Как НКО пройти сертификацию PCI DSS - «Финансы»

«ВсеПлатежи», федеральный платежный сервис со статусом НКО, делится опытом сертификации своего платежного шлюза по стандарту PCI DSS.

PCI DSS — это стандарт международных платежных систем, разработанный Visa и Mastercard. Любой сервис, обрабатывающий данные банковских карт онлайн через свой сайт, должен отвечать требованиям данного стандарта и не имеет права работать без сертификата соответствия.

Наличие сертификата запрашивают эквайеры. Данные о сертификатах вносятся в реестр платежных систем, в том числе Visa и Mastercard

PCI DSS подтверждает, что данные держателей карт (ДДК) в системе хранятся безопасно и не передаются третьим сторонам, не учтенным в правилах международных платежных систем. Безопасное хранение ДДК подразумевает, что онлайн-инфраструктура сервиса не хранит критические данные карт, такие как код CVC2.

Наличие сертификата нередко запрашивают эквайеры. Данные о сертификатах вносятся в реестр платежных систем, в том числе Visa и Mastercard, после чего сервису необходимо ежегодно проходить процедуру верификации. Поэтому желательно за три месяца до истечения срока сертификата начать процесс его подтверждения заново, чтобы в какой-то момент не оказаться без сертификата, что фактически будет означать прекращение платежей.

Реестры выданных сертификатов PCI DSS доступны онлайн. Сертификат компании «ВсеПлатежи» доступен по ссылке.

В рамках процедуры подтверждения соответствия cтандарту PCI DSS платежный сервис проходит через один из двух уровней верификации. В рамках проверки первого уровня QSA-аудитор приезжает в организацию и проверяет все процессы лично.

Проверку второго уровня проходит большинство сервисов, относящихся к предприятиям микро-, малого и среднего бизнеса.

Этапы аудиторской проверки на уровне 2

Данный тип верификации проводится дистанционно и включает один подготовительный этап и две стадии аудита.

1. Подготовительный этап

На подготовительном этапе полный пакет документов пересылается аудитору. Аудитором выступает специалист, сертифицированный платежной системой, но не являющийся ее сотрудником. Аудитор должен обладать статусом QSA, дающим ему право производить проверку.

Перечень документов в рамках подготовительного этапа в других организациях может отличаться. Аудитор также запрашивает пакет регламентов и правил по обеспечению информационной безопасности в среде сертификации. Но это лишь одна часть пакета документов.
Помимо предоставления пакета регламентов по обеспечению ИБ необходимо предоставить еще ряд документов, который поможет аудитору оценить сертифицируемую область и провести аудит. Например, среди документов сервиса «ВсеПлатежи» были также:
– общее описание сертифицируемого бизнес-процесса и информационной инфраструктуры, обеспечивающей его работу;
– схема сети;
– перечень компонентов информационной инфраструктуры со всеми белыми IP, правилами межсетевых экранов и другими настройками внутри сертифицируемой области;
— перечень всех URL в среде сертифицирования и веб-форм, предназначенных для ввода ДДК, включая, в том числе, формы с клиентским дизайном;
– имеющиеся инструкции ко всем приложениям и API;
– перечень и описание ролей пользователей, существующих в каждом приложении.

Нужно учитывать, что стандарт PCI DSS меняется и совершенствуется с каждым годом

Также необходимо предоставить аудитору тестовый доступ во все описанные организацией приложения, формы и на границу сертифицированной области.

Сертификации подлежит та область, в рамках которой происходит обработка ДДК, в зависимости от специфики того или иного сервиса. В соответствии со стандартом PCI DSS, требуется максимально ограничивать область ДДК и отделять ее от всей технологической инфраструктуры.

Также нужно учитывать, что стандарт PCI DSS меняется и совершенствуется с каждым годом. В настоящее время действует версия стандарта PCI DSS 3.2.

