Контакты
Подписка
МЕНЮ
Контакты
Подписка

PCI DSS – проблемы применения стандарта и способы его внедрения без проблем

PCI DSS – проблемы применения стандарта и способы его внедрения без проблем

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

PCI DSS – проблемы применения стандарта и способы его внедрения без проблем

Что такое успешное внедрение стандарта безопасности данных индустрии платежных карт PCI DSS в карточной платежной инфраструктуре? Чего стоит требовать от консультантов и аудиторов и как получить от них максимум?
Евгений Безгодов
исполнительный директор
компании Deiteriy

Рассматривая проекты по внедрению стандарта PCI DSS в банках и на предприятиях интернет-коммерции, можно с уверенностью сказать, что цели, задачи и приоритеты в таких проектах индивидуальны   для   каждого заказчика. Однако среди них можно выделить достаточно общий для всех набор требований.

От процесса внедрения и сертификации заказчику необходимо:

  • качественное планирование проекта;
  • соблюдение сроков;
  • обеспечение оптимальности затрат на достижение соответствия;
  • минимальная нагрузка на сотрудников заказчика.

Качество результата такого проекта измеряется прежде всего:

  • получением сертификата соответствия;
  • минимальными изменениями для бизнеса;
  • оптимальными затратами на поддержание соответствия.

Предлагаем вашему вниманию памятку о том, что нужно проконтролировать на каждом этапе проекта внедрения стандарта PCI DSS.

Этап 1: обследование инфраструктуры

Перед заключением договора рекомендуется    обсудить с исполнителем:

  • необходимость предоставления заказчику анкет для сбора предварительной информации об инфраструктуре;
  • форму и степень детализации отчета об обследовании;
  • участие сертифицированного QSA-аудитора в выполнении обследования. Такое участие необязательно, но оно, несомненно, дает большую уверенность в качестве результата;
  • сроки исполнения работ.

В процессе выполнения:

  • предупредите сотрудников, что они будут общаться с консультантом, а не с аудитором, его не надо бояться и ему следует предоставить максимум информации, особенно касающейся недостатков в защите карточных данных;
  • чтобы оценить качество работы исполнителя на этом этапе, обратите внимание на то, как проводятся интервью с сотрудниками. Если, отвечая на вопросы аудитора, сотрудники вдруг открывают для себя что-то новое в своей собственной работе – это очень хорошее интервью;
  • получив отчет об обследовании, проверьте качество его оформления и наличие всех наблюдений о системе, которые вы считаете важными.

Этап 2: разработка решений по выполнению требований стандарта

Перед заключением договора обсудите с исполнителем:

  • необходимость предоставления на выбор возможных вариантов решения для каждого требования стандарта;
  • необходимость включения в перечень предлагаемых вариантов как коммерческого, так и бесплатного (Open Source) ПО;
  • промежуточные контрольные точки – моменты времени, когда вам могут быть представлены для согласования и корректирования промежуточные результаты разработки.

В процессе выполнения:

  • заранее обсудите с исполнителем ваши предпочтения по выбору программного и аппаратного обеспечения, сохранению или изменению бизнес-процессов, связанных с обработкой карточных данных, и прочие важные аспекты внедрения PCI DSS;
  • обсудите и при необходимости попросите скорректировать промежуточные результаты разработки;
  • выясните возможные альтернативы предложенным решениям.

Этап 3: разработка компенсационных мер

В случае если существуют технические или бизнес-ограничения, не позволяющие напрямую выполнить какое-либо из требований стандарта, стоит еще на этапе выбора исполнителя обсудить возможность разработки компенсационных мер.


В процессе выполнения проекта подробно расскажите консультанту о технических ограничениях и требованиях бизнеса. Если они препятствуют прямому выполнению какого-либо из требований стандарта, рассмотрите возможные компенсационные меры. Следует иметь в виду, что компенсационные меры часто оказываются дороже прямого выполнения требования, хотя бывают и обратные ситуации. Главный критерий при выборе компенсационной меры – эффективная защита данных о держателях карт, а не просто формальное выполнение требования стандарта.

Этап 4: внедрение

При планировании и внедрении мер по защите данных о держателях платежных карт стоит подумать о возможности их применения и для защиты других активов организации. При правильной организации можно извлечь из проекта по внедрению PCI DSS существенную пользу для защиты всего бизнеса. Например, можно выполнить тестирование на проникновение других критичных информационных систем. Также можно совместить с внедрением PCI DSS проект по выполнению требований законодательства или стандартов, необходимых для ведения бизнеса, – закона "О персональных данных", стандартов ISO 27001 и СТО БР ИББС-1.0.

Этап 5: разработка нормативных документов

Перед заключением договора обсудите с исполнителем, какой набор документов будет им разработан. В идеале исполнитель должен предоставить все документы, необходимые и достаточные для достижения и поддержани я соответствия стандарту – от политики информационной безопасности, до частных ин ст ру кци й для сотрудников, форм журналов и заявок на предоставление прав доступа. Соответствующий пункт следует предусмотреть в договоре.

Однако не стоит прописывать в договоре конкретный перечень разрабатываемых документов, так как он индивидуален для каждого заказчика и может быть определен только в ходе исполнения проекта после предварительного обследования организации.

Заранее обсудите удобный формат документации и определите, как она будет интегрирована с уже существующими в компании документами.

Этап 6: испытания – ASV-сканирование и тестирование на проникновение

В случае выявления уязвимостей в ходе тестирования на проникновение, их необходимо устранить. Устранение должно быть подтверждено повторным тестированием. Поэтому стоит заранее узнать, на каких условиях исполнитель будет выполнять повторное тестирование.


После успешного прохождения сертификации нужно обязательно строго соблюдать график ежеквартальных автоматизированных ASV-сканирований уязвимостей периметра сети – это позволит избежать трудностей при повторном прохождении сертификации на следующий год.

Этап 7: сертификационный аудит

Для выполнения сертификационного аудита не только компания, но и конкретные ее сотрудники, выполняющие проверки, должны обладать статусом сертифицированного аудитора – QSA. Проверить наличие такого статуса как у компании, так и у ее сотрудников можно на сайте регулятора отрасли – международного совета PCI SSC – www.pcisecuritystan-dards.org.

Выполнение описанных рекомендаций позволит сделать проект по внедрению и сертификации по стандарту PCI DSS более управляемым и приблизит его результат к ожиданиям заказчика.

Комментарий эксперта
Александр Додохов
руководитель направления защиты баз данных компании “Аладдин"

Средства защиты, которые входят в состав серверов промышленных коммерческих БД, решают задачи шифрования на базовом уровне. К тому же, как правило, они не учитывают требования регулирующих органов, которые действуют в нашей стране. Поэтому, преследуя цель максимального использования инвестиций для выполнения требований PCI DSS, заказчики внедряют решения, которые отвечают комплексу отраслевых стандартов и регламентов, например закону "О персональных данных" и СТО БР ИБСС – 1.0.

На российском рынке уже более года успешно внедряется СКЗИ, предназначенные для защиты конфиденциальной информации в СУБД Oracle. Внедрение таких СКЗИ позволяет привести в соответствие PCI DSS системы, в которых хранится информация о номерах карт клиентов, и получить неплохой задел для будущих проектов, направленных на повышение безопасности хранения и обработки финансовых и личных данных клиентов.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2011

Приобрести этот номер или подписаться

Статьи про теме