Обработка платежей и соответствие требованиям PCI: Глобальное руководство

В современном взаимосвязанном мире безопасная обработка платежей имеет первостепенное значение для предприятий любого размера. Поскольку онлайн-транзакции продолжают стремительно расти во всем мире, защита данных держателей карт от кражи и мошенничества важна как никогда. Это всеобъемлющее руководство содержит обзор соответствия требованиям Payment Card Industry (PCI), набора стандартов безопасности, предназначенных для защиты конфиденциальной платежной информации.

Что такое соответствие требованиям PCI?

Соответствие требованиям PCI относится к соблюдению Стандарта безопасности данных индустрии платежных карт (PCI DSS), набора требований, установленных основными компаниями, выпускающими кредитные карты – Visa, Mastercard, American Express, Discover и JCB – для обеспечения безопасной обработки данных держателей карт. PCI DSS применяется к любой организации, которая принимает, обрабатывает, хранит или передает информацию о кредитных картах, независимо от ее размера или местоположения.

Основная цель PCI DSS – уменьшить мошенничество с кредитными картами и утечки данных путем предписания конкретных мер контроля и практик безопасности. Соответствие требованиям не является юридическим требованием во всех юрисдикциях, но является договорным обязательством для продавцов, обрабатывающих платежи по кредитным картам. Несоблюдение требований может привести к значительным штрафам, включая штрафы, увеличение комиссий за транзакции и даже потерю возможности принимать платежи по кредитным картам.

Почему соответствие требованиям PCI важно?

Соответствие требованиям PCI предоставляет предприятиям многочисленные преимущества:

• Повышенная безопасность: Внедрение требований PCI DSS усиливает вашу систему безопасности и снижает риск утечек данных и кибератак.
• Доверие клиентов: Демонстрация соответствия требованиям PCI укрепляет доверие ваших клиентов, заверяя их в безопасности их платежной информации.
• Управление репутацией: Утечка данных может серьезно повредить вашу репутацию и подорвать доверие клиентов. Соответствие требованиям PCI помогает защитить ваш бренд и поддерживать положительный имидж.
• Снижение затрат: Предотвращение утечек данных может сэкономить вам значительные затраты, связанные со штрафами, судебными издержками и усилиями по устранению последствий.
• Юридические и договорные обязательства: Соответствие требованиям PCI DSS часто является договорным требованием с обработчиками платежей и банками-эквайерами.

Представьте себе небольшого интернет-магазина, расположенного в Юго-Восточной Азии, который специализируется на продаже изделий ручной работы местного производства по всему миру. Соблюдая PCI DSS, они предоставляют своей международной клиентской базе гарантию защиты данных их кредитных карт, укрепляя доверие и поощряя повторные покупки. Без этого клиенты могут колебаться с покупкой, что приведет к потере дохода и ущербу для репутации бренда. Аналогичным образом, крупная европейская сеть отелей должна соблюдать требования, чтобы обеспечить безопасность информации о кредитных картах своих гостей со всего мира.

Кому необходимо соблюдать требования PCI?

Как упоминалось ранее, любая организация, которая обрабатывает данные кредитных карт, должна соответствовать требованиям PCI. Это включает в себя:

• Продавцы: Розничные торговцы, рестораны, отели, предприятия электронной коммерции и любой другой бизнес, который принимает платежи по кредитным картам.
• Обработчики платежей: Компании, которые обрабатывают транзакции по кредитным картам от имени продавцов.
• Поставщики услуг: Сторонние поставщики, предоставляющие услуги, связанные с обработкой платежей, такие как хранение данных, консультации по безопасности и разработка программного обеспечения.

Даже если вы передаете обработку платежей стороннему поставщику, вы все равно несете конечную ответственность за обеспечение защиты данных вашего клиента. Крайне важно проверить, что ваши поставщики услуг соответствуют требованиям PCI и внедрили соответствующие меры безопасности.

12 требований PCI DSS

PCI DSS состоит из 12 основных требований, сгруппированных в шесть целей контроля:

1. Построение и поддержание безопасной сети и систем

• Требование 1: Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт. Брандмауэры действуют как барьер между вашей внутренней сетью и Интернетом, предотвращая несанкционированный доступ к конфиденциальным данным.
• Требование 2: Не используйте предоставляемые поставщиком значения по умолчанию для системных паролей и других параметров безопасности. Пароли по умолчанию легко угадать хакерам. Измените их сразу после установки и регулярно после этого.

