PCI DSS (Payment Card Industry Data Security Standard) - это стандарт безопасности данных для кредитных карт, разработанный совместно ведущими международными платежными системами Visa, Mastercard, American Express, Discover и JCB. Цель стандарта - защита конфиденциальности, целостности и доступности данных держателей карты и платежных транзакций, обрабатываемых мерчантом.
В чем заключается проверка PCI DSS
PCI DSS - это не только список требований, но и процесс проверки соответствия этим требованиям. Процесс проверки проводится в несколько этапов и включает в себя оценку системы обработки платежей мерчанта на соответствие всем требованиям стандарта PCI DSS.
Первый этап проверки - это определение уровня PCI DSS, на который должен сертифицироваться мерчант. В зависимости от количества транзакций, обрабатываемых им, может быть назначен один из четырех уровней. Каждый уровень предусматривает определенный набор требований, которые мерчант должен выполнить для получения сертификата соответствия.
Второй этап - это сама проверка соответствия мерчанта требованиям стандарта PCI DSS. Для этого используются различные методы, включая внутреннюю проверку, проводимую сотрудниками компании, и внешнюю проверку, проводимую сертифицированными организациями.
Третий этап - это решение по результатам проверки. Если мерчант подходит по всем требованиям стандарта PCI DSS, то ему выдается сертификат соответствия. В случае нарушения какого-либо требования предоставляется список рекомендаций по устранению недостатков и повышению уровня безопасности системы обработки платежей.
Четвертый этап - это периодическая повторная проверка. Периодичность повторной проверки зависит от уровня PCI DSS, на который сертифицировался мерчант. Чем выше уровень, тем чаще проводится повторная проверка. Кроме того, повторная проверка может быть назначена в случае изменения системы обработки платежей мерчанта.
Важно отметить, что процесс проверки соответствия требованиям стандарта PCI DSS является обязательным для всех, кто принимает платежи с помощью банковских карт. Это позволяет обеспечить высокий уровень безопасности обработки платежей и защитить данные держателей карт от несанкционированного доступа.
Требования стандарта
Стандарт PCI DSS включает 12 требований безопасности, которые должны быть выполнены для обеспечения защиты данных держателей карты. Эти требования содержат дополнительные подтребования, которые зависят от уровня риска мерчанта и характера его деятельности.
Ниже представлено описание каждого требования стандарта PCI DSS и примеры соответствующих подтребований:
- Защита сети:
- Защита брандмауэром всех систем, находящихся в сети мерчанта.
- Настройка защиты беспроводной сети, используемой мерчантом.
- Запрет использования слабых протоколов шифрования.
- Установка сетевых аутентификационных механизмов, если таковые используются.
- Регулярное обновление ПО брандмауэров.
- Защита данных держателей карты:
- Хранение данных держателей карты только в зашифрованном виде.
- Защита передачи данных держателей карты по сети.
- Удаление излишних данных держателей карты.
- Защита ключей шифрования данных держателей карты.
- Управление учетными записями и доступом:
- Создание и использование уникальных идентификаторов для пользователей.
- Настройка прав доступа к системам обработки платежей.
- Ограничение доступа к информации о держателях карты только необходимым сотрудникам.
- Регулярное изменение паролей и использование сильных паролей.
- Защита от вредоносных программ:
- Установка и обновление антивирусного ПО на всех системах, находящихся в сети мерчанта.
- Защита всех систем обработки платежей от вредоносных программ.
- Регулярное обновление ПО на всех системах, находящихся в сети мерчанта.
- Защита физических ресурсов:
- Ограничение физического доступа к системам обработки платежей.
- Установка системы видеонаблюдения и контроля доступа.
- Ограничение доступа к хранилищу данных.
- Регулярное тестирование безопасности:
- Проведение сканирования уязвимостей на регулярной основе.
- Проведение аудита безопасности систем обработки платежей на регулярной основе.
- Регулярное проведение тестов на проникновение.
- Разработка и поддержка политики безопасности:
- Разработка и документирование политики безопасности.
- Информирование сотрудников о политике безопасности и требованиях PCI DSS.
- Регулярное обновление политики безопасности.
- Защита приложений:
- Обеспечение защиты приложений, обрабатывающих данные держателей карты.
- Регулярное обновление ПО приложений.
- Управление службами и оборудованием:
- Настройка и защита служб и оборудования.
- Регулярное обновление и патчинг ПО.
- Защита от DDoS-атак:
- Разработка механизма защиты от DDoS-атак.
- Регулярное тестирование механизма защиты от DDoS-атак.
- Защита от внутренних угроз:
- Защита от внутренних угроз со стороны сотрудников мерчанта.
- Мониторинг действий сотрудников мерчанта.
- Регулярный мониторинг и анализ систем безопасности:
- Регулярный мониторинг систем безопасности.
- Регулярный анализ систем безопасности.
- Регулярный мониторинг логов.
Изучив эти требования, мерчанты могут оценить свой уровень соответствия стандарту PCI DSS и выполнить необходимые действия для повышения уровня безопасности обработки платежей. Кроме того, существует множество компаний, которые предлагают услуги по сертификации соответствия стандарту PCI DSS и проведению аудита безопасности.
