Десять міфів про стандарт PCI DSS

Десять міфів про стандарт PCI DSS

Також читайте статтю “Сертифікат PCI DSS”


Навколо сертифікації на відповідність стандарту PCI DSS виникло безліч міфів. Якщо розглядати сертифікацію крізь цю помилкову призму, можна заплутатися в діях, злякатися труднощів або даремно витратити гроші компанії. У цій статті ми розглянемо 10 хибних міфів щодо сертифікації відповідно стандарту PCI DSS  .

Перед тим, як ми почнемо розглядати міфи, давайте згадаємо, що таке стандарт PCI DSS   та які його основні завдання.

Стандарт безпеки даних PCI DSS   спрямований на захист даних власників платіжних карток, які обробляються, передаються та/або зберігаються торговими чи процесинговими компаніями. Про це ми наголошуємо в кожній статті, так як ця інформація є найважливішою.

Стандарт містить в собі всього 12 вимог. Вони охоплюють різноманітні бізнес-процеси та технології забезпечення безпеки. Вимоги стандарту PCI DSS   базуються на кращих загальноприйнятих підходах до захисту інформації карткових даних.

Область дії стандарту PCI DSS   дуже різноманітна і виконання всіх вимог може здаватися складним і незрозумілим, особливо для невеликих магазинів або ресторанів, які не мають ніяких систем захисту або IT-фахівця, який працює в штаті. Такий фахівець міг би надати повну інформацію про те, що необхідно зробити для отримання сертифікату відповідності стандарту PCI DSS  . Зрозуміло, що бюджет невеликих компаній не розрахований на додаткових людей в штаті. На наш погляд, не потрібно наймати такого фахівця до себе в штат – ви можете звернутися в нашу компанію, і ми надамо вам кваліфіковану допомогу.

Додаткова складність також полягає в тому, що деякі виробники систем захисту інформації або постачальники послуг використовують інформацію про PCI DSS   для маркетингу та продажу своїх продуктів. Тобто, мається на увазі, що їхні продукти або послуги «необхідні» для проходження сертифікації на відповідність стандарту PCI DSS .

В результаті цього, представники бізнесу стикаються з помилковими уявленнями про те, як виконати всі вимоги для того, щоб відповідати стандарту PCI DSS .

Ця стаття розповідає про 10-ть найбільш розповсюджених міфів. Мета статті – допомогти представникам як малого, так і великого бізнесу глибше зрозуміти, що таке стандарт PCI DSS .

Ми дуже сподіваємося, що після прочитання цієї статті ви переконаєтеся в тому, що вимоги стандарту PCI DSS  і проходження сертифікації насправді простіше, ніж здається. Головне – не дивитися на цю відповідальну справу крізь помилкові міфи!

Перед тим, як ми перейдемо до міфів, давайте ще раз згадаємо, навіщо потрібен PCI DSS  та яка ціль стандарту.

Стандарт PCI DSS  потрібен для того, щоб:

  • Захистити комп’ютерну мережу.
  • Забезпечити захист даних платіжних карток.
  • Реалізувати програму управління вразливостями.
  • Постійно тестувати комп’ютерну мережу.
  • Впровадити систему суворого контролю доступу.
  • Стежити за безпекою комп’ютерної мережі.
  • Розробити і впровадити політику інформаційної безпеки.
ВИНИКЛИ ЗАПИТАННЯ? отримайте консультацію у наших експертів абсолютно безкоштовно
ЗВ’ЯЗАТИСЯ

Саме час перейти до міфів.

Міф №1: Купивши продукт в одного виробника, наша компанія виконає всі вимоги стандарту PCI DSS .

Це дуже поширений міф, зараз ми розповімо вам правдиву інформацію.

Це – невірно тому, що один продукт не може задовольнити всі вимоги стандарту PCI DSS . Для того, щоб не витрачати гроші даремно, на непотрібні продукти і послуги, краще проконсультуйтеся у аудитора, який буде проводити сертифікацію для вашої компанії. Дуже часто виконання вимог стандарту PCI DSS  може бути досягнуто без додаткових фінансових витрат і покупок непотрібних продуктів або послуг.

Міф №2: Якщо ми передамо сторонній компанії функції процесингу платіжних карт, ми автоматично виконаємо всі вимоги стандарту PCI DSS .

Розвінчаємо і цей міф! Передача бізнес-процесів сторонній компанії може істотно спростити процедуру проходження сертифікації за стандартом PCI DSS . Це правда. Але це абсолютно не означає, що всі вимоги стандарту будуть автоматично виконані.

Важливо пам’ятати, що необхідно розробити політику процедур, які регламентують порядок обробки та передачі даних. Також ви повинні бути впевнені в тому, що ваш постачальник послуг дотримується всіх вимог стандарту PCI DSS . Якщо ви користуєтеся послугами сторонніх компаній, не бійтеся щорічно запитувати у них сертифікат відповідності стандарту PCI DSS .

Міф №3: Сертифікація – це: відповідальність ІТ відділу компанії.

ІT-персонал та ІТ-відділ може відповідати за впровадження технічних та операційних засобів та контролів. Але, для відповідності вимог стандарту PCI DSS  необхідно коригувати бізнес-процеси, пов’язані з управлінням і навчанням персоналу, внутрішнім контролем, взаємодією з постачальниками і т.д. Тому дуже важливо, щоб в проект PCI DSS  були залучені топ-менеджери компанії і керівники ключових бізнес-підрозділів.

Міф №4: Сертифікат PCI DSS  захистить наш бізнес від всіх атак хакерів.

