PCI DSS

Информационная безопасность

PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных индустрии платежных карт. Он разработан ведущими платежными системами (Visa, MasterCard, МИР и др.) и обязателен для всех организаций, которые хранят, передают или обрабатывают данные банковских карт.

Что такое PCI DSS простыми словами

PCI DSS (Payment Card Industry Data Security Standard) — это набор правил безопасности для компаний, которые принимают оплату банковскими картами. Эти правила созданы, чтобы защитить данные держателей карт от кражи и мошенничества.

Представьте, что вы открываете магазин и хотите принимать оплату картами. Вы не можете просто так начать обрабатывать данные карт — вы должны доказать, что ваша система безопасна. PCI DSS — это как технический регламент, который говорит: «Вот что вы должны сделать, чтобы данные ваших клиентов были в безопасности».

Стандарт был разработан Советом по стандартам безопасности PCI (PCI SSC), который основали Visa, MasterCard, American Express, Discover и JCB. Сегодня PCI DSS обязателен для всех организаций, которые хранят, обрабатывают или передают данные платежных карт — от крупных банков до небольших интернет-магазинов.

В России стандарт PCI DSS применяется ко всем организациям, работающим с картами «Мир», а также с международными платежными системами. О том, как обеспечивается безопасность платежей, читайте в статье Финтех.

12 требований PCI DSS

Стандарт состоит из 12 основных требований, сгруппированных по 6 ключевым целям:

Цель 1: Защита сети

  • Требование 1: Установка и поддержание межсетевых экранов (файрволов) для защиты данных карт.
  • Требование 2: Отказ от заводских паролей на оборудовании. Все пароли должны быть изменены на уникальные.

Цель 2: Защита данных карт

  • Требование 3: Защита хранящихся данных карт (PAN, CVV/CVC) с помощью шифрования.
  • Требование 4: Шифрование передачи данных карт по открытым сетям (интернет).

Цель 3: Управление уязвимостями

  • Требование 5: Использование и регулярное обновление антивирусного ПО.
  • Требование 6: Разработка и поддержка безопасных систем и приложений.

Цель 4: Контроль доступа

Цель 5: Мониторинг и тестирование

  • Требование 10: Мониторинг и аудит всех действий пользователей.
  • Требование 11: Регулярное тестирование систем безопасности.

Цель 6: Информационная безопасность

  • Требование 12: Внедрение политик информационной безопасности.

О том, как эти требования реализуются на практике, читайте в статье Облачная безопасность.

Как получить сертификат PCI DSS

Процесс получения сертификата PCI DSS зависит от уровня соответствия (Level 1-4), который определяется количеством транзакций, обрабатываемых за год:

  • Level 1: Более 6 млн транзакций в год. Требуется внешний аудит (QSA-аудит) и заполнение отчета о соответствии (ROC).
  • Level 2: От 1 до 6 млн транзакций. Требуется заполнение опросника самооценки (SAQ) и квартальное сканирование сети.
  • Level 3: От 20 000 до 1 млн транзакций. Требуется заполнение SAQ и квартальное сканирование.
  • Level 4: Менее 20 000 транзакций. Требуется заполнение SAQ.

Для прохождения сертификации необходимо:

  • Определить свой уровень соответствия.
  • Заполнить соответствующий опросник самооценки (SAQ) или пройти внешний аудит.
  • Устранить все выявленные уязвимости.
  • Провести квартальное ASV-сканирование сети.
  • Оформить документы (AoC — Аттестат соответствия).

О том, как подготовиться к аудиту информационной безопасности, читайте в статье Аттестационные испытания.

Часто задаваемые вопросы

Что такое PCI DSS простыми словами?

PCI DSS — это международные правила безопасности для компаний, которые принимают оплату банковскими картами. Эти правила защищают данные клиентов от кражи и мошенничества. Если ваш бизнес принимает карты, вы обязаны соблюдать PCI DSS. О безопасности платежей читайте в статье Финтех.

Кому нужен PCI DSS?

PCI DSS нужен всем организациям, которые принимают, передают или хранят данные платежных карт. Это банки, интернет-магазины, платежные системы, сервисы доставки, отели, рестораны — любой бизнес, который работает с картами. Даже если у вас небольшой интернет-магазин, вы обязаны соблюдать PCI DSS.

Какие 12 требований PCI DSS?

12 требований охватывают шесть областей: защита сети (файрволы, смена паролей), защита данных карт (шифрование), управление уязвимостями (антивирусы, обновления), контроль доступа (аутентификация, ограничение прав), мониторинг и тестирование, политики информационной безопасности. Полный список требований есть в статье Облачная безопасность.

Сколько действует сертификат PCI DSS?

Сертификат PCI DSS действует 12 месяцев. Через 10 месяцев необходимо начать процедуру продления — пройти повторный аудит или заполнить новый опросник самооценки и провести квартальное сканирование сети. Сертификат нужно обновлять каждый год.

Что будет, если не соблюдать PCI DSS?

За несоблюдение PCI DSS предусмотрены серьезные последствия: штрафы от платежных систем (до $100 000 в месяц), приостановка приема платежей, юридические иски от пострадавших клиентов и репутационные потери. В некоторых случаях — отзыв лицензии на прием платежей. О рисках безопасности читайте в статье Фрод.

Как подготовиться к аудиту PCI DSS?

Для подготовки к аудиту необходимо: провести внутреннюю проверку безопасности (можно заказать аттестационные испытания), внедрить шифрование данных карт, настроить файрволы и систему мониторинга, обучить сотрудников правилам безопасности, подготовить документацию по политикам безопасности. Рекомендуется привлечь квалифицированного специалиста (QSA).

Чем PCI DSS отличается от ISO 27001?

PCI DSS — это специализированный стандарт безопасности для платежных данных. ISO 27001 — это общий стандарт управления информационной безопасностью, который подходит для любых данных. PCI DSS обязателен для компаний, принимающих карты. ISO 27001 — добровольный, но часто требуется для крупных клиентов и тендеров. Они могут дополнять друг друга.

Другие термины в категории «Информационная безопасность»

Была ли эта информация полезной?

Информационная безопасность Назад

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных индустрии платежных карт. Он разработан ведущими платежными системами (Visa, MasterCard, МИР и др.) и обязателен для всех организаций, которые хранят, передают или обрабатывают данные банковских карт.

Защитите свою сеть уже сегодня

Оставьте заявку — наши специалисты по информационной безопасности помогут выбрать, настроить и интегрировать pci dss в вашу инфраструктуру. Защитим ваши данные от угроз.

Гарантия результата
Подбор под ваш бюджет
Комплексный подход
Сертифицированные эксперты

Или свяжитесь с нами:

+7 (499) 238-01-32 sales@fintech.ru

Работаем с 09:00 до 18:00

Сайт использует cookie-файлы. Продолжив просмотр сайта, Вы таким образом подтверждаете свое согласие на использование этих файлов.