Компании, предоставляющие на рынке финансовые услуги при участии платежных карт, например, сервисы онлайн-платежей, должны соответствовать международным стандартам безопасности.
Для того чтобы получить свидетельство о соответствии стандартам безопасности данных индустрии платёжных карт (PCI DSS) необходимо пройти сертификацию и периодически подтверждать, что в компании соблюдаются все основные нормы работы с платежной информацией клиентов.
Оценщики безопасности индустрии платежных карт отмечают, что во время проверок в 99,9% случаев им пришлось столкнуться с нарушениями даже в стабильных компаниях с опытным IT-персоналом.
Большинство из них выполняют очевидные требования, например, шифрование данных платежных карт, упуская более мелкие, но не менее существенные аспекты безопасности.
Вот пять основных советов, которые помогут пройти очередной аудит PCI DSS
- Четко определите масштабы деятельности и объем данных, которые находятся на хранении
Разные отделы компании, которая работает с реквизитами платежных карт, не всегда взаимодействуют между собой. Технические руководители заполняют лист самооценки (SAQ, необходимая часть аудита) без консультации других ведомств, а высшее руководство планирует выпустить новый POS-терминал, не консультируясь с программистами.
Это приводит к тому, что во время проверки, данные, которые представляют разные отделы, не выстраиваются в логическую цепочку, или даже противоречат друг другу.
Например, в одной из компаний, IT-администратор заверил аудитора, что все данные платежных карт хранятся в зашифрованном виде в одной папке.
Через несколько дней во время разговора с менеджером справочной службы, было обнаружено, что обслуживая клиентов агенты вводят расшифрованные данные кредитных карт в поле для комментариев.
- Политика безопасности существует только на бумаге
Обычно, с безопасностью данных ассоциируется шифрование, а правила внутреннего распорядка воспринимаются как бумажная работа.
Тем не менее, несоблюдение распорядка может спровоцировать нежелательные последствия.
Одна компания накануне очередного аудита перевела управление картами в другую техническую группу, забыв объяснить сотрудникам принципы внутренней политики. В группе посчитали, что архитектура этого отдела сложнее, чем необходимо и удалили все сегменты сети, контролирующие безопасность данных карт.
Имея четкий внутренний распорядок и систематически выполняя рутинную бумажную работу можно избежать пробелов в безопасности.
- Убедитесь в том, что доступ в/из хранилища платежных данных надежно защищен
Нарушения редко обусловлены каким-то одним фактором. Например, спровоцировать утечку данных могут чрезмерно широкие полномочия доступа к информации, ненадежность удаленного подключения, а также отсутствие мониторинга целостности файлов.
К сожалению, контроль безопасного доступа редко бывает настроен правильно. На самом деле, в 90% случаев во время первого аудита доступ к информации защищен некорректно. Чаще всего правила доступа к информации слишком либеральны, а системы защиты от вредоносного трафика построены неверно. Также компании забывают о правилах вывода информации из системы, на случай если злоумышленникам все-таки удастся взломать защиту и проникнуть внутрь хранилища.
- Регулярно устанавливайте обновления систем безопасности и других программ
Системы безопасности постоянно отслеживают появление новых вредоносных программ и обновляют свои антивирусы. Если компания не будет своевременно устанавливать новое ПО, она будет постоянно сталкиваться с кибератаками, отражение которых не предусмотрено в текущей версии ее системы безопасности.
- Не игнорируйте отчеты
Регулярные отчеты о работе системы предназначены не только для повышения прибылей, но и для защиты платежных данных клиентов. При этом для предотвращения платежного мошенничества, необходимо наладить постоянный мониторинг этих регистров.
В одной из компаний прямо во время аудита удалось зафиксировать кибератаку. В организации была отлажена система уведомлений о сбоях в системе, однако никто не отслеживал состояние этих датчиков.
Несоответствие требованием может стоить компании не только потери сертификата PCI DSS. Пренебрежение правилами обращения с платежными картами создает дополнительную возможность для платежного мошенничества.
