PCI DSS

PCI DSS
Wikitext-ru.svg
 Эту статью следует викифицировать.
Пожалуйста, оформите её согласно правилам оформления статей.

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учрежденным международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.

Содержание

О стандарте безопасности данных индустрии платежных карт

Стандарт объединяет в себе требования ряда программ международных платежных систем по защите информации, в частности:

  • у Visa в Европе — Account Information Security (AIS);
  • у Visa в США — Cardholder Information Security (CISP);
  • у MasterCard — Site Data Protection (SDP).

Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, Интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.

Сертификация по PCI DSS

Разные международные платежные системы предъвляют разные требования к процессу сертификации по PCI DSS. Различают уровни сертификации для торгово-сервисных предприятий (англ. Merchant) и поставщиков услуг.

Существуют следующие методы проверки соответствия требованиям стандарта PCI DSS:

  • внешний QSA-аудит, выполняемой PCI QSA-компанией на объекте проверяемой организации;
  • заполнение листа самооценки (SAQ);
  • автоматизированное ASV-сканирование уязвимостей периметра сети.

Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня сертификации торгово-сервисного предприятия или предприятия - поставщика услуг.

Уровни сертификации торгово-сервисных предприятий (ТСП)

Торгово-сервисным предприятием является организация, принимающая платежные карты в оплату за продаваемые товары или услуги. Примерами торгово-сервисных предприятий являются магазины, рестораны, отели и Интернет-магазины.

По классификации Visa:

Level 1:

  • ТСП, обрабатывающие, более чем 6 млн. транзакций в год.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.

Level 2:

  • ТСП, обрабатывающие от 1 до 6 млн. транзакций в год.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

Level 3:

  • ТСП, обрабатывающие от 20 000 до 1 млн. транзакций в год с применением средств электронной коммерции.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

Level 4:

  • ТСП, обрабатывающие до 20 000 транзакций в год с применением средств электронной коммерции, а также иные ТСП, обрабатывающие до 1 млн. транзакций в год.

Требования к сертификации:

  • рекомендована ежегодная самооценка соответствия с заполнением опросного листа;
  • рекомендовано ежеквартальное ASV-сканирование;
  • требования определяются банком-эквайером.

По классификации MasterCard:

Level 1:

  • ТСП, обрабатывающие, более чем 6 млн. транзакций в год.
  • ТСП, через системы которых были скомпрометированы данные о держателях карт;
  • ТСП, отнесенные международной платёжной системой Visa к 1 уровню;
  • ТСП, напрямую отнесенные международной платёжной системой MasterCard к 1 уровню.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.

Level 2:

  • ТСП, обрабатывающие от 1 до 6 млн. транзакций в год;
  • ТСП, отнесенные международной платёжной системой Visa ко 2 уровню.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.

Level 3:

  • ТСП, обрабатывающие от 20 000 до 1 млн. транзакций в год с применением средств электронной коммерции.
  • ТСП, отнесенные международной платёжной системой Visa к 3 уровню.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

Level 4:

  • Все остальные ТСП.

Требования к сертификации:

  • рекомендована ежегодная самооценка соответствия с заполнением опросного листа;
  • рекомендовано ежеквартальное ASV-сканирование;
  • требования определяются банком-эквайером.

Уровни сертификации поставщиков услуг

Поставщиками услуг являются организации, оказывающие различные услуги, в основном в сфере информационных технологий, торгово-сервисным предприятиям, банкам-эквайерам и эмитентам, и непосредственно международным платежным системам. При этом, организация - поставщик услуг получает доступ к данным о держателях карт. Примерами поставщиков услуг является процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования "точка-точка" (P2PE).

По классификации Visa:

Level 1:

  • Все процессинговые центры, подключенные к VisaNet;
  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о более чем 300 000 транзакций в год.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.

Level 2:

  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о менее чем 300 000 транзакций в год.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

По классификации MasterCard:

Level 1:

  • Все процессинговые центры.
  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о более чем 300 000 транзакций в год.
  • Все процессинговые центры и поставщики услуг, через системы которых были скомпрометированы данные о держателях карт.

Требования к сертификации:

  • ежегодный аудит, выполняемый QSA-аудитором на объекте организации;
  • ежеквартальное ASV-сканирование.

Level 2:

  • Поставщики услуг, обрабатывающие, хранящие или передающие данные о менее чем 300 000 транзакций в год.

Требования к сертификации:

  • ежегодная самооценка соответствия с заполнением опросного листа (SAQ);
  • ежеквартальное ASV-сканирование.

