Что такое PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт защиты информации о банковских картах, разработанный платежными системами VISA и MasterCard. Фактически это набор правил, которым должен соответствовать любой ресурс (в том числе сайт, интернет-магазин), на котором принимается оплата банковскими картами. Подробнее о стандарте и требованиях:

http://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
http://ru.wikipedia.org/wiki/PCI_DSS

Сертификация PCI DSS

Требования PCI DSS распространяются на все компании, которые принимают платежи банковскими картами VISA и MasterCard, поэтому, если в вашем интернет-магазине, созданном на основе Shop-Script, вы принимаете такие платежи, внимательно прочтите эту статью — возможно, вам необходимо пройти сертификацию по PCI DSS.

В каких случаях необходима сертификация на соответствие требованиям PCI DSS:

• Нужно, если на вашем сайте (или ином ресурсе, принадлежащим вашей компании) у покупателя запрашивается информация о банковских картах или каким-то другим образом данные о картах клиентов хранятся, обрабатываются или передаются вашим интернет-сайтом.
• Не нужно, если через ваш сайт не проходит информация с данными банковских картах клиентов. Например, если для оплаты заказа клиент переходит на сервер платежной системы (т. е. фактически покидает ваш сайт), чтобы ввести данные своей карты. В этом случае именно платежная система обязана пройти сертификацию по правилам PCI DSS, но не ваш сайт.
• Не нужно, если вы не принимаете платежи банковскими картами на своем сайте.

Если ваша деятельность попадает под сферу действия стандарта PCI DSS и вы решите не проходить сертификацию, к вашей компании могут быть применены санкции в виде денежных штрафов со стороны платежных систем VISA и MasterCard.

Сертификацию проводят аудиторские компании — QSA (Qualified Security Assessors). Список аккредитованных компаний опубликован на сайте стандарта PCI DSS по адресу http://www.pcisecuritystandards.org/qsa_asv/find_one.shtml.

Удовлетворять требованиям PCI DSS не означает автоматически быть сертифицированным. Это необходимое условие, но не достаточное. Процесс сертификации все равно необходимо пройти, если информация о банковских картах хранится, обрабатывается или передается вашим интернет-магазином.

Модули приема платежей в Shop-Script

Платежные модули интеграции с электронными платежными системами (например, WebMoney, Яндекс.Деньги и другими) не попадают под требования PCI DSS. Стандарт PCI DSS применяется только к платежам банковскими картами, поэтому сертификация необходима, только если вы принимаете оплату на сайте таким способом.

По принципу работы все модули приема платежей банковскими картами в Shop-Script можно разделить на два типа — в зависимости от того, какого рода API предоставляет соответствующая платежная система:

1. Модули, при использовании которых информация о банковской карте покупателя запрашивается на специальной странице сайта платежной системы, а не в вашем интернет-магазине. Использование таких модулей не требует сертификации по правилам PCI DSS, потому что потенциально уязвимая информация о банковских картах (номер карты, имя владельца и прочее) вводится покупателем не на вашем сайте, а на сайте платежной системы. Необходимость сертификации в этом случае ложится на платежную систему. Для простоты назовем эти модули «безопасными».
2. Модули, при использовании которых информация о банковской карте вводится покупателем во время оформления заказа на странице вашего интернет-магазина. В таком случае потенциально уязвимая информация проходит через ваш сайт, а также сохраняется в базе данных магазина (это справедливо только для некоторых модулей, например, для модуля ручной обработки кредитных карт). Для простоты назовем эти модули «опасными».

Требование сертификации распространяется на ваш интернет-магазин, только если вы используете «опасные» модули приема платежей банковскими картами.

Мы рекомендуем вам рассмотреть возможность использования только «безопасных» модулей, чтобы избежать необходимости проходить сертификацию. Если это невозможно, то вашей компании необходимо пройти сертификацию по правилам PCI DSS, чтобы избежать штрафных санкций со стороны платежных систем.

