Достижение и соблюдение требований PCI Compliance

Опубликовано: 2022-06-30

Если ваш бизнес Magento 1 обрабатывает информацию о кредитных картах, вы, возможно, уже знаете о более чем 300 требованиях безопасности в PCI DSS. Если вы не знакомы, в этой статье будут рассмотрены некоторые основы и предложены ресурсы для сертификации соответствия.

Стандарты безопасности данных индустрии платежных карт (PCI DSS), основанные в 2006 году компаниями American Express, Discover, JCB International, Mastercard и Visa, устанавливают минимальный стандарт безопасности данных при обработке транзакций по кредитным картам. Это помогает уменьшить мошенничество и утечку данных в платежной экосистеме и применимо к любой организации, которая принимает или обрабатывает платежи с помощью кредитных карт.

Соответствие PCI DSS

Соответствие стандарту PCI DSS включает в себя три основных правила:

  1. Конфиденциальные данные кредитных карт потребителей должны собираться и передаваться безопасным образом.
  2. Эти данные должны храниться надежно с использованием шифрования, постоянного мониторинга и тестирования безопасности доступа к данным карты.
  3. Ежегодная проверка наличия необходимых средств контроля безопасности

Конфиденциальные данные от потребителей

От компаний, обрабатывающих карточные данные, может потребоваться соблюдение каждого из более чем 300 требований безопасности PCI DSS. Даже если данные карт перемещаются по бизнес-инфраструктуре только на мгновение, компании необходимо будет приобрести, внедрить и поддерживать программное обеспечение и оборудование для обеспечения безопасности.

Если компании не нужно обрабатывать конфиденциальные данные кредитной карты, она не должна этого делать. Сторонние решения (например, Stripe) безопасно принимают и хранят данные кредитных карт, что значительно снижает сложность, затраты и риски. Если данные карты никогда не попадут на серверы вашей компании, вам потребуется всего лишь подтвердить 22 относительно простых элемента управления безопасностью, например, использовать надежные пароли.

Безопасное хранение данных

Если организация обрабатывает или хранит данные кредитных карт, ей необходимо определить объем своей среды данных о держателях карт (CDE). PCI DSS определяет CDE как людей, процессы и технологии, которые хранят, обрабатывают или передают данные кредитных карт, или любую систему, подключенную к ним.

Поскольку все более 300 требований безопасности в PCI DSS применяются к CDE, важно правильно отделить платежную среду от остального бизнеса, чтобы ограничить область проверки PCI. Если организация не может ограничить область действия CDE, элементы управления безопасностью PCI будут применяться ко всем системам, ноутбукам и устройствам в ее корпоративной сети. Ни у кого нет на это времени.

Ежегодный обзор необходимых средств контроля безопасности

Независимо от того, как принимаются данные карты, организации, обрабатывающие платежи по кредитным картам, должны ежегодно заполнять форму проверки PCI для обеспечения соответствия требованиям.

12 основных требований PCI DSS

Самый последний стандарт безопасности, PCI DSS версии 3.2.1, включает 12 основных требований с более чем 300 подтребованиями, отражающими передовые методы обеспечения безопасности.

Вот эти 12 основных требований:

  1. Установите и поддерживайте конфигурацию брандмауэра для защиты информации о держателях карт.
  2. Никогда не используйте предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности.
  3. Защитите сохраненные данные держателя карты
  4. Шифровать передачу данных держателей карт через открытые или общедоступные сети
  5. Защитите все системы от вредоносного ПО и регулярно обновляйте антивирусное ПО
  6. Разрабатывать и поддерживать безопасные системы и приложения
  7. Ограничить доступ к данным держателя карты
  8. Идентифицировать и аутентифицировать доступ к системным компонентам
  9. Ограничить физический доступ к данным держателя карты
  10. Отслеживайте и контролируйте весь доступ к сетевым ресурсам и данным держателей карт
  11. Регулярно тестируйте системы и процессы безопасности
  12. Поддерживать политику, направленную на обеспечение информационной безопасности для всех сотрудников.

Новые компании могут подтвердить соответствие стандарту PCI с помощью девяти анкет для самооценки, каждая из которых является подмножеством всех требований PCI DSS. Трудность возникает из-за попытки выяснить, какие требования необходимы для вашего бизнеса. Некоторые предприятия нанимают аудитора, утвержденного Советом PCI, чтобы убедиться, что все требования PCI DSS выполнены. И как будто это недостаточно сложно – Совет PCI пересматривает правила каждые три года и ежегодно выпускает обновления. Как компании могут защитить данные своих кредитных карт и поддерживать соответствие PCI с учетом этих факторов?

Способы обеспечения

Существует ряд общепринятых способов обеспечить безопасность вашего веб-сайта в соответствии с требованиями PCI DSS: от найма квалифицированной компании-оценщика безопасности (QSA) до использования трехэтапного процесса PCI и использования Nexcess Safe Harbor в партнерстве с Stripe.

1. Квалифицированный оценщик безопасности

Квалифицированный оценщик безопасности — это фирма, занимающаяся безопасностью данных, которая получила квалификацию Совета PCI для проведения оценки Стандарта безопасности данных PCI на месте. Оценщик проверит всю техническую информацию, предоставленную продавцом или поставщиком услуг, и использует независимое суждение для подтверждения соблюдения стандарта. Список компаний, занимающихся квалифицированной оценкой безопасности (QSA), можно найти здесь.

2. Трехэтапный процесс PCI

  1. Оценка Идентификация данных о держателях карт, инвентаризация ИТ-активов и бизнес-процессов для обработки платежных карт и их анализ на наличие уязвимостей.
  2. Исправление Устранение уязвимостей и отказ от хранения данных держателей карт, если в этом нет крайней необходимости.
  3. Отчет Составление и подача необходимых отчетов в соответствующие банки-эквайеры и бренды карт.

3. Безопасная гавань

Срок службы Magento 1 подошел к концу в июне 2020 года, в результате чего тысячи сайтов электронной коммерции оказались в серой зоне соответствия, когда Adobe прекратила выпуск официальных обновлений безопасности.

Хотя само приложение электронной коммерции представляет собой лишь небольшую часть того, что действительно влечет за собой соответствие PCI, для продавцов, которые все еще используют свои сайты электронной коммерции на Magento 1, важно отметить, что для платформы больше не будут выпускаться исправления безопасности и обновления. Они предоставлены сами себе, если не вложили средства в такое решение, как Nexcess Safe Harbor. Мы настоятельно рекомендуем вам проверить Stripe, который стремится поддерживать работу своего модуля Magento 1 для своих клиентов.

Полоса

Stripe по-прежнему стремится предоставить пользователям возможность безопасного использования продуктов Stripe в Magento 1. С этой целью Nexcess рекомендует вам установить официальный модуль Stripe для Magento 1, который использует Stripe.js и Elements для упрощения соответствия вашего сайта требованиям PCI. Stripe продолжит выпуск исправлений ошибок и обновлений безопасности для модуля Stripe Magento 1, чтобы обеспечить соответствие этого решения Стандартам безопасности данных индустрии платежных карт (PCI DSS).

Вывод

Как видите, достижение и поддержание соответствия требованиям PCI — это немалый подвиг. Но с правильной информацией, помощью специалиста по соблюдению требований и Nexcess Safe Harbor предприятия, все еще работающие на Magento 1, могут обеспечить безопасность данных кредитных карт своих клиентов.