Как облако с PCI DSS-сертификацией обеспечивает безопасность платежей
Беляков
менеджер по информационной безопасности Linxdatacenter
Обеспечение безопасности банковских транзакций в Сети – комплексный процесс. Одна из его главных составляющих заключается в обеспечении соответствия инфраструктуры, ИТ-платформ и бизнес-процессов всех участников, обеспечивающих проведение платежной цепочки, требованиям отраслевого стандарта сертификации PCI DSS. Облачные провайдеры занимают в работе платежной отрасли в Сети значимое место и также должны выполнять комплекс требований стандарта.
Почему облаку важно соответствовать стандартам PCI?
Облачные провайдеры обычно сами по себе не оказывают платежные услуги. Провайдер может лишь предоставить ресурсы в аренду организации, осуществляющей обработку платежных карт. Следовательно, провайдеры самостоятельно не передают, не обрабатывают и не хранят данные о держателях карт (CHD) или конфиденциальные данные аутентификации (SAD) при транзакциях.
Однако многие клиенты крупного облачного провайдера оказывают платежные услуги населению или бизнесу. Например, это могут быть банки, ретейлеры, e-commerce – компании, которые размещают свои системы в инфраструктуре провайдера.
В этом случае обязанности по защите платежных данных разделяются между провайдером и клиентов, но и провайдер, и клиент в этом случае обязаны соответствовать требованиям PCI DSS в том объеме, в котором это определено договором между этими сторонами. Таким образом, совместными усилиями и провайдера, и клиента достигается соответствие всем требованиям PCI DSS, и это бремя не ложится лишь на одного клиента.
Что такое PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) – ключевой стандарт безопасности данных для банковских платёжных карт. Разработан он Советом по стандартам безопасности отрасли (Payment Card Industry Security Standards Council, PCI SSC), а в его создании принимали участие все главные международные платёжные системы - Visa, MasterCard, American Express, JCB и Discover.
На сегодня PCI DSS существует в версии 3.2.1 и представляет собой 12 подробных технических и организационных требований, выполнение которых обеспечивает безопасную обработку данных о держателях платёжных карт, а также их передачу и хранение в ИТ-системах различных организаций в рамках их бизнес-процессов.
Требования стандарта направлены на защиту информации, утечка или несанкционированный доступ к которой может привести к потере конфиденциальности и, как следствие, денежных средств физлиц и/или учреждений.
Получение сертификата подтверждает высокий уровень безопасности и надежности ИТ-сервисов компании и свидетельствует о комплексном подходе к обеспечению информационной безопасности карточных данных.
Тонкости и нюансы
По большому счету, под требования PCI DSS подпадают любые компании и организации, которые обрабатывают, передают или хранят данных карт различных платежных систем.
На практике это означает, что любой платежный оператор и другие юрлица, принимающие платежи от клиентов с платежных карт всех крупнейших систем, должны соблюдать PCI DSS или обеспечить соблюдение требований лицами, участвующими в обработке платежных данных. Например, провайдером ИТ-инфраструктуры, берущим часть обязанностей по соблюдению PCI DSS в свою зону ответственности.
Зона ответственности – это та часть ИТ-инфраструктуры, функционирование которой обеспечивает та или иная сторона. Например, облачный провайдер не имеет доступа к содержимому виртуальных машин клиента. Как правило, клиент самостоятельно работает в своем виртуальном окружении (создает ВМ, устанавливает операционные системы и приложения).
Провайдер предоставляет защищенную платформу до уровня гипервизора. Таким образом, защита данных, начиная с физической безопасности и заканчивая уровнем гипервизора, является зоной ответственности провайдера облачных услуг, а все компоненты выше уровня гипервизора – зона ответственности клиента. Таким образом, часть требований обеспечивается силами провайдера, часть совместно провайдером и клиентом, а часть – только клиентом.
В стандарте прописаны различные требования к безопасности, которые подразумевают различные уровни соответствия, для торгово-сервисных предприятий (ТСП) и поставщиков ИТ-услуг.
Для ТСП уровни зависят от количества обрабатываемых транзакций в год – например Уровень 1 по Visa и по MasterCard – это ТСП с 6 млн и более таких операций.
Поставщиками услуг по PCI DSS являются организации, предоставляющие различные ИТ-сервисы ТСП, банкам-эквайерам и эмитентам, а также международным платежным системам с получением непосредственного доступа к данным о держателях карт.
Под это определение подпадают процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования "точка-точка" (P2PE).
Сертификат и мы
Для соответствия стандарту PCI DSS необходимо либо пройти независимый QSA-аудит, либо заполнить лист самооценки SAQ.
Сертификация по высшим уровням соответствия может проводиться только аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным.
В соответствии с требованиями стандарта и платежных систем оцениваются системы защиты информации ТСП и провайдеров ИТ-услуг на физическом и прикладном уровне, на уровне сетевой инфраструктуры, управления доступом к данным, включая все механизмы аутентификации, протоколирование событий и действий, контроль защищенности информационной инфраструктуры и многое другое.
Ранее инфраструктура ЦОДов Linxdatacenter в Москве и Санкт-Петербурге, включая помещения машинных залов, системы управления доступом и видеонаблюдения, уже прошла QSA на соответствие стандарту PCI DSS.
Это означало, что мы создавали адекватные стандарту условия для размещения клиентского оборудования и его дальнейшей эксплуатации, включая задачи обработки платежей.
В результате последнего QSA в перечень решений компании, полностью отвечающих требованиям стандарта, вошла и наша собственная облачная платформа.
Аудит, проведенный компанией Compliance Control Ltd, носил по-настоящему комплексный характер и позволил получить сквозную оценку физической, виртуальной и сетевой инфраструктуры Linxdatacenter, программного обеспечения и систем безопасности.
Независимые эксперты исследовали организационные и технические меры защиты, реализуемые в рамках облачных сервисов и услуг по размещению оборудования, а также всю сопутствующую документацию.
Процесс сертификации проходил в два этапа. На первом этапе эксперты провели анализ и систематизацию описания систем безопасности ЦОД, анализ нормативно-распорядительной документации, анализ топологии сети и программных и аппаратных средств, а также другие действия в соответствии с методологией. Второй этап включал в себя сертификационный аудит и подготовку отчетной документации.
Итоги PCI DSS-аудита
Аудит подтвердил способность Linxdatacenter обеспечить безопасную поддержку виртуальной инфраструктуры, изоляцию клиентских систем и физическую безопасность облачных сервисов и услуг по размещению оборудования в ЦОДах на площадках в Санкт-Петербурге и Москве.
Аудит также показал, что безопасность в Linxdatacenter обеспечивается по всем необходимым направлениям: физическая безопасность, управление инцидентами, управление информационными системами, обеспечение безопасности при внедрении, администрирование виртуальных инфраструктур, в том числе систем виртуализации VMware, администрирование сетевой инфраструктуры, администрирование и сопровождение средств защиты.
Подтверждение высокой степени защищенности облачных продуктов в области поддержки платежных операций – это непростая и затратная процедура для ИТ-провайдера. Однако получение этой сертификации – своеобразный знак качества и ответ на запросы крупного бизнеса, который вынужден постоянно повышать безопасность данных своих потребителей – особенно в сверхчувствительной сфере платежных операций.