Стандарт безопасности данных (DSS) индустрии платежных карт (PCI) - это стандарт информационной безопасности, разработанный для повышения безопасности данных держателей карт для организаций, которые хранят, обрабатывают или передают данные кредитных карт. Его основная цель состоит в том, чтобы уменьшить уязвимость информации о владельце карты и предотвратить мошенничество с кредитными картами путем усиления контроля над хранением, обработкой или передачей данных о владельце карты. Организации, которые поддерживают данные о среде держателей карт, включают в себя розничных продавцов, розничные филиалы любого бизнеса в любой отрасли, услуги онлайн-платежей, банки, выпускающие кредитные карты, и поставщиков услуг, которые предлагают онлайн-сервисы для обработки платежей.
Соответствие PCI DSS достигается путем удовлетворения минимального набора требований. В PCI DSS 3.0 существует около 300 требований, сгруппированных в 12 категорий.
Соответствие PCI DSS является обязательным для всех организаций, которые участвуют в хранении, обработке или передаче данных о держателях карт. Для достижения соответствия организации должны пройти оценку, которая проверяет все части сети, которые взаимодействуют со средой держателя карты. В некоторых областях Совет по стандартам безопасности PCI (SSC) очень предписывает тип технологий и продуктов, которые должны быть развернуты, и то, как они должны быть развернуты. В других областях не существует определенного предписанного подхода или структуры для реализации совместимой системы.
Сегментация сети
Среди методов разработки и реализации информационной безопасности, совместимой с PCI, сегментация сети стала лучшей практикой благодаря значительному влиянию на снижение стоимости и сложности соответствия PCI. Сегментация сети изолирует данные о держателях карт от конкретных серверов или областей сети, сужая область сети в соответствии с требованиями PCI DSS. В результате вы получаете значительное сокращение:
Расходы на оценку PCI DSS
- Затраты на соблюдение соблюдения и обслуживания
- Усилия, необходимые для разработки и применения политик безопасности
- Риск для организации в результате минимизации раскрытия данных о держателях карт и простоты управления сегментом
- Затраты на судебную экспертизу в случае инцидента безопасности из-за простоты обнаружения и исследования трафика
- Снижение стоимости и сложности сегментации сети приводит к созданию сети с высокой степенью защиты, что составляет лишь часть потенциальных затрат. Без сегментации сети
вся сеть находится в рамках аудита PCI и подвержена риску.