Jak jsme splnili nejvyšší bezpečností standard kartových asociací

„S velkou radostí a hrdostí, bych chtěl všechny informovat, že společnost GoPay je PCI DSS Compliant, tedy plně v souladu s požadovanými standardy.“

Když přesně takovou zprávu vyslal náš provozní šéf Michal Kudrna na konci července do společného kanálu na Slacku, všem nám v GoPay spadnul kámen ze srdce.

Ne snad proto, že bychom pochybovali o tom, jak v GoPay pracujeme s citlivými údaji držitelů platebních karet. Ulevilo se nám hlavně proto, že ten více rok trvající proces, který udělení certifikace předcházel, je konečně za námi.

Ano, přiznáváme, že kompletně přestavět technickou infrastrukturu největší české platební brány tak, aby byla spolehlivější, robustnější a s navíc v souladu  s bezpečnostním standardem PCI DSS v 3.1., byla dřina.

“Reálně je nutné konstatovat, že se jednalo, obzvláště v posledních týdnech, o práci týmu, který od prvního do posledního pracoval na pokraji zhroucení, často i v hodinách přesahujících 20 pracovních hodin denně,” popsal náš provozní šéf Michal tempo, ve kterém někteří z nás během léta fungovali.

Proč nám taková makačka stála za to a čím vším jsme si museli projít, abychom se stali první českou platební bránou, která splňuje nejpřísnější standard karetních asociací?

Začněme u toho, co je vlastně PCI DSS

Hodně zjednodušeně jde o pravidla, podle kterých mají zprostředkovatelé plateb (a tedy i GoPay) pracovat s citlivými platebními informacemi, aby zabránili jejich zneužití. Tato pravidla vznikla na popud karetních asociací jako VISA a Mastercard, jsou mezinárodně uznávaná a prakticky každá organizace, která procesuje platby kartami, se jimi musí řídit.

V GoPay jsme vždy tato pravidla dodržovali. Nicméně s růstem transakcí, které jsme začali procesovat, jsme se přehoupli mezi organizace, u kterých o způsobilosti vůči standardům PCI DSS rozhoduje nezávislý hodnotitel (tzv. QSA). Navíc nám přibyla řada nových povinností a některá pravidla vůči nám výrazně zpřísnila.

Jakým přerodem jsme si prošli?

Níže najdete, co všechno jsme museli v GoPay zavést a upravit, abychom splnili nejvyšší bezpečnostní standard PCI DSS.

1. Více než 10krát jsme znásobili počet našich serverů. U všech jsme nastavovali firewally a vytvářeli potřebnou dokumentaci.
2. Zavedli jsme nové konfigurační standardy pro systémové komponenty, abychom nepoužívali výchozí nastavení od dodavatelů.
3. Přesunuli jsme systémy, které zpracovávají data držitelů karet do oddělené a zabezpečenější části infrastruktury.
4. Zašifrovali jsme veškeré přenosy dat držitelů karet po otevřených veřejných sítích.
5. Všechny naše systémy jsou chráněné proti malware a pravidelně aktualizujeme antivirový software a programy na našich serverech.
6. Výrazně jsme upravili proces zadávání oprav a vývojových požadavků, abychom předcházeli nežádoucím úpravám aplikace.
7. Zavedli jsme nová pravidla pro přístup k datům držitelů karet.
8. Zavedli jsme dvou faktorovou autentizaci pro přístup do infrastruktury.
9. Omezili jsme fyzický přístup k datům držitelů karet tím, že jsme přestěhovali všechny naše servery do Amazon Web Services, kde jsou plněny PCI DSS požadavky na fyzické úrovni.
10. Sledujeme a monitorujeme všechny přístupy k síťovým zdrojům a datům držitelů karet.
11. Přešli jsme do režimu pravidelného testování bezpečnostních systémů a procesů.
12. Abychom zaručili bezpečnost informací, stali jsme se velkovýrobci směrnic. Zavedli jsme je na všechno a všechno také dokumentujeme.

Každý z uvedených bodů ve skutečnosti představuje i desítky dílčích úkolů, se kterými jsme se museli popasovat. Celková zpráva popisující, co všechno jsme absolvovali, zabírá přes 250 stránek.

Co jsme tedy certifikací získali?

Jsme schopni obchodníkům nabídnout maximální možnou míru ochrany v rámci platebního procesu při platbě kartou.

Naše technická infrastruktura i aplikace jsou robustnější, propustnější a věříme, že i stabilnější.

Stali jsme se 100% procesně řízenou společností. Vše, co děláme, má svůj řád a pravidla. Neznamená to ale, že jsme před splněním standardu fungovali jako banda hipíků a každý si dělal, co chtěl. Tak to nebylo, nicméně v porovnání se současným stavem, byla naše pravidla uvolněnější.

Naučili jsme se pracovat pod velkým časovým tlakem a zjistili jsme, že i v omezeném počtu lidí dokážeme během krátké doby udělat obrovský kus práce.

Víme, že ani po splnění nejpřísnějšího PCI DSS standardu není naše řešení dokonalé a z pohledu bezpečnosti neprůstřelné. V oblasti ochrany dat jsme ale získali cenné know-how, které nám pomůže naše řešení dál vylepšovat.

Co nás čeká dál?

Plnění PCI DSS standardu je nekončící proces. Vše, co jsme kvůli certifikaci zavedli, musíme dodržovat a snad se v tom budeme i průběžně vylepšovat. I když se vždy může stát cokoliv, věříme, že obchodníci ocení vyšší stabilitu našeho řešení už během předvánoční nákupní horečky.