Совет по стандартам безопасности индустрии платёжных карт (PCI SSC), созданный ведущими международными карточными организациями Visa, Mastercard, Amex, Diners, Discovery и JCB, разработал правила и документы PCI DSS, которые определяют принципы и политику безопасности карт.
PCI DSS распространяется на всех, кто обрабатывает, хранит и передает данные о пользователях карт и/или чувствительные данные аутентификации или может повлиять на безопасность среды данных о пользователях карт.
Сюда входят все, кто участвует в обработке платежных счетов - торговцы, процессоры, эквайеры, эмитенты и другие поставщики услуг. Эти правила устанавливают технические и операционные требования к организациям, которые принимают или обрабатывают платёжные операции.
Новейшая версия требований и стандартов доступна здесь.
Все торговцы, которые хранят, обрабатывают или передают данные пользователей карт и/или чувствительные данные аутентификации, должны обеспечить соответствие стандартам PCI DSS. Некоторые требования PCI DSS могут также применяться к тем, чья среда не хранит, не обрабатывает и не передает данные, например к тем, кто использует аутсорсинговые услуги для платёжных операций или управления средами данных о пользователях карт.
Элементы данных счёта (данные карты и чувствительные данные аутентификации):
|
Элементы данных |
Ограничения хранения |
Требование сделать хранимые данные несчитываемыми |
Данные пользователей карт |
|
Номер карты (PAN) |
Хранение сокращено до минимума |
Да Номер карты (PAN) должен храниться в нечитаемом виде |
|
Имя, фамилия пользователя карты |
Хранение сокращено до минимума |
Нет |
|
Код услуги Трех- или четырёхзначный номер на магнитной дорожки карты |
Хранение сокращено до минимума |
Нет |
|
Срок действия |
Хранение сокращено до минимума |
Нет |
Чувствительные данные аутентификации Сенситивные данные не должны храниться после авторизации даже в зашифрованном виде |
|
Полные данные дорожки Полные данные дорожки карты с магнитной полосы, чипа или другого источника |
После авторизации хранить нельзя |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены с помощью надежной криптографии |
|
Код верификации карты (CVV2/CVC2) Трехзначный код, нанесенный на лицевой или обратной стороне платежной карты |
После авторизации хранить нельзя |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены с помощью надежной криптографии |
|
БлокPIN/PIN Персональный идентификационный код, введённый пользователем карты во время транзакции, и/или зашифрованный блок PIN-кода, содержащийся в сообщении о транзакции |
После авторизации хранить нельзя |
Да, данные, хранящиеся до завершения авторизации, должны быть защищены с помощью надежной криптографии |
Как убедиться в соответствии требованиям PCI DSS?
Мы ежегодно информируем торговцев по электронной почте о действиях, которые они должны предпринять для обеспечения соответствия стандартам PCI DSS, и эти требования приведены в таблице ниже.
Торговцы делятся на четыре уровня в зависимости от количества транзакций по картам каждого бренда (например, Mastercard, VISA, Amex и т. д.) в год. Торговцы с первого по третий уровень должны информировать нас о своём статусе соответствия после выполнения необходимых действий. Торговцы четвертого уровня должны сообщить нам о своём статусе соответствия, отправив нам заполненную Анкету самооценки (SAQ).
Уровень клиента |
Критерии операций торговцев |
Действия, которые должен предпринять торговец |
Частота |
1-й уровень |
Торговцы с общим годовым количеством транзакций по картам Mastercard или VISA от 6 миллионов и больше |
Внешний аудит безопасности, который проводит квалифицированный эксперт безопасности (QSA) |
ежегодно |
Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA) |
ежеквартально |
2-й уровень |
Торговцы с общим годовым количеством транзакций по картам Mastercard или VISA от 1 до 6 миллионов |
Квалифицированный эксперт безопасности (QSA) или внутренний оценщик безопасности (ISA)
Торговцы, заполняющие SAQ A, A-EP или D, обязаны привлечь QSA или ISA для проведения ежегодной проверки соответствия. Торговцы, заполняющие SAQ B, B-IP, C-VT, C или P2PE, теперь могут проводить самооценку без привлечения QSA или ISA для проверки соответствия. |
ежегодно |
Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA)
|
ежеквартально |
3-й уровень |
Торговцы, работающие в сфере э-коммерции, с общим годовым количеством транзакций по картам Mastercard или VISA от 20 000 до 1 миллиона |
Заполнение ежегодной анкеты самооценки (SAQ) |
ежегодно |
Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA) |
ежеквартально |
4-й уровень |
Все остальные торговцы |
Заполнение ежегодной анкеты самооценки (SAQ) по выбору торговца |
ежеквартально - рекомендовано |
Сканирование сети, которое проводит сертифицированный поставщик услуги сканирования сети (США) или квалифицированный эксперт безопасности (QSA) |
ежегодно – рекомендовано |
Важно! Торговцы должны провести:
- Аудит безопасности, проводимый сертифицированным аудитором, выступающим в качестве квалифицированного эксперта безопасности (QSA) у юридических лиц, перечисленных на официальном сайте PCI DSS.
- Сканирование сети квалифицированным поставщиком решений для сканирования сети, выступающим в качестве сертифицированного поставщика решений для сканирования (США) или квалифицированного эксперта безопасности (QSA). В США процедуру сканирования можно проводить как для обычных магазинов, так и онлайн-торговцев, но они не имеют права проводить ежегодные аудиты.
- Внутренний аудит, в ходе которого необходимо ответить на вопросы анкеты самооценки (SAQ). Содержание анкеты зависит от технического решения.
Требования и цели PCI DSS
12 требований и целей, приведённые в таблице ниже, помогут вам понять, какие важные шаги необходимо предпринять, чтобы соответствовать требованиям PCI DSS.
Цели |
Требования PCI DSS |
Создание и поддержка безопасной сети и системы |
1. Внедрить и поддерживать системы контроля безопасности сети.
2. Применять безопасные конфигурации ко всем компонентам системы.
|
Защита данных пользователей карт |
3. Обеспечить защиту данных счетов при хранении.
4. Обеспечить защита данных пользователя карты с помощью сильной криптографии при передаче по открытой или общедоступной сети.
|
Реализация программы контроля уязвимости систем безопасности |
5. Обеспечить защиту всех систем и сетей от вредоносных программ.
6. Разработать и поддерживать безопасные системы и программное обеспечение.
|
Внедрение строгих мер контроля доступа |
7. Доступ к компонентам системы и данным пользователей карт должен быть разрешён только при наличии соответствующей деловой необходимости.
8. Пользователи должны быть идентифицированы, а доступ к компонентам системы должен быть авторизован.
9. Ограничить физический доступ к данным пользователей карт.
|
Регулярный контроль и проверка сетей |
10. Весь доступ к компонентам сети и данным пользователя карты должен регистрироваться и контролироваться.
11. Обеспечить регулярные проверки систем безопасности и сетей.
|
Поддержка политики безопасности информации |
12. Обеспечить безопасность информации с помощью политик и программ организации. |
Для получения более подробной информации посетите https://www.pcisecuritystandards.org/