De Novo підтвердила відповідність вимогам PCI DSS v4.0.1

Платіжні дані — одна з найбажаніших цілей для хакерів, а будь-яка «сіра зона» в інфраструктурі швидко стає ризиком для бізнесу, репутації й відносин із банком-еквайром та платіжними системами. Саме тому відповідність міжнародно визнаним стандартам безпеки даних — ключовий фактор для відповідального оператора. De Novo регулярно та успішно проходить різноманітні незалежні аудити власної інфраструктури. Нещодавно, ми завершили проходження чергового ресертифікаційного аудиту ЦОД на відповідність вимогам стандарту PCI DSS v4.0.1 та отримали сертифікат (Атестат відповідності, Attestation of Compliance AoC).

Чому PCI DSS це важливо

PCI DSS (Payment Card Industry Data Security Standard) — це галузевий стандарт, який задає базовий набір технічних та організаційних вимог для захисту даних платіжних карток у середовищах, де ці дані зберігаються, обробляються або передаються. На практиці сертифікат потрібен тим, хто безпосередньо працює з картковими платежами або надає інфраструктуру чи сервіси для таких процесів, тобто банкам, процесинговим компаніям, платіжним сервіс-провайдерам, SaaS-платформам із білінгом, контакт-центрам із прийомом оплат, а також будь-яким компаніям, що розміщують платіжні компоненти в дата-центрі чи хмарі.

Сертифікат PCI DSS це доказ того, що середовище дата-центру, процеси експлуатації та процеси контролю безпеки відповідають стандартам, що визнаються у глобальній платіжній індустрії. Для багатьох організацій він стає аргументом у діалозі з аудиторами, партнерами та службами ризиків, коли потрібно підтвердити, що критична частина інфраструктури побудована та керується за правилами, прийнятими в платіжній екосистемі розвинених країн.

Нова версія PCI DSS 4.0.1., прибирає неоднозначності, уточнює поняття, виправляє попередні неточності й прояснює наміри окремих вимог та рекомендацій, не додаючи нових вимог і не вилучаючи чинних. Для клієнтів це корисно тим, що стандарт стає більш визначеним й простіше інтегрується у конкретні процедури контролю.

Як виглядає сертифікація в реальному житті?

Вона починається зі скоупу: визначається перелік систем та процесів, а також залежності, що можуть впливати на безпеку. Далі йде збір доказів та перевірка контролів: політики та процедури, керування доступом, сегментація мережі, журналювання подій, управління вразливостями й оновленнями, реагування на інциденти, а також фізична безпека дата-центру. Ресертифікація означає, що ці контролі не «встановили один раз», а підтримують як операційну норму, і незалежна оцінка це раз у раз підтверджує.

Що з цього отримують клієнти De Novo?

Насамперед — зниження ризиків у найбільш чутливій зоні, де навіть одна слабка ланка може коштувати дуже дорого. Сертифікована інфраструктура дає сильну базу для побудови або розміщення платіжних компонентів. Також це спрощення комплаєнсу, бо коли частина вимог вже забезпечена на рівні ЦОД та хмарної інфраструктури провайдера, клієнтській команді простіше підтримувати вимоги на своєму боці (відповідно до «матриці відповідальності» — Matrix of Responsibility) та проходити перевірки. Відповідність провайдера актуальним вимогам PCI DSS знімає з клієнта 50-70% технічного навантаження. 

Нарешті, це питання довіри та передбачуваності. Сертифікація — це мова, яку розуміють банки, платіжні партнери та аудитори, а отже швидше узгоджуються вимоги, рухаються проєкти та спокійніше проходять регулярні аудити.

Доречи, якщо бажаєте у деталях дізнатися, як проходять міжнародні аудити з безпеки — читайте окрему статтю, де ми розкриваємо внутрішню «кухню» процесу.