Стандарт PCI DSS – российские реалии внедрения

Слушать: 16 минут

Читать: 8 минут

Кто ведет:

Александр Суханов – эксперт по информационной безопасности «Гарда Технологии».

Петр  Шаповалов — инженер по защите информации отдела консультирования и аудита Deiteriy

Стандарт PCI DSS особенности внедрения

Все больше российских компаний для удобства пользователей начинают принимать оплату с помощью банковских карт. Для обеспечения такой возможности по обработке , передаче и хранению данных платежных карт всем компаниям, как торгово-сервисным, так и поставщикам услуг нужно соответствовать требованиям международного стандарта PCI DSS. В случае несоблюдения требований стандарта организация получает крупный материальный штраф, измеримый в тысячах долларов, ежемесячно. Как подготовиться к аудиту, как и в каких случаях он проводится,  - обсудили эксперты МФИ Софт и ведущего OSA-аудитора Deiteriy.

Обсуждение:

Александр Суханов: - Какие основные положения PCI DSS?

Петр Шаповалов: - Стандарт PCI DSS – обязательный стандарт в области индустрии платежных карт, который был разработан некоммерческой организацией – советом PCI SSC. Организация была создана по инициативе пяти платежных систем:  Visa, MasterCard, American Express, JCB и Discover.

Основная цель стандарта – консолидировать все требования по информационной безопасности, которые бы удовлетворяли все эти пять платежных систем.

Главное правило стандарта: если организация хранит и обрабатывает, передает или влияет на безопасность платежных карт этих пяти платежных систем, то соответствие требованиям PCI DSS для компании является обязательным.

Основные положения PCI DSS делятся на две составляющие:

• Технические требования;
• Организационные меры;

Причем технических требований в PCI DSS значительно больше. Весь стандарт можно поделить на 12 разделов, они посвящены сети, настройкам, защите хранимых данных, передаваемых данных, антивирусной защите, разработке и поддержке систем, управлению учетными записями, средствами аутентификации, физической безопасности, протоколированию событий, контролю защищенности. Все это касается технических требований.

Есть еще один раздел, посвященный системе менеджмента информационной безопасности – это двенадцатый раздел. 

Исполнение требование PCI DSS является обязательным, так как при заключении договора на обслуживание с любой из пяти платежных систем, любой банк, (принципал или аффилированный банк), обязан выполнять требования стандарта.

Александр Суханов: - То есть, все организации, обрабатывающие карточные платежи должны соответствовать стандарту. А если компания маленькая, у них только терминал для приема карт? Как зависит применение стандарта от типа компании? Ее размера? Объема транзакций?

Петр  Шаповалов: - На самом деле, это и важно. Фактически все организации платежной индустрии делятся на две категории:

1. Торгово-сервисные предприятия или мерчанты.
2. Поставщики услуг – делают возможным прием платежных карт в обмен на товары и услуги.

Платежные системы в зависимости от типа организации предъявляют различные требования к подтверждению соответствия PCI DSS.  

Всего существует три типа подтверждения соответствия стандарту, но мы рассмотрим 2 основных:

QSA – внешний аудит;
ISA – внутренний аудит с заполнением листа самооценки;

Они применяются для всех типов организаций, но для разных организаций их проводят разные специалисты.  Либо это внутренний и внешний аудит, выполняемый компанией-аудитором, либо заполнение листа самооценки.

Рассмотрим торгово-сервисное предприятие, которое обрабатывает до 20 тыс. транзакций в год по электронным платежам (e-commerce) по картам платежных систем, например, VISA и MasterCard, либо до 1 млн card no presence транзакций — по приему через посттерминалы. Для этой организации заполнение листа самооценки является необязательным, а рекомендованным по требованиям VISA, но обязательным по требованиям MasterCard. Это касается мерчантов четвертого уровня.

Следующий уровень – третий. Он делится на составляющие — от 20 тысяч транзакций до одного миллиона по e-commerce. В этом случае заполнение листа самооценки и обеих платежных систем является обязательным.

Выше уровень – от 1 до 6 млн транзакций по электронным платежам – будет иметь отличия. Система VISA на втором уровне требует заполнять лист самооценки, а MasterCard требует выполнять полный QSA аудит. Если торгово-сервисное предприятие обрабатывает оба вида карт, им рекомендуется проходить полный QSA-аудит.

Первый уровень подразумевает свыше 6 млн транзакций по электронной коммерции среди карт VISA и MasterCard, либо когда платежные системы сами назначают этот уровень. У них есть такое право. Эквайер платежной системы может предопределить уровень и назначить его первым. Здесь безоговорочно предусмотрен QSA-аудит.

