PCI DSS: различия между версиями

Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платёжных карт, разработанный международными платёжными системами Visa и MasterCard. Представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платежных карт.

Стандарт разработан международными платёжными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации, в частности:

• у Visa в Европе — Account Information Security (AIS);
• у Visa в США — Cardholder Information Security (CISP);
• у MasterCard — Site Data Protection (SDP).

Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.

Существует 4 уровня сертификации по стандарту PCI DSS ^[1].

• Level 1: Требуется сервис-провайдерам, и мерчантам, с количеством транзакций более 6 млн. в год.
• Level 2: Требуется мерчантам, с количеством транзакций 1...6 млн. в год.
• Level 3: Требуется мерчантам, с количеством транзакций 20 тыс. ... 1млн. в год.
• Level 4: Требуется мерчантам, с количеством транзакций до 20 тыс. в год.

Сертификация по Level 1 обязательно должна проводиться Qualified Security Assessor (англ.). Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги, для прохождения сертификации по любому уровню.

Статусом QSA в России обладают следующие компании:

• Digital Security
• ИнформЗащита
• ИнфоСистем Джет
• ЕВРААС ИТ

Полный список QSA компаний можно найти на официальном сайте PCI Security Standart Council (англ.)

PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

• Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
• Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

• Требование 3: обеспечение защиты данных держателей карт в ходе их хранения.
• Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

• Требование 5: использование и регулярное обновление антивирусного программного обеспечения.
• Требование 6: разработка и поддержка безопасных систем и приложений.

• Требование 7: ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
• Требование 8: присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
• Требование 9: ограничение физического доступа к данным держателей карт.

• Требование 10: контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
• Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

• Требование 12: разработка, поддержка и исполнение политики информационной безопасности.

• 1.0 — первоначальная версия стандарта.
• 1.1 — принята в сентябре 2006 года.
• 1.2 — принята в октябре 2008 года.
• 1.2.1, малая редакция — принята в июле 2009 года; содержит непринципиальные технические поправки.

.

тестов теест

• PCI Security Standards Council  (англ.).
• Сообщество профессионалов PCI DSS.
• Управление соответствием стандартам PCI в России.