PCI DSS — это обязательный стандарт для тех, кто хранит и передает хотя бы один номер банковской карты, локально или в облаке провайдера.
Что такое стандарт безопасности PCI DSS
Он определяет процессы обеспечения информационной безопасности, которые должны соблюдать торговые организации, точки сети продаж, процессинговые центры, эквайреры, эмитенты и поставщики услуг, а также все прочие организации, которые хранят, обрабатывают или передают ДДК и (или) КАД. Речь идет именно о процессах, потому что безопасность — это не результат, а непрерывные действия по защите данных.
Стандарт PCI DSS необходим любой организации, которая хранит, обрабатывает и передает хотя бы один номер платежной карты. Он регламентирует защиту данных карты, включая номер и так называемые критичные аутентификационные данные (ПИН-коды, проверочные значения CVC2/CVV2, данные магнитной полосы или эквивалента на чипе).
Требования стандарта к торгово-сервисным организациям — мерчантам
Интернет-магазин должен соответствовать стандарту PCI DSS, даже если при оплате покупатель сразу переходит с сайта на платежный шлюз.
Платежный шлюз — прослойка между банком-эквайером и мерчантом . Шлюз шифрует и передает данные карты банку-эквайеру. После подтверждения транзакции шлюз пересылает эту информацию мерчанту .
Такие интернет-магазины также обязаны соответствовать требованиям PCI DSS, хотя и в довольно ограниченном объеме. Им необходимо заполнять лист самооценки ( Self-Assessment Questionnaire — SAQ). Требования и процессы указанные в SAQ направлены на обеспечение защиты вашего сайта от потенциальной компрометации и замены валидного платеж ого шлюз а злоумышленниками на фальшивый.
Торговые организации условно делятся на 4 уровня и в зависимости от этого предъявляются требования по безопасности. Мерчанты первого и второго уровня обрабатывают больше 1 миллиона транзакций в год. Они обязаны привлекать QSA-аудитора. Остальные мерчанты относятся к третьей и четвертой категориям. Им достаточно заполнять лист самооценки.
Чтобы узнать к какой категории себя отнести, проще всего обратиться в банк-эквайер для получения информации о количестве проводимых транзакций.
Облегчить выполнение требований PCI DSS можно, перенеся свою инфраструктуру или отдельные сервисы в облако, уже имеющее сертификат PCI DSS. Подробно о том, какие требования должны выполнить вы, а какие облачный провайдер можно посмотреть в документе.
PCI DSS в облаке Yandex.Cloud
Платформа Yandex.Cloud имеет сертификат PCI DSS первого уровня — Level 1. Это наивысший уровень безопасности в индустрии платежных карт.
Важно, что стандарту PCI DSS соответствует вся платформа и сервисы, а не отдельные облака. Такая сертификация проходит дольше и стоит дороже, но дает клиентам возможность использовать всю инфраструктуру Yandex.Cloud для работы c банковскими картами.
Если у облачного провайдера сертифицирован только центр обработки данных, то клиенты такой платформы не могут использовать всю её инфраструктуру. Для полноценной работы им необходимо вместе с провайдером пройти аудит PCI DSS , но не все облачные провайдеры готовы реализовать это под конкретного клиента.
Yandex.Cloud напрямую не обрабатывает данные банковских карт. Платформа защищает данные пользователей, но при этом даже не знает есть ли среди них информация, требующая выполнения норм PCI DSS или, к примеру, ФЗ-152. У Yandex .Cloud по умолчанию нет доступа к таким данным. Это важная особенность разделения ответственности между клиентом платформы — мерчантом и сервис-провайдером в лице Yandex.Cloud.
Как мерчанту соблюдать требования PCI DSS в облаке Yandex .Cloud
Нужно изучить матрицу разделения ответственности между Yandex.Cloud и клиентом платформы. В матрице прописаны требования стандарта, которые обеспечивает провайдер и те, что остаются на мерчанте . Разделение ответственности варьируется в зависимости от вида получаемых услуг на платформе — IaaS или PaaS.
После этого нужно построить инфраструктуру, которая будет обрабатывать данные банковских карт в соответствии с требованиями и рекомендациями. Затем выбрать QSA-аудитора и провести аудит инфраструктуры на соответствие требованиям PCI DSS.
После выполнения мерчантом этих требований он может обрабатывать данные банковских карт в облаке.
Читайте также: Как защитить персональные данные клиентов?
Если статья оказалась полезной, ставьте 👍