Как PCI DSS 4.0 усиливает защиту ваших платежных данных
2024-06-05
Одним из подтверждений высокого уровня безопасности облаков и ЦОД компании De Novo является наличие актуального сертификата PCI DSS — признанного стандарта в области защиты платежных данных. Недавно вышла его новая версия, которая теперь является обязательной к использованию. В чем ее особенности и как она отличается от предыдущего варианта?
Данные платежных карт и банковских транзакций являются давней и самой любимой целью для киберпреступников всех мастей. Это привело к необходимости создания надежных стандартов для защиты подобной информации в финансовых организациях. В результате совместной работы пяти крупнейших компаний в сфере платежных карт: Visa, MasterCard, American Express, Discover Financial Services, JCB International и целого ряда других участников, на свет появился стандарт PCI DSS (Payment Card Industry Data Security Standard), первый вариант которого вышел в конце 2004 года. Сегодня, спустя почти 20 лет, наиболее новой и актуальной является версия PCI DSS 4.0 (именно ее использует De Novo для защиты данных клиентов в своих облаках и ЦОД), которая с апреля 2024 года должна полностью заменить предыдущую версию PCI DSS 3.2.1. Необходимость обновления вызвана в том числе новыми киберугрозами, которые невозможно было даже представить еще несколько лет назад.
Из чего состоит PCI DSS
Начнем с того, что PCI DSS — это стандарт безопасности данных, документ, разработкой и утверждением которого занимается международная организация Payment Card Industry Security Standards Council (PCI SSC). У этого стандарта есть два больших преимущества — универсальность и практическая направленность. Он применим для любой организации, которая хранит, обрабатывает или передает данные платежных карт это могут быть банки, процессинговые центры, крупные торговые площадки электронной коммерции, сервисы заказа билетов и бронирования отелей, т.е. все, кто принимает или обрабатывает платежи по кредитным, дебетовым или цифровым картам.
Второе преимущество заключается в том, что все инициативы по улучшению исходят от участников финансовой отрасли и являются отражением реальной ситуации с безопасностью и необходимостью реагирования на новые угрозы. Предыдущая версия PCI DSS 3.0 появилась в 2016 году, а фактически стала широко применяться в 2018-м. С тех пор многое изменилось, что и нашло отражение в новой версии — 4.0, которая теперь стала обязательной для всех, кто использует PCI DSS. Примерно через год, с 31 марта 2025 года, обязательным станет внедрение еще свыше 50 технических требований стандарта, в т.ч. набора «лучших практик» (best practice), которые сейчас носят рекомендательный характер.
Для соответствия стандарту необходимо выполнение 259 требований, которые распределены по двенадцати разделам:
1. Установка и поддержание средств управления сетевой безопасностью
2. Применение безопасных конфигураций ко всем компонентам системы
3. Защита сохраненных данных учетных записей
4. Криптографическая защита данных держателей карт во время их передачи по каналам общего доступа
5. Защитита всех систем и сетей от вредоносного ПО
6. Разработка и поддержка безопасных ИТ-систем
7. Управление доступом к данным о держателях карт
8. Аутентификация пользователей и контроль доступа к компонентам системы.
9. Физическая защита ИТ- инфраструктуры
10. Логирование событий действий
11. Контроль и тестирование состояния безопасность ИТ-систем и сетей
12. Управление кибербезопасностью
Дополнительно предусмотрено свыше четырехсот проверочных процедур, позволяющих оценить степень защищенности данных и процессов.
Что изменилось?
По сравнению с предыдущей версией, в PCI DSS 4.0 внесены десятки существенных изменений и дополнений, которые направлены, в первую очередь, на устранение угроз, которые в изобилии появились за последние несколько лет, а также на то, чтобы противодействовать возможным угрозам нового типа в будущем.
Эксперты PCI SSC сделали акцент на ряде направлений, в числе которых: документирование требований к ответственности, защита межсетевых экранов электронной коммерции, защиту платежных страниц, процесс замены паролей, целевые требования к рискам, сканирование уязвимостей, использование многофакторной аутентификации, управление данными и реагирование на инциденты.
В частности одним из нововведений стало общее требование к описанию и распределению обязанностей в группах безопасности, ответственных за соблюдение требований PCI и устранение инцидентов. Все роли, связанные с этими процессами должны быть тщательно описаны, а действия сотрудников — задокументированы. Это позволяет получить в любой момент исчерпывающую информацию обо всех лицах, ответственных за решение конкретных задач и соответствии их действий требованиям стандарта.
В версии 4.0 впервые реализована опция «индивидуального подхода» (customized approach), благодаря которой, организаци могут использовать альтернативные методы для выполнения требований PCI DSS и достижения желаемых результатов. Это особенно важно в случае компаний, которые обязаны соблюдать другие нормативные акты, такие как GDPR или HIPAA. Каждый случай применения «индивидуального подхода» должен быть проанализирован и детально описан для определения эффективности внедрения конкретных мер.
Введена обязательная многофакторная аутентификация для доступа к данным держателей платежных карт, оптимизированы требования к учетным записям. Добавилось несколько требований по работе с сертификатами безопасности, хранению доверенных ключей и проверки учетных записей внешних пользователей.
Для анализа событий в сфере ИБ необходимо внедрить SIEM, а если используются системы IDS/IPS, то они должны быть в состоянии исключить работу скрытых каналов передачи вредоносного ПО (а при обнаружении таких каналов — сразу же уведомить ответственных сотрудников).
Есть требования и по периодичности проверок. Например, хотя бы раз в год следует проводить инвентаризацию физического оборудования и ПО, которые используются для поддержания требований PCI DSS. Как минимум, раз в полгода необходимо подтверждать и актуализировать соответствующую документацию, отдельные требования определяют периодичность контроля и улучшения осведомленности сотрудников.
В целом же, по сравнению с предыдущей версией, стандарта PCI DSS 4.0 стал более требовательным и детальным в вопросах обеспечения защиты данных, что неудивительно, учитывая важность вопроса, степень рисков и рост количества киберугроз.
Полное описание PCI DSS v4.0 (а также таблица изменений, по сравнению с PCI DSS 3.2.1) доступно на официальном сайте PCI SSC.
Мы же напомним, что компания De Novo предлагает надежное облако и дата-центр, защищенные в полном соответствии с PCI DSS 4.0. Обращайтесь за консультацией!