В 2020 году в сеть утекли 486 миллионов записей персональных данных из банков, финансовых и страховых компаний. Это 900 данных в минуту. Чтобы избежать таких утечек, появилась сертификация по стандарту PCI DSS. Что это, зачем она нужна финтех компаниям и как дата-центр с сертификатом помогает пройти аудит — читайте в материале. 

Что такое PCI DSS и какую «роль» он играет в бизнесе

PCI DSS — международный стандарт, который регулирует вопросы безопасности платежных данных клиентов. Его создал Совет по стандартам безопасности индустрии платежных карт (PCI SSC) в 2005 году, в который входят Visa, MasterCard, American Express, и JCB.

Cертификат PCI DSS для дата центра

Каждые 60 секунд в интернете совершаются покупки на 1 миллион долларов

По данным исследовательской компании CBR, почти все интернет-пользователи Украины хотя бы раз делали онлайн-покупки. Возьмем для примера крупный маркетплейс. Мы зашли на сайт, выбрали товар и переходим к оплате. С момента как мы ввели номер кредитной карты, имя владельца и срок ее действия — платежные данные уже оказались в интернете. И тут «мяч безопасности» оказывается на стороне онлайн-магазина. Ведь важно, чтобы сервис компании обеспечил защиту платежной информации клиента. Но что если у вашего бизнеса нет PCI DSS сертификата, но с важными данными клиентов работаете — нужно ли вам его получать?

Как понять нужен ли PCI DSS вашему бизнесу

Проходить сертификацию по PCI DSS важно любой компании, которая использует платежные данные клиентов. То есть, если на онлайн-ресурсе или в приложении вашей компании есть форма для оплаты с полями для внесения данных карты — ответ «да». Вам нужно проходить сертификацию PCI DSS. 
Обычно это банки, финтех компании, операторы услуг платежной инфраструктуры, торговые предприятия, ритейл, сети заправочных станций, финтех стартапы, HoReCa, поставщики услуг и многие другие.

Уровни сертификации и основные требования

Сертификация по PCI DSS — серьезное испытание. Аудит включает в себя 12 основных требований к защите инфраструктуры компании. В каждом из них еще 20-30 подзадач.

Требования к сертификации PCI DSS

Основные требования согласно сертификации PCI DSS (auditagency.com.ua)
В процессе сертификации PCI DSS специалисты проводят аудит безопасности и изучают каждый «инфраструктурный слой» предприятия. Всего их три:
  • физический (оборудование); 
  • виртуальный (виртуальная инфраструктура);
  • слой программного обеспечения (платежное приложение). 
Учитывая спектр аудита, срок сертификации может быть разным. Все зависит от уровня информационной безопасности, политик безопасности, которые уже есть в компании.
Сертификация PCI DSS может длиться от месяца до года. В отдельных случаях, если в компании совсем нет политики безопасности, процесс может затянуться на несколько лет.

В чем плюс дата-центра с сертификатом PCI DSS и как это облегчает жизнь

Поскольку данные бизнес в основном хранит в облаке и коммерческих ЦОД, наличие сертификата PCI DSS в дата-центре — дополнительная гарантия их сохранности. Например, дата-центры Amazon и Microsoft соответствуют требованиям стандарта и ежегодно проходят аудит для его подтверждения.
Дата-центры, как правило, не оказывают платежные услуги. То есть прямых действий с обработкой и передачей платежных данных клиентов здесь не выполняют. А вот клиенты ЦОД, которые размещают оборудование, могут оказывать платежные услуги бизнесу или физическим лицам.
В таком случае задача защиты данных делится между бизнесом и дата-центром. Здесь скрыто главное преимущество — если ваша компания размещает свои сервера в дата-центре с сертификатом PCI DSS, то аудит значительно упростится. Ведь проверку «физического слоя» вам проходить уже не нужно. Аудитор запросит у дата-центра PCI DSS сертификат, и на этом проверка закончится. 
В среднем аудит включает около 260 задач по настройке информационной безопасности компании. В случае наличия сертификата PCI DSS в дата-центре, он «закроет» до 30% от всего списка требований. Что в итоге не только сэкономит бизнесу время ее прохождения, а также снизит стоимость.

Дата-центр GigaCenter получил сертификат PCI DSS

GigaCenter — дата-центр с сертификатом PCI DSS в Киеве. 
Аудиторы проанализировали информационную безопасность и уровень защищенности физического размещения серверов дата-центра. По результатам сертификации мы подтвердили высокий статус информационной безопасности GigaCenter.
Сертификат PCI DSS подтверждает высокий уровень безопасности и надежности IT-сервисов компании.  Размещаясь в дата-центре GigaCenter, вы будете уверены в защищенности платежных данных.