Информационная безопасность ритейла и e-commerce

В ритейле и e-commerce защита должна охватывать как физические точки продаж, так и цифровые каналы.
К ключевым объектам защиты относятся:

• базы данных клиентов и персональные данные (ПДн);
• платежная инфраструктура (включая POS-терминалы и кассовые системы, мобильный эквайринг для курьеров), системы токенизации карт, системы антифрода и аутентификации транзакций;
• онлайн сервисы и публичные ресурсы - то есть сайты интернет-магазинов и мобильные приложения, включая интеграции с другими системами по API, Чат боты, call-центры;
• Корпоративные бизнес системы: серверы обработки заказов и CRM, ERP (cкорее всего 1C), системы управления складом (WMS), даже система управления контентом (CMS), каналы коммуникации (корп.почта), облачные хранилища;
• Инфраструктура сети: распределенные сети магазинов и складов, выделенные сегменты DMZ, платёжная инфраструктура, облачная инфраструктура (включая сервисы аналитики);
• Поскольку Retail и коммерция активно завязаны на сторонние сервисы аналитики, логистики, подрядчиков по инфраструктуре, для них особенно актуальная защита интеграционных API (банки, логистические сервисы и пр.).

Нарушение работы этих компонентов напрямую влияет на продажи, лояльность клиентов и финансовую устойчивость бизнеса.
Если здесь расставлять приоритеты, то можно выделить следующие группы:

1. Все что связано с платежами - риски устойчивости бизнеса из-за отключения от платёжных систем из-за нарушений требований безопасности или инцидентов;
2. ПДн клиентов - регулируется 152-ФЗ со штрафами до 150млн и выше;
3. Работа публичных сервисов - Потеря репутации из-за дефейса, утечек, отказа в обслуживании (DDoS)
4. Фискальная инфраструктура (ККТ) - тут могут быть штрафы по 54-ФЗ за каждый неверный чек.

Ритейл — одна из наиболее атакуемых отраслей из-за высокой концентрации платежных данных и большого числа точек входа.
Наиболее распространенные угрозы:

• DDoS-атаки на сайты интернет-магазинов (особенно во время распродаж);
• утечки персональных данных клиентов, включая базы лояльности и профили;
• взлом учетных записей администраторов, фишинг сотрудников и инсайд;
• атаки на платежную инфраструктуру, компрометация платежных шлюзов, POS-терминалов или онлайн-касс;
• заражение распределенной сети магазинов вредоносным ПО или программой-вымогателем на складские и учетные системы и последующей компрометацией или потерей баз ERP/WMS/1C ;
• эксплуатация уязвимостей API или веб-приложений.

Возможные последствия инцидентов
Для ритейл-компании инцидент может привести к:

• остановке онлайн-продаж;
• блокировке работы касс;
• санкциям со стороны платежных систем;
• прямым финансовым потерям;
• штрафам за нарушение 152-ФЗ;
• потере доверия клиентов;
• масштабному репутационному ущербу.

В пиковые периоды (акции, распродажи, сезонные кампании) даже кратковременный сбой может привести к значительным убыткам.
Ниже приведём примеры, когда это случалось и по каким причинам:

Ритейл и e-commerce подпадают под требования законодательства в сфере защиты персональных данных и платежной информации.

• Защита персональных данных

Федеральный закон № 152-ФЗ «О персональных данных»
Обязывает операторов ПДн:

• обеспечивать конфиденциальность данных клиентов (включая профили, адреса доставки, телефоны);
• внедрять организационные и технические меры защиты (например, шифрование, DLP);
• предотвращать утечки и несанкционированный доступ, выстраивать процессы безопасной обработки ПДн.

Нарушение требований может привести к административной ответственности и штрафам до 150 млн.руб. и даже оборотным штрафам.

• Стандарт PCI DSS

PCI DSS (Payment Card Industry Data Security Standard)
Обязателен для компаний, обрабатывающих данные банковских карт.
Требует:

• сегментации платежной инфраструктуры;
• контроля доступа к платежным данным;
• регулярного сканирования уязвимостей и независимого аудита безопасности (пентест);
• мониторинга событий безопасности;
• защиты каналов передачи данных.

Несоблюдение стандарта может привести к запрету на прием банковских карт со стороны международных платежных систем.
Но что касается отечественных требований, то здесь имеет смысл упомянуть требования ЦБ РФКак Ваенгу и платёжным агрегаторам, где необходимо проводить сертификацию платёжных шлюзов, защиту транзакций, мониторинг мошенничества и обеспечивать соответствие требованиям по мониторингу проведения подозрительных операций.

