W 2018 roku British Airways, największa brytyjska linia lotnicza, doświadczyła wycieku danych klientów na dużą skalę. Hakerzy ukradli dane kart płatniczych około 380 000 osób.
Aby ograniczyć ryzyko wycieku danych, opracowano certyfikat PCI DSS. Przeczytaj więcej o nim w naszym artykule.
Co to jest certyfikat PCI DSS?
PCI DSS to międzynarodowy standard regulujący bezpieczeństwo informacji o kartach kredytowych. Został opracowany w 2005 roku przez Radę ds. Standardów Bezpieczeństwa Branży Kart Płatniczych. Utworzenie Rady zainicjowały Visa, MasterCard, American Express, JCB i Discover. Zgodnie ze standardem firma akceptująca ich karty płatnicze musi posiadać certyfikat PCI DSS. Obowiązkowa certyfikacja weszła w życie w 2012 roku.
Na przykład każdego wieczoru kupujesz artykuły spożywcze w supermarkecie w pobliżu domu i płacisz kartą. Kto odpowiada za bezpieczeństwo danych? Supermarket czy bank, który zainstalował w nim terminal POS? Właściciel supermarketu pewnie myśli, że bank. Ale tak nie jest. Zapewnienie ochrony danych przed oszustwami i spełnienie wymagań standardu PCI DSS jest zadaniem właściciela supermarketu, ponieważ sklep przetwarza dużą liczbę transakcji, a Ty pokazujesz dane swojej karty, wpisujesz kod PIN. Dlatego nawet supermarket w pobliżu domu musi mieć certyfikat PCI DSS, nie mówiąc już o dużych bankach i firmach fintech.
Według CBR prawie wszyscy ukraińscy internauci dokonywali zakupów online
Kto powinien uzyskać certyfikat PCI DSS?
Wszelkie firmy handlowe i usługowe oraz usługodawcy przyjmujący, przekazujący lub przechowujący dane międzynarodowych kart użytkownika muszą posiadać certyfikat: podstawowy numer karty (PAN), imię i nazwisko posiadacza, okres ważności i kod serwisowy. W tym: banki, instytucje państwowe, e-commerce, retail, twórcy oprogramowania, operatorzy chmury itp.
W Ukrainie uzyskanie tego standardu nie jest regulowane przez prawo. Ale co roku pojawiają się projekty IT: bankowość elektroniczna i wirtualna, sklepy internetowe, a wraz z wprowadzeniem kwarantanny zaczął się aktywnie rozwijać handel internetowy. Kwestia zapewnienia cyberbezpieczeństwa jest dla nich najważniejsza, bo to przede wszystkim kwestia reputacji i statusu na rynku. Firmy, które nie posiadają tego certyfikatu, mogą nie chronić dobrze danych klientów. Stają się więc łatwym celem dla oszustów i to oni będą musieli zrekompensować klientom straty w razie incydentu.
Jako analogię można przywołać taki przykład: firma fintech bez PCI DSS to lekarz, który praktykuje bez licencji. Może przyjmować pacjentów bez niego, o ile nie zostanie ukarany grzywną. Ale będąc na miejscu pacjenta, czy chciałbyś być leczony przez takiego lekarza?
Poziomy certyfikatów PCI DSS
W zależności od liczby przetwarzanych transakcji płatniczych w ciągu roku przedsiębiorstwa handlowe i usługowe oraz usługodawcy mają własną klasyfikację.
Poziomy certyfikatów dla przedsiębiorstw handlowych i usługowych:
- Pierwszy to ponad 6 milionów transakcji płatniczych rocznie;
- Drugi – od 1 do 6 milionów;
- Trzeci – od 20 tysięcy do 1 miliona;
- Czwarty to od 20 000 transakcji płatniczych w handlu elektronicznym do 1 miliona za pomocą innych środków.
Poziomy certyfikatów dla usługodawców:
- Pierwszy to ponad 300 000 transakcji płatniczych;
- Drugi to mniej niż 300 tys.
