PCI DSS: краткая история, определение, требования, уровни

Первоначальная версия стандарта PCI DSS (Payment Card Industry Data Security Standard)  1.0 была выпущена в декабре 2004 года. Затем спустя почти два года, в сентябре 2006-го была принята версия 1.1.

Совет PCI DSS, придерживается трехлетнего цикла обновления стандарта. Первый год — это введение стандарта в индустрию платежных карт. В течение второго года происходит сбор обратной связи от участников индустрии платежных карт, замечания, недостатки, пожелания, предложения по оптимизации и т. д. Третий год отводится на подготовку новой версии стандарта. Между каждым этапом проводятся совещания, конференции и активные обсуждения, которые состоят из американской сессии и европейской. На данный момент актуальной версией является 3.2.1., принятая в 2018 году.

Что такое PCI DSS?

PCI DSS — стандарт безопасности данных, который применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт. Также стандарт применим к тем организациям, которые планируют стать участниками индустрии платежных карт.

В структуру стандарта входят: 6 задач, 12 общих требований и 239 процедур оценки.

Требования PCI DSS: 12 главных требований

Для соответствия стандарту необходимо выполнение общих требований, которые можно условно разделить на следующие пункты:

• Защита вычислительной сети;
• Конфигурация компонентов информационной инфраструктуры;
• Защита хранимых данных о держателях карт;
• Защита передаваемых данных о держателях карт;
• Антивирусная защита информационной инфраструктуры;
• Разработка и поддержка информационных систем;
• Управление доступом к данным о держателях карт;
• Механизмы аутентификации;
• Физическая защита информационной инфраструктуры;
• Протоколирование событий и действий;
• Контроль защищенности информационной инфраструктуры;
• Управление информационной безопасностью.

Но в пунктах выше определены только основные направления. В самом же стандарте содержится порядка 440 проверочных процедур.

Как определить уровень стандарта PCI DSS (ASV-сканирование, SAQ, PCI QSA)

В нормативных документах определены 4 уровня сертификатов PCI DSS, которые, в первую очередь, отличаются максимально возможным количеством обрабатываемых транзакций:

• Level 4 позволяет обрабатывать до 20 тыс. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнение листа самооценки (Annual Self-Assessment Questionnaire, SAQ).
• Level 3 позволяет обрабатывать от 20 тыс. до 1 млн. транзакций в год. Для прохождения сертификации требуется как ежеквартальное ASV-сканирование, так и заполнение листа самооценки (SAQ).
• Level 2 позволяет обрабатывать от 1 млн. до 6 млн. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное ASV-сканирование и заполнение листа самооценки (SAQ). Однако, после 30 июня 2012 года для заполнения SAQ на этом уровне будет необходимо либо отправлять собственных сотрудников на специализированный тренинг, либо привлекать компанию-аудитора (PCI QSA).

Сертификация на соответствие требованиям PCI DSS Level 1 проводится только с привлечением независимого аудитора (QSA) и позволяет обрабатывать более 6 млн транзакций в год. Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.

Подробнее о PCI DSS Level 1

Сертификация на соответствие требованиям стандарта PCI DSS Level 1 международные платежные системы (МПС) предъявляют к компаниям, предоставляющим услуги интернет-эквайринга.

Предприятия, реализующие товары или услуги через Интернет, проходят сертификацию на соответствие требованиям PCI DSS по ряду причин:

• Конверсия. Компании опасаются потери части оплат при переходе из корзины на отдельную платежную страницу.
• Имидж. Иногда крупные компании не хотят, чтобы для ввода данных банковской карты клиент переходил с сайта компании на сайт сторонней организации (банка или процессингового центра).
• Технические задачи. Компании нужно построить собственную высокотехнологичную схему проведения платежей, ориентированную на специфику бизнеса.

Сертификация PCI DSS позволяет работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт нелегальной сторонней организации, возможно даже мошеннической.

Кроме того, если имеется собственная платежная система, то появляется возможность работать напрямую сразу с несколькими банками, подключенными к этой системе, что ускоряет время нескольких платежей между ними. При таком подходе к проведению платежей, их авторизация осуществляется последовательно в нескольких банках и процессинговых центрах, что позволяет значительно снизить процент отклоненных транзакций.

Обязательства компаний

Компаниям необходимо вести борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Выстроить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Её основное назначение – определение операций как «мошеннические» по определенным признакам (например, подмена счета и т. д.).

Построение собственной анти-фрод системы логично и экономически обосновано для компаний с большим оборотом платежей по банковским картам, для которых ущерб по мошенническим операциям существенно может повлиять на репутацию, и соответственно, может повлиять и на финансовое состояние компании. Для таких компаний контроль над системой фильтрации платежей является критически важным.

Сертификация PCI DSS: как получить сертификат

Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Эти требования предъявляются к безопасности на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами.

К компаниям, работающим только с платёжным шлюзом и не принимающих на своем сервере данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия электронной торговли, корректности контента и ценовых предложений, организационной формы компании.