Круглосуточно 8 800 350 15 00

Роль ЦОД в сертификации PCI DSS

С аббревиатурой PCI DSS знакомы все участники отрасли e-commerce. Но в деталях и подробно в требованиях Payment Card Industry Security Standards Council разбираются только те, кто имеет непосредственное отношение к хранению и обработке данных банковских карт: процессинговые центры, крупные торговые сети, интернет-магазины с более чем 6 млн транзакций в год. 

ЦОД и сертификации PCI DSS

Для них сертификация по стандарту защиты данных платежных карт — обязательное условие легальной работы. Сегодня расскажем, какую роль в этом играет ЦОД.

О PCI DSS и сертификации на примере

Самым наглядным примером будет обезличенный пример из практики. Допустим, ритейлеру N предстоит ресертификация по стандарту v3.2.1. Согласно классификации PCI DSS ему нужен сертификат Level 1, а значит для аудита придется привлекать независимого эксперта (QSA) или команду аудиторов. Они будут оценивать информационную инфраструктуру организации, проверять соответствие внутренней нормативной базы требованиям стандарта. При этом на одном из этапов проверки компании предстоит оценка условий работы серверов и IT-инфраструктуры:

  • ограничен ли физический доступ к данным о держателях карт,

  • как идентифицируется и аутентифицируется доступ к системным компонентам,

  • как шифруются данные, а системы защищаются от вредоносного ПО и пр.

Всего в стандарте 12 технических и организационных требований, и IT-системы компании проверяются на соответствие каждому из них. 

По этой схеме аудит проводится, если серверы ритейлера находятся на территории и в ведении самой компании. И совсем по-другому строится работа, когда торговая сеть держит свои серверы в ЦОД: аудиторы запрашивают сертификат PCI DSS в ЦОД и если у дата-центра он есть, проверка этого раздела безопасности не проводится. 

Сертификат PCI DSS GreenBushDC

Данный блок просто «выпадает» из плана проверки, и аудиторы переключаются на другие разделы информационной безопасности компании. В итоге аудит занимает меньше времени, сокращается количество площадок для проверки, а значит уменьшается и стоимость сертификации PCI DSS.

Соответственно, сертификат PCI DSS у ЦОД, как минимум, позволяет клиентам дата-центра:

  1. Запускать новые проекты в более короткие сроки, а чем быстрей проект выйдет на новый рынок, тем больше шансов, что он займет достойную нишу. Кроме того, при сокращении количество проверяемых площадок, снижается стоимость сертификации.

  2. Экономить на капитальных затратах, сохраняя необходимый уровень физической защиты IT. Одним из требований Payment Card Industry Security Standards Council является организация видеонаблюдения и пропускного режима с детально структурированными процедурами разграничения доступа. Компании с серверами в ЦОД, сертифицированном PCI DSS, могут не тратиться на СКУД и контроль доступа, так как безопасность серверов обеспечивает дата-центр. 

  3. Поддерживать высокую планку безопасности данных без ежегодного прохождения проверки физической безопасности. Это берет на себя ЦОД в рамках колокейшн. 

О PCI DSS и сертификации

Заметим, что сертификат PCI DSS у GreenBushDC не избавляет торгово-сервисные предприятия и поставщиков услуг от необходимости поддерживать политику информационной безопасности, отслеживать уязвимости, выполнять требуемые ASV-сканирования и профилактические пентесты. ЦОД в данном случае закрывает хоть и очень значимую, но только часть требований к безопасности данных банковских карт, остальное — задача бизнеса. 

Поделиться:
Читать еще
Защищенность ЦОДов: физическая и юридическая 31.01.2020
Чтобы защитить от юридических и физических рисков самое ценное, что есть у бизнеса — информацию — дата-центр берет на себя основные вопросы безопасности. Как это реализуется на практике — расскажем на примере GreenBushDC.
Читать подробнее
Риск-менеджмент в дата-центре 24.01.2020
Отказоустойчивый надежный дата-центр обеспечивает не только бесперебойную стабильную работу IT-систем, но и заботится о предупреждении правовых рисков. В нашем перечне их 5, но список открытый: в любой момент обстоятельства могут измениться, и дата-центру потребуется оперативно решать вопросы поддержки бесперебойного функционирования ЦОД  на фоне новых кризисных факторов.
Читать подробнее
Почему лучше использовать дата-центр, а не собственную серверную? 17.01.2020
Почему лучше использовать дата-центр, а не собственную серверную? Потому же, почему владельцы ВАЗ-2101 со временем меняют «копейку» на LADA, ŠKODA, Toyota или Ford: безопасности больше, капитальных затрат меньше, а еще нет необходимости постоянно держать все под контролем и заботиться о мелочах. Но не будем расписывать все нюансы, ограничимся основными преимуществами дата-центра.  
Читать подробнее
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.