С аббревиатурой PCI DSS знакомы все участники отрасли e-commerce. Но в деталях и подробно в требованиях Payment Card Industry Security Standards Council разбираются только те, кто имеет непосредственное отношение к хранению и обработке данных банковских карт: процессинговые центры, крупные торговые сети, интернет-магазины с более чем 6 млн транзакций в год.
Для них сертификация по стандарту защиты данных платежных карт — обязательное условие легальной работы. Сегодня расскажем, какую роль в этом играет ЦОД.
О PCI DSS и сертификации на примере
Самым наглядным примером будет обезличенный пример из практики. Допустим, ритейлеру N предстоит ресертификация по стандарту v3.2.1. Согласно классификации PCI DSS ему нужен сертификат Level 1, а значит для аудита придется привлекать независимого эксперта (QSA) или команду аудиторов. Они будут оценивать информационную инфраструктуру организации, проверять соответствие внутренней нормативной базы требованиям стандарта. При этом на одном из этапов проверки компании предстоит оценка условий работы серверов и IT-инфраструктуры:
-
ограничен ли физический доступ к данным о держателях карт,
-
как идентифицируется и аутентифицируется доступ к системным компонентам,
-
как шифруются данные, а системы защищаются от вредоносного ПО и пр.
Всего в стандарте 12 технических и организационных требований, и IT-системы компании проверяются на соответствие каждому из них.
По этой схеме аудит проводится, если серверы ритейлера находятся на территории и в ведении самой компании. И совсем по-другому строится работа, когда торговая сеть держит свои серверы в ЦОД: аудиторы запрашивают сертификат PCI DSS в ЦОД и если у дата-центра он есть, проверка этого раздела безопасности не проводится.
Данный блок просто «выпадает» из плана проверки, и аудиторы переключаются на другие разделы информационной безопасности компании. В итоге аудит занимает меньше времени, сокращается количество площадок для проверки, а значит уменьшается и стоимость сертификации PCI DSS.
Соответственно, сертификат PCI DSS у ЦОД, как минимум, позволяет клиентам дата-центра:
-
Запускать новые проекты в более короткие сроки, а чем быстрей проект выйдет на новый рынок, тем больше шансов, что он займет достойную нишу. Кроме того, при сокращении количество проверяемых площадок, снижается стоимость сертификации.
-
Экономить на капитальных затратах, сохраняя необходимый уровень физической защиты IT. Одним из требований Payment Card Industry Security Standards Council является организация видеонаблюдения и пропускного режима с детально структурированными процедурами разграничения доступа. Компании с серверами в ЦОД, сертифицированном PCI DSS, могут не тратиться на СКУД и контроль доступа, так как безопасность серверов обеспечивает дата-центр.
-
Поддерживать высокую планку безопасности данных без ежегодного прохождения проверки физической безопасности. Это берет на себя ЦОД в рамках колокейшн.
Заметим, что сертификат PCI DSS у GreenBushDC не избавляет торгово-сервисные предприятия и поставщиков услуг от необходимости поддерживать политику информационной безопасности, отслеживать уязвимости, выполнять требуемые ASV-сканирования и профилактические пентесты. ЦОД в данном случае закрывает хоть и очень значимую, но только часть требований к безопасности данных банковских карт, остальное — задача бизнеса.