Безопасность данных по международному стандарту

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности данных в платежной индустрии, разработанный международными платежными системами. Он направлен на защиту данных платежных карт и обеспечение технологических решений для снижения риска кражи информации.

Каждая организация, взаимодействующая с платежными данными, должна обеспечить высокий уровень их безопасности, который зафиксирован в стандарте PCI DSS. Самостоятельно добиться надлежащего уровня защиты ИТ-инфраструктуры — сложная задача, требующая солидных инвестиций и экспертизы. Сократить расходы и трудозатраты поможет аренда соответствующей инфраструктуры. Аренда PCI DSS хостинга позволяет компаниям в Казахстане защититься от штрафов, напрямую работать с финансовыми учреждениями через платежные интерфейсы и сохранить платежные данные клиентов в безопасности.

Преимущества хостинга PCI DSS от ИТ-ГРАД

Аренда сертифицированной ИТ-инфраструктуры позволяет делегировать облачному провайдеру большую часть задач по организации защищенной инфраструктуры без забот о закупке оборудования в ЦОД и прохождения сертификации:

Возьмем на себя выполнение 7 из 12 разделов стандарта PCI DSS

Поможем пройти процедуры сертификации и соблюдения требований

Получить консультацию

Варианты реализации

PCI DSS Basic

Выполнение базовых требований стандарта PCI DSS. Подходит для организаций, обрабатывающих небольшое количество транзакций.

Готовый к использованию виртуальный дата-центр под ключ, соответствующий требованиям отраслевого стандарта PCI DSS
На стороне клиента — безопасное конфигурирование и хранение ДДК, защита от вредоносного ПО, шифрование БД, политика ИБ
Частичная реализация межсетевого экранирования и контроля доступа к сетевым ресурсам
Зоны ответственности сторон фиксируются документально в соответствующей матрице.

PCI DSS Advanced

Продвинутый формат услуги для клиентов, которым необходим повышенный уровень защиты инфраструктуры

Видеонаблюдение и высокий уровень контроля доступа к ИС и инфраструктуре
Регулярное резервное копирование дисков ВМ
Внедрение фаерволов и защиты от несанкционированного доступа любой сложности
Защита от вредоносного кода и ПО
Внедрение WAF
Организация доступа по VPN с двухфакторной аутентификацией

Зона частичной ответственности Клиента/ИТ-ГРАД

Зона ответственности Клиента

Зона ответственности ИТ-ГРАД

Basic (Виртуальный дата-центр или виртуальные серверы с PCI DSS)

Advanced (PCI DSS compliant инфраструктура)

1— межсетевое экранирование

2— безопасное конфигурирование

3— безопасное хранение ДДК

4— шифрование ДДК при передаче

5— защита от вредоносного ПО

6— безопасная разработка систем и приложений

7— ограничение доступа к ДДК

8— управление доступом к системным компонентам

9— ограничение физического доступа

10— контроль доступа к сетевым ресурсам и ДДК

11— тестирование систем и процессов ИБ

12— политика ИБ

Дополнительные сервисы

WAF

Защитный экран для веб-приложений на основе платформы WALLARM

Все решения

Антивирусная защита

Облачный сервис защиты виртуальных машин от вирусов и вредоносного кода

Все решения

DBaaS

Развертывание и администрирование надежных баз данных в отказоустойчивой среде VMware

Все решения

Наши клиенты

Частые вопросы

В этом разделе мы собрали актуальные ответы на частые вопросы об услуге. Если вы не нашли нужный ответ, отправьте вопрос через форму обратной связи, и наши специалисты ответят вам.

Хостинг с сертификацией PCI DSS нужен организациям, которые используют облачную инфраструктуру для хранения и обработки данных платежных карт. Хостинг помогает закрыть часть требований стандарта PCI DSS и снять вопросы, связанные с физическим доступом к серверам, видеонаблюдением и размещением межсетевых экранов.

Все требования стандарта можно поделить на несколько групп:

Создание и поддержка защищенной сети и систем
Защита данных держателей карт
Ведение программы по управлению уязвимостями
Внедрение строгих мер контроля доступа
Регулярный мониторинг и тестирование сети
Поддержание политики информационной безопасности

Частота проведения аудитов зависит от типа организации и объема обрабатываемых платежных данных. Обычно рекомендуется проводить аудиты не реже одного раза в год или после значительных изменений в инфраструктуре.

За несоответствие стандарту PCI DSS предусмотрены штрафы со стороны платежных систем. Размеры штрафов зависят от типа компании, объема транзакций и повторяемости нарушений. Также несоответствие стандарту может рассматриваться как нарушение законов о защите персональных данных, что влечет за собой применение соответствующих законодательных актов.

PCI DSS сертификат (Payment Card Industry Data Security Standard) разработан для защиты данных, связанных с платежными картами, и применяется ко всем организациям, которые обрабатывают, хранят или передают информацию о держателях карт. Соблюдение стандарта PCI DSS обязательно для всех организаций, работающих с платежными картами, включая банки, торговые точки, онлайн-магазины и процессинговые центры.