Эту статью следует викифицировать. |
Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт.
Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определённый уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.
Стандарт объединяет в себе требования ряда программ международных платежных систем по защите информации, в частности:
С сентября 2006 года стандарт введён международной платёжной системой Visa на территории региона CEMEA (центральная и восточная Европа, Ближний Восток и Африка) как обязательный, соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг (процессинговые центры, платёжные шлюзы, интернет-провайдеры), работающие напрямую с VisaNet, должны пройти процедуру аудита на соответствие требованиям стандарта.
Разные международные платежные системы предъявляют разные требования к процессу сертификации по PCI DSS. Различают уровни сертификации для торгово-сервисных предприятий (англ. Merchant) и поставщиков услуг.
Существуют следующие методы проверки соответствия требованиям стандарта PCI DSS:
Метод проверки соответствия, или комбинация методов, выбирается в зависимости от уровня сертификации торгово-сервисного предприятия или предприятия — поставщика услуг.
Торгово-сервисным предприятием (ТСП) является организация, принимающая платежные карты в оплату за продаваемые товары или услуги. Примерами торгово-сервисных предприятий являются магазины, рестораны, отели и интернет-магазины.
По классификации Visa:
Level 1:
Требования к сертификации:
Level 2:
Требования к сертификации:
Level 3:
Требования к сертификации:
Level 4:
Требования к сертификации:
По классификации MasterCard:
Level 1:
Требования к сертификации:
Level 2:
Требования к сертификации:
Level 3:
Требования к сертификации:
Level 4:
Требования к сертификации:
Поставщиками услуг являются организации, оказывающие различные услуги, в основном в сфере информационных технологий, торгово-сервисным предприятиям, банкам-эквайерам и эмитентам, и непосредственно международным платежным системам. При этом, организация — поставщик услуг получает доступ к данным о держателях карт. Примерами поставщиков услуг является процессинговые центры, платежные шлюзы, дата-центры, поставщики услуг токенизации и шифрования «точка-точка» (P2PE).
По классификации Visa:
Level 1:
Требования к сертификации:
Level 2:
Требования к сертификации:
По классификации MasterCard:
Level 1:
Требования к сертификации:
Level 2:
Требования к сертификации:
Как видно из классификации, сертификация по высшим уровням должна проводиться аудиторской компанией, обладающей статусом Qualified Security Assessor (PCI QSA). Для остальных уровней привлечение QSA не является обязательным требованием. Однако QSA может оказать консалтинговые услуги для прохождения сертификации по любому уровню.[источник не указан 2299 дней]
Существует родственный PCI DSS стандарт безопасности платежных приложений — Payment Card Industry Payment Application — Data Security Standard (PCI PA-DSS). Производители программного обеспечения, участвующего в обработке платежных транзакций, должны сертифицировать приложения по стандарту PA-DSS. По требованиям международных платежных систем Visa и MasterCard все торгово-сервисные предприятия (англ. Merchant) и поставщики услуг начиная с 1 июля 2012 года должны использовать только сертифицированные по стандарту PA-DSS платёжные приложения. Контроль выполнения этого требования возложен на банки-эквайеры. Сертификацию платёжных приложений по стандарту PA-DSS могут выполнять компании, обладающие статусом PCI PA-QSA.[источник не указан 2299 дней]
PCI DSS определяет следующие шесть областей контроля и 12 основных требований по безопасности.
Совет PCI SSC следует трехлетнему циклу обновления стандарта. Первый год — внедрение стандарта в индустрии, второй год — сбор обратной связи в виде комментариев и пожеланий от участников индустрии платежных карт, третий год — подготовка новой версии стандарта. Между этапами проводятся конференции PCI SSC Community Meeting, которые состоят из американской и европейской сессий. В ходе конференций организации-участники, международные платежные системы, консультанты и QSA-аудиторы, а также торгово-сервисные предприятия и поставщики услуг обсуждают будущее стандарта и сопутствующих документов.
История изменений стандарта:
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .