Как SAS MFASOFT соответствует стандарту PCI DSS.

Инструменты для сертификации по PCI DSS

Сегодня существует множество протоколов безопасности, которые рекомендованы или являются обязательными для любых кредитных и финансовых организаций. Однако основным во всем мире является стандарт PCI DSS, потому что его положений придерживается подавляющее большинство платежных систем, а также организаций, так или иначе вовлеченных в обработку клиентских платежных данных.


Стандарт PCI DSS является обязательным и включает в себя целый ряд требований о защите данных, аутентификации, контроле доступа и предотвращении утечек. С одной стороны, многим компаниям необходимо пройти сертификацию и доказать регуляторам соответствие требованиям PCI DSS. Но с другой стороны, положения стандарта логично реализовать в любом случае, так как они сами по себе призваны решить задачи защиты персональных и платежных данных пользователей, а также избежать мошенничества, манипуляций и связанных с ними репутационных потерь и штрафов.


Многофакторная аутентификация (MFA)

Участившиеся случаи взлома баз данных и личных компьютеров, кражи паролей и компрометации учетных данных говорят сами за себя: защита с помощью одной только пары логин/пароль не гарантирует надежной аутентификации. Чтобы убедиться в соответствии учетных данных пользователя его личности, нужна дополнительная проверка.


Именно поэтому применение многофакторной аутентификации является одним из важнейших элементов положений PCI DSS, так как без технологий MFA оказывается физически невозможно обеспечить защиту данных пользователей и гарантировать строгую аутентификацию для авторизованного доступа к сервисам компании.


Существуют различные способы реализации механизма многофакторной аутентификацию. В дополнение к логину и паролю можно использовать пин-коды, физические токены, биометрические данные или одноразовые пароли. Каждый из методов имеет свои особенности, а для его внедрения на практике требуется определенная подготовка.


Преимущества MFA с одноразовыми паролями

В силу оптимального баланса простоты реализации и надежности защиты одним из наиболее популярных видов многофакторной аутентификации считается система с одноразовыми паролями (OTP — One Time Password).


В отличие от токенов, которые нужно носить с собой, или биометрических данных, требующих особой защиты и специальных технологий распознавания, одноразовые пароли могут быть высланы пользователю различными способами — в приложении на телефоне, через SMS, в push-сообщении, на электронную почту или в мессенджере. Поэтому метод OTP гарантирует стабильность доступа вместе с необходимым уровнем безопасности.


За счет внедрения системы одноразовых паролей компании получили возможность гарантировать многофакторную аутентификацию пользователей практически в любых условиях.


Внедрение системы доступа по одноразовым паролям

Поскольку различные компании имеют разную ИТ-инфраструктуру, в каждом отдельно взятом случае используется своя схема реализации двухфакторной аутентификации на базе одноразовых паролей. Но любая из них позволит обеспечить соответствие необходимым требованиям PCI DSS.


Так, помимо разработки собственного ПО, которую практикуют крупнейшие компании с обширным штатом ИТ-специалистов и покупки готовых программных продуктов, на сегодняшний день также существует практика внедрения MFA в виде облачного сервиса.


По мере роста популярности SaaS во всех сегментах ИТ, сервисная модель организации MFA с одноразовыми паролями также стала применяться все чаще. Снижение затрат за счет отказа от разработки собственного решения или единоразовой покупки готового ПО сделало облачный сервис MFA доступнее для широкого спектра заказчиков. Фактически многофакторную аутентификацию с одноразовыми паролями сегодня могут использовать даже представители СМБ с минимальными компетенциями в ИТ и ИБ.


Отличие этого метода заключается в том, что вендор берет на себя постоянное обновление функционала и гарантирует непрерывное повышение надежности MFA вместе с технической поддержкой. Заказчику остается только оплачивать стоимость доступа к готовому сервису с гарантированными параметрам.


Secure Authentication Server (SAS)

Компания MFASOFT занимается разработкой и развитием продукта Secure Authentication Server (SAS) с 2022 года и предоставляет свое решение в различных версиях — как для развертывания в публичном облаке, так и для установки на базе собственной инфраструктуры или частного облака. Благодаря этому на базе SAS можно предоставлять средства MFA конечным заказчикам как по подписке, так и в виде внутрикорпоративного сервиса, одновременно решая задачи усиления контроля доступа для широкого спектра задач и соответствия требованиям PCI DSS.


Российский продукт

В условиях недоступности западных решений и импортозамещения, Secure Authentication Server (SAS) представляет собой один из наиболее зрелых комплексов MFA на российском рынке. При этом продукт входит в реестр отечественного ПО и в настоящее время уже принят ФСТЭК для проведения сертификационных испытаний (Решение ФСТЭК №6938 от 11.01.2023). Благодаря этому пользователи решения остаются полностью независимыми от зарубежных и подверженных санкциям продуктам. Гибкая архитектура SAS поддерживает кастомизацию под запросы корпоративных клиентов, а дорожная карта развития продукта выстраивается с учетом требований российских заказчиков и ожиданий российского рынка.


Развитие SAS происходит с учетом российского законодательства в сфере ИБ, что позволяет использовать решение не только для удовлетворения требований PCI DSS, но и прохождения сертификационных испытания по высокому уровню доверия.


Единое корпоративное решение

MFASOFT SAS представляет собой универсальную систему для автоматизации задач многофакторной аутентификации и может использоваться как внутри компании, так и в виде внешнего сервиса, предоставляемого с сертифицированной площадки.


Поддержка виртуальных серверов, разделение доступа и широкие интеграционные возможности позволяют использовать SAS как единое решение для усиления контроля доступа в соответствии с требованиями регуляторов и нормативных документов, одновременно повышая общий уровень безопасности в организации любого масштаба и обеспечивая соблюдение требований PCI DSS для финансовых и страховых компаний.