2. Пен-тест

На данном этапе аудитору предоставляется доступ на границу платежного шлюза, где он начинает пен-тест (сокращение от слов penetration test, тест проникновения). Полностью процедура называется «Тестирование на наличие уязвимостей в сертифицируемой области». Тест производится как роботом в автоматическом режиме, так и аудитором вручную. Процедура занимает три-четыре недели, и по ее результатам онлайн-сервис получает отчет о найденных уязвимостях в сертифицируемой области. Найденные в системе изъяны необходимо устранить.

Несколько примеров уязвимостей:

1. 
   
2. В системе ни при каких обстоятельствах не должен храниться CVC2-код карты.
   
3. Полный номер карты не должен храниться в кэше или отображаться в немаскированном виде. Маскированный вид — это вид карты 6 х 4, допускающий отображение только первых шести цифр БИН-номера карты, и последних четырех цифр — проверочного кода карты.
   
4. Недопустима возможность подмены ссылок, а также необходимо отсутствие прямых ссылок на платежный шлюз извне. В рамках пен-теста аудитор разными способами проверяет, не сохраняются ли в системе CVC2-номера карт, а следовательно, защищены ли они от злоумышленников.
   

В соответствии с регламентами МПС раз в квартал сервис должен проводить ASV-сканирование. ASV, Approved Scanning Vendor — утвержденный поставщик сканирования. Это автоматизированная проверка всех точек подключения информационной инфраструктуры к сети Интернет на наличие уязвимостей. Услугу ASV-сканирования предоставляют компании, обладающие статусом PCI ASV.

Сервис «ВсеПлатежи» проводит ASV-сканирование ежедневно. Эту процедуру выполняет робот, помогающий обнаружить в автоматическом режиме различные уязвимости программного обеспечения, которые впоследствии устраняются техническими специалистами вручную. Например, версия протокола TLS 1.0 до 2011 года считалась безопасной. Но в сентябре 2011-го уязвимость TLS 1.0 была продемонстрирована публично, после чего эта версия протокола стала запрещена. Если онлайн-сервис использует устаревшую версию протокола TLS 1.0, ASV-сканер выявит уязвимость в этой области. 

При этом техническим специалистам онлайн-сервиса необходимо следить, чтобы при устранении одних уязвимостей не возникли новые.

3. Тестирование в режиме реального времени

Если пен-тест пройден успешно, сервис переходит к третьему этапу аудита, который проводится дистанционно в формате тестирования в режиме реального времени. При этом обязательно наличие видеотрансляции и возможности просмотра аудитором экрана рабочего стола. В данном этапе тестирования со стороны онлайн-сервиса принимают участие сотрудник, ответственный за внедрение правил безопасности PCI DSS, администратор баз данных, специалист по информационной безопасности и разработчики приложений. В рамках тестирования аудитор задает всем участникам ряд вопросов. Процедура занимает несколько часов. Результатом этого этапа становится выявление аудитором дополнительных данных, свидетельствующих об уровне безопасности.

Этот этап — самый сложный, поскольку никогда неизвестно заранее, какие именно вопросы будут заданы. Вот только часть из возможных тем:

• 
  
• процессы эквайринга и эмиссии в области аудита PCI DSS;
  
• вопросы управления информационной безопасностью;
  
• процесс распределения ролей и обязанностей;
  
• процессы обработки рисков информационной безопасности;
  
• сетевая инфраструктура эквайринга и эмиссии;
  
• сетевое оборудование;
  
• операционные системы, задействованные в процессах эквайринга и эмиссии;
  
• приложения, обрабатывающие данные платежных карт;
  
• базы данных, содержащие данные платежных карт.
  

А также многое другое из того, что касается работы платежного сервиса в рамках соответствия стандарту и обработки ДДК.

Процедура тестирования в режиме реального времени включает демонстрацию документов, регламентирующих права доступа в систему, в ходе видеотрансляции. Аудитор может попросить сделать фото или видео помещения, в котором находятся серверы, чтобы проверить, отвечает ли оно всем требованиям безопасности. Если тестирование в режиме реального времени не пройдено сразу, для него назначается новая дата, которая зависит от количества правок и времени на их исправление. Каждое повторное собеседование оплачивается дополнительно.