• Требования ФСТЭК

Приказ ФСТЭК России № 21
Применяется в случаях, когда инфраструктура компании относится к объектам КИИ.
Устанавливает требования к защите информации, включая:

• сегментацию сетей;
• контроль доступа;
• мониторинг событий безопасности;
• управление уязвимостями.

Если торговый агент небольшой (до 1000 сотрудников или до 100тыс ПДн без биометрии) или же не собирает персональные данные (что сложно сегодня представить), а только проводит платежи, тогда достаточно базовых мер по ПП-1119 и соблюдение требований соответствующих платёжных систем.

• Отраслевая специфика

№ 54‑ФЗ «О применении ККТ» обязывает обеспечивать защиту данных фискальных накопителей (ФН), онлайн‑касс и передачи чеков в ФНС, требует защиту от подделки чеков и фальсификации отчётности. 
№ 161‑ФЗ «О национальной платежной системе» является аналогом международного PCI DSS и регулирует безопасность платёжных систем, в частности архитектуру хранения платежных данных карт, использование аутентификации транзакции и инструменты защиты от мошенничества.
Можно также упомянуть № 149‑ФЗ «Об информации…»
, который в целом регламентирует базовую защита информации в онлайн‑магазинах, сайтах, API, мобильных приложениях от НСД и утечек.

Как мы уже отмечали выше, приоритетом по защите будут являться:

1. Все что связано с платежами - риски устойчивости бизнеса из-за отключения от платёжных систем из-за нарушений требований безопасности или инцидентов;
2. ПДн клиентов - регулируется 152-ФЗ со штрафами до 150млн и выше;
3. Работа публичных сервисов - Потеря репутации из-за дефейса, утечек, отказа в обслуживании (DDoS)
4. Фискальная инфраструктура (ККТ) - тут могут быть штрафы по 54-ФЗ за каждый неверный чек
5. Защита внутренней инфраструктуры, чтобы избавиться от длительных простоев, где каждый час может обходиться в миллионы рублей прямых финансовых убытков.

Таким образом, фокус по защите будет на:

• защита платежной инфраструктуры;
• предотвращение утечек персональных данных;
• обеспечение доступности онлайн-сервисов;
• защита распределенной сети магазинов и складов.

Архитектура ИБ строится по принципу управления доступом за счет сегментации, минимизации прав, мониторинг платежей и защиту хранимых данных:

• выделение платежного сегмента;
• изоляция POS-терминалов в отдельный VLAN;
• защита веб-приложений (включая API);
• централизованный мониторинг событий, включая антифрод (подозрительные транзакции);
• защита хранимой информации - шифрование и обфускация;
• резервирование критичной инфраструктуры (например, сайты, платежи);
• защита целостности критичных сервисов инфраструктуры (CRM/ERP/WMS);
• отказоустойчивость и резервирование критичных сервисов;
• регулярный аудит безопасности (до 2 раз в год).

• WAF (Web Application Firewall)

Защищает сайты, веб-боты и API от атак на веб-приложения.
Позволяет предотвратить SQL-инъекции, XSS и другие типовые уязвимости веб-сервисов.

• DDoS-защита

Обеспечивает устойчивость интернет-магазина при массовых атаках.
Позволяет сохранить работоспособность сайта даже при высоких нагрузках.

• NGFW как элемент защиты инфраструктуры в целом и POS в частности

Включает сегментацию сети, контроль доступа и мониторинг активности.
Снижает риск компрометации кассовых терминалов, защиту платежных данных - является требованием стандартов финансовой безопасности.

• SIEM и централизованный мониторинг

Позволяют выявлять подозрительную активность в магазинах, ЦОД и онлайн-сегменте, позволяет осуществлять противодействию мошенничествам в режиме реального времен, в том числе для утечек, фрода, инцидентов безопасности.
Обеспечивают выполнение требований PCI DSS и 152-ФЗ.

• DLP и защита персональных данных

Предотвращают утечки клиентских данных.
Позволяют контролировать обработку ПДн внутри компании и следить за потоками информации.

• 2FA и IAM для управления доступами

Защищает CRM и личные кабинеты, позволяет организовать сервисы единого входа (SSO) для внутренних систем, включая 1C/ERP/WMS, а также контроль доступа по ролям (RBAC).
Упрощают управление подозрительными сессиями.