С 15 октября 2010 в дистрибутиве скриптов и в веб-сервисе Shop-Script содержатся только «безопасные» модули, а все «опасные» модули доступны для загрузки по отдельности на странице http://old.webasyst.ru/shop/features/integrations.html.

Внешнее сканирование уязвимостей (Approved Scanning Vendor – ASV)

Цель: Выполнение заказчиком требования 11.2 PCI DSS в части внешних сканирований уязвимостей.Внешние сканирования систем и сервисов, хранящих, обрабатывающих, передающих данныеплатежных карт, должны выполняться ежеквартально, либо после значительных модернизацийинфраструктуры. В качестве провайдеров сканирования должны привлекаться исключительноорганизации, имеющие статус «Уполномоченный провайдер сканирования» (Approved ScanningVendor – ASV), присвоенный PCI SSC. Отчет о выполненном внешнем сканировании уязвимостей,подтверждающий отсутствие уязвимостей высокого и среднего риска, является обязательнымдокументом для подтверждения организацией своего соответствия требованиям PCI DSS.

Внешнее сканирование уязвимостей осуществляется через Интернет. Перед выполнениемпервого сканирования Заказчику необходимо внедрить сегментацию сети и отделить (физическии/или логически) системы и сервисы, относящиеся к области действия стандарта PCI DSS, от прочей ИТ-инфраструктуры.

Сертификация PCI DSS: все, что нужно знать

Исходными данными для сканера являются внешние IP-адреса, черезкоторые системы Заказчика, задействованные в обработке данных платежных карт, «видимы» изИнтернет. По окончании сканирования Заказчик получает отчет, содержащий переченьуязвимостей, найденных сканером в его инфраструктуре.Отчет содержит развернутую информацию по каждой найденной уязвимости, включая уровеньриска, статус PCI, CVSS-оценку, семейство, развернутое описание, CVE-код, способ устранения имногое другое. Отчет будет иметь статус «Не соответствует» требованиям PCI, если он содержитхотя бы одну уязвимость со статусом PCI «Не соответствует».

Для получения отчета со статусом «Соответствует», необходимо устранить все уязвимости,наличие которых недопустимо с точки зрения PCI. Устранение уязвимостей выполняетсяЗаказчиком самостоятельно. После устранения всех или части выполняется пересканирование,чтобы убедиться в том, что уязвимости действительно устранены. Цикл повторяется до тех пор,пока не будут устранены все уязвимости и не будет получен отчет со статусом «Соответствует»требованиям PCI. Отчет действует в течение 90 дней, до окончания это периода должен бытьвыполнен новый цикл сканирования.Услуга включает:

• Абонентское обслуживание в течение одного года с предоставлением до четырех отчетов со
• статусом «Соответствует» требованиям PCI,
• Выполнение сканирований в день поступления заявки, предоставление отчета не позднее
• следующего рабочего дня,
• Количество пересканирований (отчетов со статусом «Не соответствует») неограниченно и входит
• в стоимость услуги.

Системы поддержки принятия решений (СППР, DSS, Decision Support System) возникли в начале 70-х 20 столетия благодаря развитию управленческих информационных систем и успехам в создании систем искусственного интеллекта. На развитие СППР важное влияние оказали достижения в области информационных технологий, в частности телекоммуникационные сети, персональные компьютеры, динамические электронные таблицы, экспертные системы. Системы подобного класса основаны на технологиях искусственного интеллекта, как правило, не входят в состав интегрированных систем управления предприятием, а являются разработками третьих фирм.

Представляют собой системы, разработанные для поддержки процессов принятия решений в сложных мало структурированных ситуациях, связанных с разработкой и принятием решений. Главной особенностью информационной технологии поддержки принятия решений является качественно новый метод организации взаимодействия человека и компьютера. Выработка решения, что является основной целью этой технологии, происходит в результате итерационного процесса, изображенного на рисунке, в котором участвуют:

• система поддержки принятия решений в роли вычислительного звена и объекта управления;
• человек как управляющее звено, задающее входные данные и оценивающее полученный результат вычислений на компьютере.