Це черговий помилковий міф, і щоб уникнути серйозних помилок в майбутньому, потрібно якомога швидше позбутися від цього міфу.

Фахівці, які проводять сертифікацію, перевіряють виконання всіх вимог, пов’язаних із захистом комп’ютерної мережі, і дають свій висновок. Це схоже на моментальний знімок стану безпеки. І це зовсім не означає, що високий рівень безпеки буде довгий час. Хакери і віруси розвиваються безперервно.

Тому, для того, щоб убезпечити свій бізнес від хакерських атак, потрібно постійно виконувати аналіз технічних систем і своєчасно усувати щонайменші відхилення від вимог стандарту PCI DSS .

Для того, щоб убезпечити себе від хакерських атак, недостатньо просто отримати сертифікат PCI DSS . Потрібно постійно відповідати вимогам і виконувати всі рекомендовані процедури. Це мінімізує ризики, але не дає гарантії на всі 100%.

Сертифікація відбувається один раз на рік, а хакери працюють цілодобово протягом усього року. Про це потрібно завжди пам’ятати.

Вас не захистить сертифікат PCI DSS , вас захистить суворе виконання всіх вимог стандарту PCI DSS .

Міф №5: Вимоги PCI DSS  завищені надмірно.

Насправді, більшість вимог стандарту PCI DSS  є загальноприйнятими підходами для забезпечення безпеки. До того ж допускається використання альтернатив у вигляді компенсаційних контрольних процедур, але тільки в тому випадку, якщо ваша компанія не може виконати будь-яку вимога стандарту PCI DSS  з об’єктивних причин.

Те, що здається надмірною деталізацією і завищеними вимогами, насправді є докладною інструкцією, що відповідає не тільки на питання, що потрібно робити для безпеки, а й як цього досягти найкращим чином. Саме це робить PCI DSS найефективнішим стандартом для захисту важливих даних.

Вимоги стандарту PCI DSS  для маленького інтернет-магазину і для міжнародного банку істотно розрізняються між собою. Тому не вірте різним міфам, а краще проконсультуйтеся у нашого фахівця.

Міф №6: Для проходження сертифікації PCI DSS  нам потрібно взяти в штат компанії акредитованого аудитора.

Цей міф виник через те, що багато великих компаній з дуже складною IT-інфраструктурою часто наймають в свій штат аудитора для того, щоб провести кваліфіковане дослідження і зробити професійний висновок.

Невеликі компанії можуть провести оцінку та підготувати всі матеріали для сертифікації самостійно, запросивши зовнішнього аудитора тільки для остаточної перевірки та оформлення сертифіката PCI DSS .

Великі компанії можуть наймати в штат аудитора, але можуть також і запрошувати зовнішнього акредитованого аудитора.

Міф №7: Сертифікація PCI DSS  нас не стосується, ми обробляємо дуже мало карткових даних.

Будь-яка компанія, яка приймає до оплати платіжних карт, має відповідати стандарту PCI DSS . Навіть якщо компанія проводить всього одну транзакцію в рік, вона зобов’язана пройти сертифікацію.

Міф №8: Ми будемо відповідати стандарту PCI DSS , якщо просто заповнимо анкету.

Це не зовсім так. Для отримання сертифіката, крім анкети, потрібен атестат відповідності, який підписується з боку директора компанії і зовнішнього акредитованого аудитора. Для сертифікації вимагається виконання регулярних процедур з аналізу уразливості, управління ризиками, проведення тесту на проникнення та моніторингу стану інформаційних систем.

Таким чином, відповідність стандарту PCI DSS  – це процес, який ніколи не зупиняється, а не одноразова процедура.

Міф №9: PCI DSS  вимагає зберігати дані власників платіжних карток.

Це черговий міф, який заплутує людей, надаючи неправдиву інформацію. PCI DSS  і платіжні системи Visa і MasterCard не схвалюють будь-яке зберігання даних платіжних карт. Потреба зберігання даних платіжних карток повинні бути обґрунтовані бізнес-необхідністю, а збережені дані повинні надійно захищатися за допомогою шифрування.

Міф №10: Сертифікація PCI DSS  – це занадто складно.

PCI DSS  – це всього лише 12 вимог, які вже давно відомі всім фахівцям в області інформаційної безпеки.

Виконання вимог – це базова гігієна бізнесу. Якщо ваша компанія не може дозволити собі найняти в штат власного фахівця з інформаційної безпеки, який би розбирався в усіх вимогах стандарту, ви можете звернутися в нашу компанію, і ми допоможемо вам впровадити кращі світові практики в сфері безпеки ІТ. З нашою допомогою ви швидко і дуже просто пройдете сертифікацію на відповідність стандарту PCI DSS .

Багато людей замість слова “дорого” використовують слово “складно”. Тим самим вони все більше і більше поширюють цей помилковий міф. Розрахуйте можливі ризики і можливі втрати і переконайтеся, що вони дуже великі, а для невеликого бізнесу просто фатальні. Краще пройти сертифікацію на відповідність стандарту PCI DSS , адже це, насправді, дуже просто.

В цій статті ми розібрали 10 найпоширеніших міфів. Звичайно, їх набагато більше. Не витрачайте свій час на ці міфи. Зверніться до наших спеціалістів, і вони обов’язково нададуть вам реальну інформацію, а також допоможуть вам знайти правильне рішення.


Також читайте статтю “Сертифікат PCI DSS для турфірм”


Автори статті:
Олександр Куберський, Ігор Демчук

Компанія “ІТ-Спеціаліст” – G+

ВИНИКЛИ ЗАПИТАННЯ?

отримаєте консультацію у наших експертів абсолютно безкоштовно