Как нко пройти сертификацию pci dss

- kbrbank

Как нко пройти сертификацию pci dss

«ВсеПлатежи», федеральный платежный сервис со статусом НКО, делится опытом сертификации собственного платежного шлюза по стандарту PCI DSS.

PCI DSS — это стандарт интернациональных платежных совокупностей, созданный Visa и Mastercard. Любой сервис, обрабатывающий эти банковских карт онлайн через собственный сайт, обязан отвечать требованиям данного стандарта и не имеет права трудиться без сертификата соответствия.

Наличие сертификата запрашивают эквайеры. Информацию о сертификатах вносятся в реестр платежных совокупностей, а также Visa и Mastercard

PCI DSS подтверждает тот факт, что эти держателей карт (ДДК) в совокупности сохраняются безопасно и не передаются третьим сторонам, не учтенным в правилах интернациональных платежных совокупностей. Надёжное хранение ДДК подразумевает, что онлайн-инфраструктура сервиса не хранит критические эти карт, такие как код CVC2.

Наличие сертификата часто запрашивают эквайеры. Информацию о сертификатах вносятся в реестр платежных совокупностей, а также Visa и Mastercard, по окончании чего сервису нужно каждый год проходить процедуру верификации. Исходя из этого нужно за три месяца до истечения срока сертификата начать процесс его подтверждения заново, дабы в какой-то момент не появляться без сертификата, что практически будет означать прекращение платежей.

Реестры выданных сертификатов PCI DSS дешёвы онлайн. Сертификат компании «ВсеПлатежи» дешёв по ссылке.

В рамках процедуры подтверждения соответствия cтандарту PCI DSS платежный сервис проходит через один из двух уровней верификации. В рамках проверки первого уровня QSA-аудитор приезжает в организацию и контролирует все процессы лично.

Диагностику второго уровня проходит большая часть сервисов, относящихся к фирмам микро-, среднего и малого бизнеса.

Этапы аудиторской проверки на уровне 2

Этот тип верификации проводится дистанционно и включает один подготовительный этап и две стадии аудита.

1. Подготовительный этап

На подготовительном этапе полный пакет документов пересылается аудитору. Аудитором выступает эксперт, сертифицированный платежной совокупностью, но не являющийся ее сотрудником. Аудитор обязан владеть статусом QSA, дающим ему право создавать диагностику.

Список документов в рамках подготовительного этапа в других организациях может различаться. Аудитор кроме этого запрашивает пакет правил и регламентов по обеспечению информационной безопасности в среде сертификации. Но это только одна часть пакета документов. Кроме предоставления пакета регламентов по обеспечению ИБ нужно дать еще последовательность документов, что окажет помощь аудитору оценить сертифицируемую область и совершить аудит.

К примеру, среди документов сервиса «ВсеПлатежи» были кроме этого: – неспециализированное описание сертифицируемого бизнес-информационной инфраструктуры и процесса, снабжающей его работу; – схема сети; – список компонентов информационной инфраструктуры со всеми белыми IP, правилами межсетевых экранов и другими настройками в сертифицируемой области; — список всех URL в среде сертифицирования и веб-форм, предназначенных для ввода ДДК, включая, а также, формы с клиентским дизайном; – имеющиеся руководства ко всем приложениям и API; – описание и перечень ролей пользователей, существующих в каждом приложении.

Необходимо учитывать, что стандарт PCI DSS изменяется и совершенствуется из года в год

Кроме этого нужно дать аудитору тестовый доступ во все обрисованные организацией приложения, формы и на границу сертифицированной области.

Сертификации подлежит та область, в рамках которой происходит обработка ДДК, в зависимости от специфики того либо иного сервиса. В соответствии со стандартом PCI DSS, требуется максимально ограничивать область ДДК и отделять ее от всей технологической инфраструктуры.

Кроме этого необходимо учитывать, что стандарт PCI DSS изменяется и совершенствуется из года в год. На данный момент действует версия стандарта PCI DSS 3.2.

