Як PCI DSS 4.0 посилює захист ваших платіжних даних

Дані платіжних карток та банківських транзакцій є давньою та улюбленою ціллю для кіберзлочинців. Це спричинило необхідність створення надійних стандартів для захисту подібної інформації у фінансових організаціях. В результаті спільної роботи п'яти найбільших компаній у сфері платіжних карток: Visa, MasterCard, American Express, Discover Financial Services, JCB International та низки інших учасників, з'явився стандарт PCI DSS (Payment Card Industry Data Security Standard), перший варіант якого побачив світ наприкінці 2004 року. Сьогодні, майже через 20 років, найновішою та актуальною є версія PCI DSS 4.0 (саме її використовує De Novo для захисту даних клієнтів у своїх хмарах та ЦОД), яка з квітня 2024 року має повністю замінити попередню версію PCI DSS 3.2.1. Необхідність оновлення викликана в тому числі новими кіберзагрозами, які неможливо було навіть уявити ще кілька років тому.

З чого складається PCI DSS

Почнемо з того, що PCI DSS – це стандарт безпеки даних, документ, розробкою та затвердженням якого займається міжнародна організація Payment Card Industry Security Standards Council (PCI SSC). Цей стандарт має дві великі переваги — універсальність і практичну спрямованість. Його можна застосовувати для будь-якої організації, що зберігає, обробляє чи передає дані платіжних карток. Це можуть бути банки, процесингові центри, великі торгові майданчики електронної комерції, сервіси замовлення квитків та бронювання готелів, тощо — всі, хто приймає або обробляє платежі за кредитними, дебетовими або цифровими картками.

Друга перевага полягає в тому, що всі ініціативи щодо покращення надходять від учасників фінансової галузі та є відображенням реальної ситуації з безпекою та необхідністю реагування на нові загрози. Попередня версія PCI DSS 3.0 з'явилась 2016 року, а фактично стала широко застосовуватись у 2018-му. З того часу багато чого змінилося, що й знайшло відображення в новій версії 4.0, яка тепер стала обов'язковою для всіх, хто використовує PCI DSS. Приблизно за рік, з 31 березня 2025 року, обов'язковим стане впровадження ще понад 50 технічних вимог стандарту, зокрема, набору «найкращих практик» (best practice), які зараз мають рекомендаційний характер.

Для відповідності стандарту PCI DSS 4.0 необхідно виконати 259 вимог, які розподілені по дванадцятьох розділах:

1. Встановлення та підтримка засобів управління мережевою безпекою

2. Застосування безпечних конфігурацій до всіх компонентів системи

3. Захист збережених даних облікових записів

4. Криптографічний захист даних власників карток під час їх передачі каналами загального доступу

5. Захист всіх систем та мереж від шкідливого ПЗ

6. Розробка та підтримка безпечних ІТ-систем

7. Управління доступом до даних про власників карток 

8. Аутентифікація користувачів та контроль доступу до компонентів ІТ-системи

9. Фізичний захист ІТ-інфраструктури

10. Логування подій та дій

11. Контроль і тестування стану безпеки ІТ-систем та мереж

12. Управління кібербезпекою

Додатково передбачено понад чотириста процедур перевірки, що дозволяють оцінити ступінь захищеності даних та процесів.

Що змінилося?

Порівняно з попередньою версією, у PCI DSS 4.0 внесено десятки суттєвих змін і доповнень, що спрямовані, в першу чергу, на усунення загроз, які з'явилися в останні кілька років, а також протидію можливим загрозам нового типу в майбутньому.

Експерти PCI SSC зробили акцент на низці напрямків, серед яких: документування вимог до відповідальності, захист міжмережевих екранів електронної комерції, захист платіжних сторінок, процес заміни паролів, цільові вимоги до ризиків, сканування вразливостей, використання багатофакторної аутентифікації, керування даними та реагування на інциденти.

Зокрема одним із нововведень стала загальна вимога до розподілу та опису обов'язків у групах безпеки, відповідальних за дотримання вимог PCI та усунення інцидентів. Усі ролі, пов'язані з цими процесами, мають бути ретельно описані, а дії співробітників — задокументовані. Це дозволяє отримати будь-якої миті вичерпну інформацію про всіх осіб, відповідальних за вирішення конкретних завдань та відповідність їх дій вимогам стандарту.

У версії 4.0 вперше реалізовано опцію «індивідуального підходу» (customized approach), завдяки якій організації можуть використовувати альтернативні методи для виконання вимог PCI DSS та досягнення результатів. Це важливо у випадку компаній, які зобов'язані дотримуватися інших нормативних вимог, наприклад GDPR чи HIPAA. Кожен випадок застосування «індивідуального підходу» має бути проаналізовано та детально описано для визначення ефективності впровадження конкретних заходів.

Введено обов'язкову багатофакторну аутентифікацію для доступу до даних власників платіжних карток, оптимізовані вимоги до облікових записів. Додалося кілька вимог щодо роботи з сертифікатами безпеки, зберігання довірених ключів та перевірки облікових записів зовнішніх користувачів. Для аналізу подій у сфері ІБ необхідно запровадити SIEM, а якщо використовуються системи IDS/IPS, то вони повинні бути в змозі виключити роботу прихованих каналів передачі шкідливого ПЗ (а якщо такі канали виявлено — відразу ж повідомити відповідальних співробітників).

Є вимоги й щодо періодичності перевірок. Наприклад, хоча б раз на рік слід проводити інвентаризацію фізичного обладнання та програмного забезпечення, яке використовується для підтримки вимог PCI DSS. Як мінімум, раз на шість місяців необхідно підтверджувати та актуалізувати документацію, окремі вимоги визначають періодичність контролю та покращення обізнаності співробітників.

Загалом, у порівнянні з попередньою версією, стандарту PCI DSS 4.0 став більш суворим та детальним у питаннях забезпечення захисту даних, що не дивно, враховуючи важливість питання, ступінь ризиків та зростання кількості кіберзагроз.

Повний опис PCI DSS v4.0 (а також таблиця змін, порівняно з PCI DSS 3.2.1) доступний на офіційному сайті PCI SSC.

Ми ж лише нагадаємо, що компанія De Novo пропонує надійну хмару та датацентр, захищені у повній відповідності до PCI DSS 4.0. Звертайтесь по консультацію!