Рассчитываем стоимость B2B-решений

PCI DSS

PCI DSSPCI DSS (аббревиатура от англ. Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных/банковских карт. Это комплексный документ, разработанный Советом безопасности PCI SSC (аббревиатура от англ. Payment Card Industry Security Standards Council).

Учредителями указанного совета являются такие международные платежные системы как:

С 2006 года PCI DSS был введен как обязательный при подключении к платежным системам на территории стран восточной и центральной Европы, Африки и Ближнего Востока. Действует он и на территории России.

На текущий момент актуальной версией стандарта является PCI DSS 3.2 (принят в апреле 2016 года).

При подключении к обозначенным выше платежным системам организации-поставщики услуг (дата-центры, платежные шлюзы, провайдеры платежей, процессинговые центры и т.п.) проходят процедуру аудита и на выходе получают соответствующий сертификат.

Уровни сертификации в зависимости от платежной системы могут отличаться. И у VISA и у MasterCard предполагается 4 уровня сертификации. Level 1 (самый высокий оборот, свыше 6 млн. транзакций в год), Level 2 (1-6 млн. транзакций), Level 3 (20 тыс. — 1 млн. транзакций — средний бизнес) и Level 4 (до 20 тыс. транзакций в год, это розничные точки с небольшим оборотом карточных платежей, малый и микробизнес). Однако, MasterCard предусматривает списки отдельных ТСП, которые относятся к тому или иному уровню в принудительном порядке.

В зависимости от уровня сертификации определяется комплекс мероприятий по обеспечению безопасности платежей, среди которых:

  1. ASV-сканирование;
  2. комплексный аудит;
  3. самооценка соответствия;
  4. другие мероприятия, определяемые банком-эквайером.

PCI DSS предполагает комплексный подход к обеспечению безопасности данных пользователей и платежных карт на всех этапах взаимодействия информационных систем. Предъявляется 12 основных требований:

  1. установка межсетевых экранов (файерволов, брандмауэров);
  2. запрет дефолтных (предустановленных) паролей и параметров;
  3. защита данных держателей во время хранения;
  4. передача данных держателей только в шифрованном виде;
  5. регулярное обновление ПО и баз данных используемых антивирусов;
  6. использование безопасного ПО (в том числе разработка и поддержка собственного);
  7. наличие уникальных идентификаторов у всех, кто имеет доступ к инфраструктуре и информационной системе для обработки платежей;
  8. четкое разграничение доступа должностных лиц;
  9. отсутствие физического доступа к информации о держателях карт;
  10. отслеживание и контроль доступа к данным;
  11. проведение регулярных тестов систем безопасности;
  12. поддержание в актуальном состоянии, доработка и контроль исполнения политики информационной безопасности.
Регистрация