• EDR/XDR (так называемые HIDS)

Выявляют вредоносную активность на ключевых серверах и рабочих станциях. Позволяют создать замкнутую программную среду для обеспечения целостности. 
Также позволяют оперативно локализовать инциденты и снизить время выявления и реагирования.

• Контроль привилегированных пользователей (PAM)

Позволяет управлять доступом администраторов и подрядчиков к критичным системам и платежной инфраструктуре. Особенно важно для поддержания высокой доступности и скорости реагирования на сбои инфраструктуры и сохранения SLA.

• Резервное копирование и отказоустойчивость

Обеспечивают быстрое восстановление после инцидентов (Time-to-Recovery). Отказоустойчивость и гибкость наращивания производительности позволяет реализовать надежную работу внутренних систем, а также онлайн-сервисов даже в периоды пиковых нагрузок (распродажи, праздники…).

В результате внедрения системы информационной безопасности заказчик получает:

• Соответствие 54-ФЗ, 152-ФЗ, PCI DSS — без штрафов до 150 млн руб.


Избежание блокировок эквайринга, приостановки ККТ и исков РКН за утечки ПДн миллионов клиентов.

• высокая доступность сайта в пиковые распродажи (праздники, “черная пятница” и др.)


в том числе защита от DDoS, что позволит сохранить выручку в миллионы и миллиарды рублей в критические часы.

• Непрерывность платежей — отказоустойчивый эквайринг


кластеризация для платежных шлюзов и выполнение требований по безопасности исключает отключения банков и потери транзакций.

• Защита клиентских данных как элемент доверия и лояльности


Предотвращение утечек баз лояльности (особенно актуально для >1 млн записей), сохранение репутации лидера рынка, которому можно доверять (так как он уделяет внимание вопросам безопасности)

• Физическая защита бизнеса - без саботажа конкурентами и финансовых потерь от инсайда


Контроль доступа к ключевым системам (таким как 1C/ERP/WMS) исключает инсайдерские утечки цен, контрактов, акций.

• Готовность к проверкам регуляторов 

Это может быть и PCI DSS, 152-ФЗ, 54-ФЗ, комплексное решение позволяет реализовать дашборды, позволяющие реализовать комплаенс-аудит за несколько дней, вместо месяцев

• Масштабируемая инфраструктура под рост

Модульная сегментированная архитектура готова к росту нагрузок, внедрению новых сервисов без перестройки (в том числе ИБ систем).

• ROI >300% за первый год


Система окупается предотвращением 1 крупного инцидента (DDoS, шифровальщик, утечка данных…).

Наш подход включает:

• Экспресс-аудит инфраструктуры - инвентаризация сайта, платежных сегментов, ключевых систем (1C/ERP, баз лояльности) с целью выявления критичных ИСПДн и сегментов, нуждающихся в защите
• Оценка рисков и требований регуляторов - анализ соответствия 54-ФЗ, 152-ФЗ, PCI DSS и др. выбор компенсирующих мер
• Проектирование архитектуры сети: платежи → веб → корпоративная сеть → управление. Техническое задание с матрицей прохождения сетевых потоков
• Подбор сертифицированных СЗИ - например, NGFW/WAF для периметра, SIEM для мониторинга, DLP для ПДн, СКЗИ для защиты каналов
• Пилотное внедрение - изоляция VLAN, настройка правил доступа, проверка на тестовой нагрузке
• Развёртывание средств защиты - включая DMZ и WAF, IAM/MFA для 1C/админок, SOC для корреляции событий, отчетности
• Испытания и паспортизация - протоколы работоспособности СЗИ, акт ввода в эксплуатацию, готовые документы для РКН
• Обучение персонала, пусконаладка, инструкции для ИТ/безопасников, дашборды SOC, регламенты реагирования на инциденты.
• Передача в эксплуатацию

Следующим этапом может быть сопровождение системы и её модернизация (развитие).

Оставьте заявку — мы проведем быструю экспресс-оценку компании, текущего уровня безопасности, предложим адаптированную под риски и структуру компании архитектуру системы безопасности, оценим стоимость проекта. 
Наша цель - сделать так, чтобы вы получили устойчивость продаж и соответствие требованиям законодательства за минимальный бюджет. Пишите - начнем усиливать ваш бизнес уже сегодня!