Сертификация пo PCI DSS повишава нивото на информационна сигурност в Банка ДСК
Сред ползите от въвеждането на стандарта са повишена конкурентоспособност и по-висока репутация в публичното пространство
Киберсигурността е област, силно чувствителна за финансовите институции, и Банка ДСК вече близо 15 години отделя сериозно внимание на всички проекти, свързани с информационната сигурност и сигурността на данните. Един от важните аспекти на сигурността в Банка ДСК е фокусът върху служителите и клоновете на банката, обменът на практики и информация с дъщерните банки, както и с централата OTP относно разработката на правила в ИС.
Значима стъпка в посока гарантиране на сигурността е полученият от Банка ДСК през април 2016 г. сертификат по важния за картовите институции стандарт PCI DSS. Сертифициращата организация е ААМ Consulting.
***СТАНДАРТЪТ PCI DSS
PCI стандартите за сигурност включват 3 основни стандарта. Това са стандартът PCI PTS за ATM и постерминали, който гарантира сигурността при трансакциите и е насочен основно към производителите на такива устройства; стандартът PCI РА-DSS, чийто обект на разглеждане е сигурността, насочена към приложенията - например къде приложенията съхраняват пароли и как те да бъдат криптирани; и PCI DSS, който се фокусира върху инфраструктурата и включва в себе си и първите два стандарта. "Ако обаче дадена система е сертифицирана по стандарта PCI PA-DSS, това не означава, че ако тази система бъде внедрена в организацията, самата организация автоматично е сертифицирана по стандарта PCI DSS", уточняват от ААМ Consulting.
Стандартът PCI DSS е приложим за всички организации, които съхраняват, обработват или предават картови данни. Той покрива техническите и операционните системни компоненти, като сървъри, приложения, мрежови устройства, както и локации (бекъп и DR центрове, оперативни офиси, кол центрове и места за персонализиране на данни), устройства (всяко устройство, което съхранява, обработва или трансферира картови данни) и приложения. И макар че приложенията са по-скоро обект на стандарта PCI PA-DSS, те също така попадат и в обхвата на PCI DSS относно проверки за настройките като конфигурация.
"Идеята на PCI ОББ е защита на целия поток от картови данни", коментират от ААМ Consulting. Стандартът на практика е с фокус както върху търговеца, така и върху институциите, които обработват и съхраняват картовите данни. От одиторската организация отбелязват, че по принцип най-слабото звено в сигурността като цяло е човешкият фактор и контролът върху него е най-труден.
***Областите на защита в PCI DSS
Като цяло PCI DSS включва 6 основни цели за защита. Първата цел е защита на мрежовата инфраструктура. Целта в случая е пълно изолиране на картовата мрежова инфраструктура от останалите мрежи в организацията, като всички системи, обработващи картови данни, трябва да бъдат събрани в една мрежа. Важно в случая е и използването на силни защитни стени и други инструменти за защита на картовата инфраструктура. Втората цел е защита на картовите данни. За целта трябва npegu всичко дa се локализират всички места, където се съхраняват картови данни. Всички тези места трябва да са защитени, а самите данни трябва да бъдат криптирани. Важно в случая е също така да се криптира и самият трансфер на картовите данни. На трето и четвърто място се нареждат управлението на уязвимости и контролът на логическия и физическия достъп до картовите данни. Тук понятието физическа сигурност включва изискването всеки потребител, който достъпва физически мястото на съхранение, да се идентифицира на принципа business-need-to-know, а контролът на логическия достъп означава наличие на уникално ID за всеки потребител. Другите цели са регулярен мониторинг и тестване на мрежите за уязвимости и документация и изготвяне на политики по информационна сигурност.
***Получаването на сертификата и последваща валидация
Процесът по покриване на съответствието с PCI DSS включва няколко основни фази, като се започва с инициализация. "Това е най-сложният процес - коментира Даниел Креков, директор на дирекция "Информационна сигурност", Банка ДСК.-Той включва първоначалното събиране на информация и определяне на обхвата." Следва процесът по сканиране за уязвимости. Целта на този процес е да се открият вече известни уязвимости, а самото сканиране се извършва както на вътрешните, така и на външните мрежи. На този етап се извършва също така пенетрейшън тест, целящ проникване в системата по всички възможни начини, дори и все още неизвестни. Третата фаза от процеса по сертификация е одитът. Тук се включват подготовката за одит, а именно изпращане на документация и дискусия с одитор, и самият одит на място. Следва коригиране на идентифицираните пропуски и изпращане на доказателства за извършените корекции. Финалът на процеса по сертификацията е извършване отново на одит и издаване на сертификат. След като Банка ДСК получава сертификация no PCI DSS през април т.г., е необходимо банката всяка година да поддържа съответствието. За целта предстои провеждане на одит веднъж годишно. "При всеки годишен одит на Банката, одиторите проверят дали всички системи и процеси съответстват на актуалните изисквания към моментната версия на стандарта. Извършват проверки на проведените дейности свързани със информационната сигурност през изминалата година. При необходимост се правят корекции, ако такава необходимост е установена в резултат на одита, след което се валидира сертификатът. Също така сертифициращият орган всеки месец извършва сканирания за уязвимости, дори без да са открити такива, а поне един път годишно се провежда вътрешен и външен пенетрейшън тест" от сертифицирана в дейността компания коментира Даниел Креков.
***Ползите от PCI DSS
Като една от основните ползи от сертифицирането по стандарта PCI DSS от Банка ДСК посочват повишеното ниво на информационна сигурност. "Това означава намален риск от проникване или срив при хакерски атаки, а ако това все пак се случи, то щетите да са по-сегменти-рани", коментират оттам. Другите ползи от въвеждането на стандарта включват повишена конкурентоспособност, тъй като организацията, сертифицирана no PCI DSS, е предпочитан бизнес партньор, както и по-висока репутация в публичното пространство.
