Десять мифов о стандарте PCI DSS

Десять мифов о стандарте PCI DSS

Также читайте статью “Сертификат PCI DSS”


Вокруг сертификации по стандарту PCI DSS возникло множество мифов. Если рассматривать сертификацию сквозь эти ложные мифы, можно запутаться в действиях, испугаться сложностей или впустую потратить деньги компании. В этой статье мы рассмотрим 10 ложных мифов о сертификации по стандарту PCI DSS.

Перед тем, как мы начнём рассматривать мифы, давайте вспомним, что такое стандарт PCI DSS, каковы его основные задачи.

Стандарт безопасности данных PCI DSS направлен на защиту данных держателей платёжных карт, которые обрабатываются, передаются или хранятся торговыми и процессинговыми компаниями. Об этом мы повторяем в каждой статье, так как эта информация является самой важной.

Стандарт содержит в себе всего 12 требований.  Они затрагивают многие бизнес-процессы и технологии обеспечения безопасности.  Эти требования стандарта PCI DSS базируются на лучших общепринятых подходах к защите информации карточных данных.

Область охвата стандарта PCI DSS весьма обширна и выполнение всех требований может казаться сложным и запутанным, особенно для небольших магазинов или ресторанов, у которых нет никаких систем защиты или IT-специалиста, работающего в штате. Такой специалист мог бы предоставить полную информацию о том, что необходимо сделать для получения сертификата соответствия стандарту PCI DSS. Понятно, что бюджет небольших компаний не рассчитан на дополнительных людей в штате. И, на наш взгляд, не стоит нанимать такого специалиста. Можно обратиться в нашу компанию, и мы предоставим вам самую полную и самую квалифицированную информацию.

Добавляет сложности и то, что некоторые производители систем защиты или поставщики услуг используют информацию о PCI DSS для маркетинга и продажи своих продуктов. То есть подразумевается, что их продукты или услуги необходимы для прохождения сертификации по стандарту PCI DSS.

В результате представители бизнеса сталкиваются с ложными представлениями или мифами о том, как выполнить все требования для того, чтобы соответствовать стандарту PCI DSS.

Эта статья рассказывает о 10-ти наиболее распространённых мифах.  Её цель – помочь представителям как мелкого, так и крупного бизнеса глубже понять, что такое стандарт PCI DSS.

Мы очень надеемся, что после прочтения этой статьи вы   убедитесь в том, что требования стандарта PCI DSS и прохождение сертификации на самом деле проще, чем кажутся. Главное – не смотреть на это важное дело сквозь ложные мифы!

Перед тем, как мы перейдём к мифам, давайте ещё раз вспомним, зачем нужен стандарт PCI DSS и каковы его цели.

Стандарт PCI DSS нужен для того, чтобы:

  • Защитить компьютерную сеть.
  • Обезопасить данные держателей платёжных карт.
  • Реализовать программу управления уязвимостями.
  • Постоянно тестировать компьютерную сеть.
  • Внедрить систему строгого контроля доступа.
  • Следить за безопасностью компьютерной сети.
  • Разработать и внедрить политику информационной безопасности.

ВОЗНИКЛИ ВОПРОСЫ?

получите консультацию у наших экспертов абсолютно бесплатно

Связаться

Самое время перейти к мифам.

Миф №1: Купив продукт у одного производителя, наша компания выполнит все требования стандарта PCI DSS.

Это очень распространённый миф, сейчас мы предоставим вам правдивую информацию.

Это неверно потому, что один продукт не может удовлетворить все требования стандарта PCI DSS.  Для того, чтобы не потратить деньги впустую на ненужные продукты и услуги, лучше проконсультируйтесь у аудитора, который будет проводить сертификацию для вашей компании. Очень часто выполнение требований стандарта PCI DSS может быть достигнуто без дополнительных финансовых затрат и покупок ненужных продуктов или услуг.

Миф №2: Если мы передадим сторонней компании функции процессинга платёжных карт, мы автоматически выполним все требования стандарта PCI DSS.

Развенчаем и этот миф! Передача бизнес-процессов в стороннюю компанию может существенно упростить процедуру прохождения сертификации по стандарту PCI DSS. Это правда. Но это абсолютно не означает, что все требования стандарта будут автоматически выполнены.

Важно помнить, что необходимо разработать политику процедур, которые регламентируют порядок обработки и передачи данных. Также вы должны быть уверены в том, что ваш поставщик услуг соблюдает все требования стандарта PCI DSS. Если вы пользуетесь услугами сторонних компаний, не поленитесь ежегодно запрашивать у них сертификат соответствия стандарту PCI DSS.

Миф №3: Сертификация – это ответственность IT-отдела компании.

ІT-персонал и IT-отдел могут отвечать за внедрение технических и операционных средств и механизмов. Но для соответствия требованиям стандарта PCI DSS необходимо корректировать бизнес-процессы, связанные с управлением и обучением персонала, внутренним контролем, взаимодействием с поставщиками и т.д. Поэтому очень важно, чтобы в проект PCI DSS были вовлечены топ-менеджеры компании и руководители ключевых бизнес-подразделений.

Миф №4: Сертификат PCI DSS защитит наш бизнес от всех атак хакеров.

