Введение

Процесс достижения и поддержания Соответствие PCI DSS непростая задача для любой организации. Будь то крупная организация, фирма среднего размера или небольшая компания, PCI DSS может оказаться непростой задачей, поскольку содержит полный набор требований безопасности. Достижение соответствия требует хорошего понимания структуры безопасности платежей и реализации требований контроля безопасности. Ожидается, что организации, обрабатывающие данные платежных карт, Требования PCI DSS 12 для обеспечения соответствия и безопасности платежной среды. Эти требования служат руководством для организаций по защите своей сети и инфраструктуры от киберугроз и утечек данных. Разрабатывая эти требования, мы поделились некоторыми полезными советами по подготовке к Аудит соответствия PCI DSS.

Понимание требований соответствия PCI DSS

Соответствие PCI DSS является стандартом и структурой безопасности, применяемой Советом по стандарту безопасности PCI, который фокусируется на защите данных держателей карт. Стандарт включает 12 требований, изложенных советом, которые сосредоточены на технических и операционных мерах по защите конфиденциальных данных держателей платежных карт. Ожидается, что организации будут внедрять эти меры безопасности для достижения и поддержания Соответствие PCI DSS. Итак, ниже приведены 12 требований, которые кратко объясняются для лучшего понимания способов подготовки к соответствию PCI DSS.

Требование PCI DSS 1: Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт
Продавцы и поставщики услуг обязаны поддерживать безопасную сеть с соответствующей конфигурацией брандмауэров и маршрутизаторов. Это необходимо для защиты среды данных карты и предотвращения кибератак.

Требование PCI DSS 2: Не использовать предоставленные поставщиком значения по умолчанию для системных паролей и других параметров безопасности
Системы и программное обеспечение поставляются с паролями и настройками по умолчанию. Таким образом, для обеспечения безопасности ожидается, что продавцы обеспечат защиту систем, сети и устройств организации с помощью надежных паролей и конфигураций безопасности. Кроме того, ожидается, что продавцы будут документировать процедуры укрепления системы и следовать соответствующим протоколам.

Требование 3 PCI DSS: защита хранимых данных держателей карт
Продавцы и поставщики услуг обязаны принимать соответствующие меры для защиты хранимых данных держателей карт. Используя методы шифрования, данные PAN должны быть защищены от утечки данных.

Требование 4 PCI DSS: шифровать передачу данных о держателях карт через открытую или общедоступную сеть
Ожидается, что продавцы будут шифровать данные держателей карт при передаче по общедоступной или открытой сети. Кроме того, они должны обеспечить наличие процедур и процессов политик безопасности для обеспечения соблюдения мер безопасности и требований к шифрованию.

Требование 5 PCI DSS: использование и обновление антивирусного программного обеспечения или программы
Ожидается, что продавцы будут обновлять и защищать свои системы и приложения, устанавливая новейшее антивирусное программное обеспечение на устройства и приложения. Это необходимо для защиты от вредоносных программ и других кибератак.

Требование 6 PCI DSS: разработка и поддержка безопасных систем и приложений
Проверка реализации безопасности и установка исправлений безопасности для снижения рисков имеет решающее значение. Регулярное обновление этих исправлений безопасности необходимо для предотвращения потенциального риска взлома. Продавцы обязаны исправлять все системы в среде карточных данных и обеспечивать безопасность на всех этапах разработки. Кроме того, должны быть предусмотрены процессы для обнаружения новых уязвимостей в системах и приложениях.

Требование 7 PCI DSS: ограничение доступа к данным о держателях карт для предприятий, которые необходимо знать
Продавцы должны внедрить строгий контроль доступа, чтобы ограничить доступ к данным держателей карт. Это предотвращает несанкционированный доступ к конфиденциальным данным карты и потенциальный риск взлома или кражи данных. Для этого должны быть созданы необходимые процессы, гарантирующие, что доступ к данным о держателях карт будет ограничен на основе деловой необходимости.

Требование PCI DSS 8: Идентификация и аутентификация доступа к системным компонентам
Доступ к системам и данным необходимо регулярно отслеживать и контролировать. Каждому уполномоченному сотруднику должен быть присвоен уникальный идентификатор в рамках строгих мер контроля безопасности. Это необходимо для отслеживания действий, связанных с доступом к системам и данным в карточной среде, для обеспечения подотчетности.

