Цели и изисквания на PCI стандарта
Както споменахме в началото, Стандарта се основава на шест основни цели, разширени в дванадесет изисквания и подробно детайлизирани в над двеста под-изисквания.
Ето основните изисквания на PCI DSS:
- Изграждане и поддържане на сигурна мрежа
• Инсталиране и поддържане на firewall настройки за защита на информацията
• Промяна на настройките по сигурността, предоставени от производителя - Защита на информацията на банковите карти
• Защита на записаната информацията от банковате карти
• Криптиране на информацията от банковите карти при пренасяне през публични интернет мрежи
- Поддържане на програма по управление на уязвимости
• Ползване и редовно ъпдейтване на антивирусна програма
• Изграждане и поддържане на сигурни системи и приложения - Прилагане на строги мерки по контрола на достъпа
• Ограничаване на достъпа само до необходимата информация
• Прикачване на уникален ID номер за всяко лице с компютърен достъп
• Ограничаване на физическия достъп до информацията от банковите карти - Постоянен мониторинг и тестване на мрежите
• Проследяване и мониторинг на целия достъп до мрежовите ресурси
• Редовно тестване сигурността на системите и процесите - Поддържане на политика за сигурността на информацията
• Изграждане и поддържане на политика, която разяснява сигурността на информацията
Когато говорим за изискванията към доставчиците на споделен хостинг ще имате възможност да се запознаете с детайлният подход на Стандарта в под-изискванията.
PCI инструменти
Споменахме, че петте банки основателки на съвета са постигнали съгласие и са приели общи инструменти, чрез които да се осъществи на практика прилагането на стандарта и доказването на съвместимост.
Ето и кратко описание на тези инструменти:
Qualified Security Assessor (QSA) - лицензиран консултант
Лицензираният консултант извършва всички необходими процедури по проверка и удостоверяване на съвместимост на системата с PCI стандарта.
На сайта на PCI съвета е публикуван списък с лицензираните компании (QSAC).
Approved Scanning Vendor (ASV) - лицензирана компания за сканиране
Външно мрежово сканиране се извършва чрез инструменти за достъп, създадени и използвани от ASV. Сканирането се извършва през определени периоди и докладите от него се изискват при издаване или подновяване на сертификата за PCI съвместимост.
На сайта на PCI съвета е публикуван списък с лицензираните ASV компании.
Self-Assessment Questionnaire (SAQ) - въпросник за самооценка
За по- голямата част от търговците SAQ е инструмента, който удостоверява PCI съвместимост. За да се улесни процеса на удостоверяване са създадени пет вида SAQ в зависимост от начините, по които се приемат плащанията.
На сайта на PCI съвета са публикувани всички въпросници SAQ.
Report On Compliance (ROC) - доклад за PCI съвместимост
Изпраща се заедно с SAQ докладите на банката притежател на правата на картата или на търговската банка.
PCI нива според годишен брой транзакции
В зависимост от броя на транзакциите за период от една година, PCI стандарта различава и дефинира начина на доказване на съвместимост като за компаниите с най-голям брой транзакции изискванията съответно са най-строги.
Ниво 1: Повече от 6 милиона транзакции годишно.
Изискване: Годишна оценка на сигурността от QSA и сканиране на мрежата на три месеца.
Ниво 2: От 1 до 6 милиона транзакции годишно.
Изискване: Годишна самооценка SAQ на сигурността на информацията и сканиране на мрежата на три месеца.
Ниво 3: 20,000 до 1 милион e-commerce транзакции годишно. Изискване: Годишна самооценка SAQ на сигурността и сканиране на мрежата на три месеца.
Ниво 4: По-малко от 20,000 e-commerce транзакции годишно и до 1 милион Visa транзакции годишно.
Изискване: Самооценка SAQ на сигурността и сканиране на мрежата веднъж в годината.
В следващата и последна от поредицата статии ще говорим за изискванията на PCI стандарта към компаниите, предлагащи споделен хостинг.