Главная » Блоги Экспертов И ИТ-Компаний » Платежные системы и шлюзы о сертификации PCI DSS, аутсорсинге и облаках

Платежные системы и шлюзы о сертификации PCI DSS, аутсорсинге и облаках

Платежные системы и шлюзы о сертификации PCI DSS, аутсорсинге и облаках

Платежи по пластиковым картам уверенно продолжают увеличивать свою долю в общем объеме потребительских транзакций. С одной стороны, это повышает привлекательность теневого рынка карточных данных для мошенников, а с другой — заставляет международные платежные системы закручивать гайки с точки зрения соблюдения требований по безопасной обработке и хранению данных держателей карт. Эти требования изложены в международном стандарте PCI DSS (Payment Card Industry Data Security Standard). Прохождение аудита на соответствие требованиям этого стандарта — серьезная задача для предприятия. Чтобы разобраться в сложностях подготовки к сертификации и способах облегчить эту задачу, мы обратились с вопросами к тем участникам рынка, для которых сертификация PCI DSS является необходимым требованием для нормальной работы, — к платежным системам и шлюзам.

В апреле 2016 года журналисты редакции Первого блога о корпоративном IaaS провели опрос среди 50 наиболее значимых игроков на рынке электронных платежей в России и Казахстане. Крупнейшие платежные системы и шлюзы рассказали нам о том, какие сложности сопровождают подготовку к аудиту на соответствие PCI DSS, как можно облегчить эту задачу и на каком уровне передать ответственность за выполнение требований стандарта внешнему поставщику.

Преимущества сертификации PCI DSS

Подготовка к аудиту и реализация требований — это не только трудоемкая задача, но и новые возможности для компании. В первую очередь — это возможность повысить реальный уровень безопасности процессов внутри компании.

Павел АнтиповОсновное преимущество использования PCI DSS — появление лишнего аргумента,позволяющего 
убедить сотрудников подразделений, не связанных напрямую с информационнойбезопасностью, в необходимости выполнения элементарных процедур по безопасности. Требования данного стандарта должны реально выполняться (в отличие от требований большинства российских стандартов, подразумевающих довольно формальный подход) для того, чтобы компания соответствовала критериям, введенным международными платежными системами, и могла работать на соответствующем рынке. Это является отличным мотиватором даже для бизнес-подразделений, чей уровень грамотности в области безопасности не всегда соответствует нынешним реалиям.

Кроме того, PCI DSS структурирует понимание, к чему нужно стремиться, у самих сотрудников служб информационной безопасности. Это позволяет добиться более высокой эффективности их работы.

Павел Антипов, директор службы безопасности ООО «Контакт-Центр»

Факт прохождения аудита на соответствие стандарту PCI DSS говорит клиентам компании о действительно высоком уровне защищенности их карточных данных.

PCI DSS — это стандарт безопасности в платежной индустрии. Как и любой вопрос безопасности, это требование, выработанное годами и обусловленное всем накопленным опытом тысяч банков и сотен миллионов клиентов по всему миру. Таким образом, соответствие указанному стандарту — это не просто формальная процедура, а исключительно важный вопрос хранения, обработки и передачи данных о клиентах, использующих средства платежа. Основное преимущество заключается в том, что подобная сертификация является доказательством безопасности используемых решений для клиента.

Денис Хренов, директор по развитию бизнеса «БПЦ Процессинг»

Валерий АблековДля платежного шлюза прохождение сертификации на соответствие требованиям PCI DSS означает наличие всеобъемлющего подхода к обеспечению безопасности. Полноценно защищать от мошеннических действий данные банковских карт помогают только комплексные меры. PCI DSS активно развивается и ежегодно обновляет требования к безопасности в компании — начиная от подбора персонала и его обучения, заканчивая целостностью и конфиденциальностью данных. Эти требования являются шкалой оценки профессионализма для самой компании.

Валерий Аблеков, технический директор Payture

Кроме того, психологически проще доверять компании, сертифицированной по PCI DSS.

Преимущества от сертификации PCI DSS можно разделить на две категории: имиджевые и технологические. С точки зрения технологии совершенно любой сервис становится более надежным и безопасным, это как гарантии сохранности данных клиентов, так и устойчивость сервиса в отношении внешних угроз (вирусы, DdoS-атаки и проч.).

Имиджевая составляющая тоже есть. Во-первых, любой сервис с сертификатом воспринимается как более надежный, хотя и не все знают, что такое PCI DSS. Но даже люди, далекие от темы кибербезопасности, при регулярных платежах онлайн видят лого PCI DSS и воспринимают его как дополнительную степень защиты, как SSL-сертификат, например.

