У 2020 році в мережу витекли 486 мільйонів записів персональних даних з банків, фінансових і страхових компаній. Це 900 даних у хвилину. Щоб уникнути таких витоків, з'явилася сертифікація за стандартом PCI DSS. Що це, навіщо вона потрібна компаніям і як дата-центр з сертифікатом допомагає пройти аудит — читайте в матеріалі.

Що таке PCI DSS і яку «роль» він грає в бізнесі

PCI DSS — міжнародний стандарт, який регулює питання безпеки платіжних даних клієнтів. Його створила Рада зі стандартів безпеки індустрії платіжних карт (PCI SSC) у 2005 році, в яку входять Visa, MasterCard, American Express, JCB і Discovery.

Кожні 60 секунд в інтернеті здійснюються покупки на 1 мільйон доларів

За даними дослідницької компанії CBR, майже всі інтернет-користувачі України хоча б раз здійснювали онлайн-покупки. Візьмемо для прикладу великий маркетплейс. Ми зайшли на сайт, вибрали товар і переходимо до оплати. З моменту як ми ввели номер кредитної картки, ім'я власника і термін її дії — платіжні дані вже опинилися в інтернеті. І тут «м'яч безпеки» опиняється на стороні онлайн-магазину. Адже важливо, щоб сервіс компанії забезпечив захист платіжної інформації клієнта. Але що якщо у вашого бізнесу немає PCI DSS сертифіката, але з важливими даними клієнтів працюєте — чи потрібно вам його отримувати?

Як зрозуміти чи потрібен PCI DSS вашому бізнесу

Проходити сертифікацію по PCI DSS важливо будь-якій компанії, яка використовує платіжні дані клієнтів. Тобто, якщо на онлайн-ресурсі або в додатку вашої компанії є форма для оплати з полями для внесення даних карти — відповідь «так». Вам потрібно проходити сертифікацію PCI DSS.
Зазвичай це банки, фінтех компанії, оператори послуг платіжної інфраструктури, торговельні підприємства, ритейл, мережі заправних станцій, фінтех стартапи, HoReCa, постачальники послуг і багато інших.

Рівні сертифікації та основні вимоги

Сертифікація по PCI DSS — серйозне випробування. Аудит містить 12 основних вимог до захисту інфраструктури компанії. У кожній з них ще 20-30 підзадач.

Основні вимоги відповідно сертифікації PCI DSS (auditagency.com.ua)
У процесі сертифікації PCI DSS фахівці проводять аудит безпеки та вивчають кожен «інфраструктурний шар» підприємства. Всього їх три:
  • фізичний (обладнання); 
  • віртуальний (віртуальна інфраструктура);
  • шар програмного забезпечення (платіжний додаток). 
З огляду на спектр аудиту, термін сертифікації може бути різним. Все залежить від рівня інформаційної безпеки, політик безпеки, які вже є в компанії.
Сертифікація PCI DSS може тривати від місяця до року. В окремих випадках, якщо в компанії зовсім відсутні політики безпеки, такий процес може тривати кілька років.

У чому плюс дата-центру з сертифікатом PCI DSS і як це полегшує життя

Оскільки зазвичай бізнес зберігає дані в хмарі та комерційних ЦОД, наявність сертифіката PCI DSS у дата-центрі — додаткова гарантія їх збереження. Наприклад, дата-центри Amazon і Microsoft відповідають вимогам стандарту і щорічно проходять аудит для його підтвердження.
Дата-центри, як правило, не виконують платіжні послуги. Тобто прямих дій з обробкою і передачею платежів клієнтів тут не виконують. А ось клієнти ЦОД, які розміщують обладнання, можуть надавати платіжні послуги бізнесу або фізичним особам.
В такому випадку завдання захисту даних розподіляється між бізнесом і дата-центром. Тут прихована головна перевага — якщо ваша компанія розміщує свої сервери в дата-центрі з сертифікатом PCI DSS, то аудит значно спроститься. Адже перевірку «фізичного шару» вам проходити вже не потрібно. Аудитор запросить у дата-центру PCI DSS сертифікат, і на цьому перевірка закінчиться.
В середньому аудит включає близько 260 завдань з налаштування інформаційної безпеки компанії. В разі наявності сертифіката PCI DSS в дата-центрі, він «закриє» до 30% від усього списку вимог. Що в підсумку не тільки заощадить бізнесу час її проходження, а також знизить вартість.

Дата-центр GigaCenter отримав сертифікат PCI DSS

GigaCenter — дата-центр з сертифікатом PCI DSS у Києві.
Аудитори проаналізували інформаційну безпеку і рівень захищеності фізичного розміщення серверів дата-центру. За результатами сертифікації ми підтвердили високий статус інформаційної безпеки GigaCenter.
Сертифікат PCI DSS підтверджує високий рівень безпеки та надійності IT-сервісів компанії. Розміщуючись в дата-центрі GigaCenter, ви будете впевнені в захищеності платіжної інформації клієнтів.