Главный критерий, который нужно запомнить всем торгово-сервисным предприятиям, обрабатывающим карточные платежи, — до 1 млн транзакций – это заполнение листа самооценки, больше 1 млн – QSA-аудит.

С поставщиками услуг дело обстоит гораздо строже. Здесь граница по количеству транзакций – 300 тысяч в год, Если меньше 300 тыс. – это заполнение листа самооценки, если больше – QSA-аудит. Здесь критерий настолько жесткий, так как поставщики услуг могут обслуживать не одного мерчанта, а сразу нескольких. Их инфраструктура более критична, поэтому и требования стандарта строже.

Александр Суханов:-  А если не выполнять требования стандарта, что будет?

Петр Шаповалов: - При невыполнении требований стандарта вступают санкции от платежных систем и банков эквайеров. Любое взаимодействие платежной системы с организациями, к ней подключенным, происходит через компанию принципала – те банки, эквайеры или имитенты, которые непосредственно подключены к платежной системе. По правилам платежных систем еще до середины 2012 года было установлено, что ни одна организация, которая хранит, обрабатывает, а также влияет на безопасность карточных данных, не может уже не соответствовать требованиям PCI DSS. С того времени все компании уже должны соответствовать стандарту.

У каждой платежной системы есть свой compliance. Программа по соответствию, которая предусматривает критерии, которые подтверждают следование требования стандарта PCI DSS и обуславливает санкции, которые может применить платежная система. В основном они обладают статусом финансового характера, либо с ограничениями, связанными с бизнес-процессами.

По правилам платежных систем за нарушение — есть своя система штрафов, она разнится в разных платежных системах. Например, у VISA за первое нарушение дается предупреждение,  потом штраф в размере $1000, а далее штрафы растут в геометрической прогрессии – до 10, 15, 45 тысяч долларов и так далее. У MasterCard еще строже со штрафами: уже в самих правилах прописано, что за первое нарушение компания должна заплатить штраф до 25 тысяч евро. На практике были прецеденты, когда организации за несоответствие стандарту выставлял и штраф в размере $10 тысяч долларов. Причем не разово, а ежемесячно до устранения несоответствия. Более того, платежная система может даже пересчитывать штраф, то есть первые три месяца по 10 тысяч, далее 25, затем 50, 75 ит.д. Все эти штрафы реальны и применяются. Даже в РФ мы уже видели примеры таких штрафов от платежных систем.

Но даже после выставления штрафа при прохождении аудита и подаче соответствующего заявления – есть шанс, что саму сумму взыскивать не будут.

Александр Суханов: - Довольно прагматичный подход платежных систем. Они хотят заставить всех выполнить свои требования по защите данных. Но судя по всему, работать дают, так как после подтверждения аудита штраф не взимается. Но как я понимаю, внедрение стандарта процесс длительный, не сразу происходит в компании. Нужно выстроить бизнес-процессы, заупить специальную технику, прописать организационные меры и процедуры. Сколько по вашему опыту можно внедрить все требования PCI DSS с ноля? Как долго компании приходить к соответствию?

Петр  Шаповалов: - Платежные системы не всегда стремятся заработать на своих клиентах, которые через них работают. Если возникают вопросы от платежных систем, заключенный договор на QSA-аудит с сертифицированной компанией дает отсрочку для выполнения требований. Поэтому мы как QSA-компания, оказывающая сертификационные услуги по PCI DSS можем сказать, что проект по PCI DSS часто зависит от количества сертифицированных бизнес-процессов.

В лучшем случае сертификацию можно пройти за 1,5-2 месяца, если это, к примеру, лист самооценки для мерчантов. Для тех торгово-сервисных компаний, которые сами не хранят и не обрабатывают карточные данные, а лишь передают эти данные сертифицированному поставщику услуг. По объему требований лист самооценки включает сканирование на уязвимости, pen-тест и настройку информационной инфраструктуры вместе с сетью. Эти  действия занимают не так много времени.

Однако, бывают организации достаточно крупные, это могут быть банки, причем сертифицировать у себя как эмиссионные процессы, так и эквайеринговые. По времени это может занимать полгода, год и даже больше.

Александр Суханов:- Это хорошо, что можно уложиться в короткие сроки.  Если, например, проходить аудит по российским документам ФСТЭК, время прохождения сертификации может растягиваться до бесконечности.

Кстати, сравнивал требования российских стандартов и PCI DSS, все же в PCI больше  упор на практическую часть, чтобы было выполнено, в отличие от наших, где даны указания установить оборудование, но не указано его применение.

Есть мотивация действительно выполнять требование стандарта, а не просто закрывать галки в compliance.

Подробнее о стандарте расскажем на вебинаре по PCI DSS в российских реалиях

27 апреля в 11:00 по МСК