Заполните заявку на получение услуг PayOk
+34 968 079 125
WhatsApp: +34 613 01 87 17
Подписаться в LinkedIn
Запрос звонка
Стандарт безопасности данных (PCI DSS)
  1. Словарь
  2. Стандарт безопасности данных (PCI DSS)

Стандарт безопасности данных (PCI DSS)

Index [Hide] [Show]

Что такое PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) – это международный стандарт безопасности, разработанный с целью защиты персональных и финансовых данных владельцев карт от мошенничества и утечек. Этот стандарт был создан в сотрудничестве нескольких крупных компаний-эмитентов банковских карт, таких как Visa, MasterCard, American Express, Discover и JCB.

Какие виды платежей попадают под действие PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) применяется ко всем организациям, которые обрабатывают, передают или хранят данные платежных карт, независимо от того, каким образом они это делают. Вот виды платежей, которые попадают под действие этого стандарта:

  • Онлайн-платежи: Это платежи, осуществляемые через интернет-магазины, платежные порталы, мобильные приложения или другие платформы электронной коммерции.

  • Терминальные платежи: Платежи, осуществляемые в розничных магазинах или на других точках продаж, используя POS-терминалы или мобильные POS-терминалы.

  • Мобильные платежи: Платежи, осуществляемые через мобильные приложения, мобильные кошельки или SMS.

  • Телефонные платежи: Это когда клиент предоставляет данные своей карты по телефону для осуществления платежа. Это может включать в себя заказы по каталогам, заказы из инфо-рекламы на ТВ или другие ситуации, когда платеж осуществляется дистанционно.

  • Почтовые платежи: Когда данные платежной карты передаются для оплаты по почте.

  • Рекуррентные платежи: Это автоматические платежи, которые снимаются с карты клиента с определенной периодичностью, например, ежемесячные подписки или членские взносы.

  • Бесконтактные платежи: Платежи, осуществляемые с использованием технологий NFC или RFID, позволяя клиентам осуществлять платеж, прикладывая карту или мобильное устройство к терминалу без физического контакта.

Важно понимать, что PCI DSS применяется ко всем аспектам обработки платежных данных, включая передачу, хранение и обработку, а также к всем участникам, участвующим в этом процессе – от мерчантов и сервис-провайдеров до процессинговых центров и банков.

12 основных требований PCI DSS

Стандарт безопасности данных платежных карт (PCI DSS) представляет собой набор требований, созданных для обеспечения безопасного обработки, хранения и передачи данных держателей карт. Вот 12 основных требований PCI DSS:

Защита сети

1. Установите и поддерживайте межсетевой экран для защиты данных держателей карт.

2. Не используйте значения безопасности по умолчанию, предоставленные поставщиками.

Защита данных держателей карт

3. Защитите сохраненные данные держателей карт.

4. Шифруйте передачу данных держателей карт через открытые и публичные сети.

Управление угрозами

5. Используйте и регулярно обновляйте антивирусное программное обеспечение.

6. Разработайте и поддерживайте безопасные системы и приложения.

Ограничьте доступ

7. Ограничьте доступ к данным держателей карт по необходимости.

8. Присвойте уникальный идентификатор каждому лицу с доступом к компьютеру.

9. Ограничьте физический доступ к данным держателей карт.

Постоянный мониторинг и тестирование сети

10. Отслеживайте и мониторьте весь доступ к сетевым ресурсам и данным держателей карт.

11. Регулярно проверяйте безопасность систем и процессов.

Поддерживайте политику безопасности информации

12. Создайте и поддерживайте политику безопасности, которая касается всего персонала.

Эти требования обеспечивают базовые меры безопасности для защиты чувствительной информации держателей карт и служат для предотвращения утечек или кражи данных.

Почему PCI DSS важен для онлайн бизнеса?

PCI DSS (Payment Card Industry Data Security Standard) – это критически важный стандарт безопасности для любого бизнеса, который обрабатывает, передает или хранит информацию о платежных картах. 

