20.11.2018
Навколо сертифікації за стандартом PCI DSS виникло багато міфів. Якщо розглядати сертифікацію крізь ці хибні міфи, можна заплутатися у діях, злякатися складнощів або марно витратити гроші компанії. У цій статті ми розглянемо 10 помилкових міфів щодо сертифікації за стандартом PCI DSS.
Перед тим, як ми почнемо розглядати міфи, пригадаймо, що таке стандарт PCI DSS, якими є його основні завдання.
Стандарт безпеки даних PCI DSS спрямований на захист даних власників платіжних карток, які обробляються, передаються або зберігаються торговими та процесинговими компаніями. Про це ми повторюємо у кожній статті, оскільки ця інформація є найважливішою.
Стандарт містить у собі лише 12 вимог. Вони торкаються багатьох бізнес-процесів і технологій забезпечення безпеки. Ці вимоги PCI DSS базуються на кращих загальноприйнятих підходах до захисту інформації карткових даних.
Область охоплення стандарту PCI DSS дуже велика, і виконання всіх вимог може здаватися складним і заплутаним, особливо для невеликих магазинів або ресторанів, які не мають жодних систем захисту або IT-фахівця, який працює в штаті. Такий фахівець міг би надати повну інформацію про те, що необхідно зробити, щоб отримати сертифікат відповідності стандарту PCI DSS. Зрозуміло, що бюджет невеликих компаній не вміщує додаткових людей у штаті. І, на наш погляд, не варто наймати такого фахівця. Можна звернутися до нашої компанії, і ми надамо вам найповнішу та найкваліфікованішу інформацію.
Додає складності і те, що деякі виробники систем захисту або постачальники послуг використовують інформацію про PCI DSS для маркетингу та продажу своїх продуктів. Тобто мається на увазі, що їхні продукти або послуги необхідні для сертифікації за стандартом PCI DSS.
У результаті представники бізнесу стикаються з хибними уявленнями чи міфами про те, як виконати всі вимоги для того, щоб відповідати стандарту PCI DSS.
Ця стаття розповідає про 10 найпоширеніших міфів. Її мета – допомогти представникам як дрібного, так і великого бізнесу глибше зрозуміти, що таке стандарт PCI DSS.
Ми дуже сподіваємося, що після прочитання цієї статті ви переконаєтеся, що вимоги стандарту PCI DSS та проходження сертифікації насправді простіше, ніж здаються. Головне - не дивитися на цю важливу справу крізь хибні міфи!
Перед тим, як ми перейдемо до міфів, давайте ще раз пригадаємо, навіщо потрібний стандарт PCI DSS і які його цілі.
Стандарт PCI DSS потрібен для того, щоб:• Захистити комп'ютерну мережу.• Убезпечити дані власників платіжних карток.• Реалізувати програму управління вразливостями.• Постійно тестувати комп'ютерну мережу.• Впровадити систему суворого контролю доступу.• Слідкувати за безпекою комп'ютерної мережі.• Розробити та впровадити політику інформаційної безпеки.
Саме час перейти до міфів.
Міф №1: Купивши продукт одного виробника, наша компанія виконає всі вимоги стандарту PCI DSS.
Це не так, тому що один продукт не може задовольнити всі вимоги стандарту PCI DSS. Для того, щоб не витратити гроші даремно на непотрібні продукти та послуги, краще проконсультуйтеся в аудитора, який буде проводити сертифікацію для вашої компанії. Найчастіше виконання вимог PCI DSS може бути досягнуто без додаткових фінансових витрат і покупок непотрібних продуктів або послуг.
Міф №2: Якщо ми передамо сторонній компанії функції процесингу платіжних карток, ми автоматично виконаємо всі вимоги стандарту PCI DSS.
Розвінчуємо і цей міф! Передача бізнес-процесів у сторонню компанію може спростити процедуру проходження сертифікації за стандартом PCI DSS. Це правда. Але це абсолютно не означає, що всі вимоги стандарту будуть автоматично виконані.
Важливо пам'ятати, що необхідно розробити політику процедур, що регламентують порядок обробки та передачі даних. Також ви повинні бути впевнені, що ваш постачальник послуг дотримується всіх вимог PCI DSS. Якщо ви користуєтеся послугами сторонніх компаній, не полінуйтеся щороку запитувати сертифікат відповідності стандарту PCI DSS.
Міф №3: Сертифікація – це відповідальність IT-відділу компанії.
ІT-персонал та IT-відділ можуть відповідати за впровадження технічних та операційних засобів та механізмів. Але для відповідності вимогам стандарту PCI DSS необхідно коригувати бізнес-процеси, пов'язані з управлінням та навчанням персоналу, внутрішнім контролем, взаємодією з постачальниками тощо. Тому дуже важливо, щоб до проєкту PCI DSS були залучені топ-менеджери компанії та керівники ключових бізнес-підрозділів.
Міф №4: Сертифікат PCI DSS захистить наш бізнес від усіх хакерських атак.