Окончание итерационного процесса происходит по воле человека.

Как НКО пройти сертификацию PCI DSS

В этом случае можно говорить о способности информационной системы совместно с пользователем создавать новую информацию для принятия решений.

СППР могут включать в себя ситуационные центры, средства многомерного анализа данных и прочие инструменты аналитической, позволяют моделировать правила и стратегии бизнеса и иметь интеллектуальный доступ к неструктурированной информации. Используемые на этом уровне специальные математические методы позволяют прогнозировать динамику различных показателей, анализировать затраты по разным видам деятельности, уяснять их детальную структуру, формировать подробные бюджеты по разным схемам.

До сих пор нет единого определения СППР, в качестве примера можно привести следующие:

• Это наиболее мощный представитель класса аналитических систем ориентированный на:
  • Анализа больших массивов данных,
  • на выполнение более сложных запросов,
  • моделирование процессов предметной области,
  • прогнозирование,
  • нахождение зависимостей между данными
  • для проведения анализа "что если"
• Это интерактивная прикладная система, которая обеспечивает конечным пользователям, принимающим решение, легкий и удобный доступ к данным и моделям с целью принятия решений в слабоструктурированных и неструктурированных ситуациях в разных областях человеческой деятельности
• Это такие системы, которые основываются на использовании моделей и процедур обработки данных и мыслей, которые помогают принимать решение
• это интерактивные автоматизированные системы, которые помогают лицам, принимающим решение, использовать данные и модели для решения неструктурованных и слабоструктурованых проблем
• это компьютерная информационная система, используемая для поддержки разных видов деятельности во время принятия решений в ситуациях, когда невозможно или нежелательно иметь автоматическую систему, полностью выполняющую весь процесс решений
• это многоуровневая многофункциональная автоматизированная система выработки и реализации решений, которая формируется на основе:
  • синтеза функциональных и структурных схем отдельных звеньев объекта;
  • сквозных моделей и задач по стадиям жизненного цикла изделия и самого объекта;
  • объединения разрозненных локальных подсистем в единую систему управления;
  • создания взаимосвязанных контуров управления и усиления роли оперативного управления (для изучения логики и диагностики их течения);
  • углубления системного и программно-целевого подхода к планированию и автоматического анализа работы объекта;
  • развития единых сквозных норм и нормативов;
  • создания разветвленной АРМ (как интеллектуальных терминалов), обеспечения программных взаимосвязей, согласования информации и диалога.

DSS — СППР

DSS – это человеко-машинный вычислительный комплекс, ориентированный на анализ данных и обеспечивающий получение информации, необходимой для принятия решений в сфере управления. Такое разнообразие определений отображает широкий диапазон разных типов СППР. Но практически все виды этих компьютерных систем характеризуются четкой структурой, которая содержит три главных компонента, которые составляют основу классической структуры СППР, отличающей ее от других типов ИС:

3 компонента — основа классической структуры СППР

• интерфейса пользователя, который дает возможность лицу, которое имеет право принимать решения, проводить диалог с системой, используя разные программы ввода, форматы и технологии вывода;
• подсистемы, предназначенной для сохранения, управления, выбора, отображения и анализа данных;
• подсистемы, которая содержит набор моделей для обеспечения ответов на множество запросов пользователей, для аналитических задач.

Единый формат оформления пристатейных библиографических списков в соответствии с ГОСТ Р 7.05-2008 «Библиографическая ссылка» (Примеры оформления ссылок и пристатейных списков литературы)

Авторефераты

Глухов В.А. Исследование, разработка и построение системы электронной доставки документов в библиотеке: Автореф. дис. … канд. техн. наук. — Новосибирск, 2000. — 18 с.

Аналитические обзоры

Экономика и политика России и государств ближнего зарубежья : аналит. обзор, апр. 2007, Рос. акад. наук, Ин-т мировой экономики и междунар. отношений. — М.: ИМЭМО, 2007. — 39 с.