Вот несколько ключевых причин, почему соблюдение PCI DSS имеет такое значение для бизнеса:

  • Защита репутации бренда: Нарушения данных могут нанести серьезный ущерб репутации компании, что может привести к потере доверия со стороны клиентов. Соблюдение PCI DSS демонстрирует вашим клиентам, что вы принимаете все необходимые меры для защиты их конфиденциальной информации.

  • Избегание финансовых штрафов: Несоблюдение PCI DSS может привести к существенным штрафам от платежных систем и банков, что может стать значительной финансовой нагрузкой для бизнеса.

  • Снижение риска мошенничества: Стандарт предоставляет четкие рекомендации и требования по обеспечению безопасности, что помогает предотвратить несанкционированный доступ к данным и уменьшить риски мошенничества с платежными картами.

  • Доверие клиентов: Когда клиенты знают, что ваш бизнес соблюдает PCI DSS, это укрепляет их уверенность в безопасности своих данных при совершении покупок у вас.

  • Соблюдение законодательных требований: Во многих юрисдикциях есть законы, требующие от организаций защищать персональные данные клиентов. Соблюдение PCI DSS может помочь компании соответствовать этим законам.

  • Проактивная защита: PCI DSS обеспечивает бизнесу структурированный подход к безопасности данных, позволяя компании быть на шаг впереди потенциальных угроз.

  • Повышение конкурентоспособности: В многих отраслях соблюдение PCI DSS может стать конкурентным преимуществом, особенно если речь идет о B2B-секторе, где корпоративные клиенты могут требовать соблюдения этого стандарта у своих партнеров.

В итоге, PCI DSS– это не просто список требований, которые нужно выполнить. Это инвестиция в долгосрочное доверие и лояльность клиентов, а также в устойчивость и успешное развитие бизнеса.

Как соответствовать стандарту PCI DSS? 

Соблюдение стандарта PCI DSS (Payment Card Industry Data Security Standard) требует системного и последовательного подхода. Вот основные шаги и рекомендации по соблюдению этого стандарта:

  1. Определите уровень вашего бизнеса: В зависимости от того, сколько транзакций с платежными картами вы обрабатываете в год, вам будет присвоен определенный уровень мерчанта. От этого уровня зависят требования по соблюдению PCI DSS.

  2. Проведите оценку текущего состояния: Определите, какие из ваших систем и процессов взаимодействуют с данными платежных карт, и на каком этапе находятся в отношении соблюдения PCI DSS.

  3. Защитите хранимые данные: Минимизируйте количество хранимых данных о платежных картах. Любые данные, которые необходимо сохранять, должны быть адекватно зашифрованы.

  4. Шифруйте передачу данных: При передаче данных платежных карт через открытые и общедоступные сети, данные должны быть зашифрованы.

  5. Используйте файрволы: Файрволы должны быть установлены, чтобы защитить данные от несанкционированного доступа.

  6. Обновите антивирусное программное обеспечение: Убедитесь, что все системы защищены от вредоносного программного обеспечения.

  7. Ограничьте физический доступ: Данные платежных карт должны быть защищены от физического доступа несанкционированных лиц.

  8. Ограничьте и контролируйте доступ к данным: Доступ к данным должен предоставляться только тем сотрудникам, которым это действительно необходимо для выполнения их рабочих обязанностей.

  9. Создайте и поддерживайте политику безопасности: В вашей компании должна быть разработана и регулярно обновляемая политика безопасности, касающаяся всех аспектов обработки данных платежных карт.

  10. Регулярно тестируйте системы и процессы: Проводите регулярное тестирование на проникновение и вулнерабилитеты, чтобы удостовериться в том, что ваша система безопасности работает корректно.

  11. Проводите ежегодную оценку соответствия: В зависимости от вашего уровня мерчанта, вам может потребоваться провести ежегодную оценку соответствия (Self-Assessment Questionnaire или SAQ) или аудит со стороны квалифицированного эксперта по безопасности (QSA).

Соблюдение PCI DSS требует не только одноразовых действий, но и постоянного мониторинга, обновления и адаптации системы безопасности к изменяющимся угрозам и условиям.