Перейти к основному содержимому
Изображение
рисунок фиолетового шестиугольника

Компания Entrust может помочь упростить процесс соблюдения требований PCI DSS и аудита

Требования стандарта безопасности данных индустрии платежных карт (PCI DSS)

Любая организация, которая играет определенную роль в обработке платежей кредитными и дебетовыми картами, должна соответствовать требованиям PCI DSS в отношении обработки, хранения и передачи данных счета.

Модули Entrust nShield™ HSM помогают организациям, работающим с данными владельцев карт, соблюдать аспекты PCI DSS и аудита, включая следующее.

Изображение
значок галочки сливового цвета

Защита сохраненных данных владельцев карт.

faded gray hex background
Изображение
значок галочки сливового цвета

Ограничение доступа к данным владельцев карт по принципу «положено знать».

faded gray hex background
Изображение
значок галочки сливового цвета

Идентификация и аутентификация доступа к компонентам систем

faded gray hex background

Регламент

Свыше 200 тестов с шестью основными принципами

Стандарт безопасности данных индустрии платежных карт (PCI DSS) предусматривает оценку более чем 200 тестов, которые относятся к 12 общим областям безопасности, представляющим шесть основных принципов. Эти тесты PCI DSS охватывают широкий спектр распространенных методов безопасности наряду с такими технологиями, как шифрование, управление ключами и другие методы защиты данных.

Риски, связанные с аудитом и соответствием требованиям PCI DSS

  • Несоблюдение требований PCI DSS может привести к штрафам, увеличению сборов или даже прекращению возможности обработки транзакций по платежным картам.
  • Соблюдение PCI DSS не может рассматриваться изолированно. На организации распространяются многочисленные требования безопасности и законы или положения о раскрытии данных. С другой стороны, проекты по соблюдению требований PCI DSS могут легко отодвигаться на второй план из-за более широких инициатив в области корпоративной безопасности.
  • Руководящие указания и рекомендации, связанные с требованиями PCI DSS, включают общую практику, которая, вероятно, уже существует. Однако некоторые аспекты, в частности те, которые связаны с шифрованием, могут быть новыми для организации, и реализация может быть деструктивной, негативно влияя на операционную эффективность, если не разработана правильно.
  • Существуют возможности для сокращения объема обязательств по соблюдению PCI DSS и, следовательно, снижения затрат и воздействия, однако организации могут тратить время и деньги, если они не следят за тем, чтобы новые системы и процессы действительно отвечали требованиям PCI DSS.

Соблюдение требований

Решение ключевых требований PCI DSS

Опираясь на многолетний опыт выполнения отраслевых распоряжений для банков и финансовых учреждений, компания Entrust и ее партнеры предлагают продукты и услуги, которые позволяют защитить хранимые данные владельцев карт, зашифровать их для передачи и ограничить доступ по мере необходимости.

  • Защита данных владельцев карт. Entrust работает с ведущими решениями по приему платежей с мобильных устройств (mPOS), а также с ведущими решениями по защите платежных данных для безопасности данных владельцев карт и обеспечения соответствия требованиям PCI DSS. Торговые организации также должны развернуть сетевое шифрование и шифрование SSL/TLS для защиты данных при передаче.
  • Внедрение строгих мер контроля доступа. Все методы защиты данных тесно связаны с контролем доступа. Такие криптографические технологии, как PKI и цифровые сертификаты, широко используются для того, чтобы выйти за рамки безопасности пароля для аутентификации пользователей и систем. Кроме того, использование Entrust nShield HSM для управления доступом к ключам расшифровки данных означает, что данные могут расшифровываться только на основе «положено знать».
  • Создание и поддержание безопасной сети. Помимо шифрования на уровне сети, важный компонент сетевой безопасности — это надежная аутентификация сетевых устройств. Цифровые учетные данные все чаще используются на уровне устройств для управления доступом к сети и служат важным фактором безопасности для корпоративной инфраструктуры открытых ключей.
  • Поддержка программы управления уязвимостями. Рост продвинутых постоянных атак, в ходе которых пытаются навредить бизнес-приложения путем введения вредоносных программ, привлек внимание к использованию цифровых подписей и подписи кода в качестве способа доказать целостность и подлинность бизнес-систем и прикладного программного обеспечения.
  • Соблюдение политики информационной безопасности. Стандарт безопасности данных индустрии платежных карт уделяет большое внимание четкому разделению обязанностей между сотрудниками, чтобы свести к минимуму риск инсайдерского нападения. Использование криптографии обеспечивает мощный механизм для обеспечения такого разделения и создания надежной записи событий для демонстрации соблюдения нормативно-правовых норм.

Ресурсы

Буклеты: буклет о семействе Entrust nShield HSM

Модули безопасности Entrust для госучреждений nShield HSM обеспечивают устойчивую защиту от кибератак с усиленной безопасностью от несанкционированного вмешательства для безопасной криптографической обработки, генерирования и защиты ключей, шифрования и ряда других задач.Модули Entrust nShield HSM сертифицированы по стандарту FIPS 140-2 и предлагаются в трех форм-факторах, благодаря чему могут использоваться в различных сценариях развертывания.

Буклет о семействе Entrust nShield HSM