Виктор Шашмурин, генеральный директор ООО «Магнум» (Onpay.ru)

А реализованная защита от попыток злоумышленников похитить карточные данные позволяет избежать связанных с этим убытков и штрафов.

Дмитрий ПоповСертификация для нас обязательна, так что до сих пор не было возможности оценитьпреимущества работы с PCI DSS и без него. Но что точно можно сказать — жить с сертификатом спокойнее. Буквально за последние два года количество попыток злоумышленников взломать данные наших клиентов участились, и работа в полном соответствии с требованиями сертификата помогает снизить интенсивность головной боли. Плюс пользователи, которые видят знак PCI DSS на нашей платежной странице, показывают большую конверсию успешных платежей.

Дмитрий Попов, коммерческий директор IntellectMoney

Сертификация PCI DSS дает дополнительные преимущества и тем компаниям, которые не занимаются интернет-платежами как основной деятельностью.

Для сервис-провайдеров, компаний, оказывающих услуги интернет-эквайринга и процессинга, сертификация PCI DSS является обязательной. Это требованиям МПС.

Общими для всех преимуществами такой сертификации являются: возможность работать с банками и процессинговыми центрами напрямую, снижение издержек на посредников, возможность принимать банковские карты на собственных платежных страницах, имидж. Но главное — компаниям, решившим пройти сертификацию, так или иначе придется обращать значительное внимание на безопасность своей инфраструктуры.

Сложности при прохождении аудита в первый раз могут возникнуть на этапе построения безопасной инфраструктуры и выполнения всех применимых требований стандарта. Поддержание выполнения требований до последующих аудитов — не менее кропотливый вопрос, требующий постоянных внутренних проверок, тестирований.

Иван Кравец, руководитель информационной безопасности Intervale

Это повышает уровень сервиса при приеме платежей непосредственно на сайте торговой компании.

В качестве основных преимуществ сертификации PCI DSS можно назвать: гибкое управление процессом оплаты, включая рекуррентные платежи, не зависящие от используемого банка, и оплату в один клик непосредственно на сайте компании.

Николай Суворов, директор компании PaySto

Если же предприятие пользуется услугами интернет-эквайринга и процессинга, то сертификация PCI DSS является обязательной для компаний, оказывающих такие услуги.

Сертификат PCI DSS необходим для безопасной обработки и хранения банковских данных конечного пользователя. Если у клиента отсутствует данный сертификат, мы осуществляем обработку и хранение данных самостоятельно и все трудности берем на себя. Являясь обладателем сертификата PCI DSS, мы предоставляем своим клиентам безопасный и надежный способ проведения карточных платежей без необходимости проходить сложный процесс сертификации PCI DSS самостоятельно.

Никита Мищенко, директор отдела по развитию продуктов ECommPay

Основные сложности прохождения аудита на соответствие стандарту

Аудит на соответствие стандарту PCI DSS бывает первичный и регулярный ежегодный. Некоторые компании видят основную сложность в первичной подготовке, для этого привлекаются сертифицированные консультанты, помогающие спроектировать безопасную архитектуру, выстроить процессы и разработать документацию.

Основная сложность при подготовке к аудиту на соответствие PCI DSS заключается в первичной реализации и настройке сетевой инфраструктуры. В выполнении данной задачи помогает привлечение внешних консультантов, а реализация таких рекомендаций выполняется нашими сотрудниками.

Дмитрий Булавин, руководитель отдела рисков Wallet One

С другой стороны, для многих компаний основная сложность видится именно в поддержании соответствия между аудитами.

Мы изначально строили свою систему на основе требований стандарта. В нашем случае главная сложность состоит не в прохождении первичной сертификации PCI DSS, а в поддержании данного статуса, точнее — в процедурах управления изменениями (change-management).

Иван Притула, генеральный директор ООО «СимплПэй»

Как правило, сертифицируется на вся ИТ-инфраструктура, а только ее часть, выделенная под задачи хранения и обработки карточных данных.

Основная сложность первичной сертификации в основном заключается в определении scope — части инфраструктуры компании, в которой обрабатываются карточные данные. Чем меньше scope, тем проще, быстрее и дешевле приведение в соответствие требованиям.

Также нужно учитывать, что на прохождении аудита процесс соответствия требованиям не заканчивается, его необходимо поддерживать в дальнейшем непрерывно. Если scope выбран необоснованно большой, это приведет к существенным затратам в долгосрочной перспективе.

