Совет по стандартам безопасности данных индустрии платёжных карт (PCI SSC), созданный ведущими международными платёжными системами Visa, Mastercard, Amex, Diners, Discovery и JCB, разработал правила и документы PCI DSS, которые определяют принципы и политику безопасности индустрии платёжных карт. Данные принципы обязательны для соблюдения всем, кто хранит, обрабатывает или передает данные платёжных карт, в том числе банкам, торгово-сервисным предприятиям и организациям, обрабатывающим платежи. В данных правилах определены технические и операционные требования, обязательные для организаций, которые принимают и обрабатывают платёжные транзакции.
Новая версия правил и документов доступна здесь.
Все торгово-сервисные предприятия, хранящие, обрабатывающие или передающие данные о держателях карт, должны соответствовать стандартам PCI DSS.
Элементы данных карт и сенситивные данные аутентификации:
|
Элемент данных |
Хранение разрешено |
Данные должны храниться в нечитаемом виде |
|
Номер карты (PAN) |
Да |
Да Номер карты (PAN) должен храниться в нечитаемом виде |
|
Имя, фамилия держателя карты |
Да |
Нет |
|
Код услуги Трех- или четырехзначный номер на магнитной полосе карты |
Да |
Нет |
|
Срок действия |
Да |
Нет |
|
Полные данные треков Полные данные треков с магнитной полосы, чипа или другого источника |
Нет |
Запрещено |
|
CVV2/CVC2 Трехзначный код, нанесенный на лицевой или обратной стороне платёжной карты |
Нет |
Запрещено |
|
ПИН/ПИН-блок Персональный идентификационный номер, который вводится держателем карты при совершении сделки и/или зашифрованный ПИН-блок, который содержится в сообщении о сделке |
Нет |
Запрещено |
Как убедиться о соответствии требованиям PCI DSS?
Поставщик услуги ежегодно информирует по электронной почте торгово-сервисные предприятия о выполняемых действиях, необходимых для обеспечения соответствия стандартам PCI DSS. Данные требования приведены в таблице.
Торгово-сервисные предприятия делятся на четыре уровня в зависимости от количества ежегодно обрабатываемых транзакций по картам одного бренда (т.е. Mastercard, VISA, Amex и др.). Торгово-сервисные предприятия с 1-го по 3-й уровень должны проинформировать нас о статусе своего соответствия после проведения всех необходимых действий, в свою очередь. Tоргово-сервисные предприятия 4-го уровня должны проинформировать нас о своем статусе соответствия, заполнив и отправив нам анкету самооценки (SAQ).
Уровень |
Критерии сделок торгово-сервисных предприятий |
Действия торгово-сервисных предприятий |
Частота |
1-й уровень |
Торгово-сервисные предприятия, обрабатывающие 6 млн. и более транзакций по картам Mastercard или VISA в год |
Внешний аудит безопасности, выполняемый Квалифицированным экспертом безопасности (QSA) |
Ежегодно |
Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Ежеквартально |
2-й уровень |
Торгово-сервисные предприятия, обрабатывающие от 1 до 6 млн. транзакций по картам Mastercard или VISA в год |
Квалифицированный эксперт безопасности (QSA) или внутренний оценщик безопасности (ISA) Торгово-сервисные предприятия 2-го уровня, выбравшие заполнение ежегодной анкеты самооценки, должны обеспечить, чтобы участвующие в самооценке работники ежегодно проходили обучение PCI SSC с последующей сдачей экзамена по аккредитованной программе. Данное условие является обязательным для того, чтобы предприятие и в дальнейшем могло использовать самооценку для оценки соответствия. В качестве альтернативы торгово-сервисные предприятия вместо заполнения анкеты самооценки могут выбрать ежегодную проверку на месте, которую проводит утвержденный советом PCI SSC квалифицированный эксперт безопасности (QSA). |
Ежегодно |
1. Торгово-сервисные предприятия, заполняющие анкету самооценки A, A-EP или D, должны привлекать QSA или ISA для ежегодной проверки соответствия. 2. Торгово-сервисные предприятия, заполняющие анкету самооценки B, B-IP, C-VT, C или P2PE, теперь могут проводить самооценку без привлечения QSA или ISA для проверки соответствия |
Ежегодно |
Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Ежеквартально |
3-й уровень |
Торгово-сервисные предприятия э-коммерции, обрабатывающие от 20 000 до 1 млн. транзакций по картам Mastercard или VISA в год |
Требуется ежегодное заполнение анкеты самооценки (SAQ). |
Ежегодно |
Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Ежеквартально |
4- уровень |
Другие торгово-сервисные предприятия |
Ежегодное заполнение анкеты самооценки (SAQ) по выбору торгово-сервисного предприятия |
Рекомендовано - ежегодно |
Сканирование сети, выполняемое сертифицированным поставщиком услуг сканирования (ASV) или квалифицированным экспертом безопасности (QSA) |
Рекомендовано - ежегодно |
Важно! Торгово-сервисные предприятия должны проводить:
- Аудит безопасности, выполняемый сертифицированным аудитором, который выступает в качестве квалифицированного эксперта безопасности (QSA) от поставщиков услуг, приведенных на официальном сайте PCI DSS.
- Сканирование сети, выполняемое квалифицированным поставщиком решений сканирования, который выступает в качестве сертифицированного поставщика услуг сканирования (ASV) или квалифицированного эксперта безопасности (QSA). Сертифицированный поставщик услуг сканирования (ASV) может выполнять сканирование для предприятий электронной торговли и предприятий с физическими местами торговли, но не имеет право проводить ежегодные аудиты.
- Внутренний аудит, в рамках которого необходимо ответить на вопросы анкеты самооценки (SAQ). Содержание анкеты зависит от технического решения.
Требования и цели PCI DSS
12 требований и целей, приведенные в таблице ниже, помогут вам понять, какие действия должны проводиться для обеспечения соответствия правилам PCI DSS.
Цели |
Требования PCI DSS |
Построить и поддерживать защищенные сети и системы |
1. Установить и поддерживать конфигурацию брандмауэра для защиты данных держателей карт.
2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.
|
Защищать данные держателей карт |
3. Защищать хранимые данные держателей карт.
4. Шифровать данные держателей карт при передаче через сети общего пользования.
|
Поддерживать программу управления уязвимостями |
5. Защищать все системы от вредоносного программного обеспечения и регулярно обновлять антивирусное программное обеспечение.
6. Разрабатывать и поддерживать безопасные системы и приложения.
|
Внедрять строгие меры контроля доступа |
7. Ограничивать доступ к данным о держателях карт в соответствии с необходимостью бизнеса.
8. Идентифицировать и аутентифицировать доступ к системным компонентам.
9. Ограничивать физический доступ к данным о держателях карт.
|
Осуществлять регулярный мониторинг и тестирование сетей |
10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и данным о держателях карт.
11. Регулярно тестировать системы и процессы безопасности.
|
Поддерживать политику информационной безопасности |
12. Поддерживать политику информационной безопасности для всех работников. |
Для получения более подробной информации посетите https://www.pcisecuritystandards.org/