2. Защита данных держателей карт

• Требование 3: Защитите сохраненные данные держателей карт. Минимизируйте объем хранимых вами данных держателей карт и используйте шифрование, токенизацию или маскирование для защиты конфиденциальной информации.
• Требование 4: Шифруйте передачу данных держателей карт по открытым общедоступным сетям. Используйте надежные протоколы шифрования, такие как TLS/SSL, для защиты данных, передаваемых через Интернет.

3. Поддержание программы управления уязвимостями

• Требование 5: Защищайте все системы от вредоносных программ и регулярно обновляйте антивирусное программное обеспечение или программы. Поддерживайте актуальность своего антивирусного программного обеспечения и регулярно сканируйте свои системы на наличие вредоносных программ.
• Требование 6: Разрабатывайте и поддерживайте безопасные системы и приложения. Регулярно применяйте патчи безопасности и обновления к своему программному и аппаратному обеспечению для устранения известных уязвимостей. Это включает в себя как пользовательские разработанные приложения, так и стороннее программное обеспечение.

4. Внедрение строгих мер контроля доступа

• Требование 7: Ограничьте доступ к данным держателей карт по служебной необходимости. Предоставляйте доступ к данным держателей карт только тем сотрудникам, которым это необходимо для выполнения своих должностных обязанностей.
• Требование 8: Идентифицируйте и аутентифицируйте доступ к компонентам системы. Внедрите надежные меры аутентификации, такие как многофакторная аутентификация, для проверки личности пользователей, получающих доступ к вашим системам.
• Требование 9: Ограничьте физический доступ к данным держателей карт. Защитите свои помещения и ограничьте доступ к областям, где хранятся или обрабатываются данные держателей карт.

5. Регулярный мониторинг и тестирование сетей

• Требование 10: Отслеживайте и контролируйте весь доступ к сетевым ресурсам и данным держателей карт. Внедрите системы ведения журналов и мониторинга для отслеживания действий пользователей и обнаружения подозрительного поведения.
• Требование 11: Регулярно тестируйте системы и процессы безопасности. Проводите регулярные сканирования на уязвимости и тесты на проникновение, чтобы выявить и устранить недостатки безопасности.

6. Поддержание политики информационной безопасности

• Требование 12: Поддерживайте политику, касающуюся информационной безопасности для всего персонала. Разработайте и внедрите всеобъемлющую политику информационной безопасности, в которой излагаются ваши организационные методы и процедуры безопасности. Эта политика должна регулярно пересматриваться и обновляться.

Каждое требование имеет подробные подтребования, которые предоставляют конкретные указания о том, как реализовать контроль. Объем усилий, необходимых для достижения соответствия требованиям, будет варьироваться в зависимости от размера и сложности вашей организации, а также от объема обрабатываемых вами карточных транзакций.

Уровни соответствия PCI DSS

Совет по стандартам безопасности PCI (PCI SSC) определяет четыре уровня соответствия требованиям на основе годового объема транзакций продавца:

• Уровень 1: Продавцы, обрабатывающие более 6 миллионов карточных транзакций в год.
• Уровень 2: Продавцы, обрабатывающие от 1 миллиона до 6 миллионов карточных транзакций в год.
• Уровень 3: Продавцы, обрабатывающие от 20 000 до 1 миллиона транзакций электронной коммерции в год.
• Уровень 4: Продавцы, обрабатывающие менее 20 000 транзакций электронной коммерции в год или до 1 миллиона общих транзакций в год.

Требования соответствия варьируются в зависимости от уровня. Продавцам уровня 1 обычно требуется ежегодная оценка на месте квалифицированным оценщиком безопасности (QSA) или внутренним оценщиком безопасности (ISA), в то время как продавцы более низкого уровня могут иметь возможность самооцениваться с использованием анкеты самооценки (SAQ).

