De Novo подтвердила соответствие требованиям PCI DSS v4.0.1

Платёжные данные — одна из самых желанных целей для хакеров, а любая «серая зона» в инфраструктуре быстро становится риском для бизнеса, репутации и отношений с банком-эквайером и платёжными системами. Именно поэтому соответствие международно признанным стандартам безопасности данных — ключевой фактор для ответственного оператора. De Novo регулярно и успешно проходит различные независимые аудиты собственной инфраструктуры. Недавно мы завершили прохождение очередного ресертификационного аудита ЦОД на соответствие требованиям стандарта PCI DSS v4.0.1 и получили сертификат (Аттестат соответствия, Attestation of Compliance AoC).

Почему PCI DSS — это важно

PCI DSS (Payment Card Industry Data Security Standard) — это отраслевой стандарт, который задаёт базовый набор технических и организационных требований для защиты данных платёжных карт в средах, где эти данные хранятся, обрабатываются или передаются. На практике сертификат необходим тем, кто напрямую работает с карточными платежами или предоставляет инфраструктуру либо сервисы для таких процессов, то есть банкам, процессинговым компаниям, платёжным сервис-провайдерам, SaaS-платформам с биллингом, контакт-центрам с приёмом оплат, а также любым компаниям, размещающим платёжные компоненты в дата-центре или облаке.

Сертификат PCI DSS — это доказательство того, что среда дата-центра, процессы эксплуатации и процессы контроля безопасности соответствуют стандартам, признаваемым в глобальной платёжной индустрии. Для многих организаций он становится аргументом в диалоге с аудиторами, партнёрами и службами рисков, когда необходимо подтвердить, что критическая часть инфраструктуры построена и управляется по правилам, принятым в платёжной экосистеме развитых стран.

Новая версия PCI DSS 4.0.1 устраняет неоднозначности, уточняет понятия, исправляет предыдущие неточности и проясняет намерения отдельных требований и рекомендаций, не добавляя новых требований и не исключая действующие. Для клиентов это полезно тем, что стандарт становится более определённым и проще интегрируется в конкретные процедуры контроля.

Как выглядит сертификация в реальной жизни?

Она начинается со скоупа: определяется перечень систем и процессов, а также зависимости, которые могут влиять на безопасность. Далее следует сбор доказательств и проверка контролей: политики и процедуры, управление доступом, сегментация сети, журналирование событий, управление уязвимостями и обновлениями, реагирование на инциденты, а также физическая безопасность дата-центра. Ресертификация означает, что эти контролы не «установили один раз», а поддерживаются как операционная норма, и независимая оценка раз за разом это подтверждает.

Что из этого получают клиенты De Novo?

Прежде всего — снижение рисков в наиболее чувствительной зоне, где даже одно слабое звено может стоить очень дорого. Сертифицированная инфраструктура даёт прочную базу для построения или размещения платёжных компонентов. Также это упрощение комплаенса, поскольку когда часть требований уже обеспечена на уровне ЦОД и облачной инфраструктуры провайдера, клиентской команде проще поддерживать требования на своей стороне (в соответствии с «матрицей ответственности» — Matrix of Responsibility) и проходить проверки. Соответствие провайдера актуальным требованиям PCI DSS снимает с клиента 50–70% технической нагрузки.

Наконец, это вопрос доверия и предсказуемости. Сертификация — это язык, который понимают банки, платёжные партнёры и аудиторы, а значит быстрее согласовываются требования, продвигаются проекты и спокойнее проходят регулярные аудиты.

Кстати, если вы хотите детально узнать, как проходят международные аудиты по безопасности — читайте отдельную статью, где мы раскрываем внутреннюю «кухню» процесса.