2. Пен-тест

На данном этапе аудитору предоставляется доступ на границу платежного шлюза, где он начинает пен-тест (сокращение от слов penetration test, тест проникновения). Всецело процедура именуется «Тестирование на наличие уязвимостей в сертифицируемой области». Тест производится как роботом в автоматическом режиме, так и аудитором вручную.

Процедура занимает три-четыре семь дней, и по ее итогам онлайн-сервис приобретает отчет о отысканных уязвимостях в сертифицируемой области. Отысканные в совокупности недостатки нужно устранить.

Пара примеров уязвимостей:

  1. В совокупности никогда не должен храниться CVC2-код карты.
  2. Полный номер карты не должен храниться в кэше либо отображаться в немаскированном виде. Маскированный вид — это вид карты 6 х 4, допускающий отображение лишь первых шести цифр БИН-номера карты, и последних четырех цифр — проверочного кода карты.
  3. Недопустима возможность подмены ссылок, и нужно отсутствие прямых ссылок на платежный шлюз извне. В рамках пен-теста аудитор различными методами контролирует, не сохраняются ли в совокупности CVC2-номера карт, а следовательно, защищены ли они от преступников.

В соответствии с регламентами МПС раз в квартал сервис обязан проводить ASV-сканирование. ASV, Approved Scanning Vendor — утвержденный поставщик сканирования. Это автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет на наличие уязвимостей.

Услугу ASV-сканирования предоставляют компании, владеющие статусом PCI ASV.

Сервис «ВсеПлатежи» проводит ASV-сканирование каждый день. Эту процедуру делает робот, помогающий найти в автоматическом режиме разные уязвимости ПО, каковые потом устраняются техническими экспертами вручную. К примеру, версия протокола TLS 1.0 до 2011 года считалась надёжной.

Но в сентябре 2011-го уязвимость TLS 1.0 была показана публично, по окончании чего эта версия протокола стала запрещена. В случае если онлайн-сервис применяет устаревшую версию протокола TLS 1.0, ASV-сканер распознает уязвимость в данной области. 

Наряду с этим техническим экспертам онлайн-сервиса нужно следить, дабы при устранении одних уязвимостей не появились новые.

3. Тестирование в реальном времени

В случае если пен-тест пройден удачно, сервис переходит к третьему этапу аудита, что проводится дистанционно в формате тестирования в реальном времени. Наряду с этим в обязательном порядке наличие видеотрансляции и возможности просмотра аудитором экрана рабочего стола.

В данном этапе тестирования со стороны онлайн-сервиса принимают участие сотрудник, важный за внедрение правил безопасности PCI DSS, администратор баз данных, эксперт по информационной безопасности и разработчики приложений. В рамках тестирования аудитор задает всем участникам последовательность вопросов. Процедура занимает пара часов.

Результатом этого этапа делается обнаружение аудитором дополнительных данных, говорящих об уровне безопасности.

Данный этап — самый сложный, потому, что ни при каких обстоятельствах неизвестно заблаговременно, какие конкретно как раз вопросы будут заданы. Вот лишь часть из вероятных тем:

  • процессы эквайринга и эмиссии в области аудита PCI DSS;
  • вопросы управления информационной безопасностью;
  • процесс обязанностей и распределения ролей;
  • процессы обработки рисков информационной безопасности;
  • сетевая инфраструктура эквайринга и эмиссии;
  • сетевое оборудование;
  • операционные совокупности, примененные в процессах эквайринга и эмиссии;
  • приложения, обрабатывающие эти платежных карт;
  • базы данных, которые содержат эти платежных карт.

И другое из того, что касается работы платежного сервиса в рамках соответствия стандарту и обработки ДДК.

Процедура тестирования в реальном времени включает демонстрацию документов, регламентирующих права доступа в совокупность, на протяжении видеотрансляции. Аудитор может попросить сделать фото либо видео помещения, в котором находятся серверы, дабы проверить, отвечает ли оно всем требованиям безопасности. В случае если тестирование в реальном времени не пройдено сходу, для него назначается новая дата, которая зависит от количества правок и времени на их исправление.

Каждое повторное собеседование оплачивается дополнительно.