Obecnie ponad 90% terminali handlowych na Ukrainie jest zbliżeniowych
Do czego dokładnie potrzebujesz certyfikatu PCI DSS?
Aby pomyślnie przejść certyfikację, firmy muszą zapewnić bezpieczeństwo płatności swoich klientów na trzech poziomach:
- fizyczny (bezpieczeństwo przechowywania sprzętu fizycznego)
- wirtualny (bezpieczeństwo infrastruktury wirtualnej);
- oprogramowanie (zabezpieczenia aplikacji płatniczych).
W efekcie firma otrzymuje jeden certyfikat obejmujący wszystkie trzy poziomy. Standard PCI DSS określa ścisłe i precyzyjne wymagania dotyczące bezpieczeństwa elementów infrastruktury. Składa się z sześciu stref kontrolnych i zawiera 12 podstawowych wymagań dotyczących przetwarzania i przesyłania danych krytycznych. Każde wymaganie jest podzielone na 20-30 bardziej szczegółowych. Średnio jest to 260 wymagań.
Ich realizacja przez firmę to długi, czasochłonny i kosztowny proces. Jednym ze sposobów rozwiązania tego problemu jest wykorzystanie technologii chmurowych. Firma może przenieść swoją aplikację płatniczą do infrastruktury chmurowej z certyfikatem PCI DSS. GigaCloud ma taki certyfikat wśród ukraińskich operatorów chmury. Taki sam certyfikat posiada centrum danych GigaCenter, w którym operator umieszcza swój sprzęt. Oznacza to, że kontaktując się z operatorem chmury, klient może zamknąć jednocześnie dwa poziomy: fizyczny i wirtualny.
Dwa obszary odpowiedzialności: operatora chmury i klienta
Operator odpowiada za audyt i certyfikację infrastruktury chmurowej. W jego obszarze odpowiedzialności:
- zarządzanie zaporami ogniowymi, dostępem osobistym, dostępem do sieci i danych;
- kontrola parametrów domyślnych;
- ochrona danych przed wirusami, szyfrowanie podczas transmisji;
- testowanie systemu ochrony;
- zapewnienie polityki bezpieczeństwa informacji.
Operator chmury udostępnia klientowi wirtualne odizolowane środowisko, do którego nie ma on dostępu. Klient samodzielnie instaluje w nim oprogramowanie, administruje swoją aplikację oraz konfiguruje dostęp. Operator zapewnia jedynie bezpieczeństwo środowiska wirtualnego. Zarówno operator, jak i klient są zobowiązani do poddawania się regularnym audytom i odnawiania certyfikatu. Jednak hosting w chmurze z PCI DSS upraszcza i przyspiesza proces uzyskiwania certyfikatu dla klienta.
Certyfikat PCI DSS zapewnia firmie:
- zdolność do spełnienia wymagań międzynarodowych systemów płatniczych;
- ograniczenie ryzyka związanego z ewentualnym wyciekiem płatności;
- stan niezawodności i stabilności.
Infrastruktura chmurowa ma wysokie wymagania w zakresie ochrony informacji, co jest trudne do osiągnięcia na własnej infrastrukturze
Zalety hostingu w chmurze
PCI DSS reguluje nie tyle bezpieczne przechowywanie sprzętu, co systemy, procedury i procesy biznesowe, które odpowiadają za bezpieczeństwo informacji.
Wszystkie zasoby techniczne: procesory, pamięć, przestrzeń dyskowa są wirtualne, można na nich zainstalować dowolne oprogramowanie. Jeśli klient potrzebuje dodatkowych zasobów technicznych, będzie mógł je pozyskać w krótkim czasie. Rozwiązania w chmurze zapewniają szybkie i niedrogie tworzenie kopii zapasowych i odzyskiwanie informacji. Nawet jeśli coś pójdzie nie tak, operator chmury zawsze ma plan B.
Migracja do infrastruktury chmurowej to szansa na stworzenie systemu, który będzie działał non stop 24/7.