Как облако с PCI DSS-сертификацией обеспечивает безопасность платежей

Обеспечение безопасности банковских транзакций в Сети – комплексный процесс. Одна из его главных составляющих заключается в обеспечении соответствия инфраструктуры, ИТ-платформ и бизнес-процессов всех участников, обеспечивающих проведение платежной цепочки, требованиям отраслевого стандарта сертификации PCIDSS. Облачные провайдеры занимают в работе платежной отрасли в Сети значимое место и также должны выполнять комплекс требований стандарта. Почему облаку важно соответствовать стандартам PCI? Облачные провайдеры обычно сами по себе не оказывают платежные услуги. Провайдер может лишь предоставить ресурсы в аренду организации, осуществляющей обработку платежных карт. Следовательно, провайдеры самостоятельно не передают, не обрабатывают и не хранят данные о держателях карт (CHD) или конфиденциальные данные аутентификации (SAD) при транзакциях. Однако многие клиенты крупного облачного провайдера оказывают платежные услуги населению или бизнесу. Например, это могут быть банки, ретейлеры, e-commerce – компании, которые размещают свои системы в инфраструктуре провайдера. В этом случае обязанности по защите платежных данных разделяются между провайдером и клиентов, но и провайдер, и клиент в этом случае обязаны соответствовать требованиям PCI DSS в том объеме, в котором это определено договором между этими сторонами. Таким образом, совместными усилиями и провайдера, и клиента достигается соответствие всем требованиям PCI DSS, и это бремя не ложится лишь на одного клиента. Что такое PCI DSS? PCI DSS (Payment Card Industry Data Security Standard) – ключевой стандарт безопасности данных для банковских платёжных карт. Разработан он Советом по стандартам безопасности отрасли (Payment Card Industry Security Standards Council, PCI SSC), а в его создании принимали участие все главные международные платёжные системы - Visa, MasterCard, American Express, JCB и Discover. На сегодня PCI DSS существует в версии 3.2.1 и представляет собой 12 подробных технических и организационных требований, выполнение которых обеспечивает безопасную обработку данных о держателях платёжных карт, а также их передачу и хранение в ИТ-системах различных организаций в рамках их бизнес-процессов. Требования стандарта направлены на защиту информации, утечка или несанкционированный доступ к которой может привести к потере конфиденциальности и, как следствие, денежных средств физлиц и/или учреждений. Получение сертификата подтверждает высокий уровень безопасности и надежности ИТ-сервисов компании и свидетельствует о комплексном подходе к обеспечению информационной безопасности карточных данных. Тонкости и нюансы По большому счету, под требования PCIDSS подпадают любые компании и организации, которые обрабатывают, передают или хранят данных карт различных платежных систем. На практике это означает, что любой платежный оператор и другие юрлица, принимающие платежи от клиентов с платежных карт всех крупнейших систем, должны соблюдать PCIDSSили обеспечить соблюдение требований лицами, участвующими в обработке платежных данных. Например, провайдером ИТ-инфраструктуры, берущим часть обязанностей по соблюдению PCIDSSв свою зону ответственности. Зона ответственности – это та часть ИТ-инфраструктуры, функционирование которой обеспечивает та или иная сторона. Например, облачный провайдер не имеет доступа к содержимому виртуальных машин клиента. Как правило, клиент самостоятельно работает в своем виртуальном окружении (создает ВМ, устанавливает операционные системы и приложения). Провайдер предоставляет защищенную платформу до уровня гипервизора. Таким образом, защита данных, начиная с физической безопасности и заканчивая уровнем гипервизора, является зоной ответственности провайдера облачных услуг, а все компоненты выше уровня гипервизора – зона ответственности клиента. Таким образом, часть требований обеспечивается силами провайдера, часть совместно провайдером и клиентом, а часть – только клиентом. В стандарте прописаны различные требования к безопасности, которые подразумевают различные уровни соответствия, для торгово-сервисных предприятий (ТСП) и поставщиков ИТ-услуг. Для ТСП уровни зависят от количества обрабатываемых транзакций в год – например Уровень 1 по Visaи по MasterCard– это ТСП с 6 млн и более таких операций. Поставщиками услуг по PCIDSSявляются организации, предоставляющие различные ИТ-сервисы ТСП, банкам-эквайерам и эмитентам, а также международным платежным системам с получением непосредственного доступа к данным о держателях карт. Под это определение подпадают процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования "точка-точка" (P2PE). Сертификат и мы Для соответствия стандарту PCI DSS необходимо либо пройти независимый QSA-аудит, либо заполнить лист самооценки SAQ. Сертификация по высшим уровням соответствия может проводиться только аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным. В соответствии с требованиями стандарта и платежных систем оцениваются системы защиты информации ТСП и провайдеров ИТ-услуг на физическом и прикладном уровне, на уровне сетевой инфраструктуры, управления доступом к данным, включая все механизмы аутентификации, протоколирование событий и действий, контроль защищенности информационной инфраструктуры и многое другое. Ранее инфраструктура ЦОДов Linxdatacenter в Москве и Санкт-Петербурге, включая помещения машинных залов, системы управления доступом и видеонаблюдения, уже прошла QSA на соответствие стандарту PCI DSS. Это означало, что мы создавали адекватные стандарту условия для размещения клиентского оборудования и его дальнейшей эксплуатации, включая задачи обработки платежей. В результате последнего QSA в перечень решений компании, полностью отвечающих требованиям стандарта, вошла и наша собственная облачная платформа. Аудит, проведенный компанией Compliance Control Ltd, носил по-настоящему комплексный характер и позволил получить сквозную оценку физической, виртуальной и сетевой инфраструктуры Linxdatacenter, программного обеспечения и систем безопасности. Независимые эксперты исследовали организационные и технические меры защиты, реализуемые в рамках облачных сервисов и услуг по размещению оборудования, а также всю сопутствующую документацию. Процесс сертификации проходил в два этапа. На первом этапе эксперты провели анализ и систематизацию описания систем безопасности ЦОД, анализ нормативно-распорядительной документации, анализ топологии сети и программных и аппаратных средств, а также другие действия в соответствии с методологией. Второй этап включал в себя сертификационный аудит и подготовку отчетной документации. Итоги PCI DSS-аудита Аудит подтвердил способность Linxdatacenter обеспечить безопасную поддержку виртуальной инфраструктуры, изоляцию клиентских систем и физическую безопасность облачных сервисов и услуг по размещению оборудования в ЦОДах на площадках в Санкт-Петербурге и Москве. Аудит также показал, что безопасность в Linxdatacenter обеспечивается по всем необходимым направлениям: физическая безопасность, управление инцидентами, управление информационными системами, обеспечение безопасности при внедрении, администрирование виртуальных инфраструктур, в том числе систем виртуализации VMware, администрирование сетевой инфраструктуры, администрирование и сопровождение средств защиты. Подтверждение высокой степени защищенности облачных продуктов в области поддержки платежных операций – это непростая и затратная процедура для ИТ-провайдера. Однако получение этой сертификации – своеобразный знак качества и ответ на запросы крупного бизнеса, который вынужден постоянно повышать безопасность данных своих потребителей – особенно в сверхчувствительной сфере платежных операций. Ссылка на источник