Аудиторские компании PCI QSA

Как видно из классификации, сертификация по высшим уровням должна проводиться аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги для прохождения сертификации по любому уровню.[источник не указан 71 день]

Аудиторские компании PCI PA-QSA

Существует родственный PCI DSS стандарт безопасности платежных приложений - Payment Card Industry Payment Application - Data Security Standard (PCI PA-DSS). Производители программного обеспечения, участвующего в обработке платежных транзакций, должны сертифицировать приложения по стандарту PA-DSS. По требованиям международных платежных систем Visa и MasterCard все торгово-сервисные предприятия (англ. Merchant) и поставщики услуг начиная с 1 июля 2012 года должны использовать только сертифицированные по стандарту PA-DSS платёжные приложения. Контроль выполнения этого требования возложен на банки-эквайеры. Сертификацию платёжных приложений по стандарту PA-DSS могут выполнять компании, обладающие статусом PCI PA-QSA.[источник не указан 71 день]

Требования стандарта PCI DSS

PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.

Построение и сопровождение защищённой сети

  • Требование 1: установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт.
  • Требование 2: неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Защита данных держателей карт

  • Требование 3: обеспечение защиты данных держателей карт в ходе их хранения.
  • Требование 4: обеспечение шифрования данных держателей карт при их передаче через общедоступные сети.

Поддержка программы управления уязвимостями

Реализация мер по строгому контролю доступа

  • Требование 7: ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
  • Требование 8: присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
  • Требование 9: ограничение физического доступа к данным держателей карт.

Регулярный мониторинг и тестирование сети

  • Требование 10: контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
  • Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

Поддержка политики информационной безопасности

  • Требование 12: разработка, поддержка и исполнение политики информационной безопасности.

Версии стандарта PCI DSS

Совет PCI SSC следует трехлетнему циклу обновления стандарта. Первый год - внедрение стандарта в индустрии, второй год - сбор обратной связи в виде комментариев и пожеланий от участников индустрии платежных карт, третий год - подготовка новой версии стандарта. Между этапами проводятся конференции PCI SSC Community Meeting, которые состоят из американской и европейской сессий. В ходе конференций организации-участники, международные платежные системы, консультанты и QSA-аудиторы, а также торгово-сервисные предприятия и поставщики услуг обсуждают будущее стандарта и сопутствующих документов.

История изменений стандарта:

  • 1.0 — первоначальная версия стандарта.
  • 1.1 — принята в сентябре 2006 года.
  • 1.2 — принята в октябре 2008 года.
  • 1.2.1, малая редакция — принята в июле 2009 года; содержит незначительные технические поправки.
  • 2.0 — принята в октябре 2010 года.

Примечания

Ссылки


Wikimedia Foundation. 2010.

Игры ⚽ Нужно решить контрольную?

Полезное


Смотреть что такое "PCI DSS" в других словарях:

  • PCI DSS — stands for Payment Card Industry Data Security Standard. It was developed by the major credit card companies as a guideline to help organizations that process card payments prevent credit card fraud, hacking and various other security… …   Wikipedia

  • PCI DSS — PCI DSS, en su idioma nativo (Inglés): Payment Card Industry Data Security Standard, significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. Este estándar ha sido desarrollado por un comité conformado por las compañías de… …   Wikipedia Español

  • PCI DSS — PCI DSS (Payment Card Industry Data Security Standard)  стандарт безопасности данных, разработанный Советом по стандартам безопасности (The PCI Security Standards Council) для систем платежных карт.The PCI Security Standards Council это открытый… …   Банковская энциклопедия

  • PCI DSS — Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen… …   Deutsch Wikipedia

  • PCI-DSS — …   Википедия

  • PCI (значения) — PCI (англ. Peripheral Component Interconnect) компьютерная шина. PCI DSS стандарт безопасности данных в карточных платёжных системах (Payment Card Industry Data Security Standard), часто используется сокращённая форма аббревиатуры PCI. PCI… …   Википедия

  • DSS — can refer to: Government and politics Diplomatic Security Service, an agency in the U.S. Department of State Defense Security Service, an agency in the U.S. Department of Defense Domestic Security Section, part of the Criminal Division of the U.S …   Wikipedia

  • PCI — steht für: Peripheral Component Interconnect (PCI Bus), ein Bus Standard zur Verbindung von Peripheriegeräten mit dem Chipsatz eines Prozessors Partito Comunista Italiano, der italienische Name der Kommunistischen Partei Italiens bis zu ihrer… …   Deutsch Wikipedia

  • PA-DSS — The Payment Application Data Security Standard (PA DSS), formerly referred to as the Payment Application Best Practices (PABP), is the global security standard created by the Payment Card Industry Security Standards Council (PCI SSC). [1] PA DSS… …   Wikipedia

  • PA-DSS — Payment Application Data Security Standard (PA DSS) стандарт безопасности платежных приложений в индустрии платежных карт, разработанный Советом PCI SSC. Официальным аудитором в России и странах СНГ по данному стандарту является компания Digital… …   Википедия


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»