15.12.2023

Стандарт безпеки даних індустрії платіжних карток PCI DSS розроблено Радою зі стандартів безпеки індустрії платіжних карток (PCI SSC), яка створена за ініціативою міжнародних платіжних систем Visa, MasterCard, American Express, JCB і Discover. Цей стандарт складається з 12 деталізованих вимог, спрямованих на гарантування безпеки даних про власників платіжних карток, які передаються, зберігаються та обробляються в інформаційних системах організацій. Виконання цих вимог вимагає впровадження комплексного підходу до забезпечення інформаційної безпеки в контексті обробки даних платіжних карток.
Стандарт безпеки PCI DSS у своїй початковій версії 1.0 з'явився у вересні 2006 року. Нова версія 4.0 була затверджена у березні 2022 року, але наразі актуальна версія PCI DSS – v.3.2.1. Вона буде чинною до 31 березня 2024 року.
PCI DSS є нормативним документом, який був уперше введений у сферу платіжних карток. Цей стандарт встановлює вимоги щодо захисту інформації про платіжні картки. З цими вимогами стикаються не лише банки, а й усі компанії, які використовують банківські картки у своїх розрахунках. Також під ці вимоги потрапляють компанії, які зберігають або використовують дані платіжних карт, такі як дата-центри чи постачальники хостингу.
12 розділів стандарту PCI DSS охоплюють усі аспекти кібербезпеки, і часто для виконання всіх вимог та отримання сертифіката відповідності компаніям необхідно витрачати значну кількість часу, коштів і зусиль.
Є одна особливість – сертифікат відповідності надається рівно на один рік. Це означає, що через рік компаніям знову доведеться витрачати зусилля та ресурси для отримання сертифіката PCI DSS. По суті, сертифікація за стандартом PCI DSS - це процес, який не припиняється.
Проблема полягає в тому, що будь-яка ІТ-інфраструктура постійно змінюється. Вона знаходиться в постійному русі і може розглядатися як живий організм. Ці зміни в ІТ-інфраструктурі призводять до того, що вже через 1-2 місяці після проходження сертифікації вимоги щодо безпеки стандарту PCI DSS можуть бути порушені без будь-якого наміру або дії з боку компанії.Раніше ми обговорювали, що, починаючи з 31 березня 2024 року, сертифікація буде проводитися за новою версією стандарту 4.0. Однією з ключових різниць версії 4.0 від її попередників є акцент на постійному (неперервному) процесі забезпечення повної відповідності вимогам стандарту PCI DSS.Це нововведення призведе до розширення обов'язків компаній, які проходять сертифікацію. Тепер вони повинні підтримувати актуальний реєстр систем, на який поширюється дія стандарту PCI DSS. Стане необхідним постійно відстежувати ІТ-інфраструктуру, щоб мати впевненість у тому, що всі системи захищені. Не слід забувати, що будуть регулярні пентести та сканування вразливостей.
Також необхідно вести реєстр усього програмного забезпечення, обладнання, криптографічних пристроїв, бездротових точок доступу, мережевого обладнання, що встановлено на кордонах середовища обробки карткових даних. Крім того, працівники, які працюють у департаменті ІБ компанії, повинні відстежувати всі зміни, що відбуваються в ІТ-інфраструктурі та оцінювати ризики. Очевидно, що всі ці завдання фактично неможливо виконати без відповідного зручного інструменту для їх автоматизації. Найбільше часу та ресурсів у компанії займає інвентаризація та облік змін у різних реєстрах.
PCI DSS чітко вимагає введення щонайменше чотирьох таких реєстрів:● Реєстр криптографічних засобів, включаючи цифрові ключі та апаратні криптографічні модулі HSM. Вимога 3.6.● Реєстр всього використовуваного програмного забезпечення. Вимога 6.3.● Реєстр бездротових точок доступу. Вимога 11.2.● Реєстр усіх серверів та всього мережевого обладнання. Вимога 12.5.
Згідно з вимогою 6.5 необхідно управляти всіма змінами в ІТ-інфраструктурі та підтримувати всі реєстри в актуальному стані. Ті, хто вже пройшли сертифікацію PCI DSS, знають, які труднощі та проблеми можуть виникнути саме в їхній ІТ-інфраструктурі.
Для спрощення та прискорення даного процесу було створено програмний продукт ITS Inventory, який є ефективним та необхідним на всіх етапах сертифікації за стандартом PCI DSS.ITS Inventory – це програмний продукт, який після розгортання в ІТ-інфраструктурі компанії збирає та надає у зручному вигляді повну інформацію про комп'ютери, сервери, мережеві пристрої та інше обладнання.Мати повний та актуальний реєстр усіх компонентів ІТ-інфраструктури є важливим для будь-якої організації, яка піклується про власну безпеку та бажає забезпечити контроль над тим, що реально відбувається в ІТ-інфраструктурі.ITS Inventory призначений для компаній, у яких в ІТ-інфраструктурі понад 1000 комп'ютерів. Для роботи цього інструменту не потрібно встановлювати агенти.
ITS Inventory надає можливість:● Автоматизувати ведення реєстрів;● Фіксувати всі зміни в ІТ-інфраструктурі;● Підтримувати списки систем, що входять до області дії стандарту PCI DSS;● Бути впевненим, що всі системи безпеки та обов'язкові контролі PCI DSS працюють ефективно;● Виявляти порушення в процесах захисту;● Виявляти невідповідності стандарту, які виникають, та швидко їх усувати.
ITS Inventory – це цінний помічник під час підготовки до сертифікації за стандартом PCI DSS та під час проведення сертифікаційного аудиту. Завдяки точним інформаційним панелям та звітам фахівці з інформаційної безпеки можуть щоденно контролювати, які системи або частини ІТ-інфраструктури вже відповідають вимогам стандарту PCI DSS, а які потрібно привести до відповідності.
Коли аудитор PCI DSS відвідає компанію, усю необхідну інформацію щодо ІТ-інфраструктури можна буде отримати з інтерфейсу ITS Inventory. Це економить час і дозволяє уникнути непередбачених проблем.
В ITS Inventory передбачено розширення - модуль комплаєнсу, який відстежує, як виконуються вимоги PCI DSS. У цьому модулі вже завантажена готова бібліотека, що дозволяє отримувати звіт про відповідність або невідповідність PCI DSS протягом кількох хвилин. Якщо проводиться портфельне управління компаніями, модуль комплаєнсу дозволяє агрегувати інформацію про декілька компаній в одному інтерфейсі.
ITS Inventory - незамінний інструмент на всіх етапах, пов'язаних із відповідністю стандарту PCI DSS. Основна його користь полягає в легкому та швидкому отриманні сертифікату PCI DSS.