В целом требования PCI DSS достаточно просты и логичны, в отличие от некоторых других отраслевых стандартов. Любое требование имеет под собой конкретные риски, которое оно закрывает. Я могу рекомендовать PCI DSS как основу для обеспечения информационной безопасности небольших компаний, которые даже не имеют отношения к карточным данным.

Денис Рыбаков, начальник службы безопасности НКО «МОНЕТА.РУ»

В рамках технической составляющей подготовки к аудиту многие компании отмечают задачу проектирования и изменения архитектуры корпоративной сети.

Самое сложное — это подгонка сетей под требования PCI DSS. Процедура усложнения и развития сети может занять 2 года и больше и очень сильно зависит от количества людей, принимающих участие в заведении компании под сертификацию.

На второе место я бы поставил процессы регламентации, организации документальной и учетной систем. Один из самых эффективных способов сокращения количества работы для захода под требования — это грамотное определение аудиторами области применения стандарта (scope), области сети, которая будет сертифицироваться. Стандарт разрешает заводить под требования не всю сеть, а ее часть, при организации четкой границы между частями сетей, заводимыми и не заводимыми под требования.

Лично мне кажется, что мало какие услуги могут облегчить жизнь человеку, который заводит компанию под требования PCI DSS, хотя стандарт не ограничивает в этом, при условии составления правильного договора с компанией, предоставляющей услугу. При этом стандарт требует четкого указания прав и обязанностей каждой из сторон (в матрице ответственности) и подтверждения соответствия этим требованиям компании-контрагента.

Дмитрий Кармишкин, начальник отдела разработки ЗАО «Платрон»

А в рамках организационной — документирование изменений.

Дмитрий БогдашевАО «Смартфин», которой принадлежит бренд 2can & ibox, прошло сертификацию на 2016 год по стандарту безопасности данных Payment Card Industry Data Security Standard (PCI DSS).

Основные сложности для быстроразвивающихся сервисов — сохранение необходимого уровня документирования изменений, соблюдение стандартов разработки, сохранение баланса между скоростью вывода новых продуктов и безопасностью.

Мы пользуемся услугами сертифицированного поставщика, который обеспечивает физическое размещение серверной инфраструктуры в соответствии с требованиями стандарта. Но в нашем случае это не сильно облегчило задачу сертификации, поскольку все требования мы можем обеспечить самостоятельно.

Дмитрий Богдашев, генеральный директор АО «Смартфин»

Особую сложность представляют те требования стандарта, которые допускают различные толкования. Это еще один аргумент в пользу привлечения внешних консультантов для первичной сертификации.

Кирилл СвириденкоНекоторые требования стандарта безопасности данных индустрии платежных карт PCI DSS могут иметь различное толкование как в части применения конкретного пункта, так и в части необходимых мер для соответствия указанным требованиям. Кроме того, выполнение требований подразумевает материальную нагрузку в виде дополнительных затрат на специализированные средства защиты и персонал.

При внедрении новой функциональности в рамках проектов с платежными системами еще на этапе проектирования необходимо проанализировать материально-техническую базу компании или банка на соответствие требованиям стандарта PCI DSS и убедиться в наличии необходимых дополнительных мер по защите данных, шифрованию, логированию и аудиту. Это все способствует увеличению стоимости реализации и сопровождения проектов, но обеспечивает безопасность обслуживания платежных операций и соответствие обязательным стандартам платежных систем.

Кирилл Свириденко, генеральный директор ООО «Мультикарта»

Так или иначе, все участники рынка электронных платежных систем сходятся во мнении, что задача внедрения стандарта PCI DSS — весьма трудоемкая, требует значительных временных и финансовых затрат. Но эти инвестиции окупаются.

Нурлан ЖагипаровПрохождение ежегодного аудита на PCI DSS — сложная и ресурсоемкая задача, позволяющая контролировать внутренние бизнес-процессы и сохранность клиентских данных. Проект большой, задействованы разные подразделения, много координационных и прочих работ. Мероприятие достаточно недешевое, но в данном случае скупой платит дважды.

Нурлан Жагипаров, управляющий директор Казкоммерцбанк

Однако при достаточном уровне технической компетенции и времени на реализацию требований внедрение PCI DSS не является проблемой.

Кирилл ВасиленкоУ нас своя команда опытных специалистов в области безопасности с высоким экспертным уровнем. Мы самостоятельно полностью прорабатываем все вопросы, связанные с аудитом на соответствие стандарту PCI DSS. Требования международных платежных систем направлены на безопасность. Эти требования вполне четкие и понятные. Их просто следует выполнить. Для этого необходимы ресурсы и время.

