Стандарт PCI DSS диктует требования безопасности для компаний, которые занимаются обработкой транзакций по банковским картам. В статье расскажем про главные принципы и компоненты архитектуры безопасности PCI DSS.
Основные принципы PCI DSS
Чтобы создать безопасную среду для работы и обеспечить бесперебойность, следует соблюдать главные принципы PCI DSS:
- Необходимо создать и поддерживать безопасными сети и систему.
- Приоритет держать на защите личных данных владельцев карт.
- Важно постоянно поддерживать программы управления уязвимостями.
- В компании следует установить строгие меры контроля доступа к данным.
- Необходимо установить своевременный и регулярный контроль и проводить тестирование сети.
- Важно уделять пристальное внимание политике информационной безопасности.
Как построить надёжную архитектуру безопасности
1. Использовать межсетевые экраны для защиты сети от незаконных вторжений и вредоносного ПО. Применяют как аппаратные брандмауэры (физические, требуют тонкой настройки), так и программные (обеспечивают защиту от внутренних угроз, проще в обслуживании).
2. Не оставлять пароли по умолчанию, которые иногда стоят на приложениях. Следует сразу заменить их на надёжные комбинации.
3. Хранить только те ПДн клиентов, которые реально необходимы. Важные сведения должны держаться в зашифрованном виде. Всё остальное нужно своевременно удалять.
4. Все передачи данных клиентов по сети должны быть зашифрованы, чтобы исключить компрометацию.
5. Регулярно выполнять обновление антивирусного программного обеспечения и другого ПО, выполнять плановое сканирование системы.
6. Доступ к ПДн держателей карт должен быть ограничен, только те сотрудники, у которых есть служебная необходимость могут получить этот доступ. Должна применяться многофакторная аутентификация. Физический доступ к данным также должен быть ограничен.
7. Любой доступ к ресурсам должен чётко отслеживаться (получение доступа к данным держателя карты, все действия от имени администратора, провалившиеся попытки доступа). Просмотр журналов необходим для выяснения причин компрометации данных.
8. Тестирование систем и процессов должно выполняться регулярно, чтобы снизить вероятность угроз и своевременно обнаружить уязвимости. Имеет смысл проводить не только обычное тестирование, но и дополнительное, когда вносятся изменения в конфигурацию системы, либо устанавливается новое ПО.
9. Необходимо проводить обучение и тестирование среди сотрудников, чтобы убедиться, что каждый хорошо знает свою роль и обязанности по поддержанию безопасности всей системы. Организация должна внимательно относиться к сохранности данных держателей карт и добиваться точного соответствия требованиям PCI DSS.
Надёжная политика безопасности является важной основой инфраструктуры компаний, связанных с обработкой транзакций по банковским картам. Регулярно стоит пересматривать и обновлять политику, чтобы своевременно вносить изменения в систему. Также периодически важно проводить оценку рисков, чтобы быстро обнаруживать критически важные активов и уязвимости.
Автор: Белновости
