Что нужно знать о PCI DSS: говорим о требованиях стандарта
PCI DSS разработали Visa и MasterCard. Это — комплекс требований для защиты данных держателей платежных карт. Ему обязаны следовать все компании, которые обрабатывают ПД владельцев пластиковых карт.
Организации должны:
1. Защитить сети. Весь трафик компании фильтруется файрволами. При этом сегмент сети, отвечающий за обработку ПД, делится на независимые кластеры. Такой подход ограничивает потенциальный ущерб, если хакеры все же взломают сеть.
2. Использовать шифрование. Данные шифруются криптоключами длиной не менее 128 бит. При обмене данными между серверами или виртуальным машинами используется протокол TLS 1.2 (или новее).
3. Установить антивирусное ПО. Также составляется регламент для его обновления, чтобы своевременно закрывать все потенциальные уязвимости.
4. Настроить политики доступа к данным. Подключение к компонентам инфраструктуры выполняется с применением двухфакторной аутентификации (2FA). К местам физического хранения данных (например, машинным залам в дата-центре), имеет доступ строго ограниченный круг сотрудников.
5. Организовать мониторинг инфраструктуры. Все операции, проводимые с данными, логируются, чтобы своевременно обнаруживать взломы.
6. Сформулировать корпоративную политику по ИБ. В ней прописываются общие принципы обеспечения безопасности ИТ-инфраструктуры, алгоритм предоставления доступа к персональным данным пользователей и шаги, которые будут предприняты в случае взлома.
В следующий раз мы расскажем, как проходит аудит на соответствие требованиям PCI DSS и чем тут поможет IaaS-провайдер.
PCI DSS разработали Visa и MasterCard. Это — комплекс требований для защиты данных держателей платежных карт. Ему обязаны следовать все компании, которые обрабатывают ПД владельцев пластиковых карт.
Организации должны:
1. Защитить сети. Весь трафик компании фильтруется файрволами. При этом сегмент сети, отвечающий за обработку ПД, делится на независимые кластеры. Такой подход ограничивает потенциальный ущерб, если хакеры все же взломают сеть.
2. Использовать шифрование. Данные шифруются криптоключами длиной не менее 128 бит. При обмене данными между серверами или виртуальным машинами используется протокол TLS 1.2 (или новее).
3. Установить антивирусное ПО. Также составляется регламент для его обновления, чтобы своевременно закрывать все потенциальные уязвимости.
4. Настроить политики доступа к данным. Подключение к компонентам инфраструктуры выполняется с применением двухфакторной аутентификации (2FA). К местам физического хранения данных (например, машинным залам в дата-центре), имеет доступ строго ограниченный круг сотрудников.
5. Организовать мониторинг инфраструктуры. Все операции, проводимые с данными, логируются, чтобы своевременно обнаруживать взломы.
6. Сформулировать корпоративную политику по ИБ. В ней прописываются общие принципы обеспечения безопасности ИТ-инфраструктуры, алгоритм предоставления доступа к персональным данным пользователей и шаги, которые будут предприняты в случае взлома.
В следующий раз мы расскажем, как проходит аудит на соответствие требованиям PCI DSS и чем тут поможет IaaS-провайдер.