности.
Сам процесс аудита немного отличается – это зависит от того, проходит ли компания аудит в первый раз или по дтверждает свое соответствие в рамках ежегодной проверки. Но общие принципы ос таются схожими. Аудитор запрашивает данные, чтобы изучить инфраструктуру, проводит интервью с сотрудниками различных подразделений компании – IТ, информационная безопасность, бизнес, HR, физическая безопасность и другими.
Профессиональный аудитор по результатам запроса нужной информации и проведенных интервью сразу же вычисляет слабые места в обеспечении защиты. После составления плана устранения несоответствий начинается кропотливая совместная работа всех специалистов, в том числе и QSA-аудитора. Параллельно проводятся технические проверки – тестирование на проникновение и сканирование уязвимостей. После того, как план выполнен, наступает стадия сертификационного аудита, когда QSA-аудитор подтверждает, что все несоответствия устранены, и собирает свидетельства аудита. Стадия сертификационного аудита также подразумевает интервью со специалистами и анализ систем и конфигураций. После завершения сертификационного аудита разрабатываются отчетные документы, которые отправляются в платежные системы или партнерам и подтверждают успешную сертификацию.
– Что следует требовать от консультантов и аудиторов и как получить от них максимум?
– Сегодня правила проведения аудита по требованиям PCI DSS допускают, чтобы один аудитор готовил организацию к сертификации и проводил сертификационный (подтверждающий) аудит. На мой взгляд, это ненесет дополнительных рисков.
Чтобы получить максимум от консультантов-аудиторов, необходимо соблюдать несколько простых правил. Во-первых, выбирать проверенных консультантов с опытом работы в регионе. Во-вторых, в самом начале обговорить с аудиторами, какую именно часть работ они будут выполнять на всех этапах проекта. Очень важно, чтобы аудитор не «отключался» от проекта на определенных стадиях – от предварительного аудита до сертификационного – и в дальнейшем поддерживал вас в течение года.
– Какие тенденции прослеживаются при аудите безопасности компаний?
– Основная тенденция, которая особенно прослеживается для компаний, проходящих ресертификацию, – это недостаточное внимание к требованиям стандарта в течение года между аудитами. С каждым годом, с каждой новой версией стандарт PCI DSS становится все более ориентированным на ежедневные процессы обеспечения информационной безопасности в компании.
Для компаний, которые проходят аудит в первый раз, успешная сертификация подразумевает большой объем подготовительной работы. Необходимо подтягивать множество направлений обеспечения информационной безопасности для этих платежных карт.
– Какие проблемы выявляются при аудите безопасности сегодня?
– Как я уже говорил, основные проблемы связаны с ежедневными процессами обеспечения информационной безопасности.
Также можно отметить возможности для улучшения в части анализа рисков. Современные методологии позволяют успешно привязать процессы анализа рисков информационной безопасности к бизнес-задачам, чтобы информационная безопасность работала на благо бизнеса, а не конфликтовала с ним.
– Если компания не проходит аудит, что с ней происходит? Что дает сертификация?
– Чаще всего прохождение аудита связано с задачами бизнеса – подключение нового провайдера или запуск новой карточной услуги.
В связи с этим неготовность к аудиту в планируемые сроки откладывает реализацию бизнес-планов. Аудитор будет готов подтвердить соответствие только тогда, когда убедится, что все требования стандарта успешно выполнены.
Преимущества сертификации я бы разделил на внутренние и внешние.
К внутренним относятся:
- упорядочивание процессов обеспечения информационной безопасности в компании;
- возможность использования внешнего опыта, а также международных практик в
- своей компании.
К внешним:
- повышение статуса в глазах партнеров и клиентов;
- возможность расширения бизнеса за счет подключения новых услуг в сфере карточного бизнеса.
– Каким вы видите развитие рынка PCI DSS?
– Рынок уже довольно зрелый (стандарту PCI DSS более 10 лет). На сегодняшний день требования стандарта вобрали в себя множество лучших современных практик.
На мой взгляд, сейчас это наиболее прикладной общемировой стандарт в сфере обеспечения информационной безопасности.
Далее стандарт продолжит шлифовать требования и своевременно отвечать на возникающие угрозы. Платежная инфраструктура развивается очень быстро, запускаются новые сервисы, например, Apple Pay и Samsung Pay. В связи с этим необходимо оперативно реагировать на возникающие риски и снижать их до приемлемого уровня. Именно поэтому стандарт PCI DSS и сопутствующие документы от Совета PCI SSC будут всегда как нельзя кстати.