Требование PCI DSS 9: Ограничить физический доступ к данным о держателях карт
Ограничение физического доступа к данным о держателях карт является важной частью реализации мер контроля безопасности. Для этого требуется внедрение контроля доступа на месте, мониторинг журналов и наличие необходимых политик и процессов безопасности. Кроме того, продавцы обязаны защищать все устройства и системы с помощью мер физической безопасности и поддерживать резервные копии всех данных.

Требование PCI DSS 10: Отслеживание и мониторинг всего доступа к сетевым ресурсам и данным о держателях карт
Стандарт PCI DSS требует отслеживания и управления всеми точками доступа в режиме реального времени, включая системы и сети, содержащие данные карты. Это необходимо для выявления и предотвращения использования уязвимостей и угроз для среды карточных данных. Для этой имплантации журнала необходимо управление для регулярного отслеживания активности.

Требование PCI DSS 11: Регулярно тестируйте системы и процессы безопасности
Регулярное проведение оценок уязвимостей и тестов на проникновение необходимо для проверки всех системных процессов на наличие уязвимостей. Это необходимо для обеспечения и поддержания постоянного уровня безопасности в среде карточных данных. Все системы и процессы должны часто тестироваться, чтобы обеспечить постоянную безопасность данных.

Требование PCI DSS 12: Поддерживать политику, касающуюся информационной безопасности для всего персонала
Создание и поддержка политик, касающихся процессов информационной безопасности, необходимо с точки зрения правоприменения. Каждый сотрудник и сторонний поставщик должен иметь доступ к этим политикам, чтобы лучше знать свои обязанности. Кроме того, политика информационной безопасности должна ежегодно пересматриваться, чтобы привести программу кибербезопасности продавца в соответствие с требованиями стандарта PCI DSS.

Теперь, когда мы знаем технические и операционные требования, которые необходимо реализовать для достижения соответствия стандарту PCI DSS, давайте посмотрим, как организации могут подготовиться к Аудит соответствия стандарту PCI DSS.

Этапы подготовки к аудиту PCI DSS

Подготовка к аудиту соответствия стандарту PCI DSS может быть очень напряженной. Это требует тщательных раундов оценочных обзоров и внедрения процессов, чтобы гарантировать успех окончательного аудита. Тем не менее, вот несколько шагов, которые можно выполнить, чтобы подготовиться к Аудит PCI DSS и обеспечить его успех.

Не думайте, что вы соответствуете требованиям – Требования соответствия PCI DSS часто обновляются Советом PCI. Эти обновления основаны на развитии технологий и угроз в отрасли. С последней версией PCI DSS 4.0 который должен быть выпущен в первом квартале 1 года, организациям необходимо быть бдительными в отношении новых требований, которые будут введены и введены в действие советом. Независимо от того, были ли вы ранее совместимы с PCI DSS, только предстоящий аудит покажет, продолжаете ли вы соответствовать требованиям. Аудит соответствия — это оценка для проверки того, все ли меры безопасности реализованы и соответствуют последним требованиям безопасности данных. Таким образом, предположение о том, что вы соответствуете требованиям на основании предыдущего аудита PCI DSS, может быть причиной того, что ваша организация не соответствует требованиям в ходе предстоящего аудита.

Анализ пробелов в соблюдении требований – Если ваша организация впервые проходит оценку PCI DSS, для вас очень важно определить, на каком уровне находится ваш уровень соответствия «как есть», каковы ваши основные пробелы, а также необходимые инвестиции. Для этого ваша организация должна немедленно продолжить анализ пробелов в соответствии с требованиями соответствия PCI DSS. Это необходимо для оценки и проверки недостатков в требованиях и работы по устранению пробелов в системе. PCI DSS — это непрерывный процесс, который требует регулярного пересмотра и обновления процедур и процессов политик для приведения бизнес-операций в соответствие со стандартом безопасности и целями кибербезопасности. Поэтому проведение анализа пробелов и устранение потенциального пробела в соблюдении требований имеет решающее значение, особенно перед окончательным аудитом для обеспечения соответствия требованиям PCI DSS. Опять же, это не только с точки зрения соответствия, но и с точки зрения усиления безопасности систем, сетей и инфраструктуры.

Соответствие всем требованиям PCI DSS – Организации должны убедиться, что они выполнили все 12 требований, изложенных в структуре PCI DSS, чтобы обеспечить соответствие структуре стандартов безопасности. Понимание требований и их последствий необходимо организациям для реализации необходимых мер по обеспечению соответствия. Все требования должны быть соблюдены в полном объеме. Несоблюдение хотя бы одного из этих требований может привести к неудачному аудиту и несоответствию стандарту PCI DSS. Таким образом, обязательно соблюдение 12 требований и реализация всех необходимых мер безопасности в среде карточных данных организации.

