Всем привет! Меня зовут Егор, в Selectel я аудитор по информационной безопасности. Мы предоставляем разные услуги — в том числе и облачный хостинг для клиентов из сфер экономики.
Нашими клиентами могут быть FinTech-компании: банки, платежные шлюзы и др. Они обязаны соблюдать требования отечественных и международных регуляторов информационной безопасности — а мы, как провайдер IT-инфраструктуры, должны им соответствовать. Расскажу, как это происходит.
История появления общих стандартов
До появления общих стандартов индустрии (PCI DSS, например) у каждой платежной системы были свои требования к компаниям, которые хотят обрабатывать операции. Для Visa это Visa Core Rules and Visa Product and Service Rules, для MasterCard — Mastercard Rules.
В документах содержатся требования, которые должны соблюдать участники и торгово-сервисные предприятия для того, чтобы принимать оплату банковскими картами этих платежных систем.
Совет PCI упрощает взаимодействие компаний с платежными системами. Он разработал общие требования для обработки карт всех систем, входящих в Совет или принимающих этот стандарт как подтверждение безопасности хранения и обработки платежных карт.
Подобные правила также были разработаны и для российской Национальной Системы Платежных Карт (НСПК) с картами «Мир». За нарушение правил могут последовать штрафы от 100 000 до 500 000 рублей за инцидент. При систематических нарушениях сумма увеличится. Также возможна приостановка права на проведение операций с картами «Мир» или полное отключение участника от платежной системы.
Необходимость выполнения требований не ограничивается только лишь участниками платежных систем и платежными шлюзами. Они касаются и поставщиков облачных услуг: провайдеры обязаны обеспечивать безопасность хранения, передачи и обработки карточных данных на всех уровнях инфраструктуры.
Аудиторы проверяют, соответствуют ли компании требованиям платежных систем.
Как проходит проверка по правилам платежной системы «МИР»
В разделе 2.1 «Требования к обеспечению защиты информации» сказано, что третьи лица, с которыми банк или платежный шлюз взаимодействует, должны выполнять требования PCI DSS. К взаимодействию относится обработка данных, их передача или хранение. Ориентироваться на регламенты должны и те, кто имеет возможность влиять на безопасность данных.
Само же подтверждение выполнения требований PCI DSS — это сертификационный аудит. Он проходит в пять этапов.
Шаг 1: выбираем аудиторскую компанию
Любой аудит начинается с выбора аудиторской компании, которая будет сертифицировать заказчика по стандарту PCI DSS. Важно, чтобы организация имела право проводить такой аудит. Чтобы не ошибиться с выбором, можно ориентироваться на перечень на сайте Совета PCI.
Шаг 2: подготавливаем команду к сертификационному аудиту и обсуждаем фронт работ с аудиторами
Необходимо провести первоначальную оценку внутри компании: для чего нужен аудит, какие бизнес-процессы готовы к аудиту и какие действия можно предпринять, чтобы максимально эффективно пройти процедуру. Когда компания определится с главными ответами, можно начать общение с аудиторской компанией по области работ, срокам и формату.
На этом же этапе приступают к сбору первых свидетельств по оценке соответствия PCI DSS в виде запроса документов от аудиторов.
Шаг 3: проходим сертификационный аудит
Аудитор и заказчик договариваются о формате работы — очном или заочном — и приступают к обсуждению ключевых вопросов. Проверяют сертифицируемые бизнес-процессы, инфраструктуру, ПО и ИБ, включая управление уязвимостями, обновлениями, рисками и конфигурациями, а также вопросы по безопасной разработке.
Шаг 4: собираем дополнительную информацию и исправляем найденные недостатки
После окончания предыдущего этапа команда аудиторов подготавливает дополнительный запрос информации по итогам аудита и готовит перечень недостатков к исправлению. Эти предписания отправляются заказчику — он должен взять замечания в работу и исправить их, а потом сообщить об этом аудиторам. Затем начинается подготовка отчетных документов.
Шаг 5: получаем отчетные документы
Исходя из самого стандарта PCI DSS, основными отчетными документами являются AoC (Attestation on Compliance) и RoC (Report on Compliance). В дополнение к ним многие аудиторские компании делают свои брендированные сертификаты, но они не имеют такой же силы.
- AoC — это документ, который кратко описывает бизнес-процессы компании, связанные с PCI DSS. Он включает в себя контактные данные компании, перечень применимых и неприменимых требований. Это основной документ, который подтверждает соответствие требованиям PCI DSS.
- Отчет RoC содержит более подробное описание инфраструктуры и бизнес-процессов, а также доказательства выполнения требований PCI DSS. Является необходимым документом для отчетности платежной системы и для внутреннего анализа самой компанией-заказчиком.
Когда и почему нужно проходить сертификационный аудит
Стандарт говорит, что проходить сертификационный аудит нужно перед началом работы с карточными данными или работы с клиентами, которые хотят обрабатывать, хранить или передавать карточные данные через вашу инфраструктуру. Эту же процедуру необходимо пройти, если вы предоставляете сервисы информационной безопасности и можете влиять на безопасность карточных данных клиента.
Подтверждать соответствие требованиям PCI DSS и проходить повторный аудит нужно каждый год. Или чаще: сразу после того, как в вашей инфраструктуре произошли критические изменения, например, добавились новые бизнес-процессы или изменения в архитектуре ПО.
Заключение
Требования платежных систем обязывают облачных провайдеров соответствовать PCI DSS для предоставления своих услуг финансовому сектору.
Для Selectel это означает прохождение ежегодного сертификационного аудита — сложный, но абсолютно необходимый процесс.
Соответствие PCI DSS — не просто формальность. Это гарантия для клиентов, что инфраструктура Selectel предоставляет надежный и безопасный фундамент. Мы поддерживаем соответствие требованиям в продуктах, помогаем снизить риски и ускорить прохождение аудита.
С подробным списком продуктов, которые соответствуют PCI DSS, и разграничением зон ответственности можно ознакомиться здесь.
