payment security

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Сертификация PCI DSS позволяет сотрудничать с банками напрямую через платежные интерфейсы банка и самого онлайн магазина, тем самым позволяя исключить перехват покупателя сторонней организацией.

В данный стандарт входят 12 детализированных требований по обеспечению безопасности данных платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Также, он охватывает безопасность на уровне сетей, оборудования, приложений, баз данных, документирования и управления процессами.

Каковы уровни сертификации по PCI DSS?

Существует 4 уровня сертификатов PCI DSS, которые определяются максимально возможным количеством обрабатываемых транзакций:

Level 4 – обработка до 20 тыс. транзакций в год. Для получения сертификата PCI DSS необходимо производить ежеквартальное сканирование внешних адресов на наличие уязвимостей (ASV-сканирование) и заполнить лист самооценки (Annual Self-Assessment Questionnaire, SAQ).

Level 3 – обработка от 20 тыс. до 1млн. транзакций в год, который также требует как ежеквартальное ASV-сканирование, так и заполнение листа самооценки.

Level 2 – обработка от 1 млн. до 6 млн. транзакций в год. Для подтверждения соответствия требованиям PCI DSS требуется ежеквартальное ASV-сканирование и заполнение листа самооценки (SAQ). Также, для заполнения SAQ этого уровня будет необходимо либо отправлять собственных сотрудников на специализированный тренинг, либо привлекать компанию-аудитора (PCI QSA).

Level 1 – обработка более 6 млн. транзакций в год, сертификация проводится только с привлечением независимого аудитора (QSA). Процедура сертификации включает в себя обследование информационной инфраструктуры компании, разработку рекомендаций и нормативных документов, необходимых для соответствия стандарту, консультационную поддержку при внедрении.

data protection

Какие области контроля определяются стандартом?

  • установка межсетевых экранов для защиты данных владельцев карт.
  • неиспользование выставленных по умолчанию системных паролей и других параметров безопасности.
  • обеспечение защиты данных держателей карт в ходе их хранения.
  • обеспечение шифрования данных держателей карт при их передаче.
  • использование и регулярное обновление антивирусного программного обеспечения.
  • разработка и поддержка безопасных систем и приложений.
  • ограничение доступа к данным держателей карт в соответствии со служебной необходимостью.
  • присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре.
  • ограничение физического доступа к данным держателей карт.
  • контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт.
  • регулярное тестирование систем и процессов обеспечения безопасности.
  • разработка и исполнение политики информационной безопасности.

Таким образом, если компания собирается пройти сертификацию соответствия PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования данного стандарта.

Пройдя данную сертификацию, Вы сможете быть уверены в полной информационной безопасности данных платёжных карт, используемых на сайте Вашего магазина.

Подключите решение от RegularPay уже сегодня!




We have received your form!
Thank you!

RegularPay expert account managers are checking the provided information, so you will receive our feedback very soon!

_________________       www.regularpay.com       _________________

Мы получили Вашу форму!
Спасибо!

Специалисты RegularPay уже приступили к просмотру предоставленной информации, поэтому мы с Вами свяжемся уже очень скоро!

_________________       www.regularpay.com       _________________