В последние годы часто сообщалось о краже данных. Когда похищается информация о держателях кредитных карт, то о торговцах идет дурная слава, их репутации наносится серьёзный долговременный ущерб, им грозит потеря клиентов, а возможно, и штраф. По данным Ponemon Institute, в 2009 г. общие потери в результате утраты данных составили 3,43 млн. долл. или 142 долл. на каждую похищенную запись.
Поэтому American Express, Discover Financial Services, JCB International, MasterCard Worldwide и Visa разработали стандарт PCI DSS (Payment Card Industry Data Security Standard). Торговые компании, принимающие оплату по кредитным картам — через Интернет, по телефону, с использованием терминалов или бумаги, — должны соответствовать этому стандарту, даже если они пользуются услугами провайдеров платежных сервисов.
Ниже приводятся некоторые подсказки и соображения, как облегчить вашей организации соблюдение нормативных требований.
- Не следует думать, будто PCI DSS куда-то исчезнет. Штаты Невада, Миннесота и Вашингтон полностью или частично включили PCI DSS в свое законодательство. Эти штаты стали первопроходцами. Ранее подобное движение привело к принятию законов об уведомлении в случае кражи данных, которые к настоящему времени вступили в силу в 46 штатах. Кроме того, теперь многие банки предлагают торговым предприятиям соблюдать требования стандарта, а некоторые даже налагают штрафы в случае отказа.
- Не прикрывайтесь тем фактом, что ваш провайдер платежных сервисов придерживается PCI DSS. Помните, что это должны делать все “действующие лица” в цепочке платежей по кредитным картам: продавцы, провайдеры платежных сервисов, банки и провайдеры хостинга (если таковые имеются).
- Не выбирайте отдельные требования. Продавцы должны соблюдать все требования, применимые к их структуре платежей по кредитным картам, независимо от используемых механизмов обеспечения соответствия стандарту и проверки карт. Это требует соответствующих мер технической и физической защиты, политик и процедур, ежеквартальной проверки среды держателя карты (cardholder data, CHD), если соединение с ней осуществляется через общедоступные сети. Торговые предприятия должны обучать своих сотрудников (при приеме на работу, а затем ежегодно) всему, что связано с безопасностью кредитных карт. Важно помнить также, что при переходе в высшую категорию, т. е. когда предприятие ежегодно осуществляет свыше 6 млн. транзакций, необходимо пригласить квалифицированного эксперта по безопасности для проверки соответствия стандарту на месте.
- Не следует недооценивать затраты времени, денег и сил, которых требует соблюдение PCI DSS. Заручитесь поддержкой руководства в этом деле.
Шаги к выполнению требований стандарта
- Составьте карту вашей среды для выявления зон, процессов и людей, связанных с обработкой, хранением или передачей сведений о держателях кредитных карт. Это важно с точки зрения стратегии соблюдения PCI DSS. Любой эксперт начинает с изучения экосистемы платежей и связанных с нею документов.
- Отделите среду (или среды) обработки кредитных карт от прочих рабочих сетей. Убедитесь, что система, используемая для обработки, передачи и хранения CHD, изолирована, и предписанные в PCI DSS средства контроля применяются только к этой части вашего бизнеса.
- Используйте виртуальные ЛВС, установите брандмауэр вокруг среды CHD и применяйте решения, заменяющие конфиденциальные данные репрезентативными символами.
- Защиту хранящихся у вас элементов CHD обеспечивайте с помощью шифрования. PCI DSS предписывает шифровать CHD при передаче по общедоступным сетям и применять шифрование на устройствах, которые могут использоваться для хранения элементов данных CHD. Но вам следует не ограничиваться этим и шифровать CHD в своей сети.
- Обучите ваших сотрудников. Это предписывается стандартом. Подготовленный персонал повышает уровень безопасности и снижает вероятность мошенничества. Хороший способ подготовки заключается в использовании компьютерного обучения, что позволит вам видеть, кто из работников прошел подготовку, кто сдал тест по безопасности и кому надлежит повышать квалификацию.
- Осознайте различие между программами проверки и готовностью к соблюдению требований стандарта. Программы проверки включают ежеквартальное сканирование и вопросники для самопроверки, но не охватывают обучение и политики. Для обеспечения полной готовности необходимы обучение, политики и процедуры.
- Используйте инструменты управления соответствием требованиям PCI DSS. Они позволят вам первый раз добиться соблюдения стандарта, составив планы устранения недостатков и укрепления безопасности. Возьмите под свой контроль решение всех связанных с PCI DSS задач и управляйте ими проактивно, будь то модернизация систем безопасности, пересмотр политик и процедур или переобучение персонала. Убедитесь, что знаете затраты по каждой статье и можете оценить ожидаемый руководством экономический эффект от укрепления безопасности.
- Изучите преимущества PCI DSS. Последовательное соблюдение стандарта позволит сократить время, усилия и суммы, необходимые для выполнения требований законов о личной идентифицируемой информации и для уведомления о хищении данных.
PCI DSS не исчезнет. Если ваша компания еще не соответствует этому стандарту, действуйте немедленно. Добившись соблюдения стандарта, поддерживайте достигнутый уровень безопасности. Это позволит также соответствовать положениям закона о личной идентифицируемой информации и законов штатов. PCI DSS следует рассматривать как двойной выигрыш — с точки зрения безопасности и соблюдения нормативных требований.