/写真HåkanDahlströmCC
最近、私たちはロシアとカザフスタンの電子決済市場の50人の重要なプレーヤーの間で調査を実施しました。 最大の支払いシステムは、PCI DSS認定のメリットについて説明しました。
PCI DSS標準は、Payment Card Industry Security Standards Councilによって開発されました。 支払いカードデータのセキュリティに関連する組織の要件を定義します。
合計で、この標準には 12の要件が含まれており、6つのカテゴリに分類されています。
ネットワークセキュリティサポート
- コンピューターネットワークの保護とファイアウォールの設定。
- ネットワーク機器の標準設定を変更します。
データ保護
- カード所有者の保存データの保護。
- カード所有者の送信データの保護と暗号化。
脆弱性管理
- ウイルス対策プログラムのインストールと定期的な更新。
- 情報セキュリティシステムの開発とサポート。
アクセス制御
- カード会員データへのアクセスの制限。
- 認証メカニズムの実装。
- 情報インフラストラクチャへの物理的アクセスの制限。
ネットワーク監視
- イベントとアクションのログ。
- 情報セキュリティシステムの定期的なチェック。
情報セキュリティ管理
- 情報セキュリティ管理。
合計で、標準は約440の検証手順に合格する必要があります。
PCI DSSの利点
PCI DSS認定の利点は、画像ベースと技術の2つのカテゴリに分類できます。 技術的な観点から見ると、PCI DSSは顧客データの安全性と、外部の脅威であるウイルスやDDoS攻撃に対するサービスの安定性を保証する役割を果たします。
さらに、サイバー犯罪者によるカードデータの盗難の試みに対する保護により、関連する損失や罰金を回避できます。
/写真Anders.Bachmann CC
「過去2年間で、ハッカーが顧客のデータを解読しようとする試みの数は増加しており、証明書の要件を完全に順守することは頭痛の激しさを軽減するのに役立ちます」 と IntellectMoneyコマーシャルディレクターのDmitry Popov 氏は述べています。 「さらに、ページにPCI DSSマークが表示されているユーザーは、成功した支払いの大きな転換を示しています。」
画像コンポーネントもあります。 サイバーセキュリティから遠く離れた人がPCI DSSアイコンを見ると、それは追加の保護レベル(有効なSSL証明書に類似)として認識されます。 したがって、証明書は、潜在的な企業顧客がコンバージョンファンネルに「ジャンプ」するよう説得することを可能にする別の引数になります。
PCI DSS規格への準拠の監査に合格したという事実は、同社の顧客に非常に高いレベルのカードデータセキュリティを示しています。 さらに、PCI DSSは、情報セキュリティ担当者が努力する必要がある知識と基準を構築します。
したがって、この標準への準拠は、単なる正式な手順ではなく、支払い方法を使用して顧客に関するデータを処理および転送するセキュリティの問題です。 PCI DSSの導入により、国際的なベストプラクティスに参加し、ビジネスプロセスを合理化し、会社の評判を向上させることができます。これにより、多くの場合、新しい市場への道が開かれます。
PCI DSSホスティング
PCI DSSコンプライアンスの監査は、主に定期的に行われます。 一部の企業は、最初の準備で特定の困難に直面するため、認定コンサルタントを集めて、ドキュメントの開発とアーキテクチャの作成を支援しています(認定プロセスの詳細については、ブログをご覧ください)。
電子決済システムの市場参加者は、PCI DSS標準の導入は時間とお金を必要とする骨の折れる作業であることに同意します。そのため、認証プロセスを促進するために、ほとんどの企業は標準の要件の一部を満たすタスクを引き受けるサプライヤーのサービスを使用しています。 調査によると、電子決済市場の参加者の77%が認定サプライヤーのサービスを利用しています。
これは、PCI DSS要件を実装する責任の一部を外部企業に移すことで、作業が大幅に簡素化されるためです。 現時点でロシアで最も一般的なサービスは、公認のデータセンターでラックまたは個々のユニットをレンタルする物理的な配置またはコロケーションです。
しかし、これらすべてにより、物理的な配置から、より高いレベルの責任移転-レンタルサーバーインフラストラクチャ(IaaS)への段階的な移行に向かう傾向があります。
「必要な専門知識と保証されたリソースを備えた認定サプライヤを使用すると、作業がはるかに簡単になります。 InPlatのテクニカルディレクターであるDmitry Telenovは、 次のように述べています。
より高いレベルのアウトソーシングは、いわゆるマネージドサービス、またはMSP(マネージドサービスプロバイダー)サービスです。サプライヤーは、IaaSモデルのレンタル機器または仮想インフラストラクチャだけでなく、PCI DSS標準の要件に従って管理する機能も顧客に提供します。
「認定プロバイダーのサービスを使用すると、監査が非常に容易になります。 私の立場はこれです。アウトソーシングできるものはすべて提供する必要があります。」 と 、CTO CloudPaymentsのKonstantin Jan氏は述べています。 -PCI DSS標準には12のセクションがあります。 理想的には、サプライヤはそれらのうち11個を閉鎖します-ソフトウェア開発を除くすべては、それに基づいて顧客にサービスを提供します。
つまり、このようなテクノロジーにより、管理作業に気を取られることなく、自分のビジネスに集中でき、技術的なリスクの一部を軽減できます。
市場動向
現在、外部の認定サプライヤーのサービスを使用することを検討している市場の参加者10人中8人は、物理的なセキュリティ要件のアウトソーシングに限定されています。つまり、PCI DSSを備えたデータセンターのホスティングサーバーのサービスを使用しています。 ただし、コロケーションは、PCI DSS IaaS(32%)やマネージドサービスMSP(21%)などの有望なサービスを「バックアップ」し始めています。
「当社の機器が配置されているデータセンターは認定されています。 CJSC MOBI.Moneyのテクニカルディレクター、イヴァンセルゲイエフは次のように述べています。 「現在、物理ホスティングと仮想サーバーインフラストラクチャは、PCI DSS要件を満たすための最も有望なアウトソーシングレベルです。」
以前にロシア連邦の領土でPCI DSS認定ホスティングプロバイダーが見られなかった場合、今日、状況は変わりました。 昨年、いくつかの大手クラウドプロバイダーがPCI DSS標準に従ってプラットフォームを認証し、仮想インフラストラクチャ(IaaS)のレベルでPCI DSS要件を満たす責任を負う機会を得ました。 認定が合格し、会社はIT-GRADになりました。
「クラウドの認証監査の準備に1年以上を費やしました。2015年には、物理配置、IaaS、マネージドサービスなど、市場が要求するすべてのレベルの責任移転でPCI DSSの下でPCI DSS準拠ホスティングサービスを認証しました。
お客様(銀行、決済システム、ゲートウェイ)は、最小限の労力でPCI DSS認定のすべてのメリットを享受します。監査中、サービスプロバイダーとしてPCI DSS証明書を提供することにより、ほとんどの要件が終了します。 -GRAD "。
IaaSモデルでPCI DSS認定クラウドを使用すると、組織は、カード処理環境のセキュリティレベルを大幅に向上させ、さまざまな情報セキュリティインシデントによる金銭的損失のリスクを軽減すると同時に、ビジネスの開発に集中する機会を得ます。
ブログのその他の資料: