Preloader
Производитель
Решение
новости
Портфель компании представлен решениями ведущих мировых производителей программного обеспечения
Весь портфель решений Все производители
Дистрибуция решений по кибер-безопасности, развитию и оптимизации ИТ-технологий для организаций любого масштаба
Oberig IT держит руку на пульсе ИТ-мира и предлагает самые актуальные новости по кибер-безопасности
Связаться
  1. Главная
  2. Статьи
  3. PAM та PCI DSS v4.0
13 марта, 2024

PAM та PCI DSS v4.0

Подробности

Как управление привилегированным доступом может помочь в достижении соответствия требованиям PCI DSS

Стандарт безопасности данных индустрии платежных карт (PCI DSS) – это глобальный стандарт, который обеспечивает базовый уровень технических и операционных требований, предназначенных для защиты платежных данных. Он призван обеспечить безопасность всех компаний, которые принимают, обрабатывают, хранят или передают информацию о кредитных картах. Правила PCI DSS утверждены основными брендами кредитных карт и управляются Советом по стандартам безопасности индустрии платежных карт (PCI SSC), независимым органом, созданным этими брендами.

Примечание: Последняя версия PCI DSS – это версия 4.0, которая была выпущена Советом по стандартам безопасности PCI 31 марта 2022 года. 31 марта 2024 года она официально заменит предыдущую версию, PCI DSS 3.2.1.

Зачем нужно соответствие стандарту PCI DSS?

Соответствие стандарту безопасности данных индустрии платежных карт (PCI DSS) требуется любой организации или предприятию, работающему с данными о держателях карт, независимо от их размера и объема операций. К ним относятся:

  • Продавцы: Любой бизнес, принимающий кредитные или дебетовые карты в качестве формы оплаты, как в Интернете, так и в физическом магазине. Это относится ко всем торговым заведениям, независимо от их размера или количества транзакций, которые они обрабатывают.
  • Платежные процессоры: Компании, которые обрабатывают транзакции по кредитным или дебетовым картам от имени продавцов.
  • Поставщики услуг: Любые сторонние поставщики услуг, которые обрабатывают, обрабатывают, хранят или передают данные кредитных карт от имени другой организации. Сюда входят компании, предлагающие такие услуги, как хостинг, платежные шлюзы, хранение данных и обеспечение безопасности.
  • Финансовые учреждения: Банки, кредитные союзы и другие финансовые учреждения, которые выпускают дебетовые и кредитные карты или занимаются обработкой карточных платежей.
  • Платежные сети и карточные бренды: Основные бренды кредитных карт (Visa, MasterCard, American Express, Discover и JCB), входящие в Совет по стандартам безопасности PCI, также придерживаются этих стандартов.

Сфера применения требований PCI DSS

Сфера действия PCI DSS является одновременно конкретной и всеобъемлющей, охватывая широкий круг подразделений и систем в организации. Центральное место в этой области занимает среда данных о держателях карт (CDE), которая включает в себя все компоненты системы, персонал и процессы, которые хранят, обрабатывают или передают данные о держателях карт и конфиденциальные данные аутентификации. Помимо этих прямых взаимодействий, сфера охвата распространяется на любые системные компоненты с неограниченным доступом к CDE, независимо от того, работают ли они непосредственно с данными о держателях карт. Сюда входят различные сетевые устройства, серверы и вычислительные устройства, а также виртуальные и облачные компоненты, каждый из которых играет свою роль в обеспечении общей безопасности данных. Кроме того, PCI DSS применяется к любому компоненту или лицу, которые потенциально могут повлиять на безопасность CDE. Широкий характер этой сферы подчеркивает целостный подход PCI DSS, обеспечивающий безопасность и соответствие всем аспектам, связанным с данными держателей карт.

Стоит отметить, что объем оценки PCI DSS можно сократить с помощью сегментации, которая может быть достигнута путем создания выделенной и изолированной зоны сети специально для данных о держателях карт. Такой целенаправленный подход не только упрощает работу по соблюдению требований, но и обеспечивает экономическую выгоду, снижая как расходы на оценку, так и сложности, связанные с обеспечением соблюдения мер PCI DSS. Важно отметить, что любой компонент системы, который считается выходящим за рамки PCI DSS, должен быть строго отделен от среды данных о держателях карт (CDE). Это гарантирует, что даже если нарушение произойдет в этих областях, не входящих в сферу действия стандарта, безопасность CDE останется незатронутой.

12 требований PCI DSS

Требования PCI DSS – это конкретные рекомендации и меры безопасности, которым должны следовать организации для защиты данных о держателях карт. Эти требования включают в себя поддержание безопасной сети, защиту учетных данных, программу управления уязвимостями, внедрение строгих мер контроля доступа, регулярный мониторинг и тестирование сетей, а также разработку политики информационной безопасности. Существует 12 технических и операционных требований, объединенных в шесть основных целей:

 

PAM та PCI DSS v4.0

 

Этот базовый набор требований к защите данных счета может быть дополнен дополнительными мерами контроля и практиками для снижения рисков, включая соблюдение местных, региональных и отраслевых законов и правил. Кроме того, некоторые юридические или нормативные требования могут потребовать особых мер защиты личной информации или других типов данных, например имени владельца карты.