Если онлайн-сервис связан с приемом карточных платежей, сертификация PCI DSS для него не всегда обязательна

Совокупный размер затрат на прохождение онлайн-сервисом всех этапов сертификации PCI DSS составляет от 200 тысяч рублей. Для каждой сертифицируемой области требуется отдельное железо: сервера, хранилища, стойки. Среди сотрудников, обязательно участвующих в процессе прохождения сертификации,— администратор шлюза, разработчик шлюза и специалист по информационной безопасности. Каждому сотруднику, ответственному на своем участке за сертификацию PCI DSS, следует раз в год проходить обучение в соответствии с регулярно обновляемым стандартом, чтобы оставаться в курсе всех нововведений.

Документация, которая подробно описывает все аспекты сертификации PCI DSS сервисом «ВсеПлатежи», занимает 97 страниц. Документ называется «Анкета самооценки и подтверждение соответствия для поставщиков услуг». Там указаны необходимые настройки файрволла, технологии защиты пользовательских данных и передачи информации через интернет, порядок обновления антивирусных программ, отслеживания сетевого состояния и многое другое.

Однако если онлайн-сервис связан с приемом карточных платежей, сертификация PCI DSS для него не всегда обязательна. При таком подходе проект может воспользоваться сторонним платежным шлюзом, но для этого необходимо убедиться, что на вашей стороне нет приема и обработки ДДК.

Рассмотрим плюсы и минусы организации работы как через собственный, так и через сторонний платежный шлюз.

Плюсы при использовании своего платежного шлюза:

• 
  
• Возможность любой персонализации шлюза (внешний вид, юзабилити).
  

• 
  
• Возможность доработки и развития функционала (рекуррентные платежи, привязка карт, разные способы оплаты, уведомления и т. д.).
  
• Используя собственную разработку, сервис может подключить неограниченное количество банков-эквайеров. Это обеспечит и более выгодную ставку, и 100-процентную доступность.
  
• Если вы предоставляете свой шлюз, соответствующий стандарту PCI DSS, сторонним мерчантам, вы контролируете все бизнес-процессы.
  

Минусы при использовании своего платежного шлюза:

• 
  
• Сложная сертификация PCI DSS, требующая как профессиональных сотрудников и времени, так и финансовых вложений.
  
• Большие затраты на разработку и поддержание продукта.
  
• Полная ответственность за все происходящее, включая номера карт и финансы клиентов.
  

Плюсы при использовании чужого платежного шлюза:

• 
  
• Снижение рисков.
  
• Снижение трудозатрат.
  
• Можно практически сразу начать прием платежей и не ждать долгих согласований и прохождения процедуры соответствия PCI DSS.
  

Минусы при использовании чужого платежного шлюза:

• 
  
• Доступность, тонкие настройки, дизайн интерфейса и прочие параметры от сервиса не зависят.
  
• Из-за наличия дополнительных звеньев в цепочке ставка для конечного клиента становится больше.
  

Для многих работа с НКО или банком-партнером — оптимальное решение

Все вышеперечисленные тезисы свидетельствуют о том, насколько непростой является процедура проверки соответствия стандарту PCI DSS 3.2. И даже если платежный сервис пользуется своим шлюзом, а не чужим технологическим решением, у него могут возникнуть сложности, связанные с эквайрингом. В соответствии с федеральным законом «О национальной платежной системе» №161-ФЗ, принимать платежи в адрес своего юридического лица организация может только через банк или НКО. Но получение и сопровождение собственной лицензии — процесс еще более сложный, дорогой и трудозатратный, чем сертификация PCI DSS. Лицензию НКО, а тем более банка, могут позволить себе далеко не все игроки рынка. Поэтому для многих работа с НКО или банком-партнером — оптимальное решение.

Поэтому, для того чтобы проекту, принимающему платежи онлайн, выбрать наиболее оптимальную бизнес-модель, стоит учесть все нюансы обеспечения соответствия его технологической платежной инфраструктуры PCI DSS или же наладить работу со сторонним партнерским решением. Cертификат компании «ВсеПлатежи» можно посмотреть  по ссылке.