Кирилл Василенко, директор ArsenalPay

Использование услуг сертифицированных поставщиков

Для облегчения задачи регулярной сертификации большинство сертифицированных компаний пользуются услугами поставщиков, берущих на себя ответственность за выполнение части требований стандарта.

Использование услуг сертифицированных поставщиков

Это объясняется тем, что передача внешней сертифицированной компании части ответственности за реализацию требований PCI DSS в значительной мере упрощает жизнь.

Использование сертифицированных поставщиков, обладающих необходимой экспертизой и гарантированным ресурсом, существенно упрощает жизнь. Чем больше ресурсоемких задач можно отдать надежному партнеру, эксперту в своей области, тем лучше. При этом ключевой момент — это доверие к компании, ее деловая репутация. При достаточном уровне доверия мы готовы пользоваться сертифицированным облачным сервисом.

Тем не менее мы стараемся ограничить доступ внешних вендоров до разумной глубины, где мы чувствуем себя в безопасности. Сейчас многие боятся потерять контроль над своей приватностью, но если услуги более высокого уровня (сертифицированный IaaS, управляемые сервисы) станут нормальной рыночной опцией, которой все пользуются (как сейчас VPS/VDS), то у людей не будет рассуждений на тему «сами мы это будем делать или не сами». Они привыкнут к тому, что это надежный, безопасный, разумный способ оптимизации своих ресурсов и возможность сосредоточиться на собственном продукте.

Дмитрий Теленов, технический директор InPlat

Между тем часть компаний закрывают все вопросы соответствия своими силами.

Мы полностью обходимся своими силами и самостоятельно закрываем все требования стандарта. Уровень технической компетенции наших сотрудников позволяет нам поддерживать соответствие PCI DSS без делегирования части работ внешним поставщикам услуг.

Роман Коротков, ИТ-директор Online Payments

Сертифицированные PCI DSS поставщики могут брать на себя требования на разных уровнях реализации. Самый простой и распространенный на сегодняшний день в России — это уровень физического размещения (colocation — аренда стойки или отдельных юнитов в дата-центре, имеющем сертификат PCI DSS).

Сертификация PCI DSS необходима для нас как для IPS-провайдера (internet payment service). Требования PCI DSS к физической безопасности мы закрываем с помощью сертифицированного дата-центра.

Кузьма Михайлов, генеральный директор ООО «Международные процессинговые системы»

Вместе с тем выполнение требований на таком низком уровне, в случае если эти вопросы были проработаны компанией ранее самостоятельно, недостаточно сильно облегчает задачу сертификации.

Марина НикулинаОколо года назад с целью эффективно организовать непрерывность бизнеса мы воспользовались услугами специализированного поставщика ИТ-аутсорсинга, который предоставил две независимые отказоустойчивые площадки. При выборе аутсорсинговой компании одним из основных критериев было наличие сертификата по PCI DSS. Целью данного проекта было разместить оборудование на двух отказоустойчивых площадках, в то время как функции по его администрированию оставались на нашей стороне.

В нашем случае это не сильно облегчило задачу соответствия требованиям PCI DSS, поскольку мы продолжительное время справлялись своими силами, используя серверные комнаты, находящиеся в собственности нашей компании, а физическая безопасность у нас всегда была на высоком уровне и остается на таковой и по сей день.

Для тех, кто впервые планирует проходить сертификацию по PCI DSS, — это облегчит задачу в части соответствия требованиям физической безопасности, т. к. данная обязанность будет возложена на сертифицированную аутсорсинговую компанию.

Марина Никулина, директор по внутреннему контролю и аудиту АО «Компания объединенных кредитных карточек» (UCS).

Следующим после физического размещения уровнем является аренда виртуальной серверной инфраструктуры (IaaS), сертифицированной по PCI DSS

Кирилл РадченкоЕсли смотреть на возможность передать часть требований PCI DSS в зону ответственности внешнего поставщика, то относительно легко передать требования на уровне хостинга. Однако в России есть недостаток услуг по аренде виртуальных серверов, сертифицированных по PCI DSS. На сегодняшний день сертифицированный IaaS — это одна из востребованных услуг в России, на которую есть спрос.

Кроме того, можно отдать часть функций по разработке специализированной компании (которая сертифицирует свое ПО по стандарту PA DSS), например Compass Plus, OpenWay и др. Но, учитывая специфику нашего бизнеса, а также наши требования к функциональности и скорости внедрения изменений, мы не смогли найти такого поставщика, поэтому все разрабатываем сами.

Кирилл Радченко, генеральный директор Best2Pay

Тогда как на западе сертифицированный по PCI DSS IaaS представлен большим количеством компаний, в России наблюдается острый дефицит поставщиков таких услуг.