Диссертации

Фенухин В.И. Этнополитические конфликты в современной России: на примере Северо-Кавказкого региона : дис. … канд. полит. наук. — М., 2002. — С.54—55.

Интернет-документы:

Официальные периодические издания : электронный путеводитель / Рос. нац. б-ка, Центр правовой информации. — [СПб], / [Электронный ресурс]. — Режим доступа: URL: http://www.nlr.ru/lawcrnter/izd/index.html (дата обращения: 18.01.2007).
Логинова Л.Г. Сущность результата дополнительного образования детей // Образование: исследовано в мире: междунар. науч. пед. интернет-журн. 21.10.03. / [Электронный ресурс]. — Режим доступа: URL: http://www.oim.ru/reader.asp?nomer=366 (дата обращения: 17.04.07).
Рынок тренингов Новосибирска: своя игра / [Электронный ресурс]. – Режим доступа: http://nsk.adme.ru/news/2006/07/03/2121.html (дата обращения: 17.10.08).
Литчфорд Е.У. С Белой Армией по Сибири: Восточный фронт армии Генерала А.В. Колчака / [Электронный ресурс]. – Режим доступа: URL: http://east-front.narod.ru/memo/latchford.htm (дата обращения: 23.08.2007).

Материалы конференций

Археология: история и перспективы: сб. ст. Первой межрегиональной конф. — Ярославль, 2003. — 350 с.
Марьинских Д.М. Разработка ландшафтного плана как необходимое условие устойчивого развития города (на примере Тюмени) // Экология ландшафта и планирование землепользования: тезисы докл. Всерос. конф. (Иркутск, 11—12 сент. 2000 г.). – Новосибирск, 2000. — С.125—128.

Монографии:

Тарасова В.И. Политическая история Латинской Америки : учеб. для вузов. – М.: Проспект, 2006. – С.305–412.

Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. 5-е изд., перераб. и доп. — М.: ИНФРА-М, 2006. — 494 с.

Если авторов четыре и более, то заголовок не применяют (ГОСТ 7.80-2000)

Патенты:

Патент РФ № 2000130511/28, 04.12.2000.
Оптико-электронный аппарат // Патент России № 2122745. 1998. Бюл. № 33. / Еськов Д.Н., Бонштедт Б.Э., Корешев С.Н. [и др.].

Статья из журналов или сборников:

Адорно Т.В. К логике социальных наук // Вопр. философии. – 1992. – №10. – С. 76–86.
Crawford P.J. The reference librarian and the business professor: a strategic alliance that works / P.J. Crawford, T.P.

PCI DSS и Shop-Script

Barrett // Ref. Libr. – 1997. Vol. 3. № 58. – P.75–85.

Заголовок записи в ссылке может содержать имена одного, двух или трех авторов документа. Имена авторов, указанные в заголовке, могут не повторяться в сведениях об ответственности.

Crawford P.J., Barrett T.P. The reference librarian and the business professor: a strategic alliance that works // Ref. Libr. 1997. Vol. 3. № 58. P.75–85.

Если авторов четыре или более, то заголовок не применяют (ГОСТ 7.80-2000):

Корнилов В.И. Турбулентный пограничный слой на теле вращения при периодическом вдуве/отсосе // Теплофизика и аэромеханика. – 2006. – Т. 13, — №3. – С. 369–385.
Кузнецов А.Ю. Консорциум – механизм организации подписки на электронные ресурсы // Российский фонд фундаментальных исследований: десять лет служения российской науке. – М.: Науч. мир, 2003. – С.340–342.

Электронный ресурс:

Художественная энциклопедия зарубежного классического искусства / [Электронный ресурс]. – М. : Большая Рос. энцикл. [и др.], 1996. – 1 электрон. опт. диск (CD-ROM).

PCI DSS

Стандарт PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) – международный стандарт в области безопасности данных индустрии платежных карт.