Це черговий хибний міф, і щоб уникнути серйозних помилок у майбутньому, потрібно якнайшвидше позбутися його.
Фахівці, які проводять сертифікацію, перевіряють виконання всіх вимог, комп'ютерну мережу, захищеність та дають свій висновок. Це схоже на моментальний знімок стану безпеки. І це зовсім не означає, що найвищий рівень безпеки буде довгий час. Хакери та віруси розвиваються безперервно.
Тому, щоб убезпечити свій бізнес від атак хакерів, потрібно постійно виконувати аналіз технічних систем і своєчасно усувати найменші відхилення від вимог PCI DSS.
Сертифікація відбувається раз на рік, а хакери працюють цілодобово протягом усього року. Про це треба завжди пам'ятати.
Вас не захистить сертифікат PCI DSS – вас захистить суворе виконання всіх вимог стандарту PCI DSS.
Міф №5: Вимоги PCI DSS надмірно завищені.
Насправді більшість вимог стандарту PCI DSS є загальноприйнятими та найкращими підходами для забезпечення безпеки. До того ж, допускається використання альтернатив у вигляді компенсаційних контрольних процедур, але тільки в тому випадку, якщо ваша компанія не може виконати будь-яку вимогу стандарту PCI DSS з об'єктивних причин.
Те, що здається надмірною деталізацією та завищеними вимогами, насправді є докладною інструкцією, що відповідає не тільки на питання, що потрібно робити для безпеки, а й як цього найкраще досягти. Саме це робить PCI DSS найефективнішим стандартом захисту важливих даних.
Вимоги стандарту PCI DSS для маленького інтернет-магазину та міжнародного банку суттєво різняться між собою. Тому не вірте різним міфам, а краще проконсультуйтеся у нашого фахівця.
Міф №6: Для проходження сертифікації PCI DSS нам потрібно взяти до штату компанії акредитованого аудитора.
Цей міф виник через те, що багато великих компаній з дуже складною IT-інфраструктурою часто наймають у свій штат аудитора для того, щоб провести кваліфіковане дослідження та зробити професійний висновок.
Невеликі компанії можуть провести оцінку та підготувати всі матеріали для сертифікації самостійно, запросивши зовнішнього аудитора лише для остаточної перевірки та оформлення сертифікату PCI DSS.
Великі компанії можуть наймати в штат, але можуть також запрошувати зовнішнього акредитованого аудитора.
Міф №7: Сертифікація PCI DSS нас не стосується, ми опрацьовуємо дуже мало карткових даних.
Будь-яка компанія, яка приймає до оплати платіжні картки, має відповідати стандарту PCI DSS. Навіть якщо компанія проводить лише одну транзакцію на рік, вона має пройти сертифікацію.
Міф №8: Ми відповідатимемо стандарту PCI DSS, якщо просто заповнимо анкету.
Це не зовсім так. Для отримання сертифіката, крім анкети, потрібен атестат відповідності, який підписується з боку директора компанії та зовнішнього аудитора. Для сертифікації потрібно виконання регулярних процедур з аналізу вразливості, управління ризиками, проведення тесту проникнення, моніторингу стану інформаційних систем.
Таким чином, відповідність стандарту PCI DSS — це процес, що ніколи не зупиняється, а не разова процедура.
Міф №9: PCI DSS вимагає зберігати дані власника платіжних карток.
Це черговий міф, який плутає людей, надаючи хибну інформацію. PCI DSS та платіжні системи Visa та MasterCard не вітають будь-яке зберігання даних платіжних карток. Потреба зберігання даних карток повинна бути обґрунтована вимогами бізнесу, а дані, що зберігаються, повинні надійно захищатися за допомогою шифрування.
Міф №10: Сертифікація PCI DSS – це надто складно.
PCI DSS — це лише 12 вимог, які вже давно відомі всім фахівцям у галузі інформаційної безпеки.
Виконання вимог – це базова гігієна бізнесу. Якщо ваша компанія не може дозволити собі найняти в штат власного фахівця з IT-безпеки, який би знався на всіх вимогах стандарту, ви можете звернутися до нашої компанії, і ми допоможемо вам впровадити найкращі світові практики у сфері безпеки. З нашою допомогою ви швидко і просто пройдете сертифікацію на відповідність стандарту PCI DSS.
Багато людей замість слова "дорого" використовують слово "складно". Тим самим вони дедалі більше поширюють цей хибний міф. Розрахуйте можливі ризики та можливі втрати та переконайтеся, що вони дуже великі, а для невеликого бізнесу просто фатальні. Краще пройти сертифікацію на відповідність стандарту PCI DSS, адже це насправді дуже просто.
У цій статті ми розібрали 10 найпоширеніших міфів. Звісно, їх набагато більше. Не витрачайте час на ці міфи. Зверніться до наших фахівців, і вони обов'язково нададуть вам реальну інформацію, а також допоможуть вам знайти правильне рішення.