Как достичь соответствия требованиям PCI

Вот пошаговое руководство по достижению соответствия требованиям PCI:

1. Определите свой уровень соответствия требованиям: Определите свой уровень соответствия требованиям PCI DSS на основе объема ваших транзакций.
2. Оцените вашу текущую среду: Проведите тщательную оценку вашего текущего состояния безопасности, чтобы выявить пробелы и уязвимости.
3. Устраните уязвимости: Устраните любые выявленные уязвимости, внедрив необходимые меры контроля безопасности.
4. Заполните анкету самооценки (SAQ) или привлеките QSA: В зависимости от вашего уровня соответствия требованиям заполните SAQ или привлеките QSA для проведения оценки на месте.
5. Отправьте аттестацию соответствия (AOC): Отправьте свой SAQ или отчет о соответствии (ROC) QSA в свой банк-эквайер или обработчик платежей.
6. Поддерживайте соответствие требованиям: Непрерывно контролируйте свою среду, проводите регулярные оценки безопасности и обновляйте свои средства контроля безопасности по мере необходимости для поддержания текущего соответствия требованиям.

Выбор подходящей SAQ

Для продавцов, имеющих право использовать SAQ, выбор правильной анкеты имеет решающее значение. Существует несколько различных типов SAQ, каждый из которых предназначен для конкретных методов обработки платежей. Распространенные типы SAQ включают:

• SAQ A: Для продавцов, которые передают все функции обработки данных держателей карт сторонним поставщикам услуг, соответствующим требованиям PCI DSS.
• SAQ A-EP: Для продавцов электронной коммерции с полностью аутсорсинговой платежной страницей.
• SAQ B: Для продавцов, использующих только импринтеры или автономные терминалы с исходящим набором номера.
• SAQ B-IP: Для продавцов, использующих автономные платежные терминалы, одобренные PTS, с IP-соединением.
• SAQ C: Для продавцов с системами платежных приложений, подключенными к Интернету.
• SAQ C-VT: Для продавцов, использующих виртуальный терминал (например, вход в веб-терминал для обработки платежей).
• SAQ P2PE: Для продавцов, использующих одобренные устройства шифрования Point-to-Point (P2PE).
• SAQ D: Для продавцов, которые не соответствуют критериям ни для какого другого типа SAQ.

Выбор неправильной SAQ может привести к неточной оценке вашего состояния безопасности и потенциальным проблемам соответствия требованиям. Проконсультируйтесь со своим банком-эквайером или обработчиком платежей, чтобы определить подходящий SAQ для вашего бизнеса.

Общие проблемы соответствия требованиям PCI

Многие предприятия сталкиваются с проблемами при попытке достичь и поддерживать соответствие требованиям PCI. Некоторые общие проблемы включают в себя:

• Недостаточная осведомленность: Многие малые предприятия просто не знают о требованиях PCI DSS и своих обязательствах.
• Сложность: PCI DSS может быть сложным и трудным для понимания, особенно для нетехнического персонала.
• Стоимость: Внедрение необходимых средств контроля безопасности может быть дорогостоящим, особенно для малых предприятий с ограниченным бюджетом.
• Ограничения по ресурсам: Многие предприятия испытывают нехватку внутренних ресурсов и опыта для эффективного управления своими усилиями по обеспечению соответствия требованиям PCI.
• Поддержание соответствия требованиям: Соответствие требованиям PCI — это не разовое событие. Требуется постоянный мониторинг, тестирование и обновления для поддержания соответствия требованиям с течением времени.

Советы по упрощению соответствия требованиям PCI

Вот несколько советов, которые помогут упростить соответствие требованиям PCI:

• Минимизируйте данные держателей карт: Уменьшите объем хранимых вами данных держателей карт, используя токенизацию или другие методы маскирования данных.
• Передайте обработку платежей на аутсорсинг: Рассмотрите возможность передачи обработки платежей стороннему поставщику, соответствующему требованиям PCI DSS.
• Используйте аппаратное и программное обеспечение, соответствующее требованиям PCI DSS: Убедитесь, что все аппаратное и программное обеспечение, используемое для обработки платежей, соответствует требованиям PCI DSS.
• Внедрите строгие меры контроля доступа: Ограничьте доступ к данным держателей карт только теми сотрудниками, которым это необходимо для выполнения своих должностных обязанностей.
• Автоматизируйте процессы безопасности: Автоматизируйте процессы безопасности, такие как сканирование уязвимостей и управление патчами, чтобы уменьшить ручной труд и повысить эффективность.
• Обратитесь за экспертной помощью: Привлеките консультанта по соответствию требованиям PCI, чтобы помочь вам разобраться в требованиях PCI DSS и внедрить необходимые меры контроля безопасности.

