Никита Шахулов - Этичный хакер

Этот стандарт PCI является обязательным для всех марок карт и управляется Советом по стандартам безопасности PCI. Единственной целью стандартов PCI является защита данных держателей карт и снижение мошенничества с картами.

Целью PCI-DSS является защита данных держателей карт при хранении, обработке и передаче. Информация о владельце карты включает уникальный номер основного счета (PAN), напечатанный на лицевой стороне каждой карты.

Торговцы или любой поставщик услуг, которые обрабатывают платежи по картам, никогда не должны хранить конфиденциальную информацию о транзакции после авторизации. Это включает в себя конфиденциальные данные, которые хранятся в магнитной полосе карты, а также любую личную идентификационную информацию, введенную держателем карты.

Стандарты безопасности данных PCI определяют список из 12 обязательных требований, которые сгруппированы по 6 целям контроля, как указано ниже:

1) Построение и обслуживание сети высокого уровня безопасности, которая включает в себя:

* Установка защищенного брандмауэра для защиты данных держателей карт.

Это ограничивает (или блокирует) весь трафик из ненадежных сетей и запрещает прямой публичный доступ между Интернетом и средой данных держателя карты.

* Изменение пароля по умолчанию, предоставленного поставщиком, и других мер безопасности.

Это важно, так как большинство мошенников с картами могут проникнуть во внутреннюю сеть владельца карты, используя пароли по умолчанию.

2) Защита информации о держателях карт, которая включает в себя:

* Шифрование информации о держателях карт, которая передается по общедоступным сетям.

Технология шифрования делает передаваемые данные нечитаемыми любым посторонним лицом. Для защиты данных клиентов можно использовать криптографию и протоколы безопасности, такие как SSL/TLS или IPSec.

* Защита сохраненных данных держателей карт.

Конфиденциальные данные на магнитном чипе карты не должны храниться. В случае, если PAN необходимо сохранить, он должен храниться в нечитаемом формате. Ограничьте продолжительность хранения данных о держателях карт.

3) Сопровождение программы управления уязвимостями, которая включает в себя:

* Использование и регулярное обновление антивирусных программ на всех системах.

Вредоносные вирусы могут проникать в сеть пользователя через электронную почту и другие онлайн-действия. Антивирусное программное обеспечение является эффективным инструментом для защиты компьютерных систем от внешних атак.

* Разработка и сопровождение защищенных систем и приложений.

Уязвимости безопасности в системе и приложениях могут позволить киберпреступникам получить доступ к PAN и другим защищенным данным. Убедитесь, что все системы и приложения обновлены последним патчем безопасности от поставщика.

4) Меры безопасного контроля доступа, которые включают в себя:

* Ограничение доступа бизнеса к информации о держателях карт.

Ограничьте доступ к конфиденциальным данным держателей карт только тем пользователям, работа которых требует этой информации. Кроме того, ограничьте доступ к наименьшему количеству данных, необходимых для бизнес – целей.

* Присвоение уникального идентификатора каждому человеку с доступом к компьютеру.

Это важно, чтобы иметь возможность отслеживать, был ли доступ к критическим данным выполнен только уполномоченными лицами.

5). Ограничение физического доступа к данным держателей карт.

Физический доступ к данным держателей карт должен быть ограничен всем персоналом, посетителями и всеми бумажными и электронными носителями.

6) Регулярный мониторинг и тестирование сетей, которое включает в себя:

* Отслеживание и мониторинг всех точек доступа к сетевым ресурсам и данным держателей карт.

Использование механизмов ведения журнала и отслеживания действий пользователя включены.

* Регулярное тестирование процедур и процессов безопасности.

Периодическое тестирование средств контроля безопасности важно наряду с внутренним и внешним сканированием сети.

7) Ведение политики информационной безопасности, которая включает:

* Поддержание политики компании, направленной на обеспечение информационной безопасности.