Стандарт безопасности данных индустрии платежных карт (PCI DSS)
Что такое PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) — это глобальный стандарт безопасности, который устанавливает обязательные технические и операционные меры для всех организаций, которые хранят, обрабатывают или передают данные платежных карт. Он был создан в 2004 году Visa, Mastercard, American Express, Discover и JCB и администрируется PCI Security Standards Council (PCI SSC).
Актуальная версия — PCI DSS v4.0, опубликованная в марте 2022 года. Новые требования, отмеченные как «лучшие практики», стали обязательными с 31 марта 2025 года, что напрямую влияет на мерчантов, процессоров, платёжные шлюзы и поставщиков услуг по всей Европе.
Как работает PCI DSS
Стандарт структурирован в 6 целей контроля, которые объединяют 12 требований безопасности:
- Создание и поддержание безопасной сети: установка сетевых средств защиты и безопасная конфигурация всех компонентов.
- Защита данных держателя карты: защита хранимых данных с помощью шифрования или токенизации и шифрование передачи через открытые сети.
- Управление уязвимостями: защита систем от вредоносного ПО и безопасная разработка приложений.
- Контроль доступа: ограничение доступа к данным по принципу необходимости, аутентификация пользователей и контроль физического доступа.
- Мониторинг и тестирование: ведение журналов доступа и регулярная проверка безопасности систем.
- Политика безопасности: поддержка защиты данными политиками и организационными программами.
Уровень требуемой валидации зависит от годового объёма транзакций. Для мерчантов существуют четыре уровня соответствия:
| Уровень | Годовой объём транзакций | Требуемая валидация |
|---|---|---|
| 1 | Более 6 млн | Годовой аудит QSA + ежеквартальные сканы ASV |
| 2 | 1–6 млн | SAQ + сканы ASV |
| 3 | 20 000 – 1 млн | SAQ + сканы ASV |
| 4 | Менее 20 000 | SAQ (рекомендуется) |
Нормативное влияние и безопасность в рамках PCI
PCI DSS не существует изолированно в европейском контексте. Его выполнение дополняется Директивой PSD2 (Директива (ЕС) 2015/2366) и её испанской транспозицией — Королевским законодательным декретом 19/2018, который требует усиленной аутентификации клиента (SCA) в электронных платежах.
Это означает, что испанский мерчант должен одновременно соблюдать PCI DSS для защиты данных карты и PSD2/SCA для подтверждения личности плательщика. Оба стандарта взаимно усиливают друг друга: PCI DSS защищает данные, а SCA подтверждает, что платит именно владелец карты.
Для ecommerce последствия значительны. Несоответствие PCI DSS может привести к штрафам от 5 000 до 100 000 € в месяц, налагаемым платёжными схемами через эквайера. Но реальный ущерб — это потеря возможности принимать платежи по картам, что фактически останавливает работу интернет‑магазина.
Преимущества и недостатки PCI DSS
Преимущества:
- Снижает риск утечек данных и связанных с ними финансовых потерь.
- Повышает доверие покупателей, что улучшает конверсию checkout.
- Упрощает интеграцию с эквайерами и процессорами, которые требуют PCI‑сертификацию.
Недостатки:
- Стоимость сертификации для мерчанта уровня 1 может превышать 50 000 € в год (аудит QSA, ASV‑сканы, техническая ремедиация).
- Требует постоянного контроля: PCI DSS — это не разовая проверка, а непрерывный процесс.
- Сложность определения границ среды (scope) может привести к лишним затратам при неправильной сегментации сети.
Был ли этот термин полезным?
Оставить комментарий