Будущее соответствия требованиям PCI

PCI DSS постоянно развивается для решения возникающих угроз и изменений в ландшафте платежей. PCI SSC регулярно обновляет стандарт, чтобы включить новые передовые методы и технологии обеспечения безопасности. Поскольку способы оплаты продолжают развиваться, например, рост мобильных платежей и криптовалют, PCI DSS, вероятно, адаптируется для решения проблем безопасности, связанных с этими новыми технологиями.

Глобальные соображения для соответствия требованиям PCI

Хотя PCI DSS является глобальным стандартом, следует учитывать определенные региональные и национальные соображения:

• Законы о конфиденциальности данных: Многие страны имеют законы о конфиденциальности данных, такие как Общий регламент по защите данных (GDPR) в Европе, которые могут пересекаться с требованиями PCI DSS. Убедитесь, что вы соблюдаете все применимые законы о конфиденциальности данных в дополнение к PCI DSS.
• Требования платежного шлюза: Различные платежные шлюзы могут иметь разные требования соответствия требованиям PCI. Убедитесь в конкретных требованиях вашего поставщика платежного шлюза.
• Языковые и культурные различия: При общении с клиентами и сотрудниками о соответствии требованиям PCI учитывайте языковые и культурные различия. При необходимости предоставьте обучение и документацию на нескольких языках.
• Предпочтения по валюте и способу оплаты: В разных странах разные предпочтения по валюте и способам оплаты. Рассмотрите возможность предложить различные варианты оплаты, чтобы удовлетворить потребности вашей глобальной клиентской базы.

Например, компания, расширяющаяся в Бразилию, должна знать о «LGPD» (Lei Geral de Proteção de Dados), которая является бразильским эквивалентом GDPR, наряду с PCI DSS. Аналогично, компания, расширяющаяся в Японию, захочет понять местные предпочтения в отношении способов оплаты, таких как Konbini (платежи в магазинах), в дополнение к кредитным картам, гарантируя, что какое бы решение они ни реализовали, оно останется соответствующим требованиям PCI.

Реальные примеры соответствия требованиям PCI в действии

• Платформа электронной коммерции: Глобальная платформа электронной коммерции внедряет токенизацию для защиты данных кредитных карт клиентов. Фактические номера кредитных карт заменяются уникальными токенами, которые хранятся в безопасном хранилище. Платформа использует эти токены для обработки транзакций, никогда не раскрывая конфиденциальные данные кредитных карт.
• Сеть ресторанов: Крупная сеть ресторанов внедряет сквозное шифрование (E2EE) в своих системах точки продаж (POS). E2EE шифрует данные держателя карты в точке входа и расшифровывает их только в безопасной среде обработчика платежей. Это защищает данные от перехвата во время передачи.
• Сеть отелей: Глобальная сеть отелей внедряет многофакторную аутентификацию (MFA) для всех сотрудников, имеющих доступ к данным держателей карт. MFA требует, чтобы пользователи предоставили два или более фактора аутентификации, например пароль и одноразовый код, отправленный на их мобильный телефон, для подтверждения своей личности.
• Поставщик программного обеспечения: Поставщик программного обеспечения, разрабатывающий программное обеспечение для обработки платежей, проходит регулярное тестирование на проникновение для выявления и устранения уязвимостей безопасности. Тестирование на проникновение предполагает имитацию реальных атак для оценки безопасности программного обеспечения и выявления слабых мест, которые могут быть использованы хакерами.

Заключение

Соответствие требованиям PCI является важным требованием для любого бизнеса, который обрабатывает данные кредитных карт. Внедряя требования PCI DSS, вы можете защитить конфиденциальную информацию своих клиентов, укрепить доверие и избежать дорогостоящих утечек данных. Хотя достижение и поддержание соответствия требованиям PCI может быть сложной задачей, это стоящая инвестиция, которая защитит ваш бизнес и ваших клиентов. Помните, что соответствие требованиям PCI — это непрерывный процесс, а не разовое мероприятие. Непрерывно контролируйте свою среду, обновляйте свои средства контроля безопасности и будьте в курсе последних угроз и передовых методов, чтобы поддерживать надежную систему безопасности. Консультации с профессионалами в области кибербезопасности, которые хорошо разбираются в стандартах соответствия, могут значительно упростить этот процесс.