В случае если онлайн-сервис связан с приемом карточных платежей, сертификация PCI DSS для него не всегда необходима

Совокупный размер затрат на прохождение онлайн-сервисом всех этапов сертификации PCI DSS образовывает от 200 тысяч рублей. Для каждой сертифицируемой области требуется отдельное железо: сервера, хранилища, стойки. Среди сотрудников, в обязательном порядке участвующих в ходе прохождения сертификации,— администратор шлюза, специалист и разработчик шлюза по информационной безопасности.

Каждому сотруднику, важному на своем участке за сертификацию PCI DSS, направляться раз в год проходить обучение в соответствии с систематично обновляемым стандартом, дабы оставаться в курсе всех новшеств.

Документация, которая детально обрисовывает все нюансы сертификации PCI DSS сервисом «ВсеПлатежи», занимает 97 страниц. Документ именуется «подтверждение соответствия и Анкета самооценки для поставщиков одолжений». В том месте указаны нужные настройки файрволла, технологии защиты пользовательских данных и передачи информации через интернет, порядок обновления противовирусных программ, отслеживания сетевого состояния и другое.

Но в случае если онлайн-сервис связан с приемом карточных платежей, сертификация PCI DSS для него не всегда необходима. При таком подходе проект может воспользоваться сторонним платежным шлюзом, но для этого нужно убедиться, что на вашей стороне нет обработки и приёма ДДК.

Разглядим минусы и плюсы организации работы как через личный, так и через сторонний платежный шлюз.

Плюсы при применении собственного платежного шлюза:

  • Возможность любой персонализации шлюза (внешний вид, юзабилити).
  • развития функционала и Возможность доработки (рекуррентные платежи, привязка карт, различные методы оплаты, уведомления и т. д.).
  • Применяя собственную разработку, сервис может подключить неограниченное количество банков-эквайеров. Это обеспечит и более удачную ставку, и 100-процентную доступность.
  • Если вы предоставляете собственный шлюз, соответствующий стандарту PCI DSS, сторонним мерчантам, вы осуществляете контроль все бизнес-процессы.

Минусы при применении собственного платежного шлюза:

  • Сложная сертификация PCI DSS, требующая как опытных сотрудников и времени, так и денежных вложений.
  • Громадные затраты на поддержание и разработку продукта.
  • Полная ответственность за все происходящее, включая номера карт и финансы клиентов.

Плюсы при применении чужого платежного шлюза:

  • Понижение рисков.
  • Понижение трудозатрат.
  • Возможно фактически сходу начать прием платежей и не ожидать прохождения процедуры и долгих согласований соответствия PCI DSS.

Минусы при применении чужого платежного шлюза:

  • Доступность, узкие настройки, прочие параметры и дизайн интерфейса от сервиса не зависят.
  • Из-за наличия дополнительных звеньев в цепочке ставка для конечного клиента делается больше.

Для многих работа с НКО либо банком-партнером — оптимальное ответ

Все перечисленные выше тезисы говорят о том, как непростой есть процедура проверки соответствия стандарту PCI DSS 3.2. А также в случае если платежный сервис пользуется своим шлюзом, а не чужим технологическим ответом, у него смогут появиться сложности, которые связаны с эквайрингом. В соответствии с законом «О национальной платежной совокупности» №161-ФЗ, принимать платежи в адрес собственного юрлица организация может лишь через банк либо НКО.

Но сопровождение и получение собственной лицензии — процесс еще более сложный, дорогой и трудозатратный, чем сертификация PCI DSS. Лицензию НКО, а тем более банка, смогут позволить себе не все игроки рынка. Исходя из этого для многих работа с НКО либо банком-партнером — оптимальное ответ.

Исходя из этого, чтобы проекту, принимающему платежи онлайн, выбрать самая оптимальную бизнес-модель, стоит учесть все нюансы обеспечения соответствия его технологической платежной инфраструктуры PCI DSS либо же поставить работу со сторонним партнерским ответом. Cертификат компании «ВсеПлатежи» возможно взглянуть  по ссылке.

Сертификация в Яндекс.Директе — рассказываю как получить сертификат

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: