30.11.2019
Навіщо центру обробки даних необхідно відповідати стандарту безпеки даних платіжних карток PCI DSS? У цій статті на вас чекає докладна відповідь на це питання.
Центр обробки даних або дата-центр — це спеціалізована будівля, в якій розміщено серверне та мережеве обладнання.
Центри обробки даних (дата-центри) призначені для обробки, зберігання та розповсюдження інформації. Дата-центри допомагають великим корпораціям, які є основними клієнтами, вирішувати свої бізнес-завдання шляхом надання інформаційних послуг.
Центри обробки даних (дата-центри) розміщують сервери клієнта на території або надають свої сервери в оренду.
Всесвітньо відомі центри обробки даних, такі як AWS (підрозділ компанії Amazon), Microsoft Azure, DigitalOcean мають сертифікати на відповідність стандарту PCI DSS. До того ж, ці компанії проходять щорічний аудит на відповідність даному стандарту.
Центри обробки даних (дата-центри) - це не банки, вони не приймають платежі, а також не є торговельними мережами, і взагалі не мають відношення до пластикових платіжних карток.
Центр обробки даних розміщує обладнання корпоративних замовників у себе на території або в хмарі.
Перш ніж відповісти на запитання – навіщо цим центрам обробки даних проходити аудит та отримувати сертифікат відповідності стандарту PCI DSS, необхідно згадати, що це за стандарт.
Payment Card Industry Data Security Standard (PCI DSS) – стандарт безпеки даних індустрії платіжних карток. Цей стандарт створений на користь міжнародних платіжних систем, таких як Visa, MasterCard, American Express, JCB та Discover.
Стандарт PCI DSS – це сукупність вимог щодо забезпечення безпеки даних про власників платіжних карток, які зберігаються, передаються та обробляються в інформаційних інфраструктурах організацій.
В даний час великі компанії намагаються оптимізувати свої витрати на підтримку інфраструктури і переносять свої сервери до зовнішніх центрів обробки даних або хмар.
Більшість таких великих компаній за своєю діяльністю повинні відповідати вимогам стандарту PCI DSS. Отже, свої дані вони повинні зберігати в центрі обробки даних, який теж відповідає стандарту PCI DSS.
Іншими словами, можна сказати так: великі компанії скористаються послугами центру обробки даних, який зможе забезпечити захист серверного обладнання та приміщень відповідно до суворих вимог стандарту PCI DSS.
У наш час необхідний дуже надійний захист інформації. Якщо центр обробки даних відповідає стандарту PCI DSS, це свідчить про те, що інформація надійно захищена.
Де звичайна людина намагається зберігати свої гроші? Там, де цим грошам ніщо не загрожує!
Сейф - чудове місце для зберігання готівки. Але сейфи бувають як із хорошими замками, так і з поганими. Звичайно, людина вибере сейф із гарним замком, та ще бажано з відеоспостереженням.
Так само роблять і великі компанії. Вони зберігають свою інформацію у надійному сейфі. У нашому випадку це центр обробки даних (дата-центр). А роль хорошого замка виконує дотримання всіх суворих вимог та відповідність стандарту PCI DSS.
Тому всесвітньо відомі центри обробки даних (дата-центри), про які ми говорили вище, щороку проходять аудит на відповідність PCI DSS.
Давайте розглянемо приклад, який часто зустрічається в нашій практиці.
Великій торговій мережі необхідно отримати сертифікат відповідності PCI DSS.
Варто звернути увагу на те, що більшість торгових мереж зобов'язані відповідати стандарту PCI DSS.
Детальніше про це ви можете прочитати в нашій іншій статті. Представники цієї торгової мережі звертаються до нашої компанії. У процесі сертифікації наші аудитори перевірятимуть сервери цієї торгової мережі. Це перевірка як серверів, так і пристроїв. Обов'язково перевіряються умови, де сервери працюють.
Припустимо, що ця торгова мережа користується зовнішніми серверами, які орендує у центрі обробки даних. Добре, якщо цей центр обробки даних (дата-центр) має сертифікат на відповідність стандарту PCI DSS. У такому разі, у наших аудиторів до даного центру питань немає.
Але, якщо цей центр обробки даних (дата-центр) не має сертифіката відповідності стандарту PCI DSS, що буде відбуватися тоді?
Наші аудитори перевірять, чи відповідають умови роботи серверів у даному центрі вимогам стандарту PCI DSS. А це додатковий час та витрати для клієнта.
Припустимо, що аудитори виявили, що експлуатація серверів не відповідає вимогам стандарту PCI DSS. У такому разі цій торговій мережі буде запропоновано вибрати співпрацю з іншим центром обробки даних (дата-центром), який вже має сертифікат PCI DSS.
Наявність сертифіката відповідності PCI DSS у центру обробки даних (дата-центру) істотно полегшує процедуру сертифікації клієнтів, які користуються послугами цього центру.
Будь-який центр обробки даних зацікавлений у сталому розвитку бізнесу та залученні корпоративних клієнтів із банківської сфери чи торгової галузі. Для залучення таких клієнтів центри обробки даних проходять щорічну сертифікацію за стандартом PCI DSS.
Маючи сертифікат відповідності стандарту PCI DSS, центри обробки даних підвищують свою привабливість та конкурентоспроможність. А найважливіше – це те, що вони демонструють турботу про своїх клієнтів.
Наша компанія запрошує центри обробки даних (дата-центри) пройти сертифікацію на відповідність стандарту PCI DSS.