Роль ЦОД в сертификации PCI DSS

С аббревиатурой PCI DSS знакомы все участники отрасли e-commerce. Но в деталях и подробно в требованиях Payment Card Industry Security Standards Council разбираются только те, кто имеет непосредственное отношение к хранению и обработке данных банковских карт: процессинговые центры, крупные торговые сети, интернет-магазины с более чем 6 млн транзакций в год. 

ЦОД и сертификации PCI DSS

Для них сертификация по стандарту защиты данных платежных карт — обязательное условие легальной работы. Сегодня расскажем, какую роль в этом играет ЦОД.

О PCI DSS и сертификации на примере

Самым наглядным примером будет обезличенный пример из практики. Допустим, ритейлеру N предстоит ресертификация по стандарту v3.2.1. Согласно классификации PCI DSS ему нужен сертификат Level 1, а значит для аудита придется привлекать независимого эксперта (QSA) или команду аудиторов. Они будут оценивать информационную инфраструктуру организации, проверять соответствие внутренней нормативной базы требованиям стандарта. При этом на одном из этапов проверки компании предстоит оценка условий работы серверов и IT-инфраструктуры:

  • ограничен ли физический доступ к данным о держателях карт,

  • как идентифицируется и аутентифицируется доступ к системным компонентам,

  • как шифруются данные, а системы защищаются от вредоносного ПО и пр.

Всего в стандарте 12 технических и организационных требований, и IT-системы компании проверяются на соответствие каждому из них. 

По этой схеме аудит проводится, если серверы ритейлера находятся на территории и в ведении самой компании. И совсем по-другому строится работа, когда торговая сеть держит свои серверы в ЦОД: аудиторы запрашивают сертификат PCI DSS в ЦОД и если у дата-центра он есть, проверка этого раздела безопасности не проводится. 

Сертификат PCI DSS GreenBushDC

Данный блок просто «выпадает» из плана проверки, и аудиторы переключаются на другие разделы информационной безопасности компании. В итоге аудит занимает меньше времени, сокращается количество площадок для проверки, а значит уменьшается и стоимость сертификации PCI DSS.

Соответственно, сертификат PCI DSS у ЦОД, как минимум, позволяет клиентам дата-центра:

  1. Запускать новые проекты в более короткие сроки, а чем быстрей проект выйдет на новый рынок, тем больше шансов, что он займет достойную нишу. Кроме того, при сокращении количество проверяемых площадок, снижается стоимость сертификации.

  2. Экономить на капитальных затратах, сохраняя необходимый уровень физической защиты IT. Одним из требований Payment Card Industry Security Standards Council является организация видеонаблюдения и пропускного режима с детально структурированными процедурами разграничения доступа. Компании с серверами в ЦОД, сертифицированном PCI DSS, могут не тратиться на СКУД и контроль доступа, так как безопасность серверов обеспечивает дата-центр. 

  3. Поддерживать высокую планку безопасности данных без ежегодного прохождения проверки физической безопасности. Это берет на себя ЦОД в рамках колокейшн. 

О PCI DSS и сертификации

Заметим, что сертификат PCI DSS у GreenBushDC не избавляет торгово-сервисные предприятия и поставщиков услуг от необходимости поддерживать политику информационной безопасности, отслеживать уязвимости, выполнять требуемые ASV-сканирования и профилактические пентесты. ЦОД в данном случае закрывает хоть и очень значимую, но только часть требований к безопасности данных банковских карт, остальное — задача бизнеса. 

Поделиться:
Читать еще
Внутренний аудит информационной безопасности 18.06.2021
В копилку службы ИБ: методы, подходы и чек-листы для внутреннего аудита информационной безопасности.
Читать подробнее
Как разобраться с логированием: гайд для начинающих 25.06.2021
Зачем оно нужно, это логирование и как упростить процесс сбора, анализа и хранения логов.
Читать подробнее
Когда нужен внешний аудит информационной безопасности 09.07.2021
Про объекты, результаты и периодичность внешнего аудита информационной безопасности для операторов ПДн, объектов критической информационной инфраструктуры, субъектов НПС и других компаний.
Читать подробнее
Что такое тикет-система и как она применяется в ЦОД 16.07.2021
Чем тикет-система лучше телефонной поддержки и как ЦОД использует тикеты для улучшения работы.
Читать подробнее
Аварии в ЦОД и как их избежать 23.07.2021
Про экстраординарные форс-мажоры ЦОД на примере аварии дата-центра «Курчатовский» и меры защиты от основных глобальных рисков
Читать подробнее
Введение нового порядка госаккредитации ИТ-компаний в РФ 30.07.2021
Как изменится госаккредитация ИТ-компаний с 1 августа 2021 года? Делаем обзор изменений и нововведений.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24\7
8 800 350 15 00
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.