Создать схему сети и потока данных – Организации должны создавать и поддерживать точную сетевую диаграмму, чтобы понять сетевое подключение в организации, а также поток данных карт в сети организации. Это дает представление о сети и системах организации, которые работают с карточными данными, включая хранение, обработку и передачу карточных данных. Создание сетевой диаграммы с визуальным представлением диаграммы потока данных, отражающей процесс вашей организации и поток конфиденциальных карточных данных, помогает выявить недостатки в операциях. Таким образом, на основе такой подробной схемы сети организации могут определить приоритеты мер безопасности для систем, приложений, сетей и всех точек доступа, имеющих дело с карточными данными.

Оценка риска - Оценка рисков является важной и неотъемлемой частью любой программы обеспечения соответствия требованиям и кибербезопасности. Важно, чтобы организации определяли и понимали подверженность рискам, с которыми они имеют дело. Оценка риска и классификация уровня подверженности риску на основе серьезности имеют решающее значение для бизнеса, чтобы определить приоритеты его реализации безопасности. Для этого организации должны ежегодно проводить оценку рисков для выявления критически важных активов, подверженных угрозам и уязвимостям. Такие оценки помогают организациям принимать упреждающие меры для защиты сети и данных своих систем от развивающихся киберугроз. Это также помогает постоянно согласовывать их программу кибербезопасности с требованиями PCI DSS.

Документы Политики и процессы – Документы, касающиеся политик соответствия, процессов, процедур, контрактов и соглашений с поставщиками, должны быть актуальными и время от времени обновляться. Хранение всех соответствующих документов в качестве доказательств аудита PCI DSS имеет решающее значение. Документы должны включать все реализованные меры безопасности, процедуры и процессы, обеспечивающие выполнение политик соответствия, установленных в организации. Такие записи ясно показывают усилия организации по внедрению и поддержанию соответствия требованиям PCI DSS. Аудит PCI DSS включает проверку документов, связанных с процедурами, политиками и записями, относящимися к реализации политик. Таким образом, организации должны следить за тем, чтобы вся документация обновлялась и соответствовала повседневным операциям. Также важно отметить, что любые изменения в политике, процедурах или рабочем процессе необходимо документировать и регулярно обновлять в записях.

Соответствие сторонних поставщиков – Хотя организации передают операции по обработке данных сторонним поставщикам, они по-прежнему несут ответственность за обеспечение их соответствия требованиям. Продавцы должны убедиться, что сторонние поставщики, с которыми они сотрудничают, знают о своих обязанностях и обрабатывают данные в соответствии с требованиями PCI DSS. Несоблюдение этих требований может привести к утечке данных и несоблюдению PCI DSS в вашей организации. Это обойдется организации в целое состояние, если не будут приняты необходимые меры по контролю за их деятельностью. По этим причинам участие сторонних поставщиков и других заинтересованных сторон в обеспечении соответствия требованиям и кибербезопасности имеет решающее значение для программы.

Провести внутреннюю оценку – Время от времени необходимо проводить внутреннюю оценку для выявления пробелов в процессах и слабых мест в системах. Это помогает в процессе исправления и устраняет пробелы в программе соответствия. Проведение ежегодной внутренней оценки имеет важное значение, поскольку позволяет без проблем пройти окончательный аудит соответствия стандарту PCI DSS. Организация будет иметь больше шансов на достижение соответствия PCI DSS, если проведет такие предварительные оценки и внутренние аудиты перед окончательным. Организации будут подготовлены с необходимыми документами в качестве доказательств и внедрили меры безопасности, необходимые для обеспечения соответствия стандарту PCI DSS.

Заключительная мысль
Соответствие PCI DSS неизбежно для продавцов и поставщиков услуг в индустрии платежных карт. Им необходимо постоянно следить за тем, чтобы они соответствовали всем требованиям и обеспечивать соответствие стандарту и структуре безопасности платежей в любое время. По этим причинам мы настоятельно рекомендуем организациям рассмотреть возможность привлечения профессионального и опытного консультанта по соблюдению нормативных требований и аудитора, чтобы убедиться, что их программа по соблюдению требований идет по плану и соответствует требованиям PCI DSS. Регулярные внутренние аудиты и оценки, проводимые опытным специалистом, отражают приверженность и усилия вашей организации по защите данных карт и окружающей среды, а также их упреждающий подход и инициативу по выполнению своих обязательств по соблюдению требований для защиты конфиденциальных данных.

БЛАГОДАРЯ:

Нарендра Саху