Стиль этой статьи неэнциклопедичен или нарушает нормы литературного русского языка. Статью следует исправить согласно стилистическим правилам Википедии.
В статье не хватает ссылок на источники (см. рекомендации по поиску). Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок. (15 июля 2021)

Payment Card Industry Data Security Standard (PCI DSS) (с англ. «стандарт безопасности индустрии платёжных карт») — это стандарт безопасности данных платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover[1]. Стандарты безопасности PCI разработаны для защиты платежных данных на протяжении всего жизненного цикла платежа и обеспечения технологических решений, обесценивающих эти данные и тем самым лишающих преступников стимула к их краже. Поэтому можно быть спокойным при переводах[2].

О стандарте безопасности данных индустрии платежных карт

Соответствие требованиям PCI DSS подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт[3]. Необходимость соответствия PCI DSS устанавливается операторами платежных систем в рамках их собственных программ по безопасности.

Например:

Все организации, в которых ведется хранение, передача или обработка данных карт этих платежных систем, должны соблюдать требования PCI DSS. Также платежными системами устанавливаются правила подтверждения соответствия PCI DSS[3].

Национальные (локальные) платежные системы могут также в своих программах безопасности указывать требование о необходимости соответствия PCI DSS и устанавливать требования к схеме подтверждения соответствия. Например, в платежной системе «Мир» необходимость соответствия PCI DSS определена в Стандарте ПС «Мир» «Программа безопасности»[4]. Также в рамках этой программы определены уровни для организаций и требования к отчетности.

С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.

С 2012 года сертификация стала обязательной для всех организаций, работающих с банковскими картами[5].

Подтверждение соответствия PCI DSS

Разные международные платежные системы предъявляют разные требования к процессу подтверждения соответствия требованиям PCI DSS.

Обычно, схемы подтверждения варьируются для организаций в зависимости от количества обрабатываемых транзакций по картам. Каждой организации присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований платежных систем предусматриваются ежегодные аудиторские проверки организаций на соответствие PCI DSS или проведение самооценки.

Существуют следующие методы подтверждения соответствия требованиям стандарта PCI DSS:

Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня торгово-сервисного предприятия или поставщика услуг.

Уровни торгово-сервисных предприятий

Торгово-сервисным предприятием (ТСП) является организация, принимающая платежные карты в оплату за продаваемые товары или услуги. Примерами торгово-сервисных предприятий являются магазины, рестораны, отели и интернет-магазины.

По классификации Visa:

Level 1:

Требования к оценке соответствия:

Level 2:

Требования к оценке соответствия:

Level 3:

Требования к оценке соответствия:

Level 4:

Требования к оценке соответствия:

По классификации MasterCard:

Level 1:

Требования к оценке соответствия:

Level 2:

Требования к оценке соответствия:

Level 3:

Требования к оценке соответствия:

Level 4:

Требования к оценке соответствия:

Уровни поставщиков услуг

Поставщиками услуг являются организации, оказывающие различные услуги, в основном в сфере информационных технологий, торгово-сервисным предприятиям, банкам-эквайерам и эмитентам, и непосредственно международным платежным системам. При этом, организация — поставщик услуг — получает доступ к данным о держателях карт. Примерами поставщиков услуг является процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования «точка-точка» (P2PE).

По классификации Visa:

Level 1:

Требования к оценке соответствия:

Level 2:

Требования к оценке соответствия:

По классификации MasterCard:

Level 1:

Требования к сертификации:

Level 2:

Требования к оценке соответствия:

Аудиторские компании PCI QSA

Как видно из классификации, сертификация по высшим уровням должна проводиться аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным требованием.

Аудиторские компании PCI PA-QSA

Существует родственный PCI DSS стандарт безопасности платежных приложений — Payment Card Industry Payment Application — Data Security Standard (PCI PA-DSS). Производители программного обеспечения, участвующего в обработке платежных транзакций, должны сертифицировать приложения по стандарту PA-DSS. По требованиям международных платежных систем Visa и MasterCard все торгово-сервисные предприятия (англ. Merchant) и поставщики услуг начиная с 1 июля 2012 года должны использовать только сертифицированные по стандарту PA-DSS платёжные приложения. Контроль выполнения этого требования возложен на банки-эквайеры.

Требования стандарта PCI DSS

PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

Построение и сопровождение защищённой сети

Защита данных держателей карт

Поддержка программы управления уязвимостями

Реализация мер по строгому контролю доступа

Регулярный мониторинг и тестирование сети

Поддержка политики информационной безопасности

Версии стандарта PCI DSS

Совет PCI SSC следует трехлетнему циклу обновления стандарта. Первый год — внедрение стандарта в индустрии, второй год — сбор обратной связи в виде комментариев и пожеланий от участников индустрии платежных карт, третий год — подготовка новой версии стандарта. Между этапами проводятся конференции PCI SSC Community Meeting, которые состоят из американской и европейской сессий. В ходе конференций организации-участники, международные платежные системы, консультанты и QSA-аудиторы, а также торгово-сервисные предприятия и поставщики услуг обсуждают будущее стандарта и сопутствующих документов.

История изменений стандарта:

Примечания

  1. What is PCI DSS (Payment Card Industry Data Security Standard)? - Definition from WhatIs.com (англ.). SearchSecurity. Дата обращения: 16 сентября 2022. Архивировано 19 сентября 2022 года.
  2. Standards (амер. англ.). PCI Security Standards Council. Дата обращения: 16 сентября 2022. Архивировано 20 сентября 2022 года.
  3. 1 2 Frequently Asked Question (амер. англ.). PCI Security Standards Council. Дата обращения: 16 сентября 2022. Архивировано 20 сентября 2022 года.
  4. Программа безопасности. Дата обращения: 20 мая 2023. Архивировано 20 сентября 2022 года.
  5. Стандарт PCI DSS: что это, требования, как получить сертификат. itglobal.com. Дата обращения: 16 сентября 2022. Архивировано 20 сентября 2022 года.
  6. Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0 (амер. англ.). PCI Security Standards Council. Дата обращения: 16 сентября 2022. Архивировано 20 сентября 2022 года.

Ссылки

Категории