Роль ЦОД в сертификации PCI DSS

С аббревиатурой PCI DSS знакомы все участники отрасли e-commerce. Но в деталях и подробно в требованиях Payment Card Industry Security Standards Council разбираются только те, кто имеет непосредственное отношение к хранению и обработке данных банковских карт: процессинговые центры, крупные торговые сети, интернет-магазины с более чем 6 млн транзакций в год. 

ЦОД и сертификации PCI DSS

Для них сертификация по стандарту защиты данных платежных карт — обязательное условие легальной работы. Сегодня расскажем, какую роль в этом играет ЦОД.

О PCI DSS и сертификации на примере

Самым наглядным примером будет обезличенный пример из практики. Допустим, ритейлеру N предстоит ресертификация по стандарту v3.2.1. Согласно классификации PCI DSS ему нужен сертификат Level 1, а значит для аудита придется привлекать независимого эксперта (QSA) или команду аудиторов. Они будут оценивать информационную инфраструктуру организации, проверять соответствие внутренней нормативной базы требованиям стандарта. При этом на одном из этапов проверки компании предстоит оценка условий работы серверов и IT-инфраструктуры:

  • ограничен ли физический доступ к данным о держателях карт,

  • как идентифицируется и аутентифицируется доступ к системным компонентам,

  • как шифруются данные, а системы защищаются от вредоносного ПО и пр.

Всего в стандарте 12 технических и организационных требований, и IT-системы компании проверяются на соответствие каждому из них. 

По этой схеме аудит проводится, если серверы ритейлера находятся на территории и в ведении самой компании. И совсем по-другому строится работа, когда торговая сеть держит свои серверы в ЦОД: аудиторы запрашивают сертификат PCI DSS в ЦОД и если у дата-центра он есть, проверка этого раздела безопасности не проводится. 

Сертификат PCI DSS GreenBushDC

Данный блок просто «выпадает» из плана проверки, и аудиторы переключаются на другие разделы информационной безопасности компании. В итоге аудит занимает меньше времени, сокращается количество площадок для проверки, а значит уменьшается и стоимость сертификации PCI DSS.

Соответственно, сертификат PCI DSS у ЦОД, как минимум, позволяет клиентам дата-центра:

  1. Запускать новые проекты в более короткие сроки, а чем быстрей проект выйдет на новый рынок, тем больше шансов, что он займет достойную нишу. Кроме того, при сокращении количество проверяемых площадок, снижается стоимость сертификации.

  2. Экономить на капитальных затратах, сохраняя необходимый уровень физической защиты IT. Одним из требований Payment Card Industry Security Standards Council является организация видеонаблюдения и пропускного режима с детально структурированными процедурами разграничения доступа. Компании с серверами в ЦОД, сертифицированном PCI DSS, могут не тратиться на СКУД и контроль доступа, так как безопасность серверов обеспечивает дата-центр. 

  3. Поддерживать высокую планку безопасности данных без ежегодного прохождения проверки физической безопасности. Это берет на себя ЦОД в рамках колокейшн. 

О PCI DSS и сертификации

Заметим, что сертификат PCI DSS у GreenBushDC не избавляет торгово-сервисные предприятия и поставщиков услуг от необходимости поддерживать политику информационной безопасности, отслеживать уязвимости, выполнять требуемые ASV-сканирования и профилактические пентесты. ЦОД в данном случае закрывает хоть и очень значимую, но только часть требований к безопасности данных банковских карт, остальное — задача бизнеса. 

Поделиться:
Читать еще
О виртуализации ЦОДов и нюансах виртуальности 25.09.2020
Кратко об исторических предпосылках, современных технологиях и направлениях виртуализации дата-центров.
Читать подробнее
Может ли ЦОД устареть? 02.10.2020
О жизненном цикле ЦОДов, моральном, технологическом устаревании и модернизации вслед за мощностями и технологиями.
Читать подробнее
Основы монтажа серверного оборудования в стойку 09.10.2020
Полезные мелочи для организации пространства в серверной стойке: размещение основного оборудования, разводка кабельной системы, резерв.
Читать подробнее
Что, если в ЦОДе обрубят сеть? 16.10.2020
Рассматриваем гипотетический обрыв сети и другие форс-мажорные ситуации, при которых ЦОД переключается на автономный режим работы.
Читать подробнее
Когда и какому бизнесу нужен VDI 23.10.2020
Разбираемся с VDI — одной из технологий виртуализации рабочих мест. Рассказываем о достоинствах, недостатках и экономике внедрения для малого, среднего и крупного бизнеса.
Читать подробнее
Базовый чек-лист обслуживания серверов 30.10.2020
Перечисляем основные операции в составе регламента обслуживания серверного оборудования и даем чек-лист, по которому можно составить свой список работ.
Читать подробнее
контакты компании
Адрес компании
г. Москва, г. Зеленоград, Проезд №683, д. 8
Поддержка 24\7
8 800 350 15 00
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.