Факторы риска
Согласно бизнес-опросу, проведенному Forrester Consulting, большинство предприятий проводят мероприятия, повышающие риск мошенничества с картами, включая хранение номера карты, срока годности, любого проверочного кода и даты клиента.
Введение в стандарт безопасности данных (DSS)
Стандарт безопасности данных индустрии платежных карт (PCI-DSS) является стандартом безопасности, обязательным для организаций, которые обрабатывают платежи с использованием карт, выпущенных основными типами карт, включая MasterCard, Visa и American Express.
Этот стандарт PCI является обязательным для всех марок карт и управляется Советом по стандартам безопасности PCI. Единственной целью стандартов PCI является защита данных держателей карт и снижение мошенничества с картами.
Цели
Целью PCI-DSS является защита данных держателей карт при хранении, обработке и передаче. Информация о владельце карты включает уникальный номер основного счета (PAN), напечатанный на лицевой стороне каждой карты.
Торговцы или любой поставщик услуг, которые обрабатывают платежи по картам, никогда не должны хранить конфиденциальную информацию о транзакции после авторизации. Это включает в себя конфиденциальные данные, которые хранятся в магнитной полосе карты, а также любую личную идентификационную информацию, введенную держателем карты.
Требования
Стандарты безопасности данных PCI определяют список из 12 обязательных требований, которые сгруппированы по 6 целям контроля, как указано ниже:
1) Построение и обслуживание сети высокого уровня безопасности, которая включает в себя:
* Установка защищенного брандмауэра для защиты данных держателей карт.
Это ограничивает (или блокирует) весь трафик из ненадежных сетей и запрещает прямой публичный доступ между Интернетом и средой данных держателя карты.
* Изменение пароля по умолчанию, предоставленного поставщиком, и других мер безопасности.
Это важно, так как большинство мошенников с картами могут проникнуть во внутреннюю сеть владельца карты, используя пароли по умолчанию.
2) Защита информации о держателях карт, которая включает в себя:
* Шифрование информации о держателях карт, которая передается по общедоступным сетям.
Технология шифрования делает передаваемые данные нечитаемыми любым посторонним лицом. Для защиты данных клиентов можно использовать криптографию и протоколы безопасности, такие как SSL/TLS или IPSec.
* Защита сохраненных данных держателей карт.
Конфиденциальные данные на магнитном чипе карты не должны храниться. В случае, если PAN необходимо сохранить, он должен храниться в нечитаемом формате. Ограничьте продолжительность хранения данных о держателях карт.
3) Сопровождение программы управления уязвимостями, которая включает в себя:
* Использование и регулярное обновление антивирусных программ на всех системах.
Вредоносные вирусы могут проникать в сеть пользователя через электронную почту и другие онлайн-действия. Антивирусное программное обеспечение является эффективным инструментом для защиты компьютерных систем от внешних атак.
* Разработка и сопровождение защищенных систем и приложений.
Уязвимости безопасности в системе и приложениях могут позволить киберпреступникам получить доступ к PAN и другим защищенным данным. Убедитесь, что все системы и приложения обновлены последним патчем безопасности от поставщика.
4) Меры безопасного контроля доступа, которые включают в себя:
* Ограничение доступа бизнеса к информации о держателях карт.
Ограничьте доступ к конфиденциальным данным держателей карт только тем пользователям, работа которых требует этой информации. Кроме того, ограничьте доступ к наименьшему количеству данных, необходимых для бизнес целей.
* Присвоение уникального идентификатора каждому человеку с доступом к компьютеру.
Это важно, чтобы иметь возможность отслеживать, был ли доступ к критическим данным выполнен только уполномоченными лицами.
5). Ограничение физического доступа к данным держателей карт.
Физический доступ к данным держателей карт должен быть ограничен всем персоналом, посетителями и всеми бумажными и электронными носителями.
6) Регулярный мониторинг и тестирование сетей, которое включает в себя:
* Отслеживание и мониторинг всех точек доступа к сетевым ресурсам и данным держателей карт.
Использование механизмов ведения журнала и отслеживания действий пользователя включены.
* Регулярное тестирование процедур и процессов безопасности.
Периодическое тестирование средств контроля безопасности важно наряду с внутренним и внешним сканированием сети.
