PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учрежденным международными платежными системами Visa, MasterCard, American Express, JCB и Discover.

Стандарт PCI DSS представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платежных карт.

PCI DSS

Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

Стандарт PCI DSS объединяет в себе требования ряда программ международных платежных систем по защите информации, в частности:

  • у MasterCard — Site Data Protection (SDP);
  • у Visa в США — Cardholder Information Security (CISP);
  • у Visa в Европе — Account Information Security (AIS).

Разные международные платежные системы предъявляют разные требования к процессу сертификации по PCI DSS. Различают уровни сертификации для торгово-сервисных предприятий (англ. Merchant) и поставщиков услуг.

Существуют следующие методы проверки соответствия требованиям стандарта PCI DSS:

  • внешний QSA-аудит, выполняемый PCI QSA-компанией на объекте проверяемой организации;
  • заполнение листа самооценки (SAQ);
  • автоматизированное ASV-сканирование уязвимостей периметра сети.

Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня сертификации торгово-сервисного предприятия или предприятия — поставщика услуг.