Кому необходимо получать сертификат
Сертификация PCI DSS является обязательной для всех компаний, которые обрабатывают, хранят или передают данные платежных карт. Таким образом, категории компаний, которым необходимо получать сертификат PCI DSS, включают в себя:
- Мерчанты, т.е. компании, которые принимают платежи с помощью платежных карт. Это могут быть как крупные розничные сети, так и небольшие интернет-магазины.
- Платежные шлюзы и процессоры, которые обрабатывают платежи мерчантов.
- Провайдеры хостинга и облачных услуг, которые предоставляют мерчантам платформу для обработки платежей.
- Разработчики программного обеспечения, которое используется для обработки платежей.
- Банки и другие финансовые учреждения.
Для каждой из этих категорий компаний существуют свои требования к сертификации PCI DSS. Например, провайдеры облачных услуг должны обеспечить безопасность хранения данных в облаке, а мерчанты должны защитить данные платежных карт в своих системах обработки платежей.
Важно отметить, что в случае нарушения требований стандарта PCI DSS компания может столкнуться с серьезными финансовыми последствиями. Например, компания может быть обязана выплатить компенсацию держателям карт в случае утечки их данных. Поэтому получение сертификата PCI DSS является важным шагом для обеспечения безопасности платежных данных и защиты бизнеса от возможных финансовых потерь и санкций.
Как получить PCI DSS
Получение сертификата PCI DSS включает в себя выполнение ряда требований, которые могут варьироваться в зависимости от категории компании и уровня сложности ее системы обработки платежей. Однако, в целом процесс сертификации включает следующие шаги:
- Определение уровня сложности системы обработки платежей. Для этого компания должна проанализировать ежегодный объем транзакций, обрабатываемых ею, а также использовать соответствующую таблицу уровней сертификации, определенную в стандарте PCI DSS. На основании этих данных компания определяет свой уровень сертификации и соответствующие ему требования.
- Подготовка системы обработки платежей. После определения уровня сложности компания должна приступить к подготовке своей системы к сертификации. Это включает в себя выполнение необходимых технических работ для обеспечения соответствия стандарту PCI DSS, например, установку необходимых программных и аппаратных средств, обновление системы безопасности, настройку правил доступа и т.д.
- Проведение тестирования системы обработки платежей. Для получения сертификата PCI DSS компания должна провести тестирование своей системы, чтобы убедиться в ее соответствии требованиям стандарта. Тестирование может проводиться как внутри компании, так и с помощью независимых экспертов.
- Подача заявки на сертификацию. После проведения тестирования компания подает заявку на сертификацию в аккредитованную компанию-аудитора, которая проведет окончательную оценку и выдаст сертификат, если компания соответствует всем требованиям стандарта.
- Поддержание сертификата. Получение сертификата PCI DSS не является окончательным этапом, так как компания обязана поддерживать его в действующем состоянии. Для этого компания должна проводить регулярную проверку своей системы обработки платежей и вносить необходимые изменения, чтобы обеспечить ее соответствие требованиям стандарта. Кроме того, компания должна ежегодно проходить повторную сертификацию.
- Самооценка исключений. Существует возможность для небольших компаний самостоятельно производить оценку своей системы обработки платежей и выдвигать исключения. Это означает, что компания может определить, какие из требований PCI DSS неприменимы к ее системе, и получить соответствующее подтверждение от своего аудитора. Однако этот подход уместен не для всех компаний и не гарантирует полное соответствие требованиям стандарта.
- Документирование процесса. Все шаги процесса получения сертификата PCI DSS должны быть документированы, чтобы обеспечить прозрачность и возможность проверки соответствия компании требованиям. Компания должна также подготавливать и обучать своих сотрудников, чтобы они могли правильно использовать систему и соблюдать требования стандарта PCI DSS. Кроме того, стоит учитывать, что получение сертификата PCI DSS является необходимым, но недостаточным условием для обеспечения полной безопасности обработки платежей. Всегда следует стремиться к обеспечению максимальной безопасности, используя всевозможные средства и методы, которые доступны компании.
Стоимость получения сертификата PCI DSS может значительно различаться в зависимости от размера компании, сложности ее системы обработки платежей и выбранного подхода к сертификации. Кроме того, стоимость сертификации может включать в себя как сборы за процесс сертификации, так и расходы на внедрение изменений в систему. Стоимость сертификации также может зависеть от выбранного аудитора и срока действия сертификата.
Получение сертификата PCI DSS имеет несколько преимуществ для компании.
Во-первых , это дает дополнительную гарантию клиентам и партнерам в том, что их платежные данные будут обрабатываться с высоким уровнем безопасности.
Во-вторых , это может снизить риски утечки платежных данных и других нарушений безопасности в системе обработки платежей.
В-третьих , это повышает репутацию компании и дает ей конкурентное преимущество на рынке.
Как не проходить сертификацию PCI DSS
Несмотря на то, что сертификация PCI DSS является обязательной для компаний, обрабатывающих платежные данные, есть несколько способов, которыми можно попытаться обойти процесс сертификации или уменьшить его сложность. Одним из таких способов является использование платежных агрегаторов, например, LAVA.ru. Наш сервис уже прошел сертификацию PCI DSS, поэтому вы можете воспользоваться нашими услугами приема платежей и быть в полной безопасности.
LAVA.ru - это платежный агрегатор, который предоставляет своим клиентам полный цикл работы с электронными платежами. Наш сервис предлагает широкий спектр услуг, включающий в себя подключение к различным платежным шлюзам, интеграцию с мобильными приложениями и сайтами.