Как НЕ надо внедрять систему защиты данных платежных карт

Дата: 14.09.2014
Автор: Екатерина Рублева, аналитик ООО "УЦСБ"

Предлагаем вашему вниманию поэтапный подход, который позволит достичь НЕсоответствия требованиям по защите данных платежных карт. Если в вашей организации реализованы предложенные рекомендации, стоит задуматься об эффективности существующей системы защиты информации.

2

 Ограничить хранение данных платежных карт

Никогда нельзя быть уверенным, что именно пригодится в работе, поэтому храните как можно больше самых разнообразных платежных данных, независимо от того, используете вы их или нет. По этой же причине выгодно хранить их максимально долго. Работникам службы технической поддержки удобнее хранить наиболее важные данные в файлике на рабочем столе – это обеспечит оперативное реагирование на звонки и повысит качество обслуживания клиентов.

 Защитить периметр, внутренние и беспроводные сети

Передав сетевую инфраструктуру на аутсорсинг, вы сможете эксплуатировать сеть, не заботясь о нюансах безопасной настройки. «Безграничного доверяйте» поставщику услуг и полностью делегируйте ему принятие всех решений. Каким образом поставщик будет обеспечивать защиту данных – уже не ваша забота, пусть сам выкручивается, как может.

 Обеспечить безопасность платежных приложений

Экономьте – сводите к минимуму количество используемых серверов и комплектуйте их платежными сервисами «до упора». И помните, «если работает, не трогай!». Раз система стабильно работала до сих пор, значит, простоит еще лет сто. По этой же причине не спешите переходить на современные дорогие банкоматы с новыми операционными системами. Несмотря на то, что Windows XP сняли с поддержки, вендоры старых банкоматов с большим удовольствием предложат вам купить решение, реализующее все компенсационные меры в лучшем виде.

 Обеспечить управление и контроль доступа к системам

Предоставьте доступ к среде платежных данных всем вашим работникам – это гарантирует непрерывность бизнеса, ведь даже уборщица сможет провести нужную транзакцию, пока ответственный работник пьет чай. При этом нужно ежедневно отслеживать, кто, когда и каким образом получает доступ к данным. Лучше всего с этой задачей справится охранник: вместо того, чтобы смотреть телевизор на рабочем месте, пусть лучше весь день анализирует события безопасности. Ведение журналов аудита и их централизованное хранение и вовсе вредно для бизнеса – оно только потребует дополнительного объема хранилища данных, а передаваемый трафик лишь забьет вашу сеть.

1

 Защитить хранимые данные платежных карт

Шифровать хранимые данные – дело, конечно, хорошее, но шифрование данных значительно снизит скорость работы с ними. А если вы вдруг потеряете ключи шифрования, то все ваши данные и вовсе станут бесполезными. Интересным вариантом для защиты станет использование дискового массива, например, RAID 5 – вам не придется ломать голову с ключами шифрования, а если злоумышленник украдет один диск, то всё равно прочитать информацию не сможет.

 Устранить оставшиеся несоответствия

Если вы уже выполнили большую часть работ и у вас есть функционирующая система защиты, а до прихода аудитора осталось время – самое время расслабиться и скачать типовые документы из сети Интернет. Пара часов, чтобы поменять название компании и фамилии ответственных – и готово! Если вы всё-таки решили самостоятельно подготовить документы, то разрабатывайте их отдельным пакетом – интеграция с существующей документацией будет лишней и только запутает аудиторов.

 Комментарий Капитана Очевидность: При самостоятельном внедрении системы защиты поэтапный подход позволяет эффективно снижать риски кражи данных платежных карт. Однако многие компании пренебрегают выполнением тех или иных требований и даже этапов, если это кажется им сложными или нецелесообразным.  При построении системы защиты мы обеспечиваем реализацию всех необходимых требований и предлагаем комплекс компенсационных мер для требований, которые не могут быть выполнены напрямую. Такой подход позволяет получить адекватную систему защиты, учитывающую специфику деятельности компании.

Екатерина Рублева
Аналитик
Департамента системной интеграции УЦСБ

Статья опубликована в журнале "Деловой квартал" №32 от 08.09.2014