Сертификация PCI DSS

Разработка, совершенствование и распространение PCI DSS осуществляется Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council), организованным крупнейшими международными платежными системами American Express, Discover Financial Services, JCB International, MasterCard и Visa, Inc.

Заказать услугу аудита на соответствие требованиям стандарта PCI DSS

Стандарт PCI DSS определяет основные требования по обеспечению информационной безопасности и распространяется на все системы, вовлеченные в процессы передачи, хранения и/или обработки данных держателей карт международных платежных систем.

Требования PCI DSS разделены на 6 тем, определяющих основные принципы стандарта, такие как:

• построение и обслуживание защищенной сети и систем;
• защита данных держателей карт;
• управление уязвимостями;
• внедрение строгих мер контроля доступа;
• регулярный мониторинг и тестирование сети;
• поддержка политики информационной безопасности.

Соответствие требованиям стандарта Payment Card Industry Data Security Standard необходимо для работы с международными платежными системами.

В зависимости от количества транзакций в организации может быть выполнена самооценка либо сертификационный аудит PCI DSS с участием QSA аудитора.

Статус QSA- Payment Card Industry Qualified Security Assessor (PCI QSA) — позволяет проводить работы по сертификационному аудиту на соответствие требованиям стандарта PCI DSS.

ДиалогНаука обладает соответствующими компетенциями, чтобы помочь в достижении соответствия и получению сертификата PCI DSS, и аккредитована на проведение работ по PCI DSS на территории CEMEA (Центральная Европа, Ближний Восток и Африка). В компании работают несколько квалифицированных QSA аудиторов, имеющих большой опыт выполнения проектов по данному направлению.

В ноябре 2014 года вышла третья версия стандарта PCI DSS 3.0, которая вступит в полную силу с 30 июня 2015. Последняя версия стандарта PCI DSS на русском уже утверждена, в качестве официального перевода, Советом по стандартам безопасности данных индустрии платежных.

Предварительный аудит PCI DSS

Основной целью предварительного аудита PCI DSS является выявление текущего уровня соответствия организации стандарту PCI DSS.

В рамках предварительно аудита PCI DSS проводится анализ существующей организационно-распорядительной документации, интервьюирование персонала, проверки и наблюдения.

Результаты проведения работ дают возможность оценить состояние защищенности информационных систем, входящих в среду данных держателей платежных карт, а также эффективность организации процессов обеспечения безопасности данных.

По итогам анализа собранной информации в ходе предварительного аудита PCI DSS разрабатываются рекомендации по приведению организации в соответствие стандарту, которые охватывают все требования PCI DSS.

Внедрение PCI DSS

Внедрение PCI DSS 3.0 позволит организации снизить риски компрометации данных и формализовать процессы обеспечения информационной безопасности. Для этого используется комплексный подход, включающий детальные рекомендации по реализации комплекса организационных мер и программно-технических средств.

Во время внедрения PCI DSS в организации основной целью ставится выполнение требований стандарта, для этого могут проводиться:

• ASV – сканирование;
• внутреннее сканирование уязвимостей;
• приведение нормативной базы документов в соответствие требованиям стандарта PCI DSS;
• оценка рисков;
• внешний и внутренний тесты на проникновение;
• разработка технического проекта на систему защиты информации;
• внедрение средств защиты информации;
• обучение персонала организации.

Сертификация PCI DSS

Сертификационной аудит PCI DSS является заключительным этапом в оценке соответствия требованиям PCI DSS, в случае успешного прохождения которого осуществляется демонстрация соответствия организации международным платежным системам.

Сертификация PCI DSS включает в себя оценку организационного и технического подходов к обеспечению информационной безопасности и учитывает результаты сканирований, тестов на проникновение и оценки рисков.

Основной целью сертификационного аудита является подтверждение соответствия требованиям стандарта PCI DSS и получение сертификата PCI DSS (сертификация PCI DSS).

Сертификат PCI DSS является подтверждением высокого уровня защищенности данных, отвечающего международным требованиям безопасности карточных данных.