Подходы к внедрению и проверке PCI DSS

При внедрении и проверке PCI DSS существует в основном два подхода:

  1. Стандартизированный подход: Этот метод предполагает следование конкретным требованиям PCI DSS в том виде, в котором они изложены. Он прост и широко используется, особенно организациями, которые предпочитают четкую, основанную на руководствах стратегию обеспечения соответствия.
  2. Индивидуальный подход: Этот подход является более гибким и позволяет организациям адаптировать средства контроля безопасности к своим уникальным условиям, но также требует значительного первоначального планирования и подробной документации. Он лучше всего подходит для организаций с развитыми процессами управления рисками, демонстрирующими высокий уровень безопасности и возможностей управления рисками. Такие организации способны эффективно создавать, документировать, тестировать и поддерживать комплексные средства контроля безопасности, соответствующие поставленным целям. Этот подход не является универсальным решением, а предназначен для организаций, которые уже имеют прочные основы безопасности и могут разрабатывать и управлять передовыми мерами безопасности.

Выбор между этими подходами зависит от конкретных потребностей организации, ее возможностей и сложности среды обработки платежей. Стандартизированный подход предлагает более прямой путь к соблюдению требований, в то время как индивидуальный подход позволяет принимать более индивидуальные меры безопасности при условии, что организация обладает необходимым опытом и ресурсами.

Как управление привилегированным доступом может помочь в достижении соответствия PCI DSS

Теперь пришло время проанализировать области, в которых решения Privileged Access Management обычно могут помочь в достижении соответствия PCI DSS. Ниже приведены основные требования, на которые может повлиять PAM, и краткое описание того, как он может помочь:

Цель: Внедрение строгих мер контроля доступа

  • Требование 7: Ограничение доступа к данным о держателях карт по степени необходимости.

Как помогает PAM: PAM гарантирует, что доступ к критическим данным будет предоставляться строго по принципу наименьших привилегий, позволяя только необходимым сотрудникам получать доступ к конфиденциальным данным в соответствии с их ролями.

  • Требование 8: Идентификация пользователей и аутентификация доступа к компонентам системы

Как помогает PAM: Решения PAM управляют и контролируют доступ пользователей с помощью уникальной идентификации и надежных механизмов аутентификации, включая многофакторную аутентификацию. Это гарантирует, что только авторизованные пользователи могут получить доступ к компонентам системы, а все действия, выполняемые с критическими данными и системами, могут быть отслежены, что снижает риск несанкционированного доступа.

Цель: Регулярный мониторинг и тестирование сетей

  • Требование 10: Регистрация и мониторинг всего доступа к компонентам системы и данным держателей карт.

Как помогает PAM: Решения PAM отлично подходят для регистрации и мониторинга всех действий пользователей, особенно привилегированных учетных записей. Они отлично подходят для отслеживания и аудита доступа к сетевым ресурсам и конфиденциальным данным. Они регистрируют и отслеживают все действия привилегированных пользователей, что очень важно для обнаружения аномалий, проведения расследований безопасности и обеспечения соблюдения политик доступа.

  • Требование 11: Регулярное тестирование безопасности систем и сетей

Как помогает PAM: Решения PAM могут косвенно способствовать выполнению этого требования, поскольку их можно использовать для обнаружения сетевых вторжений и реагирования на них. PAM может играть определенную роль в регулярных аудитах и тестах безопасности для обеспечения эффективности.

Цель: Поддержание политики информационной безопасности

  • Требование 12: Поддержка информационной безопасности с помощью организационных политик и программ

Как помогает PAM: PAM может помочь внедрить и обеспечить соблюдение политик безопасности в отношении того, кто и при каких условиях может получить доступ к данным. Управляя и контролируя привилегированные учетные записи, PAM гарантирует, что только уполномоченный персонал имеет доступ к важным системам и данным в соответствии с политикой контроля доступа организации.

Всеобъемлющая спецификация PCI DSS охватывает широкий спектр аспектов безопасности платежных карт, выходящих за рамки возможностей только системы управления привилегированным доступом (PAM). Однако хорошо реализованное решение PAM играет решающую роль в выполнении многих критических требований, установленных PCI DSS. Таким образом, истинная ценность PAM заключается не только в обеспечении соответствия требованиям, но и в создании безопасной, бдительной и гибкой бизнес-среды. Важно помнить, что соблюдение стандарта безопасности данных индустрии платежных карт (PCI DSS) – это не просто разовая задача, а непрерывный процесс, направленный на поддержание и обеспечение безопасности данных о держателях карт.

Источник: PAM and PCI DSS v4.0

Решение по теме
Fudo Privileged Access Management
Fudo Privileged Access Management
Решение FUDO PAM (Privileged Access Management) выполняет мониторинг, контроль и запись сеансов привилегированного доступа к ИТ-инфраструктуре.
PAM
Будьте в курсе последних новостей и мероприятий Oberig IT
Свяжитесь с нами, если необходимо защитить бизнес или укрепить инфраструктуру вашей компании.
Свяжитесь с нами, если необходимо защитить бизнес или укрепить инфраструктуру вашей компании.
Связаться
Украина
+38 044 594-54-61
info.ua@oberig-it.com
г. Киев, ул. Николая Пимоненко 13, корпус 8С, офис 21/22, 04050
Казахстан
+7 701 221 3145
info.kz@oberig-it.com
г. Астана, ул. Кунаева 2, БЦ "ССС", 6 этаж, 010000
Молдова, Грузия, Армения, Румыния
+373 686 76535
md@oberig-it.com
Молдова, г. Кишинёв, ул. Колумна 174, MD2004
Азербайджан
+994 50 6826105
info.az@oberig-it.com
г. Баку, пр-кт Ходжалы 37, Demirchi Tower, 15 этаж, AZ1025
Польша
+48 505 379 949
info.eu@oberig-it.com
г. Люблин ул. Хуго Коллатая д.6, блок 3, 20-006
Узбекистан, Кыргызстан, Таджикистан, Туркменистан
+998 92 088 49 62
info.uz@oberig-it.com
Свяжитесь с нами
Обратная связь со спикером