Это очередной ложный миф, и чтобы избежать серьёзных ошибок в будущем, нужно как можно быстрее избавиться от этого мифа.

Специалисты, проводящие сертификацию, проверяют выполнение всех требований, компьютерную сеть, защищённость и дают своё заключение. Это похоже на моментальный снимок состояния безопасности. И это совсем не значит, что высокий уровень безопасности будет долгое время.  Хакеры и вирусы развиваются непрерывно.

Поэтому, для того, чтобы обезопасить свой бизнес от хакерских атак, нужно постоянно выполнять анализ технических систем и своевременно устранять малейшие отклонения от требований PCI DSS.

Для того, чтобы обезопасить себя от хакерских атак, недостаточно просто получить сертификат PCI DSS. Нужно постоянно соответствовать требованиям и выполнять все рекомендуемые процедуры. Это минимизирует риски, но не даёт гарантии на все 100%.

Сертификация происходит один раз в год, а хакеры трудятся круглосуточно на протяжении всего года. Об этом нужно всегда помнить.

Вас не защитит сертификат PCI DSS, вас защитит строгое выполнение всех требований стандарта PCI DSS.

Миф №5: Требования PCI DSS чрезмерно завышены.

На самом деле большинство требований стандарта PCI DSS являются общепринятыми и лучшими подходами для обеспечения безопасности. К тому же допускается использование альтернатив в виде компенсационных контрольных процедур, но только в том случае, если ваша компания не может выполнить какое-нибудь требование стандарта PCI DSS по объективным причинам.

То, что кажется чрезмерной детализацией и завышенными требованиями, на самом деле является подробной инструкцией, отвечающей не только на вопрос, что нужно делать для безопасности, а и как этого достичь наилучшим образом. Именно это делает PCI DSS самым эффективным стандартом для защиты важных данных.

Требования стандарта PCI DSS для маленького интернет- магазина и для международного банка существенно различаются между собой. Поэтому не верьте разным мифам, а лучше проконсультируйтесь у нашего специалиста (перелинковка).

Миф №6: Для прохождения сертификации PCI DSS нам нужно взять в штат компании аккредитованного аудитора.

Этот миф возник из-за того, что   многие крупные компании с очень сложной IT-инфраструктурой часто нанимают в свой штат аудитора для того, чтобы провести квалифицированное исследование и сделать профессиональное заключение.

Небольшие компании могут провести оценку и подготовить все материалы для сертификации самостоятельно, пригласив внешнего аудитора только для окончательной проверки и оформления сертификата PCI DSS.

Большие компании могут нанимать в штат, но могут также и приглашать внешнего аккредитованного аудитора.

Миф №7: Сертификация PCI DSS нас не касается, мы обрабатываем очень мало карточных данных.

Любая компания, которая принимает к оплате платёжные карты, обязана соответствовать стандарту PCI DSS. Даже если компания проводит всего одну транзакцию в год, она обязана пройти сертификацию.

Миф №8: Мы будем соответствовать стандарту PCI DSS, если просто заполним анкету.

Это не совсем так. Для получения сертификата кроме анкеты нужен аттестат соответствия, который подписывается со стороны директора компании и внешнего аудитора. Для сертификации требуется выполнение регулярных процедур по анализу уязвимости, управлению рисками, проведению теста на проникновение, мониторингу состояния информационных систем.

Таким образом, соответствие стандарту PCI DSS – это никогда не останавливающийся процесс, а не разовая процедура.

Миф №9: PCI DSS требует хранить данные держателя платёжных карт.

Это очередной миф, который путает людей, предоставляя ложную информацию.  PCI DSS и платёжные системы Visa и MasterCard не приветствуют любое хранение данных платёжных карт. Потребность хранения данных карт должна быть обоснована требованиями бизнеса, а хранимые данные должны надёжно защищаться с помощью шифрования.

Миф №10: Сертификация PCI DSS – это слишком сложно.

PCI DSS – это всего лишь 12 требований, которые уже давно известны всем специалистам в области информационной безопасности.

Выполнение требований – это базовая гигиена бизнеса. Если ваша компания не может позволить себе нанять в штат собственного специалиста по IT-безопасности, который бы разбирался во всех требованиях стандарта, вы можете обратиться в нашу компанию, и мы поможем вам внедрить лучшие мировые практики в сфере безопасности. С нашей помощью вы быстро и очень просто пройдёте сертификацию на соответствие стандарту PCI DSS.

Многие люди вместо слова «дорого» используют слово «сложно». Тем самым они всё больше и больше распространяют этот ложный миф. Рассчитайте возможные риски и возможные потери и убедитесь, что они очень велики, а для небольшого бизнеса просто фатальны. Лучше пройти сертификацию на соответствие стандарту PCI DSS, ведь это, на самом деле, очень просто.

В этой статье мы разобрали 10 самых распространённых мифов. Конечно, их намного больше. Не тратьте время на эти мифы. Обратитесь к нашим специалистам, и они обязательно предоставят вам реальную информацию, а также помогут вам найти правильное решение.


Также читатйе статью “Сертификация PCI DSS в Украине”


Авторы статьи:
Александр Куберский, Игорь Демчук.

Компания “ИТ-Специалист” – G+

ВОЗНИКЛИ ВОПРОСЫ?

Получите консультацию у наших экспертов абсолютно бесплатно