7) Ведение политики информационной безопасности, которая включает:
* Поддержание политики компании, направленной на обеспечение информационной безопасности.
Это включает в себя создание политики безопасности, которая учитывает все требования PCI-DSS, а также ежегодный процесс обнаружения любой уязвимости.
Этот набор требований является обязательным для компаний, производящих устройства, которые принимают и обрабатывают транзакции на основе PIN-кода или любой другой тип цифровых платежей.
Финансовые учреждения, продавцы и поставщики услуг должны гарантировать, что они используют только устройства, одобренные для PTS (PIN transaction security).
Важность ИТ-безопасности в онлайн-бизнесе
Нет ракетостроения в понимании того, почему ИТ-безопасность важна для вашего бизнеса. Прошли те дни, когда люди писали тысячи документов, чтобы защитить свои ценные данные. Это цифровой мир, и мы все зависим от технических устройств, которые мы несем, куда бы мы ни пошли. Эти важные и конфиденциальные данные могут сделать или сломать ваш бизнес, поэтому он всегда остается уязвимым в некоторой степени, и всегда были разные опасения по поводу его безопасности. Нет сомнений в том, что компании стараются изо всех сил защитить свои данные, однако есть и другие силы, которые постоянно пытаются сломать вашу безопасность и украсть ваши данные. Именно поэтому важно поддерживать ваши данные в курсе современных технологий, чтобы защитить их от кражи.
Ниже приведены некоторые статистические данные и моменты, которые помогут вам понять, почему каждый владелец бизнеса должен держать свою ИТ-безопасность императивом над чем-либо еще.
Аналогичный риск для крупного и малого бизнеса:
Как упоминалось в отчете, опубликованном департаментом кибербезопасности правительства в 2016 году, 65% крупных фирм обнаружили нарушение кибербезопасности или любую кибератаку в прошлом году. 25% тех же компаний также отметили, что сталкиваются с этими нарушениями хотя бы раз в месяц. В целом эти нарушения стоили крупным фирмам более 3 миллиардов фунтов стерлингов, а в среднем эти нарушения стоили 36 500 фунтов стерлингов.
Не только крупные фирмы, малые предприятия или стартапы также были целью киберпреступников. Существует множество причин, по которым малые предприятия становятся мишенями киберпреступников. Обычно малые предприятия не концентрируются на своей ИТ-безопасности из-за различных причин, таких как нехватка ресурсов и человеческих сил. Вот почему они являются легкими целями, но не такими прибыльными, как крупные фирмы для киберпреступников. Недавно накопленные данные о нарушениях кибербезопасности на малых и средних предприятиях обошлись им в прошлом году в 310 800 фунтов стерлингов. Эти цифры не столь значительны по сравнению с потерей владельцев крупного бизнеса, но скорость, с которой он подскочил в этом году с 2014 года, вызывает тревогу. Общая стоимость в 2014 году составила всего 115 000 фунтов стерлингов, что почти удвоилось всего за один год.
Фирмы должны быть готовы к большему количеству атак, чем когда-либо в этом году
Учитывая темпы роста этих кибератак за последние два года, ожидается, что в этом году будет больше атак, чем когда-либо. Одной из причин такого резкого увеличения числа атак являются стартапы и новые предприятия, которые недооценивают свою ИТ-безопасность и больше заботятся о создании своего бизнеса в первую очередь. С каждым годом предприятия, которые полностью зависят от компьютеров и Интернета, теряют больше, чем зарабатывают. Эти фирмы не идут в ногу с каждым новым обновлением безопасности. И наоборот, киберпреступники оснащают себя всеми новейшими технологиями и становятся все более смертоносными с каждым годом.
Нет никаких сомнений в том, что эти малые предприятия являются излюбленными целями киберпреступников. Более того, эти малые предприятия также стали причиной беспокойства для крупных фирм. Многие крупные фирмы нанимают небольшие компании в качестве своих поставщиков, которые выполняют для них различную работу. Киберпреступники используют эту связь больших и малых фирм и нарушают сильные системы крупных фирм, используя малые предприятия. Вот как эти преступники окружают бизнес со всех сторон, и потребность в сильной ИТ-безопасности стала самой важной вещью для поддержания на рынке для бизнеса.