PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных индустрии платежных карт. Он разработан ведущими платежными системами (Visa, MasterCard, МИР и др.) и обязателен для всех организаций, которые хранят, передают или обрабатывают данные банковских карт.
Содержание
Что такое PCI DSS простыми словами
PCI DSS (Payment Card Industry Data Security Standard) — это набор правил безопасности для компаний, которые принимают оплату банковскими картами. Эти правила созданы, чтобы защитить данные держателей карт от кражи и мошенничества.
Представьте, что вы открываете магазин и хотите принимать оплату картами. Вы не можете просто так начать обрабатывать данные карт — вы должны доказать, что ваша система безопасна. PCI DSS — это как технический регламент, который говорит: «Вот что вы должны сделать, чтобы данные ваших клиентов были в безопасности».
Стандарт был разработан Советом по стандартам безопасности PCI (PCI SSC), который основали Visa, MasterCard, American Express, Discover и JCB. Сегодня PCI DSS обязателен для всех организаций, которые хранят, обрабатывают или передают данные платежных карт — от крупных банков до небольших интернет-магазинов.
В России стандарт PCI DSS применяется ко всем организациям, работающим с картами «Мир», а также с международными платежными системами. О том, как обеспечивается безопасность платежей, читайте в статье Финтех.
12 требований PCI DSS
Стандарт состоит из 12 основных требований, сгруппированных по 6 ключевым целям:
Цель 1: Защита сети
- Требование 1: Установка и поддержание межсетевых экранов (файрволов) для защиты данных карт.
- Требование 2: Отказ от заводских паролей на оборудовании. Все пароли должны быть изменены на уникальные.
Цель 2: Защита данных карт
- Требование 3: Защита хранящихся данных карт (PAN, CVV/CVC) с помощью шифрования.
- Требование 4: Шифрование передачи данных карт по открытым сетям (интернет).
Цель 3: Управление уязвимостями
- Требование 5: Использование и регулярное обновление антивирусного ПО.
- Требование 6: Разработка и поддержка безопасных систем и приложений.
Цель 4: Контроль доступа
- Требование 7: Доступ к данным карт только для сотрудников, которым это необходимо для работы.
- Требование 8: Идентификация и аутентификация доступа к системам (обязательная многофакторная аутентификация).
- Требование 9: Ограничение физического доступа к данным карт.
Цель 5: Мониторинг и тестирование
- Требование 10: Мониторинг и аудит всех действий пользователей.
- Требование 11: Регулярное тестирование систем безопасности.
Цель 6: Информационная безопасность
- Требование 12: Внедрение политик информационной безопасности.
О том, как эти требования реализуются на практике, читайте в статье Облачная безопасность.
Как получить сертификат PCI DSS
Процесс получения сертификата PCI DSS зависит от уровня соответствия (Level 1-4), который определяется количеством транзакций, обрабатываемых за год:
- Level 1: Более 6 млн транзакций в год. Требуется внешний аудит (QSA-аудит) и заполнение отчета о соответствии (ROC).
- Level 2: От 1 до 6 млн транзакций. Требуется заполнение опросника самооценки (SAQ) и квартальное сканирование сети.
- Level 3: От 20 000 до 1 млн транзакций. Требуется заполнение SAQ и квартальное сканирование.
- Level 4: Менее 20 000 транзакций. Требуется заполнение SAQ.
Для прохождения сертификации необходимо:
- Определить свой уровень соответствия.
- Заполнить соответствующий опросник самооценки (SAQ) или пройти внешний аудит.
- Устранить все выявленные уязвимости.
- Провести квартальное ASV-сканирование сети.
- Оформить документы (AoC — Аттестат соответствия).
О том, как подготовиться к аудиту информационной безопасности, читайте в статье Аттестационные испытания.
Часто задаваемые вопросы
Что такое PCI DSS простыми словами?
Кому нужен PCI DSS?
Какие 12 требований PCI DSS?
12 требований охватывают шесть областей: защита сети (файрволы, смена паролей), защита данных карт (шифрование), управление уязвимостями (антивирусы, обновления), контроль доступа (аутентификация, ограничение прав), мониторинг и тестирование, политики информационной безопасности. Полный список требований есть в статье Облачная безопасность.
Сколько действует сертификат PCI DSS?
Сертификат PCI DSS действует 12 месяцев. Через 10 месяцев необходимо начать процедуру продления — пройти повторный аудит или заполнить новый опросник самооценки и провести квартальное сканирование сети. Сертификат нужно обновлять каждый год.
Что будет, если не соблюдать PCI DSS?
За несоблюдение PCI DSS предусмотрены серьезные последствия: штрафы от платежных систем (до $100 000 в месяц), приостановка приема платежей, юридические иски от пострадавших клиентов и репутационные потери. В некоторых случаях — отзыв лицензии на прием платежей. О рисках безопасности читайте в статье Фрод.
Как подготовиться к аудиту PCI DSS?
Для подготовки к аудиту необходимо: провести внутреннюю проверку безопасности (можно заказать аттестационные испытания), внедрить шифрование данных карт, настроить файрволы и систему мониторинга, обучить сотрудников правилам безопасности, подготовить документацию по политикам безопасности. Рекомендуется привлечь квалифицированного специалиста (QSA).
Чем PCI DSS отличается от ISO 27001?
PCI DSS — это специализированный стандарт безопасности для платежных данных. ISO 27001 — это общий стандарт управления информационной безопасностью, который подходит для любых данных. PCI DSS обязателен для компаний, принимающих карты. ISO 27001 — добровольный, но часто требуется для крупных клиентов и тендеров. Они могут дополнять друг друга.
Другие термины в категории «Информационная безопасность»
Была ли эта информация полезной?
Защитите свою сеть уже сегодня
Оставьте заявку — наши специалисты по информационной безопасности помогут выбрать, настроить и интегрировать pci dss в вашу инфраструктуру. Защитим ваши данные от угроз.