Константин ЯнИспользование услуг сертифицированного поставщика весьма существенно облегчает задачу прохождения аудита. Моя позиция такова: все, что можно отдать на аутсорс, нужно отдавать.

Мы пользуемся мощностями двух дата-центров: европейского и отечественного. Они закрывают нам вопросы по физической защите данных, а также часть прочих вопросов. Если говорить конкретно, то европейский виртуальный облачный хостинг закрывает требования по физическому размещению, виртуальной инфраструктуре и управляемым сервисам (антивирусная защита, журналы, управление уязвимостями, администрирование). В отечественном дата-центре сертифицировано только физическое размещение.

В стандарте PCI DSS 12 разделов. Идеальной я вижу ситуацию, когда поставщик закрывает 11 из них — все, кроме разработки ПО, на основании которого мы предоставляем услуги нашим клиентам.

Константин Ян, co-founder, CTO CloudPayments

Более высоким уровнем аутсорсинга выступают так называемые управляемые сервисы, или услуги MSP (managed service provider).

Антон КурандаЧасть задач по соблюдению требований PCI DSS мы передаем сертифицированному сервис-провайдеру, который реализует некоторые сервисы: файрволы для веб-приложений (web application firewall), защиту на внешнем периметре, внешнее сканирование. Требования стандарта, связанные с этими задачами мы закрываем силами внешнего поставщика MSP (managed service provider). Но все внутренние работы мы проводим сами.

Антон Куранда, технический директор RBK money

На рисунке ниже представлено распределение в области использования услуг сертифицированных PCI DSS сервис-провайдеров по уровням реализации требований стандарта.

XIV.png

Антон КраснопевцевДля платежного шлюза сертификация по стандарту безопасности PCI DSS является обязательным требованием, без которого ведение бизнеса невозможно. В нашем случае серверы размещаются в дата-центре, сертифицированном по PCI DSS. Использование услуг сертифицированного поставщика, с одной стороны, облегчает задачу аудита, а с другой — позволяет перенести часть активностей, связанных с обеспечением физической безопасности, на партнера. С точки зрения прохождения аудита разделы, которые отданы на аутсорсинг, аудитором не проверяются, а формально проходятся посредством предоставления сертификата сервис-провайдера.

С точки зрения интернет-магазинов мне видится наиболее интересным сертифицированное облачное решение в моделях PaaS и MSP, когда вся инфраструктура уже полностью готова, а задачей магазина остается делать обновления приложения, с помощью которого компания предлагает основную услугу клиенту, не отвлекаясь на сторонние вопросы, связанные с сетевыми проблемами, хранением данных и так далее. Иными словами, использование облачных технологий позволяет акцентировать внимание компании на собственном бизнесе, не отвлекаясь на административные работы и снижая часть технических рисков.

В случае с платежным шлюзом предельным уровнем аутсорсинга технологий является использование аппаратной составляющей (colocation/IaaS). В связи с тем, что в наше время необходимо иметь достаточно гибкую систему, сохраняя при этом определенный уровень контроля, использование большего уровня аутсорсинга (PaaS/SaaS) в случае платежного шлюза может быть только под какие-то срочные задачи. Например, при возникновении неожиданной высокой нагрузки на время.

Антон Краснопевцев, директор по продуктам Payler

Продолжение по ссылке.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Санкт-Петербург
http://www.it-grad.ru, Директор по маркетингу
+7 (812) 386-00-99
Информационные технологии

Более 10 лет на рынке IaaS России и СНГ

«ИТ-ГРАД» – крупнейший облачный провайдер в России и СНГ по версии CNews Analytics. Облачные услуги предоставляются на базе собственного оборудования, размещённого в дата-центрах уровня TIER III в Москве, Санкт-Петербурге и Алматы (Казахстан). Помимо базовых сервисов (виртуальные дата-центры, гибридные облака и резервное копирование), крупным корпоративным клиентам доступны услуги по аренде виртуальной системы хранения данных NetApp, созданию виртуальных дата-центров для размещения сертифицированных систем по стандарту PCI DSS, хранению и обработке персональных данных в соответствии с требованиями законодательства, а также ряд востребованных SaaS, PaaS и DaaS-сервисов, включая решения для корпоративной разработки ПО.

В конце 2018 года состоялась сделка, в результате которой облачные активы компании «ИТ-ГРАД» перешли в собственность ПАО МТС. В январе 2019 года крупнейший телекоммуникационный оператор и провайдер цифровых услуг представил концепцию «Объединенного облачного провайдера», в структуру которого вошли бренды #CloudМТС, «ИТ-ГРАД», 1Cloud.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>