PCI DSS — это международный стандарт безопасности данных, разработанный для защиты информации о держателях платежных карт. Его используют все организации, которые хранят, обрабатывают или передают данные платежных карт. Основная цель PCI DSS – обеспечение безопасности финансовых транзакций и защита конфиденциальных данных держателей карт.
Стандарт PCI DSS был впервые представлен в 2004 году Советом по стандартам безопасности индустрии платежных карт (PCI SSC), в котором представлены все крупные платежные системы, такие как Visa, Mastercard и American Express.
Стандарт включает в себя множество требований, которые можно условно разделить на следующие группы:
- Защита сети и систем. Установка межсетевых экранов, удаление паролей по умолчанию и другие меры по защите данных;
- Защита хранимых данных. Шифрование и защита данных о держателях карт;
- Управление доступом. Реализация механизмов аутентификации и авторизации для доступа к данным;
- Физическая защита. Обеспечение безопасности физической инфраструктуры;
- Протоколирование и контроль. Регулярное протоколирование событий и контроль защищенности.
Существует четыре уровня соответствия PCI DSS, которые определяются по объему обработанных транзакций:
- Уровень 1 – более 6 миллионов транзакций в год. Требуется внешний аудит с QSA;
- Уровень 2 – от 1 до 6 миллионов транзакций. Требуется самооценка или внутренний аудит;
- Уровень 3 – от 20 тысяч до 1 миллиона транзакций. Требуется самооценка;
- Уровень 4 – до 20 тысяч транзакций. Самый простой уровень, также требует самооценки.
PCI DSS является важнейшим стандартом для обеспечения безопасности данных в индустрии платежных карт и применяется во всем мире. Соблюдение стандартов PCI DSS является обязательным для работы с платежными картами и сотрудничества с банками.